Transferencia de datos de la UE a EEUU: ¿A la tercera va la vencida?
La Comisión tiene dos opciones: aprobar la Decisión y esperar una ya anunciada demanda de Max Schrems o presionar a EEUU para que realice más cambios que requerirán de mucho más tiempo
Ursula Con Der Leyen con Joe Biden en una visita a Washington. Foto: EFE EPA BONNIS CASH POOL
El tráfico de datos desde el Espacio Económico Europeo hacia Estados Unidos está siendo un verdadero quebradero de cabeza para las compañías de ambos lados del charco, que esperan la aprobación de alguna herramienta que les permita continuar con su actividad transoceánica, a poder ser con la bendición de las autoridades de control de protección de datos, la Comisión Europea y, en última instancia, el Tribunal de Justicia de la Unión Europea (TJUE), algo que no parece que vaya a ocurrir en el corto plazo.
La cuestión requiere hacer una pequeña retrospectiva para entender en qué punto nos encontramos. La normativa europea, en su afán por proteger a los ciudadanos residentes en la UE y, en particular, por velar por su derecho fundamental a la protección de datos, exige como premisa básica que, para realizar una transferencia de datos a un tercer país, este debe garantizar un nivel de protección adecuado. No obstante, se regulan una serie de supuestos en los que, sin existir dicho nivel de adecuación, aún podría realizarse la transferencia internacional de datos.
La Comisión Europea tiene atribuida la potestad de evaluar el nivel de protección que se otorga a los datos personales en el tercer país, atendiendo, entre otros factores, al Estado de Derecho, al respeto de los derechos humanos y las libertades fundamentales, a la legislación tanto general como sectorial, el acceso de las autoridades públicas a los datos personales, a la jurisprudencia o al reconocimiento de los derechos efectivos de los interesados sobre el tratamiento de sus datos. Se valora también la existencia de una autoridad de control independiente que garantice y haga cumplir las normas en materia de protección de datos y, además, se tienen en cuenta los compromisos internacionales asumidos por el tercer país u otras obligaciones derivadas de acuerdos o instrumentos jurídicamente vinculantes.
Una vez realizada dicha evaluación, será la Comisión quien decida, mediante un acto de ejecución, si dicho país garantiza un nivel de protección adecuado.
En el caso concreto de Estados Unidos, la Comisión Europea ha adoptado ya dos acuerdos que amparaban las transferencias internacionales de datos desde el Espacio Económico Europeo a determinadas empresas estadounidenses, siempre que estas certificaran ante el Departamento de Comercio de Estados Unidos que cumplían con los mínimos acordados por la UE y EEUU. Estos acuerdos (Safe Harbour y Privacy Shield) fueron declarados nulos por el TJUE a través de dos sentencias de 2015 y 2020, respectivamente, que ponían fin a sendos procedimientos iniciados por Max Schrems, a raíz de la revelación de Ed Snowden sobre la existencia de programas de vigilancia masiva gubernamental en Estados Unidos.
Desde la sentencia del TJUE que invalidó el Privacy Shield, las empresas que habían venido trabajando con proveedores tecnológicos estadounidenses adheridos al Privacy Shield no podían seguir haciéndolo amparados en la garantía otorgada por la decisión de adecuación de la Comisión, sino que debían acudir a un complicado mecanismo por el que debían recabar garantías adicionales para asegurar el correcto tratamiento de los datos. Estas garantías —por ejemplo, el cifrado de datos— son ofrecidas por cada una de las empresas importadoras de datos, y valoradas por las empresas exportadoras de datos, de manera que no existen criterios uniformes sobre la validez de las mismas y, por ende, una inseguridad jurídica notable.
¿Cuál es el problema? En esencia, el TJUE en su sentencia indica que el acceso indiscriminado de las autoridades de seguridad nacional de EEUU a datos de ciudadanos de la UE amparada por su normativa (FISA y Orden Ejecutiva 12333) es contrario a los principios europeos de protección de datos. Además de otras cuestiones como la inexistencia de una autoridad de control independiente que vele por la protección de datos de los ciudadanos europeos en Estados Unidos.
Pues bien, siendo conscientes de la importancia de no bloquear este tipo de transferencias transoceánicas, EEUU y la UE han impulsado un nuevo marco que las ampare. Como el requisito esencial sobre el que debe sustentarse dicho marco es el nivel de protección equivalente en materia de protección de datos, se requería un cambio normativo en EEUU que se materializó con la aprobación de la Orden Ejecutiva 14086 sobre el refuerzo de las salvaguardias para las actividades de vigilancia.
Basándose en las modificaciones introducidas por la Orden Ejecutiva, la Comisión elaboró un borrador de Decisión de Adecuación que ha sido sometido a la opinión del Comité Europeo de Protección de Datos y de la Comisión de Libertades Civiles, Justicia y Asuntos de Interior del Parlamento Europeo, que han emitido recientemente sus resoluciones. Aunque no son decisiones vinculantes para la Comisión, ambos organismos desaconsejan la aprobación de la Decisión de Adecuación en estos momentos por no garantizar el nivel de equivalencia exigido por la UE.
Dos organismos ligados a la UE desaconsejan la aprobación de la Decisión de Adecuación por no garantizar el nivel de calidad exigido
Entre otros motivos, porque aunque la Orden Ejecutiva introduce los principios de necesidad y proporcionalidad para determinar el acceso a los datos por parte de las autoridades estadounidenses, estos conceptos serán interpretados según la legislación y jurisprudencia de EEUU. Además, aunque la Orden Ejecutiva ha creado un mecanismo de recurso individual para los interesados de la UE, el organismo competente para entender de dichos recursos no cumple con los criterios de independencia e imparcialidad necesarios.
Ante esta encrucijada, la Comisión tiene dos opciones: o bien aprobar la Decisión y esperar una ya anunciada demanda de Max Schrems que acabe con una nueva sentencia del TJUE que invalide el nuevo marco, o bien presionar a EEUU para que realice más cambios que requerirán de mucho más tiempo y flexibilidad por su parte. O quizás podrían abrirse ambas vías en paralelo, de manera que, al menos durante un tiempo, las organizaciones cuenten con un paraguas bajo el que realizar transferencias de datos a EEUU. Eso sí, un paraguas con agujeros.
* Paloma Arribas del Hoyo socia de Baylos.
El tráfico de datos desde el Espacio Económico Europeo hacia Estados Unidos está siendo un verdadero quebradero de cabeza para las compañías de ambos lados del charco, que esperan la aprobación de alguna herramienta que les permita continuar con su actividad transoceánica, a poder ser con la bendición de las autoridades de control de protección de datos, la Comisión Europea y, en última instancia, el Tribunal de Justicia de la Unión Europea (TJUE), algo que no parece que vaya a ocurrir en el corto plazo.
:format(png)/https%3A%2F%2Fdelorean.ecestaticos.com%2Fimg%2Fjournalist%2Fjournalist-default.png)
:format(jpg)/f.elconfidencial.com%2Foriginal%2F852%2F994%2Faf8%2F852994af873afa1caf6cca16f85b1a98.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2F2ba%2F7a0%2Ff01%2F2ba7a0f01306a8d9bc43045ca0de4a7a.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2F3c4%2Fc77%2F4ef%2F3c4c774ef4d348a450d0db8b8d508d9c.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2Fb52%2F368%2F937%2Fb523689371276a895ae8ce8dc90b6485.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2Fe48%2Fdec%2Fcc6%2Fe48deccc6572afbec5bc304650c7840e.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2F363%2F6a4%2Fd72%2F3636a4d72fd0e385e764935bd967c1d3.jpg)