La justicia comunitaria parece empeñada en destejer lo que ha tejido el ejecutivo de Bruselas. Días atrás, el Tribunal de Justicia de la UE (TJUE) invalidaba el mecanismo conocido como Privacy Shield, a cuyo amparo las compañías europeas y estadounidenses pueden transferir volúmenes de datos a través del Atlántico para su procesamiento y almacenamiento, sin que la ubicación donde reside sea motivo de contencioso. La sentencia – contra la que cabe un último recurso – deja una sola puerta para la exportación e importación de datos: las Cláusulas Contractuales Estándar (SCC). Pero, ¿son una solución adecuada para el outsourcing de datos o una renovada fuente de conflicto entre los dos bloques?
Una vez más, hay que remitirse al activista austríaco Max Schrems, quien en 2014 inició una demanda porque sus datos personales, alojados en los servidores de Facebook en Irlanda, habían sido transferidos sin su autorización a Estados Unidos, por tanto fuera de la jurisdicción europea. Lo que en su día fue visto como un gesto quijotesco del por entonces estudiante de Derecho (hoy abogado en ejercicio) logró acabar con el así llamado Safe Harbour como obligando a negociar un instrumento sucedáneo, supuestamente un escudo protector bautizado Privacy Shield.
Cometería un grave error quien considere que se trata de otro asunto propio de leguleyos. Dicho llanamente, puede ser un enredo económico mayúsculo. Los servicios de transferencia de datos son utilizados por más de 5.300 compañías estadounidenses [y 200 europeas, lo que en en sí mismo significativo] que han sido certificadas por el mecanismo de Privacy Shield. Según un estudio del University College de Londres, el 65% de esas empresas son pymes o de reciente creación.
Advierte el documento que aquellas que muchas de ellas han externalizado el procesamiento de sus nóminas y el pago a proveedores en servidores radicados en terceros países, una práctica que responde al deseo de reducir costes o de flexibilizar sus operaciones. Sin las debidas garantías, sería problemático pagar una nómina a empleados que trabajan en países distintos de la sede corporativa. Cualquier vulneración de los datos asociados daría lugar a una sanción cuantiosa.
Así las cosas, a la Comisión Europea le ha caído en las manos la tarea de buscar otro mecanismo que, respetando las objeciones del tribunal, recupere el espíritu del precedente, que al menos había demostrado funcionar. El horno no está para bollos: el secretario de Comercio de la administración Trump, Wilbur Ross, se declara “decepcionado” por una decisión que, vaticina, sólo traerá perjuicios a un comercio peculiar, los servicios de transferencia de datos, valorados en 7.100 millones de dólares. Mientras Europa no encuentre una salida, el departamento de Comercio seguirá respetando el acuerdo firmado, porque a su entender la sentencia sólo obliga a una de las partes, sin suprimir las bondades de la certificación.
En diciembre pasado, ante una revisión solicitada por el regulador irlandés – recuérdese: puesto en cuestión por la primera demanda de Schrems – el abogado general de la UE emitió una opinión no vinculante por la que consideraba válido y útil el mecanismo de Privacy Shield. Evidentemente, el tribunal ha desoído sus argumentos.
Se ha reabierto así un vacío legal. Es opinión general que el RGPD [Reglamento General de Protección de Datos] está funcionando razonablemente bien y provoca respeto suficiente: una transferencia de datos que no respete la regla establecida podría llegar a ser sancionada con multas de hasta 20 millones de euros o, según los casos, de hasta el 4% de lo facturado por la empresa implicada. Esta condición no convence a los jueces de su encaje en el derecho comunitario.
Sin volver a los antecedentes, puede ser difícil retomar el hilo. En 2000, la Comisión Europea puso en vigor el Safe Harbour para la transferencia de datos personales a Estados Unidos, debido en parte a las prácticas de vigilancia aprobadas tras los atentados el 11/9. Fue invalidado por la justicia europea tras la denuncia de que hizo famoso a Schrems. En paralelo, una ley de Estados Unidos (premonitoriamente bautizada ClOUD Act) que tenía como finalidad “clarificar” el tránsito transfronterizo de datos generados en el país, negando en la práctica la aplicación de cualquier normativa extranjera, lo que daría por tierra con el RGPD. Se hacía necesario pactar otros mecanismos y así se hizo. Pero la justicia europea los ha derrumbado en dos ocasiones.
Este caso se conoce como Schrems II, porque el austriaco logró un triunfo histórico en 2015, con el recuerdo aún fresco de las denuncias de Edward Snowden. Su demanda contra Facebook (e indirectamente contra la Irish Data Protection Commission) ganó la primera batalla y un año y medio después entraría en vigencia el acuerdo del Privacy Shield. La segunda fase se originó en octubre de 2017, cuando el regulador irlandés se cobró venganza al remitir al TJUE una consulta relativa a las multinacionales que están registradas en su jurisdicción.
La sentencia sobre Shrems II no llega en el mejor momento, por el rebrote de tensiones comerciales entre Washington y Bruselas y ante la resistencia que encuentra la creación de la así llamada “tasa Google”. El programa Privacy Shield ahora invalidado, como su precedente Safe Harbour, pretendía ser un instrumento para la protección recíproca de datos. Partía del reconocimiento del reconocimiento de que el régimen vigente en Estados Unidos es mucho más laxo que el europeo. Por esto, la fórmula pactada consistía en un mecanismo de certificación de las empresas que las habilita para transferir datos de naturaleza personal desde el Espacio Económico Europeo (constituido por los 27 más Noruega y Suiza), otorgándoles un nivel de protección supuestamente equivalente al de la legislación europea.
Los jueces del tribunal no se han privado de recordar que las leyes de Estados Unidos (FISA) autorizan la vigilancia y monitorización de actividades con métodos que no serían legales en el marco de las leyes europeas. En consecuencia, concluye que, a menos potencialmente, todo procesamiento de datos europeos dentro de Estados Unidos no tendría por qué respetar las limitaciones del RGPD.
No se trata sólo de Google, Facebook o Amazon, cuyos servidores en Estados Unidos forman parte de sistemas conectados para prestar servicio a usuarios europeos cuyos datos recogen, almacenan, procesan y en cierta medida ponen a disposición de terceros. Muchos miles de empresas menos conocidas participan del mismo tráfico de datos. Los reguladores europeos han actuado en el entendimiento de que el mecanismo usado en Europa debería ser respetado por empresas extracomunitarias, en este caso estadounidenses. Un 60% de las empresas concernidas usan ambos mecanismos: la certificación prevista en el Privacy Shield y las Cláusulas Estándar. Estas seguirán vigentes, lo que evita que se produzca una ruptura del marco jurídico.
La inseguridad jurídica es manifiesta. Es cierto que, sobre el papel, siguen sin tocarse las SCC, pero estas podrían perder valor si se comprobara que las empresas involucradas pueden estar bajo vigilancia, algo que todo el mundo sabe que es habitual entre las tecnológicas. Este punto debería ser reforzado (o incluido por primera vez) en los contratos entre proveedores y clientes. ¿Qué sucedería si se invalidara una SCC? Las empresas que recurran al outsourcing de sus datos tendrán que cuidarse de cuidarse de conocer los pormenores del prestatario del servicio: qué países entran en el proceso, lo que no siempre se reduce a la ubicación del datacenter. Un aspecto que ha despertado alarmas es la proximidad del Brexit: aunque hay diferencias entre la legislación británica y la estadounidense, lo cierto es que Reino Unido queda fuera de la norma europea.
Los juristas especializados advierten que este cuidado debería extremarse si las empresas son conscientes de que el flujo de datos que viaja por la red puede ser de interés “especial” para las autoridades del país receptor. No siempre es así, pero cuando ocurre, el tráfico de datos tiene muchas posibilidades de estar siendo monitorizado [otra vez el recuerdo de Snowden]. Algunos bufetes especializados se han puesto a la tarea de elaborar recomendaciones a sus clientes sobre cómo cubrirse las espaldas.
La comisaria europea Vera Jourorvá ha quitado hierro al asunto: todo lo que deben hacer las empresas comunitarias es cerciorarse de que han firmado SCC que cumplen con el RGPD. Es la respuesta formal que podía esperarse, pero en el fondo subyace una nueva forma de guerra comercial que podría enfrentar a dos modelos incompatibles, el RGPD europea y el de una regulación inexistente al otro lado del Atlántico.
En el horizonte político, asoma la cuestión del valor real, no declarativo, de la Estrategia Digital Europea propuesta por la actual Comisión. Una parte esencial de la soberanía tecnológica que se busca es la concerniente a los datos y el flujo de información. A los que sancionan las normas europeas les escuece que más del 90% de los datos comunitarios están alojados fuera del territorio de la Unión. Las propuestas de un “mercado común de los datos” y de “una nube que federe las distintas clouds europeas”, suena bien, pero la sentencia del TJUE es una inesperada disonancia. Sólo queda por añadir que Max Schrems se declara contento al ver hasta dónde ha llegado su rebelión de hace seis años.
[informe de David Bollero]