¿Es posible un nuevo Privacy Shield? Un análisis del contexto y la nueva propuesta de Estados Unidos y la Comisión Europea

  1. Contextualización del tema

El alto nivel de protección de los datos personales de los ciudadanos europeos tras la entrada en vigor del Reglamento General de Protección de Datos (en adelante, RGPD), y la intención del mantenimiento de esta protección en todo momento, ha puesto el foco de la preocupación del legislador europeo en las transferencias internacionales de datos personales.

Se consideran transferencias internacionales de datos, en el marco del RGPD, toda comunicación de los datos personales desde territorio europeo a un territorio externo al Espacio Económico Europeo, o hacia una organización internacional.

Estados Unidos (en adelante, EE. UU.), siendo una de las mayores potencias mundiales en la que se asientan una enorme cantidad de empresas utilizadas por entidades europeas, ha sido uno de los destinatarios por excelencia de los datos de los europeos.

Atendiendo al RGPD, para poder llevar a cabo transferencias internacionales manteniendo el nivel de protección adecuado de los datos europeos, es necesario adoptar garantías adicionales, entre las que se encuentra la firma de un acuerdo jurídicamente vinculante entre las autoridades públicas de los territorios implicados. Esto es, precisamente, lo que se venía haciendo con Estados Unidos, gracias a la firma del acuerdo comúnmente conocido como Privacy Shield, hasta el año 2020 en que fue anulado.

  1. ¿Por qué se anuló el Privacy Shield en 2020?

La anulación del Privacy Shield, sucesor del Safe Harbor, el acuerdo entre UE-EE. UU. para las transferencias internacionales que había sido ya anteriormente anulado, tuvo su origen en una reclamación por parte de un ciudadano austríaco, Maximiliam Schrems, que ponía sobre la mesa los mismos argumentos por los que el primer acuerdo había sido invalidado: el hecho de que, cuando los datos europeos llegaban a EE.UU, el gobierno de este país así como sus agencias de inteligencia podían acceder a ellos, vulnerando la privacidad de los interesados de los datos.

Tras esta segunda reclamación contra el acuerdo estadounidense, el Privacy Shield resulta anulado por el Tribunal de Justicia de la Unión Europea, teniendo que hacerse uso de otras garantías, como las Cláusulas Contractuales Tipo aprobadas por la Comisión Europea.

Hay que tener en cuenta en este punto que, a pesar de que la medida más utilizada para llevar a cabo las transferencias internacionales sea la firma de las Cláusulas Contractuales Tipo, existe un debate sobre si esta es una herramienta realmente válida teniendo en cuenta que no vinculan de forma alguna a las autoridades estadounidenses, no impidiéndoles el acceso a los datos.

En este sentido, por lo tanto, existe la duda sobre si las mencionadas cláusulas son “garantías adecuadas”, no supliendo las carencias de la normativa del país de importador en cuanto a la protección de datos comparada con el RGPD que es, en definitiva, el motivo de la existencia de estas garantías.

  1. ¿Cuál es, por lo tanto, el problema en el que reside la imposibilidad de alcanzar un acuerdo con EE.UU.?

El problema común a los dos intentos fallidos de alcanzar un acuerdo estable con Estados Unidos para la transferencia de datos entre la UE y este país se encuentra en la norma estadounidense FISA 702, por la que se permite al gobierno de EE.UU. el acceso a los datos personales de “personas extranjeras”, esto es, no estadounidenses, recabados por los “proveedores de servicios de comunicación electrónica” (por ejemplo, las grandes empresas tecnológicas Apple, Microsoft, Facebook o Google, entre otras), que tratan una enorme cantidad de datos personales de ciudadanos europeos.

Además, según la FISA 702, esta posibilidad existe sin ningún tipo de justificación para la vigilancia por parte del gobierno de EE.UU., que puede acceder a los datos para programas de vigilancia generalizada o para finalidades en absoluto concretas.

Esta posibilidad se opone diametralmente al espíritu de la protección de datos establecido por el RGPD y, por lo tanto, no permite considerar la existencia de un nivel adecuado de protección de los datos personales en EE.UU., imposibilitando la existencia de un acuerdo coherente en este sentido.

  1. La propuesta de un nuevo acuerdo entre EE. UU. y la Comisión Europea para la transferencia de datos personales

Así las cosas, a finales del pasado mes de marzo, tuvo lugar el anuncio por parte de Joe Biden, presidente de EE. UU., y Ursula Von der Leyen, presidenta de la Comisión Europea, del compromiso asumido por ambas potencias para alcanzar un nuevo acuerdo para la transferencia de datos personales en entre ambos territorios.

En este nuevo acuerdo, tal y como se ha establecido en comunicados oficiales, EE. UU. se compromete a implantar nuevas medidas basadas en, por un lado, el respeto a los principios de necesidad y proporcionalidad en la posibilidad del gobierno estadounidense en el acceso a los datos y, por otro lado, el establecimiento de un mecanismo por el que los ciudadanos europeos puedan ver reparados sus derechos de protección de datos en el caso de la existencia de un tratamiento ilegal en este sentido, a través de la creación de una autoridad independiente para esta finalidad.

  1. La viabilidad del nuevo acuerdo

Hay que tener en cuenta, como base, que lo que ha tenido lugar es una declaración de intenciones por parte de EE.UU. y la Comisión Europea que, desde un punto de vista legal, es aun vacía. No se ha redactado, a día de hoy, un texto ni se han concretado de modo alguno las formas en que se pretende materializar las medidas anunciadas.

Teniendo en cuenta lo anterior, cabe incidir en la imposibilidad de predecir si realmente existe una viabilidad real de este nuevo acuerdo antes de contar con información más detallada y práctica sobre el mismo. No obstante, algunos aspectos del anuncio pueden dar pistas del sentido que va a seguir el nuevo texto.

En general, el anuncio se refiere a medidas descritas en términos muy amplios y genéricos, como puede ser la referencia al respecto a la necesidad y proporcionalidad en el tratamiento de los datos por parte de las autoridades de inteligencia estadounidenses, o la referencia a la posibilidad de defensa ante tratamientos ilícitos.

Es decir, no se hace alusión a ningún tipo de modificación de la normativa que permite este acceso a los datos y, ante un mismo escenario, es difícil llegar a la conclusión de que la situación vaya a cambiar sustancialmente de cara a la protección de los datos europeos. En otras palabras, si el acceso a estos datos sigue siendo lícito en los mismos términos, de nada serviría la posibilidad de defenderse frente a una práctica que, desde el punto de vista de la normativa estadounidense, es legítima.

En este mismo sentido se han pronunciado profesionales y organizaciones europeas dedicadas a la privacidad, destacando la organización NOYB, el Centro Europeo de Derechos Digitales, organización sin ánimo de lucro fundada por Max Schrems, que publicó en su página web su interpretación de esta nueva propuesta de acuerdo.

Esta organización, además, ha verbalizado su intención de volver a llevar ante el Tribunal de Justicia de la Unión Europea el potencial acuerdo que surja en los próximos meses, en el caso de considerar que continúa infringiendo lo establecido en el RGPD, en lo relativo a ser capaz de asegurar un y el nivel de protección equivalente de los datos personales de los europeos.

Sara Hervías Costa, Privacy Counsel, Legal Army

Leer más

Posts relacionados que podrían interesarte

Todas nuestras noticias