Estados unidos nos vende su gas, Europa le regala tu privacidad
Bruselas y Washington han suscrito un nuevo acuerdo para la transferencia de datos privados, que sucede a los anteriormente vetados por la Justicia europea por la falta de garantías del lado estadounidense. La presión ha sido muy fuerte por parte de las grandes firmas digitales.
En un mundo alterado por la invasión rusa de Ucrania y la constatación, una vez más, de que la guerra es siempre una sucesión de atrocidades, la visita de Joe Biden a Europa hace diez días acaparó los focos y una noticia se llevó los titulares: el acuerdo entre el inquilino de la Casa Blanca y la Comisión Europea para la adquisición de 50.000 millones de metros cúbicos de gas licuado estadounidense de aquí a 2030. Mucho más desapercibido ha pasado, sin embargo, otro pacto que puede tener también un gran impacto en la ciudadanía europea, pues afecta a su derecho a la privacidad y al uso correcto de sus datos personales.
En concreto, aprovechando la visita del Jefe de Estado norteamericano, la Unión Europea y EEUU han llegado a un nuevo acuerdo sobre la transferencia de datos de los ciudadanos europeos fuera de las fronteras de la Unión. «Hemos encontrado un principio de acuerdo sobre un nuevo marco para los flujos de datos transatlánticos», expuso la presidenta de la Comisión Europea, Ursula von der Leyen, en una conferencia de prensa conjunta con Biden, en la que sostuvo que «esto permitirá flujos de datos predecibles y confiables entre la UE y EEUU, salvaguardando la privacidad y las libertades civiles».
Ocurre, sin embargo, que todavía no hay detalles de lo acordado, solo unas líneas generales que deben trasladarse a un texto legal. Y los precedentes obligan a estar alerta. Sobre todo, porque anteriores acuerdos en este mismo sentido han quedado anulados.
Así, la transferencia de datos entre ambas partes quedó suspendida en julio de 2020, cuando el Tribunal de Justicia de la Unión Europea (TJUE) falló en contra del acuerdo sellado en 2016, conocido como “Privacy Shield”, al concluir que el mismo no garantizaba el nivel de protección de los datos que exigen las reglas de la Unión Europea.
EEUU no ofrecía garantías suficientes
El fallo del alto tribunal se produjo después de una reclamación de Maximiliam Schrems, abogado austriaco cuyos datos personales, según denunció, habían sido transferidos por Facebook Ireland a servidores pertenecientes a la matriz Facebook Inc., y que reclamó que no se realizasen estas transferencias pues valoraba que en Estados Unidos no se ofrecían suficientes garantías. Tras varias decisiones judiciales de distintos organismos, finalmente el Tribunal de Justicia concluyó que “Privacy Shield” no era un acuerdo válido según estándares europeos.
El TJUE señalaba entonces que la transferencia de datos personales que se lleva a cabo con fines comerciales no pueden quedar fuera del ámbito de aplicación del Reglamento General de Protección de Datos (GDPR), que es el que rige en la UE, y añadía que el país destinatario debe ofrecer un «nivel de protección sustancialmente equivalente al garantizado dentro de la Unión».
«Las limitaciones de la protección de datos personales que se derivan de la normativa interna de los Estados Unidos relativa al acceso y la utilización, por las autoridades estadounidenses, de los datos transferidos desde la Unión a ese país tercero (…) no están reguladas conforme a exigencias sustancialmente equivalentes a las requeridas en el Derecho de la Unión, por el principio de proporcionalidad, en la medida en que los programas de vigilancia basados en la mencionada normativa no se limitan a lo estrictamente necesario», apuntaba el tribunal.
En esa resolución, se añadía que «las exigencias relativas a la seguridad nacional, el interés público y el cumplimiento de la ley estadounidense tienen primacía –en ese país–, por lo que toleran las injerencias en los derechos fundamentales de las personas cuyos datos se transfieren». Hacía referencia a que a que en Estados Unidos empresas que gestionan los datos de millones de personas, como Facebook, pueden verse obligadas a entregárselos a las agencias de seguridad, algo que no sucede en Europa, donde la Carta de Derechos Fundamentales de la UE y el GDPR ejercen cierta garantía de privacidad.
La sentencia censuraba, asimismo, que “Privacy Shield” no ofrecía a los usuarios afectados por la transferencia de sus datos ninguna opción de recurso ante órganismos que ofrezcieran garantías equivalentes a las que exige el marco legal de la UE, y advertía de que la figura del Defensor del Pueblo que contemplaba no garantizaba su independencia para tomar decisiones vinculantes respecto a la inteligencia estadounidense.
El apartado que más preocupaba al abogado austriaco era la Sección 702 de la Ley de Vigilancia de Inteligencia Extranjera de EEUU, que permite a la Agencia de Seguridad Nacional de ese país recopilar información perteneciente a ciudadanos no estadounidenses a través de la obtención de sus datos almacenados con medios electrónicos.
La presión de las grandes compañías
“Privacy Shield” había sido negociado entre Bruselas y Washington en 2016 y reemplazó a otro acuerdo previo –“Safe Harbour”–, que también tumbó en 2015 el TJUE, en otro caso denunciado ante las autoridades de Irlanda, donde Facebook tiene su sede europea.
Precisamente, este gigante tecnológico, integrado ahora en Meta, ha ejercido una fuerte presión para restablecer el pacto. Hace unos meses, en un documento presentado ante la Securities and Exchange Commission (SEC) de Estados Unidos, citado por xataka.com, la compañía de Mark Zuckerberg hacía la siguiente advertencia: «Si no se adopta un nuevo marco de transferencia transatlántica de datos y no podemos seguir recurriendo a los CCE o a otros medios alternativos de transferencia de datos de Europa a Estados Unidos, es probable que no podamos ofrecer varios de nuestros productos y servicios más importantes, como Facebook e Instagram, en Europa, lo que afectaría de forma negativa a nuestro negocio, situación financiera y resultados de las operaciones».
Era un mensaje a dos bandas. A Europa, le advertía de la posibilidad de que millones de usuarios y usuarias se quedaran sin poder acceder a esas redes sociales, mientras a la administración estadounidense le avisaba de las posibles implicaciones económicas.
No es un caso aislado, otros gigantes tecnológicos han tirado en la misma dirección. Y tiene lógica, pues los datos personales como la geolocalización o el comportamiento –social, de consumo– de los internautas son el eje del negocio de la economía digital.
En el caso de Google, estaba en tela de juicio el futuro de Analytics en Europa, debido a que la agencia de protección de datos austriaca encontró que los datos que compartía con EEUU incluían información que hacían posible identificar a un visitante de un sitio web, y opinaba que a pesar de que Google «ha adoptado medidas adicionales para regular las transferencias de datos en el marco de la funcionalidad de Google Analytics, estas no son suficientes para excluir la posibilidad de que los servicios de inteligencia estadounidenses accedan a estos datos».
Finalmente, la presión de estos gigantes de la economía global ha dado fruto. El acuerdo, que fue saludado de inmediato por Google y por el lobby tecnológico CCIA, quedó sellado en esa rueda de prensa conjunta de Biden y Von der Leyen del 25 de marzo. «Tenemos que continuar adaptando nuestras democracias en un mundo en mutación. Es especialmente cierto respecto a la digitalización, donde la protección de datos personales es crucial», argumentó la presidenta de la Comisión Europea, quien añadió que lo acordado servirá para «preservar la vida privada y las libertades individuales».
Lo que ocurre es que, de momento, la única privacidad preservada es la del propio acuerdo, cuyo contenido solo conocen quienes han estado al tanto de las negociaciones.
Por si acaso, Schrems, que criticó la ausencia de una «reforma sustancial por parte estadounidense», no descarta volver a recurrir a instancias judiciales. «El texto final todavía tomará tiempo, pero cuando esté disponible lo analizaremos minuciosamente (...) Si no está conforme con el derecho de la UE, nosotros u otros lo llevaremos probablemente ante la justicia», advirtió. Las espadas están en alto, y nuestros derechos, en juego.