Saltar al contenido principal

Escudo de la privacidad II: ¿todavía es posible en un mundo GDPR?

Con las recientes decisiones sobre el RGPD, que ponen fin a la forma en que las empresas procesan los datos tal y como la conocemos, ahora hay un gran impulso para mejorar la alineación entre la UE y Estados Unidos en materia de privacidad de datos. Durante mucho tiempo, las empresas y otras instituciones se sintieron seguras gracias a Safe Harbor y Privacy Shield, pero a medida que los datos se convertían en una mercancía y la práctica de recopilarlos y venderlos se hacía más lucrativa e invisible, la gente empezó a darse cuenta. Ahora, estamos en el punto en el que necesitamos nuevos acuerdos de privacidad de datos.

Todo el mundo lo quiere, pero ¿cómo hemos llegado hasta aquí y estamos más cerca?

¿Qué era el Escudo de Privacidad?

En octubre de 2015, el Tribunal de Justicia de la Unión Europea invalidó los Principios Internacionales de Privacidad de Puerto Seguro.

Safe Harbor, desarrollado entre 1998 y 2000, pretendía evitar que las organizaciones privadas revelaran o perdieran los datos personales de los ciudadanos de la UE y de Estados Unidos. Después de muchas quejas, incluso sobre los datos de Facebook, la UE decidió que EE.UU. y Safe Harbor no cumplían con la Directiva de Protección de Datos de la UE.

Esta decisión de Safe Harbor también se conoce como Schrems I. En un esfuerzo por limitar las repercusiones negativas de la invalidación de Safe Harbor, la UE y EE.UU. crearon un nuevo marco de datos, Privacy Shield, en 2016.

Se suponía que este nuevo acuerdo remediaría algunos de los fallos de Safe Harbor, pero, según el Supervisor Europeo de Protección de Datos (SEPD), todavía había algunos problemas relacionados con la eliminación de datos, la recopilación de cantidades masivas de datos y el nuevo mecanismo del Defensor del Pueblo. Independientemente de estos puntos, la Comisión Europea adoptó el Escudo de Privacidad en julio de 2016.

Escudo de privacidad y Schrems II

Los posibles problemas detectados en 2016, un panorama tecnológico que cambia drásticamente y los cambios políticos en ambos continentes, llevaron a la caída del Escudo de Privacidad en 2020.

El activista austriaco de la privacidad, Max Schrems, argumentó que el acuerdo de datos no hacía lo suficiente para proteger la privacidad de los datos personales de los ciudadanos de la UE cuando se transferían a Estados Unidos.

El principal problema que echó abajo el marco fue la vigilancia masiva estadounidense.

"ElEscudo de la Privacidad no era la cuestión principal; la cuestión es que el Escudo de la Privacidad tenía que ceder ante las leyes de vigilancia de Estados Unidos", dijo Schrems.

Johnny Ryan, miembro del Consejo Irlandés para las Libertades Civiles, añadió que los problemas con el Escudo de la Privacidad y el Puerto Seguro nunca tuvieron que ver con el examen de los datos por razones de seguridad, sino más bien con la transparencia de los procesos y las protecciones legales para los ciudadanos de la UE: "El quid de la cuestión es que un juez pueda proporcionar a alguien que está fuera de Estados Unidos una salvaguarda legal, que pueda hacer valer sus derechos si éstos se infringen", dijo Ryan. Sin esas protecciones, y sin una forma real de abordar esas preocupaciones rápidamente, el Escudo de Privacidad fue invalidado en julio de 2020, en una decisión que ahora se conoce como Schrems II.

El futuro del Escudo de Privacidad

Sin un marco legal para el procesamiento de datos cuando fluyen entre Europa y Estados Unidos, los países de toda Europa han estado declarando ilegales muchos tipos de transferencias de datos: Austria y Google Analytics, Bélgica y IAB, Francia y Google Analytics, etc. A estas alturas, es muy probable que haya más que añadir a la lista.

Estos casos hacen que la necesidad de sustituir el Escudo de Privacidad sea aún más importante, para los dirigentes de ambos lados del Atlántico.

Por no mencionar el hecho de que muchos países y agencias de la UE están estrechando el cerco sobre las prácticas de datos de las grandes empresas tecnológicas, como Facebook, Microsoft, Amazon y Google.

Desde que el presidente Joe Biden entró en funciones, ha estado trabajando en un reemplazo, junto con la presidenta de la Comisión Europea, Ursula von der Leyen, pero hasta ahora no ha habido nada que mostrar en estas reuniones, salvo palabras de optimismo.

En la reunión del Consejo de Comercio y Tecnología (TTC) de septiembre de 2021, EE.UU. ofreció un mecanismo de supervisión cuasi judicial sobre las agencias de seguridad nacional para conseguir la firma de un nuevo acuerdo antes de fin de año, pero el acuerdo no fue aceptado. Existe la esperanza de que las recientes negociaciones conduzcan a un mejor resultado en la próxima reunión del TTC en mayo de 2022.

Muchos tienen la esperanza de que ambas partes puedan llegar a un acuerdo que permita a las agencias de inteligencia estadounidenses seguir accediendo a los datos de las personas, al tiempo que se protegen los derechos de los ciudadanos de la UE.

Una de las soluciones puede ser la creación de un órgano judicial independiente que supervise las quejas de los ciudadanos de la UE que consideren que las agencias estadounidenses han manejado sus datos de forma ilegal.

Los detalles de ese plan -como por ejemplo, cómo sabría alguien presentar una queja en primer lugar, y si se sostendría en los tribunales- aún están por ver.

Pero una cosa está clara, sea cual sea la decisión que se tome, no se hará en el Congreso, un hecho que podría acabar con cualquier acuerdo incluso antes de que empiece.

Dado que el acuerdo político y el progreso son difíciles de conseguir en estos días, cualquier cambio que se realice tendría que cumplir con las normas y reglamentos estadounidenses existentes.

La mayoría de los expertos coinciden en que cualquier avance significativo tendría que hacerse mediante cambios legislativos en EE.UU. que limiten el acceso de las agencias de seguridad nacional a los datos de la UE y den a los ciudadanos de la UE una forma clara y transparente de impugnar legalmente ese acceso en los tribunales.

Sin esas cosas, ¿cuánto tiempo pasará antes de que tengamos un Schrems III?