Del Bienvenido Privacy Shield a Sayonara baby


J.M. pulpillo

Por lo acontecido en el entorno de las relaciones comerciales UE-EE.UU. en general y de la Protección de Datos en particular, en los últimos dos años, se me vuelve a venir a la memoria la película "Bienvenido Mr. Marshall", una de las obras maestras de Berlanga de los años 50. En ella, aparece el pueblo de Villar del Río, cuyos habitantes están contentos porque los americanos van a visitarles con ocasión de la presentación en España del Plan Marshall. Ese plan, iniciado en Estados Unidos en 1947, consistió en ayudar a países europeos a recuperarse tras la II Guerra Mundial y frenar la expansión soviética.





Mucho han cambiado las cosas desde entonces, y ahora la UE y EE.UU. se miran de igual a igual pero con intereses yuxtapuestos y a la vez antagónicos. Por un lado, ambos tienen las tensiones propias acerca del Tratado Transatlántico de Comercio e Inversiones, TTIP, para frenar la expansión de otras economías, o mejor dicho para impulsar ambas economías. Por otro, hay que mitigar obstáculos en las relaciones comerciales, de servicios y de inversiones entre EE.UU. y la UE, base del éxito del Mercado Único Digital Europeo y justificación del proyecto GAIA-X para la soberanía digital europea, entre ellos la visión respecto de la Privacidad, de la confidencialidad, de la seguridad y el respecto a los derechos de protección de datos de los usuarios y, de este modo, garantizar la seguridad jurídica de las empresas. La UE aprobó el Reglamento Europeo de Protección de Datos, que establece unos requerimientos muy exigentes al respecto, y está pendiente de aprobar el Reglamento e-Privacy.

En este contexto, el 6 de octubre de 2015, el Tribunal de Justicia de la UE publicó una Sentencia, Decisión Prejudicial en caso Schrems, en la que se concluía que la Decisión de la Comisión sobre la disposición de puerto seguro no era válida. La sentencia confirmaba el planteamiento de la Comisión desde el año 2013 para revisar el acuerdo de puerto seguro, para garantizar en la práctica de la transferencia internacional de datos desde UE a EEUU un nivel suficiente de protección de datos, como lo requiere la legislación de la UE. El efecto principal de la anulación del "Safe Harbour" fue que cada Autoridad de Control nacional podría revisar los requerimientos en materia de protección de datos respecto a la transferencia desde su territorio a empresas norteamericanas. O lo que es lo mismo, los países podían optar por suspender la transferencia de datos a los EE.UU., obligando a las empresas estadounidenses a tratar los datos dentro del país miembro, algo que afectó directamente a empresas cuyo negocio son los datos y/o los servicios TIC, como Facebook, Google, Amazon, Microsoft y otros proveedores de servicios de los nuevos entornos tecnológicos (Cloud Computing, Big Data, IoT, etc).

Todo ello, generó un alto grado de incertidumbre entre las empresas, los ciudadanos y consumidores europeos que forzó a la Comisión Europea a pronunciarse para aclarar la situación resultante de esta sentencia. El 6 de noviembre de 2015, la Comisión emitió  una guía para las empresas sobre las posibilidades de transferencias de datos transatlánticas después de la mencionada sentencia hasta que se estableciera un nuevo marco. Además se fijaba un plazo, el 31 de enero de 2016, fecha que las autoridades de protección de datos de la UE se habían fijado para empezar a actuar.

En este contexto, se aprobó el Acuerdo "político" que establecía el nuevo marco del flujo trasatlántico de datos alcanzado entre UE y EEUU, el denominado "Privacy Shield", como la solución al colapso del flujo de información que se producía entre ambas orillas del Atlántico, el recurso para obtener seguridad jurídica en este ámbito para las empresas-ciudadanos-consumidores y la medida para garantizar los derechos de protección de datos de los ciudadanos europeos en los tratamientos realizados por empresas de EEUU.

Ese acuerdo incluía los siguientes elementos:

  • Obligaciones más específicas para las empresas que manejan datos personales de los europeos y una verificación formal de los compromisos de las empresas respecto a esas obligaciones: las empresas estadounidenses que deseen importar datos personales de Europa tendrían que comprometerse a obligaciones específicas sobre cómo se procesan los datos personales, garantizar los derechos individuales de los usuarios y comprometerse a cumplir con las decisiones de las autoridades de control europeas. El Departamento de Comercio verificaría que las empresas publican sus compromisos al respecto.
  • Salvaguardias claras y las obligaciones de transparencia en el acceso del Gobierno de Estados Unidos: Por primera vez, los EE.UU. parece que se planteaban dar por escrito a la UE las condiciones para el acceso por parte de las autoridades públicas para cuestiones de seguridad nacional y orden público y que estarían sujetas a limitaciones y salvaguardas claras. Estas excepciones deberían ser utilizadas sólo en la medida necesaria y proporcionada. Además, los EE.UU. descartaron la vigilancia masiva indiscriminada de los datos personales transferidos a los EE.UU. en el marco del nuevo acuerdo. Para verificar que estos compromisos se cumplían, el pacto sería revisado una vez al año por la Comisión y el Departamento de Comercio estadounidense, que invitaría a participar a expertos de inteligencia de EE.UU. y a las autoridades de protección de datos de la UE.
  • La protección efectiva de los derechos ciudadanos de la UE con varias posibilidades de recurso: Cualquier ciudadano que considerara que sus datos habían sido mal utilizados bajo el nuevo acuerdo tendrían varias posibilidades de recurso, ante los órganos de control de protección de datos territoriales, que podrían remitir las quejas al Departamento de Comercio y a la Comisión Federal de Comercio o bien directamente ante las empresas. En ambos supuestos, se establecían plazos para responder a las quejas. Además, la resolución alternativa de conflictos sería gratuita. Para quejas sobre posible el acceso de las autoridades nacionales de inteligencia, se crearía un nuevo Órgano de control independiente.

A lo largo de este tiempo hemos ido viendo los resultados, previsibles desde el inicio de este Acuerdo, respecto al nivel de protección de los derechos fundamentales de los europeos cuando sus datos de carácter personal se transfieren a las empresas estadounidenses, respecto al nivel de seguridad jurídica que necesitan las empresas europeas, sobre todo las PYMES, para desarrollar sus actividades a través del Atlántico con el objetivo de construir un mercado único digital en la UE, en definitiva un ambiente de confianza en línea y dinámico.

¿Se nos quedará la cara de los personajes de "Bienvenido Mr. Marshall"?, Me preguntaba yo en el año 2015. Pues desde el día 16 de julio de 2020, si. Sigue sin garantizarse la seguridad jurídica en este ámbito para las empresas-ciudadanos-consumidores y la medida para garantizar los derechos de protección de datos de los ciudadanos europeos.

Aunque si sigue siendo necesario, y ahora urgente, al menos, escuchar una explicación a modo del pregón de la obra de Berlanga: "Como Órgano Ejecutivo de los europeos que soy os debo una explicación, y esa explicación que os debo os la voy a pagar". ¿Con GAIA-X? ¿Y hasta que esté en marcha GAIA-X qué seguridad jurídica hay?

Pues mientras tanto, seguirán vigentes y serán válidas las garantías ofrecidas a través de la firma de Cláusulas Contractuales Tipo, si es que se han formalizado adecuadamente y éstas atienden los requerimientos del RGPD de la UE. Por lo que las empresas deberán evaluar las condiciones contractuales de la firma de estas cláusulas en cuestión, como el acceso de las autoridades públicas a esos datos, en función de la situación legal general en el país en el que está radicada la empresa.

Sin embargo, con lo que respecta a los EE.UU. el tribunal invalida lo relativo al llamado "escudo de protección" de datos entre la UE y Estados Unidos, al considerar que "la primacía de las exigencias relativas a la seguridad nacional, el interés público y el cumplimiento de la ley estadounidense" posibilitan injerencias en los derechos fundamentales de las personas cuyos datos personales se transfieren a ese país.

Pues, como en el "Día de la marmota" volvemos a estar en una situación similar a la de octubre de 2015 pero diciendo "Sayonara Privacy Shield".

Juan M Pulpillo


pdfprintpmail