El marco de protección de datos UE-EEUU y la ‘saga Schrems’

La rápida evolución de las tecnologías digitales ha dado paso a una economía centrada en los datos, en la que la accesibilidad a los mismos impulsa la eficiencia del mercado y el crecimiento económico en diversas industrias. Sin embargo, este cambio, aunque ofrece numerosos beneficios, introduce importantes retos para la privacidad y la seguridad de los mismos, especialmente en el contexto de las transferencias transatlánticas de datos. Teniendo en cuenta los vastos lazos económicos entre la Unión Europea y Estados Unidos, el flujo transatlántico de datos ilustra vívidamente las complejidades que entraña la gobernanza de datos. Nos encontramos el desafío permanente de lograr un equilibrio entre las ventajas económicas derivadas de la utilización de los datos y las preocupaciones relativas a la seguridad nacional, la soberanía digital y los derechos individuales.

En los últimos años, la Comisión Europea aprobó dos marcos diferentes sobre el flujo transatlántico de datos –“Safe Harbour” en 2000 y “Privacy Shield” en 2016 -afirmando que EEUU ofrecía un nivel de protección de las transferencias de datos esencialmente equivalente al garantizado en la UE. Sin embargo, a pesar del optimismo inicial, ambos marcos sufrieron un importante revés cuando el Tribunal de Justicia de la Unión Europea (TJUE) las invalidó en lo que se conoce como la “saga Schrems”, llamada así por el activista austriaco que impugnó por primera vez ambos marcos ante el Tribunal Europeo. Los argumentos centrales se centraron en la ausencia de salvaguardias adecuadas para los datos personales en la legislación nacional estadounidense y en el alcance de la vigilancia estatal sobre dichos datos cuando se transferían, como reveló inicialmente Edward Snowden en 2013.

Esta evolución jurídica condujo a un periodo de gran incertidumbre y agudizó aún más el debate en curso sobre la regulación de la transferencia transatlántica de datos. Para hacer frente a las consecuencias de esta confusión jurídica, tanto la UE como EEUU se comprometieron a establecer “un marco renovado y sólido para los flujos de datos transatlánticos”, buscando una solución a largo plazo para abordar las complejidades de la privacidad y la seguridad de los datos, lo que finalmente desembocó en el Marco de Privacidad de Datos UE-EEUU (“DPF”, por sus siglas en inglés) adoptado recientemente.

Por qué importan los flujos de datos transatlánticos

Los flujos de datos tienen una importancia inmensa para la relación económica transatlántica y afectan a empresas de todos los tamaños e industrias. Estos intercambios de datos implican la participación de más del 90% de las empresas de la UE que realizan transacciones con EEUU, de las que un notable 70% son pequeñas y medianas empresas. De hecho, el volumen del flujo transatlántico de datos supera al de cualquier otra relación global, contribuyendo a una sólida asociación económica entre EEUU y la UE de 7,1 billones de dólares.

«En EEUU, la supervisión de la forma en que las empresas manejan y protegen los datos personales está marcada por la ausencia de una legislación federal exhaustiva»

Sin embargo, la regulación del intercambio de datos entre la UE y EEUU ha sido un asunto polémico, debido principalmente a sus diferentes interpretaciones de los derechos fundamentales y a las distintas normas de protección de datos. En EEUU, la supervisión de la forma en que las empresas manejan y protegen los datos personales está marcada predominantemente por la ausencia de una legislación federal exhaustiva. Así, las normas de privacidad y protección de datos varían según los sectores y son aplicadas por diferentes organismos, lo que da lugar a un panorama de privacidad diverso y fragmentado. Por el contrario, la UE opera bajo un marco integral de protección de datos regido principalmente por el Reglamento General de Protección de Datos (RGPD), que pone un fuerte énfasis en los derechos individuales e impone obligaciones estrictas a los titulares y procesadores de datos. A tal efecto, el RGPD prohíbe inequívocamente la transferencia de datos personales a terceros países que carezcan de suficientes medidas de protección de datos, a menos que la Comisión Europea emita decisiones de adecuación que certifiquen si un país se ajusta a las normas exigidas.

En consecuencia, las discrepancias en las normas sobre datos han generado incertidumbre entre los agentes económicos que participan en las relaciones económicas transatlánticas, lo que ha impulsado a las empresas a buscar formas de ajustarse a los requisitos europeos y evitar posibles infracciones del RGPD. Estas infracciones pueden dar lugar a sanciones de hasta el 4% de los ingresos anuales de la empresa, como ejemplifican varios casos en los que se han visto implicados gigantes tecnológicos: Meta, por ejemplo, recibió el pasado mes de mayo una multa récord por el RGPD de 1.300 millones de dólares, la mayor de la historia desde la adopción del RGPD.

Por último, situado en la encrucijada de la protección de datos, el comercio internacional y la seguridad nacional, el flujo transatlántico de datos está íntimamente ligado a la estrategia de la UE para afirmar su soberanía digital y asegurar la autonomía estratégica. Esta estrategia hace especial hincapié en la localización y conservación de los datos de los ciudadanos europeos dentro de las fronteras de la UE. Este enfoque está impulsado por el compromiso de garantizar que los datos de los ciudadanos europeos permanezcan bajo las leyes y normativas establecidas de la UE, que dan prioridad a la protección de la privacidad. En consecuencia, aunque el nuevo marco agiliza la transferencia de datos personales entre ambas regiones, puede suscitar preocupación por alejarse de los objetivos más amplios de la UE.

Restablecer la confianza en el entorno digital

En respuesta a las incertidumbres jurídicas derivadas de las decisiones del Tribunal de Justicia, la amplia colaboración entre Washington y Bruselas dio lugar a un acuerdo de principio en 2022. Este acuerdo, refrendado por el presidente estadounidense Joe Biden y la presidenta de la Comisión Europea Ursula von der Leyen, reflejaba el compromiso compartido de facilitar los flujos de datos entre ambas jurisdicciones de forma que se protejan los derechos individuales y los datos personales.

La orden ejecutiva 14086 sobre el refuerzo de las salvaguardias para las actividades de vigilancia fue promulgada por la administración de Biden el 7 de octubre de 2022. Junto con esta orden ejecutiva, el fiscal general de EEUU, Merrick Garland, emitió un Reglamento para establecer un Tribunal de Revisión de la Protección de Datos. Mediante estas acciones, EEUU se comprometía a introducir medidas de protección adicionales destinadas a abordar las preocupaciones planteadas por el tribunal en relación a la recopilación masiva de datos personales y la falta de criterios objetivos para limitar el acceso y la utilización por parte de las autoridades públicas.

En los meses siguientes, antes de finalizar su decisión de adecuación sobre el DPF, la Comisión Europea solicitó el dictamen del Consejo Europeo de Protección de Datos (CEPD) sobre el proyecto de decisión. El CEPD reconoció las mejoras introducidas por la Orden Ejecutiva 14086, sobre todo en lo que respecta a la limitación del acceso a los datos de la UE por parte de los servicios de inteligencia estadounidenses a lo necesario y proporcionado para proteger la seguridad nacional. No obstante, expresó varias preocupaciones, entre ellas las relacionadas con la «recogida masiva temporal» y el posterior almacenamiento y puesta en común de los datos recogidos en bloque dentro del marco jurídico estadounidense. Además, el 11 de mayo, el Parlamento Europeo transmitió sus reservas sobre el contenido del DPF. Aunque reconoció que la capacidad de transferir datos personales a través de las fronteras tiene “el potencial de ser un motor clave de la innovación, la productividad y la competitividad económica”, el Parlamento subrayó la necesidad crítica de que se establezcan firmemente salvaguardias sólidas.

Estas salvaguardias son esenciales para proteger el derecho a la intimidad, evitar la vigilancia masiva ilegal por parte de Estados Unidos y restablecer la confianza tanto de los ciudadanos como de las empresas de la UE en los servicios digitales, preservando en última instancia la vitalidad de la economía digital. Teniendo en cuenta el razonamiento del TJUE en Schrems II, el Parlamento Europeo sostuvo que el DPF no cumplía totalmente las normas legales de la UE debido a la falta de un «criterio objetivo» para justificar válidamente la intrusión gubernamental en la privacidad. En consecuencia, esto suscitó preocupaciones sobre la posibilidad de que el TJUE invalidara el DPF, como había hecho con marcos anteriores.

A pesar de estas preocupaciones, el 10 de julio, la Comisión Europea adoptó la decisión de adecuación sobre el DPF, confirmando que proporcionaba un nivel adecuado de protección de los datos personales. En consecuencia, los datos personales ya pueden circular libremente desde la UE hacia las empresas estadounidenses que hayan certificado su adhesión a los principios del DPF. Ursula von der Leyen declaró que el nuevo marco “garantizará flujos de datos seguros para los europeos y aportará seguridad jurídica a las empresas de ambos lados del Atlántico” al tiempo que reforzará los lazos económicos y reafirmará los valores compartidos. El presidente Joe Biden también acogió con satisfacción la decisión de adecuación, subrayando el compromiso conjunto de Bruselas y Washington.

¿A la tercera va la vencida?

El DPF permite ahora la transferencia de datos personales mediante un sistema de certificación. Las empresas estadounidenses se comprometen a respetar una serie de principios de privacidad, lo que elimina la necesidad de mecanismos de transferencia adicionales como las cláusulas contractuales tipo o las normas corporativas vinculantes, así como las evaluaciones de impacto de las transferencias. Las empresas deben completar su certificación antes de octubre de 2023 para ser incluidas en la lista DPF, supervisada por el Departamento de Comercio estadounidense. Además, el DPF introduce varias salvaguardas, como la restricción del acceso de la vigilancia estadounidense a los datos que sean “necesarios y proporcionados” para la seguridad nacional, la creación de un Tribunal de Revisión de la Protección de Datos para abordar las preocupaciones sobre el acceso a los datos personales por parte de las agencias de inteligencia estadounidenses y la obligación de las empresas estadounidenses de eliminar los datos personales cuando ya no sean necesarios para el propósito original de su recopilación.

«Las preocupaciones persistentes giran en torno a cómo interpretará EEUU el concepto de acceso ‘proporcionado’ a los datos por parte de las autoridades estadounidenses»

Sin embargo, a pesar de los importantes avances, el camino hacia el establecimiento de un marco estable y fiable sigue plagado de dificultades. Las preocupaciones persistentes giran en torno a cómo interpretará EEUU el concepto de acceso “proporcionado” a los datos por parte de las autoridades estadounidenses y su adhesión a los criterios del TJUE. Además, preocupa la composición del Tribunal de Revisión de la Protección de Datos: aunque está formado por miembros ajenos al gobierno estadounidense, existen dudas sobre su proceso de nombramiento, lo que puede dar lugar a problemas de equidad y transparencia en la toma de decisiones. Además, el Parlamento Europeo ha destacado una debilidad adicional del marco, que radica en su incapacidad para abordar los datos a los que acceden las autoridades públicas a través de vías alternativas, lo que incluye métodos como la Ley de la Nube o la Ley Patriota estadounidenses, la adquisición de datos a través de transacciones comerciales o los acuerdos voluntarios de intercambio de datos.

El activista por la privacidad Max Schrems sostiene que el nuevo marco es “en gran medida una copia” de los anteriores. El Departamento de Comercio estadounidense también considera que “no crea nuevas obligaciones sustantivas para las organizaciones participantes en lo que respecta a la protección de los datos personales de la UE” y que “los principios de privacidad y el proceso para autocertificarse inicialmente y volver a certificarse anualmente siguen siendo sustancialmente los mismos”. Además, Schrems subraya que se necesitan cambios sustanciales en la legislación estadounidense sobre vigilancia para que sea realmente eficaz y ha señalado su intención de llevar “el nuevo acuerdo de nuevo ante el TJUE”.

Por lo tanto, se ha anunciado un recurso legal que posiblemente llegue al TJUE a finales de 2023 o principios de 2024 y que podría dar lugar a una suspensión temporal del DPF. Aunque el Comisario de Justicia de la UE, Didier Reynders, sigue confiando en la resistencia del marco frente a los desafíos legales, muchas empresas están optando por seguir con las cláusulas contractuales tipo aprobadas por la UE para mantener el cumplimiento del RGPD, a pesar de los desafíos y gastos asociados, ante los continuos riesgos e incertidumbres.

Lograr el delicado equilibrio entre las preocupaciones por la privacidad, los imperativos del libre comercio y los intereses de la seguridad nacional en el ámbito de los datos sigue siendo un reto formidable, aunque las tendencias recientes en torno a los flujos de datos transatlánticos son alentadoras. La saga de Schrems ha puesto vívidamente de relieve el imperativo de reducir las disparidades jurídicas entre la UE y EEUU, subrayando la importancia de crear un entorno digital internacional basado en la confianza, la cooperación y la alineación normativa.

Artículo traducido del inglés de la web del Istituto Affari Internazionali (IAI).