La Unión Europea ha adoptado un nuevo acuerdo transatlántico de adecuación de datos con EE.UU.
La decisión tan esperada significa que hay una resolución inmediata a la incertidumbre legal en torno a las exportaciones de datos personales de usuarios de la UE por parte de empresas estadounidenses, un problema que ha afectado a miles de empresas en los últimos años, grandes y pequeñas, incluidas empresas como Meta y Google, por nombrar algunas de alto perfil.
Durante una conferencia de prensa anunciando la decisión de adecuación, el comisionado de justicia de la UE, Didier Reynders, se mostró confiado en que esta vez, el tercer acuerdo de este tipo que el ejecutivo del bloque otorga a los EE.UU., será definitiva.
“Con la adopción de la decisión de adecuación, los datos personales ahora pueden fluir de forma libre y segura desde el Espacio Económico Europeo a los Estados Unidos sin más condiciones o autorizaciones”, dijo. “Por lo tanto, la decisión de adecuación garantiza que los datos puedan transmitirse entre la Unión Europea y los EE.UU. sobre la base de un acuerdo estable y confiable que proteja a las personas y brinde seguridad jurídica a las empresas”.
El acuerdo político sobre el marco de privacidad de datos (DPF) de la UE y los EE.UU. se anunció en marzo de 2022, pero se ha tardado más de un año en conseguir depurar todos los detalles. Mientras, el mecanismo anterior para simplificar las exportaciones de datos sobre el estanque fue invalidado por los jueces de la UE hace casi tres años. Por lo tanto, la adopción de un nuevo acuerdo de adecuación realmente pone fin a años de incertidumbre legal que afectan a los principales servicios en la nube de EE.UU. y a muchos otros actores digitales.
Dicho esto, la gran pregunta para el DPF es cuán duradero será este tercer acuerdo de adecuación de datos entre la UE y los EE.UU.
Reynders se mostró mucho más optimista de lo habitual sobre este tema, argumentando que el marco no es simplemente una copia y pegado de mecanismos de transferencia anteriores (fallidos), sino «un sistema muy diferente», uno que sugirió es «una solución muy sólida» a una división legal arraigada.
También sugirió que la UE ha escuchado atentamente los comentarios mientras trabajaba para finalizar un marco que, según él, garantiza «el pleno cumplimiento de las condiciones establecidas en el fallo del tribunal supremo de la UE».
“Ese fue mi mandato y mi enfoque en estas negociaciones, y eso se refleja en las soluciones que hemos obtenido. Abordan específicamente los requisitos establecidos por el tribunal con respecto a la necesidad de limitaciones y garantías para el acceso a los datos por parte de las agencias de inteligencia de EE.UU. de acuerdo con los principios de necesidad y proporcionalidad y la necesidad de garantizar una compensación efectiva para los individuos de la UE”.
No obstante, los desafíos legales al DPF ya están en camino. Ambos acuerdos anteriores (también conocidos como Safe Harbor y Privacy Shield) fueron anulados por el tribunal supremo del bloque después de que los jueces descubrieran que los datos personales exportados no estaban protegidos según el estándar legal requerido debido a los riesgos que plantean los amplios poderes de vigilancia de EE.UU. Ya los defensores de la privacidad advierten que el nuevo marco podría estar frente al TJUE en unos meses.
Un punto clave para los críticos es que desde la desaparición de Privacy Shield todavía no hemos visto la reforma de los poderes de vigilancia de EE. UU., sin que los legisladores acepten la necesidad de reformar la controvertida disposición FISA 702 y aprobar protecciones para la información de los extranjeros.
Eso significa que, en el fondo, el DPF todavía está ocultando el mismo conflicto legal fundamental, entre los derechos de privacidad de la UE y los poderes de vigilancia de los EE.UU., y podría enfrentar inexorablemente la misma evaluación de insuficiencia una vez que los jueces de la UE analicen los detalles.
En los últimos meses, varias otras instituciones de la UE han expresado su preocupación por el hecho de que a la sustitución prevista por la Comisión le falta claridad, lo que también sugiere que los ajustes en el enfoque anterior pueden no brindar la equivalencia esencial necesaria en la protección de datos. Aunque también ha habido un reconocimiento por parte de organismos como el Consejo Europeo de Protección de Datos de que el DPF va más allá que los acuerdos de transferencia de datos anteriores. La pregunta es si va lo suficientemente lejos como para cumplir o no con el estándar del TJUE.
La decisión de la Comisión en sí no significa mucho, ya que es el único responsable de adoptar decisiones de adecuación de la UE, y Reynders admitió que la luz verde de hoy es esencialmente una decisión «unilateral» del ejecutivo de la UE, por lo que los legisladores del bloque están en la posición de llegar a marcar su propia tarea una vez más, a pesar de un historial de equivocarse en estas mismas ecuaciones.
El grupo de campaña de privacidad noyb, cuyo fundador y presidente, Max Schrems, estuvo detrás de la queja original contra las transferencias de datos entre la UE y los EE.UU. de Facebook, sigue siendo crítico con el marco.
En respuesta al anuncio de la decisión de adecuación de la Comisión hoy, noyb confirmó que presentará un requerimiento legal, diciendo tiene “opciones para ello” listas para ser enviadas a los reguladores y espera que el tema vuelva al TJUE a principios del próximo año.
Así que somos «socios» de EE. UU., pero EE. UU. continúa diciendo que los ciudadanos de la UE son de «segunda clase» y no tienen derechos fundamentales (según la 4ª Enmienda). #TADPF — Max Schrems (@maxschrems) 10 de julio de 2023
Si el cronograma programado de noyb se mantiene, aún tendría que seguir meses (o incluso años) de deliberación por parte de la corte de la UE. Entonces, un veredicto final sobre el DPF podría tardar años. (Para un contexto comparativo, las cuestiones legales relacionadas con el predecesor del DPF, Privacy Shield, se remitieron al tribunal en mayo 2018 — con la sentencia del TJUE anulando el mecanismo en julio de 2020.)
Por ahora, Schrems y noyb argumentan que el nuevo marco es en gran medida el mismo que el Escudo de privacidad que no logró ser aprobado por los jueces de la UE, descartando los principales cambios destacados por los equipos de la UE y los EE. UU. involucrados en la negociación del acuerdo de reemplazo, como la aparente aceptación de EE.UU. del principio de derecho de la UE de uso de datos “proporcionado”. Este teatro de la proporcionalidad, como lo denomina noyb, lo argumenta en el hecho de EE. UU. no está asignando la misma definición al término que los jueces de la UE entenderían en la Orden Ejecutiva adjunta al DPF donde EE. UU. ahora promete que su vigilancia de los extranjeros será «proporcional».
Tampoco están impresionados por un intento en el DPF de reelaborar otro problema que llevó al TJUE a ensartar el Escudo de privacidad, relacionado con la reparación. Entonces, en lugar de la figura equivalente del Defensor del Pueblo, el DPF ofrece un Oficial de Protección de las Libertades Civiles y lo que se denomina un “Tribunal”. Pero que, señalan, no es en realidad un tribunal de justicia; más bien es un “órgano ejecutivo parcialmente independiente”, por lo tanto, resumen los cambios como solo “mejoras menores”.
“Dicen que la definición de locura es hacer lo mismo una y otra vez y esperar un resultado diferente. Al igual que ‘Privacy Shield’, el último acuerdo no se basa en cambios materiales sino en intereses políticos”, argumentó Schrems en un comunicado. “Una vez más la actual Comisión parece pensar que el lío será problema de la próxima Comisión. FISA 702 debe ser prorrogado por EE.UU. este año, pero con el anuncio del nuevo acuerdo, la UE ha perdido todo poder para lograr una reforma de FISA 702”.
Al anticipar las líneas de ataque clave, Reynders se tomó un tiempo para abordar ambas áreas en sus comentarios, explicando por qué la Comisión cree que este acuerdo es diferente y se mantendrá.
“Hemos logrado cambios significativos en el marco legal de los EE.UU. para abordar estos dos conjuntos de requisitos”, sugirió. “Este nuevo marco es sustancialmente diferente al Escudo de Privacidad UE-EE.UU. como resultado de la Orden Ejecutiva emitida por el presidente Biden el año pasado tras nuestras negociaciones. Los requisitos de necesidad y proporcionalidad ahora se explican claramente a través de salvaguardias vinculantes y exigibles en el ordenamiento jurídico estadounidense.
“En la práctica, esto significa que al decidir si las agencias de inteligencia de los EE.UU. deben acceder a los datos y en qué medida, deberán sopesar los mismos factores que exige la jurisprudencia del Tribunal de Justicia de la UE. Estos factores incluyen la naturaleza de los datos, la gravedad de la amenaza o el posible impacto sobre los derechos de las personas. Sobre esa base, cada agencia de inteligencia de EE.UU. ha revisado sus reglas y procedimientos internos para implementar estos nuevos requisitos a nivel operativo”.
Sobre el mecanismo de reparación reelaborado, Reynders lo describió como «un tribunal independiente e imparcial que está facultado para investigar las quejas presentadas por los europeos y emitir decisiones correctivas vinculantes», y señaló que el organismo tiene el poder de ordenar la eliminación de los datos recopilados en violación de los requisitos de necesidad o proporcionalidad.
Además, enfatizó que la Comisión ha prestado atención a la accesibilidad de la reparación, lo que sugiere que el mecanismo ha sido diseñado para ser «fácil de usar», y señaló que no hay ningún impedimento para que las personas de la UE presenten una queja (que estipuló que pueden hacerlo en su propio idioma, a través de su autoridad local de protección de datos, que luego canalizará la queja a las autoridades pertinentes para ellos).
“Se aplicarán requisitos de admisibilidad muy bajos”, enfatizó. “En particular, el denunciante no tendrá que demostrar que las agencias de inteligencia estadounidenses han accedido a sus datos. Esto es muy importante y crucial para garantizar el acceso efectivo a la reparación en un área que es por naturaleza secreta.
«Antes de ir al tribunal la queja del denunciante estará representada por un abogado especial, nuevamente, sin cargo con las autorizaciones de seguridad necesarias. Estos procedimientos implican un cierto grado de secreto. Con un abogado especial, el tribunal tomará su decisión solo después de escuchar a ambas partes. Finalmente, el funcionamiento de este mecanismo de reparación, incluidos los aspectos del debido proceso y el cumplimiento de las decisiones del nuevo tribunal, será supervisado por un organismo independiente específicamente responsable de la protección de datos, la Junta de Supervisión de Privacidad y Libertades Civiles”.
“Los principios del Marco de Privacidad de Datos son sólidos y estoy convencido de que hemos logrado un progreso significativo que cumple con los requisitos de la Corte”, dijo Reynders, advirtiendo a las autoridades de EE.UU. de la necesidad de cumplir realmente con sus compromisos.
“Al mismo tiempo, la Comisión prestará especial atención a la implementación de este nuevo marco legal y no dudará en reaccionar en caso de cualquier problema o problema”, puntualizó.
Los cínicos podrían decir que toda la saga de la adecuación entre la UE y los EE.UU. es simplemente una forma en que los legisladores de ambos lados de un cisma legal inamovible pueden comprar otros pocos años de gracia (y mantener las ruedas del comercio girando) pateando repetidamente el punto crítico en el camino. — dejando a los reguladores y tribunales de la UE cargados con las consecuencias resultantes (y las empresas enfrentando otro lío legal costoso si el acuerdo termina siendo deshechado una vez más).
Es un punto de vista que pasa a tener bastante crédito cuando se considera cómo Meta, que ha sido objeto de una queja por sus transferencias de datos entre la UE y los EE.UU. confirmó el incumplimiento de los requisitos de exportación de datos del bloque— nunca ha tenido que dejar de enviar los datos de los europeos a pesar de que se descubrió que las exportaciones eran ilegales.
En mayo, el gigante tecnológico recibió un período de alrededor de seis meses para cumplir con la orden de suspensión de datos. Ahora, unas semanas después de esa orden, tenemos un mecanismo de transferencia de alto nivel recién ratificado para que la empresa se adhiera a él, lo que significa que simplemente puede ignorar la orden de suspensión aún mojada al cambiar su base legal reclamada para las exportaciones de datos al DPF y evitar tener que suspender cualquier flujo de datos, esencialmente eludiendo la aplicación estricta (aunque, con una factura de alrededor de $1.3BN por pagar).
Este baile aparentemente interminable, que noyb llama un frustrante «ping pong legal», ilustra lo difícil que es para los ciudadanos de la UE ejercer los derechos de privacidad que la ley afirma que existen para proteger su información, incluso cuando los gigantes tecnológicos con lucrativos modelos comerciales de extracción de datos siguen pisoteando los derechos de las personas como de costumbre, siempre y cuando obtengan ganancias suficientes para poder cancelar las multas coercitivas como un coste de hacer negocios.
Aún, Reynders también tuvo una palabra de precaución para los gigantes tecnológicos de EE.UU., y señaló: «Será requerido para las empresas demostrar que cumplen plenamente con el RGPD [General Data Protection Regulation].”
Y en ese frente, Meta, al menos, tiene un dolor de cabeza cada vez mayor ya que los reguladores de la UE, y, más recientemente, el TJUE, han puesto en duda la base legal que afirma para procesar los datos de las personas para la orientación de anuncios. Incluso si el gigante de la tecnología publicitaria no se ve obligado ahora a cortar todos sus flujos de datos entre la UE y los EE.UU. Algunas reformas duras en la forma en que opera su negocio de publicidad conductual en la UE ahora parecen inevitables.
