Una vez encaminado el cuerpo legislativo de su estrategia digital con la aprobación de la Digital Markets Act (DMA) y la Digital Services Act (DSA), a la Comisión Europea sólo le quedaba dar la puntilla para culminar la faena. La rueda de prensa conjunta de Ursula von der Leyen y Joe Biden, indica que la última fase está en marcha. No se conoce un texto escrito – que podría resultad decepcionante – pero al menos ambas partes han hecho patente la voluntad de establecer un marco para la transferencia de datos entre Europa y Estados Unidos. Es la pieza que le faltaría a la Unión para impedir los abusos de las Big Tech y dar seguridades a sus ciudadanos acerca de la privacidad de sus datos.
El anuncio ha sido saludado por motivos políticos en un momento delicado. También lo han acogido favorablemente las compañías tecnológicas, que ven como parece disiparse la incertidumbre que para ellas traían la DMA y la DSA acerca de cómo mover a través del Atlántico los datos de empresas y ciudadanos europeos sin incurrir en sanciones. Muchas de esas empresas almacenan información de usuarios domiciliados en la UE en sus centros de datos en territorio de Estados Unidos.
Hasta hace dos años, la transferencia de esos datos se encuadraba en el marco legal del llamado Privacy Shield, hasta que en 2020 el Tribunal de Justicia de la Unión Europea invalidó ese acuerdo a raíz de la preocupación generada por la cibervigilancia practica por las agencias federales “de tres letras” de Estados Unidos.
Aquella sentencia de la más alta instancia judicial europea determinó que los datos transferidos a Estados Unidos con base en los preceptos de Privacy Shield puede exponer a los ciudadanos de la UE a ser víctimas de espionaje. Además, el tribunal hizo hincapié en que el acuerdo bilateral no contemplaba un sistema adecuado por el que los afectados pudieran interponer recursos que les ofrecieran garantías equivalentes de protección similares a las que tienen en la UE gracias al RGPD (Reglamento General de Protección de Datos).
El inestable andamiaje de Privacy Shield se vino abajo tras recibir una serie de criticas cuya mayor expresión fue la demanda presentada por el activista austríaco Max Schrems, en la que alegaba que el acuerdo no ofrecía una protección suficiente a los ciudadanos europeos. En realidad, aquel acuerdo había sido pergeñado con premura para reemplazar otro anterior, Safe Harbor (ya se ve que el asunto llevaba años rodando) que se invalidó en 2015, también por el Tribunal de Justicia. En este punto hay que recurrir a la hemeroteca: a mediados de 2013 salió a la luz la actividad de ciberespionaje masivo de la National Security Agency (NSA) contando con la complicidad de las grandes tecnológicas tal como fue denunciado por el fugitivo Edward Snowden. La atmósfera del momento se prestaba a las críticas, que fueron repetidas en los años siguientes a Estados Unidos por lo que todo intento de cooperación era estéril. El ambiente se enrarecería más aún cuando Donald Trump sustituyó a Barack Obama, mientras que en Bruselas no existía consenso acerca de cómo reaccionar ante el varapalo judicial.
La inesperada caída en 2015 de Safe Harbor requería alguna compensación para endulzar un litigio amargo. Ambas partes se pusieron a trabajar y de las prisas nació el nuevo marco, Privacy Shield, que buscaba dar garantías satisfactorias a Europa que fueran jurídicamente inobjetables. Pero desde el primer momento se hizo evidente el descontento: en Bruselas y en los estados miembros no se fiaban de la solidez del acuerdo. Mientras, a Trump el asunto le había venido enfilado y no se sentía concernido por las obligaciones asumidas por Obama.
Al tumbar Privacy Shield, el Tribunal de Justicia europeo dejó establecido cuáles deberían ser las bases para negociar un nuevo acuerdo. Ningún pacto sería sostenible mientras Estados Unidos no limitara los alcances de su vigilancia y garantizara a las personas que pudieran ser objeto de ella una fórmula eficaz para demandar responsabilidades.
Desde que se produjo aquel vacío legal, las empresas que tienen datos que transmitir a Estados Unidos se sirven de lo que se conoce como Standard Contractual Clauses, un mecanismo provisional sobre el que el tribunal no se ha pronunciado y, por tanto, se asumió como vía válida para hacerlo sin infringir la legalidad, siempre y cuando se asegurase un nivel apropiado de protección de la información. En la práctica, esto supuso dejar el control en manos de las autoridades nacionales de protección de datos (en España la AEPD) quedando estas encargadas de facto de vigilar que no se violaran esas cláusulas estándar.
A cambio, a las compañías involucradas les queda la potestad de suspender el envío de información si estiman que el país receptor no proporciona suficientes garantías. Pero este es un hilo demasiado delgado para preservar el creciente volumen del tráfico transatlántico de datos.
Durante los casi dos años desde que Privacy Shield quedó invalidado, tanto Bruselas como Washington han buscado discretamente nuevas fórmulas. El principal problema seguía y sigue siendo el mismo, bien conocido: Estados Unidos no renunciará explícitamente a ejercer un derecho de vigilancia por razones de seguridad nacional: los servicios de inteligencia tienen carta blanca para acceder a datos personales de forma sencilla y sin admitir reclamaciones ni reparación legal a los perjudicados. Queda por ver, ahora, si la voluntad expresada por Biden se documenta para darle forma legal que impida abusos.
Naturalmente, el presidente no ha dicho hasta dónde está dispuesto a poner bridas a sus servicios de inteligencia; por consiguiente, lo anunciado no tiene una gran credibilidad. El futuro acuerdo – destacó Biden – autorizará un flujo de datos que facilitará relaciones económicas por valor de 7.100 millones de dólares. Aseguró también que su gobierno se compromete a que la captura de datos europeos se lleve a cabo sólo cuando sea “estrictamente necesaria para avanzar en objetivos legítimos de seguridad nacional”. Matizó que esta fórmula “no deberá impactar de forma desproporcionada en la protección de la privacidad individual ni en las libertades civiles”. Asimismo, prometió que los ciudadanos de la UE dispondrán de un mecanismo adecuado para exigir compensaciones ante una autoridad judicial cuyos miembros no pertenecerán a la rama ejecutiva del gobierno estadounidense.
Del dicho al hecho hay mucho trecho. La primera reacción de Max Schrems ante lo que con indisimulado desdén llama Privacy Shield 2.0, ha consistido en señalar que “se trata de un anuncio político, no de un texto que podamos analizar. Como mucho, es un acuerdo de principio para resolver un problema al que los juristas no han encontrado solución pese a que lo han intentado durante años”.
El mecanismo formal no merece buena opinión de Schrems: advierte que cualquier nuevo trato debería instrumentalizarse mediante una decisión ejecutiva de la Comisión, que a su vez tendrá que ser revisada por el Comité Europeo de Protección de Datos (EPDB, por sus siglas en inglés), proceso este que no podría ponerse en marcha antes de la aprobación de un texto legal sometido a consulta.
Distinta ha sido la reacción – positiva en principio – de las compañías interesadas. Habrá recelos hasta que un texto desvele el verdadero alcance del anuncio, pero siempre será mejor que la incertidumbre en la que han vivido hasta ahora. Como ejemplo, Meta Platforms, que necesita transferir datos continuamente para alimentar su negocio publicitario, llegó incluso a plantearse si detener la actividad de Facebook e Instagram en Europa si no se le aclaraba si podía enviarlos a sus centros de datos en Estados Unidos. Es probable que fuera sólo una bravuconada, pero lo cierto es que el servicio Analytics, de Google, ha pasado por el escrutinio de diferentes reguladores europeos a propósito de sus transferencias de datos fuera de la jurisdicción comunitaria.
Por otro lado, la concreción de lo anunciado plantea otros problemas. En un caso reciente en el que se cuestionaba la vigilancia del FBI, el Tribunal Supremo estadounidense ha amparado las actividades del organismo de inteligencia mediante la expresión ´secretos de Estado`. Biden se vería en la incómoda posición de poner restricciones a sus subordinados y, de rebote, ningunear lo que él mismo ha dicho en rueda de prensa. Es cierto que la administración actual ha hecho mucho por acercar posturas con la UE – desde luego más que la anterior – pero las encuestas no favorecen al partido Demócrata. Por lo que existe el riesgo de que tras las elecciones de mitad de mandato, en noviembre, un resultado adverso corrija la voluntad presidencial.
Hay más escollos. Por ejemplo, la incógnita de Reino Unido, que hasta el momento ha legislado en sintonía con la UE a la que ya no pertenece. Si se diera el caso de que los términos de un acuerdo no fueran de su gusto, tal vez cambiaría de actitud. Esto es algo que puede resultar indiferente para el continente, pero interesa mucho a Estados Unidos.