A juzgar por las fotos, Edward Snowden no parece ser un hombre de gran estatura, pero su sombra está resultando más larga de lo que se pensaba. Su chivatazo del 2013 sobre las actividades de espionaje electrónico de la NSA ha inspirado a un estudiante austríaco – al parecer un tipo corriente pero con mucha motivación – que, tras pasar años litigando, ha conseguido una sentencia del Tribunal de Justicia de la UE (ECJ, según la sigla en inglés). Max Schrems pasará a la historia por haber ganado un pulso a prestigiosos bufetes de abogados especializados en derecho de Internet.
No abundaré en detalles, porque esto no es una crónica y porque la noticia es suficientemente conocida. La sentencia del ECJ dice que el mecanismo conocido como Safe Harbor – acordado en 2000 entre la Comisión Europea y el gobierno de Estados Unidos – no protege suficientemente los datos personales de los ciudadanos europeos que se transfieran a centros de datos en aquel país, porque la legislación estadounidense en materia de seguridad nacional infringe las salvaguardas previstas en aquel acuerdo de hace 15 años. En consecuencia, invalida la vigencia del acuerdo; la decisión no es recurrible.
Como suele suceder, la noticia ha sido mal interpretada, por pereza intelectual, o tergiversada, por mala fe o intereses creados. De manera que me limitaré a describir las consecuencias, algunas hipotéticas, de la sentencia. Está cantado que va a provocar nuevos roces entre Washington y Bruselas, pero de ahí a sostener, como los integristas habituales, que la supresión de Safe Harbor condena a Europa al atraso tecnológico y a la parálisis de inversiones en TI, hay un abismo.
La premisa de Safe Harbor [la transferencia de datos de Europa a Estados Unidos cuenta con las garantías suficientes para la protección de los ciudadanos europeos] es contraria a lo que afirma la sentencia del ECJ. Entonces, la invalidez del acuerdo, ¿significa que Facebook, Google, etc no podrán funcionar en Europa a menos que almacenen en suelo europeo los datos europeos? De eso nada. Las empresas adheridas al mecanismo – unas 4.400 – podrán seguir funcionando como hasta ahora, sólo que en caso de reclamación legal por parte de algún usuario o cliente, no podrán alegar que su actuación está amparada por un acuerdo que ya no está en vigor.
El procedimiento previsto en Safe Harbor establece como condición que las empresas que almacenen y/o procesen en Estados Unidos datos de personas físicas o jurídicas europeas [definición que vale tanto para un tuit, un post, un mensaje de correo o la nómina de una multinacional], deberán autocertificarse ante las autoridades federales que cumplen con siete principios elementales, entre los que se encuentra la garantía de proteger su integridad y que no los transferirán a terceros.
Facebook, que está en el origen del litigio por la denuncia de Schrems, ha declarado que no se apoya exclusivamente sobre Safe Harbor sino también sobre otros métodos aprobados por la UE para transferir datos de conformidad con la ley. Lo mismo ha afirmado Google, y ambas tienen razón: existen fórmulas alternativas y/o paralelas, como las así llamadas Normas Corporativas Vinculantes (binding corporate rules) y un modelo de cláusulas contractuales; en ambos casos se trata esencialmente de seguir procedimientos de aprobación separados, que pueden ser comunitarios o, lo más frecuente, acogerse a las leyes nacionales de los países miembros.
Microsoft, proveedor de almacenamiento de datos online y de servicios cloud para empresas, dice no estar concernida por la cuestión: «nuestros términos de uso [esos que nadie lee] dejan claro que nuestro servicio consiste en transferir datos entre usuarios, y a eso se limita nuestro papel». Salesforce se ha apresurado a declarar que «ha tomado medidas para asegurar a sus clientes del cumplimiento de la legislación vigente». Amazon, siempre segura de sí misma se ha limitado a informar de que sus servicios cloud en Europa han sido declarados conforme por el grupo de trabajo del artículo 29, órgano consultivo de la UE en materia de protección de datos.
Más allá de las declaraciones para salir del paso, los abogados de cada gran compañía están analizando las implicaciones de la sentencia. Desde luego, la existencia de alternativas suaviza el impacto inmediato de la sentencia, pero una vez creado el precedente, nada impide que sean cuestionadas y que, algún día, otro tribunal las anule por estar en contradicción con la sentencia de 2015. También es posible – pero no carente de riesgos – que la posición común europea se resquebraje si, por ejemplo, algún estado miembro viera la oportunidad de convertir su territorio en santuario de datos (un símil de los paraísos fiscales) dando por buenos modelos contractuales «nacionales». En todo caso, se puede esperar que en los próximos meses sean anunciadas iniciativas de implantación en Europa de datacenters de proveedores de servicios.
La única salida posible a este enredo sería una negociación, que no podrá desembocar en un maquillaje de Safe Harbor añadiendo el sufijo 2.0. Si desde el 2013 no ha se ha podido avanzar [lo que decía sobre la sombra de Snowden], ahora se antoja más difícil llegar a un acuerdo que respete el criterio fijado por el ECJ: la contraparte (EEUU) deberá ofrecer las mismas garantías que rigen en la UE en materia de protección de datos. A menos que hubiera un cambio profundo en la actitud de Washington, un nuevo acuerdo podría ser invalidado. Perdonen la longitud del texto, pero pudo haber sido peor.