El Escudo de Privacidad: Unión Europea y Estados Unidos de Norteamérica

Ver artículo original aquí.

“Él fue el desencadenante que me hizo entender que no podíamos seguir aplicando la ley de la forma en que lo hacíamos”, palabras textuales de Vivian Reding -refiriéndose a Max Sherms-, Comisaria de Justicia que promovió el Reglamento General de Protección de Datos de la Unión Europea.

El mundo gira alrededor de la internet y los medios electrónicos. La mayoría de las transacciones, intercambio de todo tipo de información, archivos en las nubes, demandan de estas herramientas para tomar sentido. Como consecuencia, el recabo de datos basado en las interacciones y decisiones de cada persona con acceso a la red se ha convertido en una especie de historial con todo tipo de referencia, desde lo más vano hasta lo que puede ser calificado como información sensible o delicada; muchas veces sin que el titular esté enterado o consiente de su destino, transfiriéndose de un Estado a otro para ser tratado por empresas que tienen distintos fines a los esperados por los individuos, así como por Gobiernos para el control de sus ciudadanos.  

Esto último ha sido el factor detonante del famoso caso Facebook Ireland vs. Schrems II. El origen de esta trascendental decisión nace por la osadía de Maximilian Schrems (“Scherms”), por  la curiosidad que le causó la información que le fue entregada por Facebook en un dispositivo en el que se incluían más de 1000 páginas de todos los registros de datos y movimientos que había realizado en su cuenta desde el año 2008, en los que identificó una gran cantidad de actuaciones que vulneraban la privacidad de los usuarios; solicitud que hizo luego de haber participado, -mientras estudiaba derecho-, en un seminario sobre privacidad e incumplimiento de las disposiciones regulatorias, en la Universidad de Santa Clara, California, impartido por el que en su momento era el director de asuntos legales de Facebook.

Esto llevó a que Schrems decidiera preparar su tesis sobre protección de datos e inobservancias de su transferencia transoceánica así como la deficiencia de reglas adecuadas que mediaren la sensibilidad del contenido de esa información. Su interés por el tema no terminó con la presentación de la tesis, la conferencia a la que había asistido le hizo dar cuenta que las leyes de protección de datos eran rigurosas en la Unión Europea pero no tanto como para representar restricciones reales a Estados Unidos por las transferencias de datos personales. Situación que lo motivó a presentar una acción contra Facebook ante el Comisionado de Protección de Datos de Irlanda, impulsado principalmente porque las consecuencias y multas eran insignificantes versus los grandiosos beneficios que implicaba incumplir las directrices derivadas de la Decisión de la Comisión Europea No. 2000/520/EC con arreglo a la Directiva 95/46/CE, de fecha 26 de julio del año 2000 (“Safe Harbor o Decisión 2000/520”), por tanto no omitirlas no era una opción[1].

Otro de los elementos que llevó a Shrems a denunciar a Facebook fue el caso de Edward Snowden, bajo el argumento de que “la revelaciones realizadas por el estadounidense sobre las actividades de los servicios de información de Estados Unidos (en particular, la National Security Agency), la normativa y la práctica de Estados Unidos, no garantizaban una protección suficiente de los datos transferidos a ese país frente a las actividades de vigilancia por las autoridades públicas”[2]; no obstante, la autoridad irlandesa bajo el alegato de que el Safe Harbor indicaba que “en el marco denominado de Puerto Seguro, Estados Unidos garantiza un nivel adecuado de protección de datos personales transferidos”[3] denegó la solicitó de Shrems.

Sin embargo, a la luz de esta decisión, de las declaraciones de Snowden y de informes de diversos actores de las Naciones Unidas y Organizaciones Internacionales, el Tribunal de Justicia de Unión Europea (“TJUE”) analizó en todas sus partes el Safe Harbor en el que se indicaba que “Estados Unidos cumplía con el estándar de nivel de protección adecuado exigido por la Directiva”[4] y  determinó su invalidez bajo el argumento de que “consagraba la primacía de las exigencias de seguridad nacional y de la legislación interna estadounidense por sobre los principios de Puerto Seguro. Lo que significaba que las empresas validadas por el sistema de Puerto Seguro, que [se suponía] obedecían a los principios de la Decisión, debían dejar esto de lado si eran contrarios a la normativa interna de Estados Unidos.”[5] En ese sentido, el TJUE determinó que era evidente la injerencia en perjuicio del derecho a la privacidad de los ciudadanos europeos cuyos datos personales se transferían desde países de la Unión Europea hasta Estados Unidos; de manera que,  en fecha 6 de octubre de 2015 este tribunal declara la nulidad de la Decisión 2000/520 de la Comisión Europea.  

Bajo esas condiciones, la autoridad irlandesa de control de protección de datos debía examinar nuevamente la acción incoada por Schrems y sobre la base de esa decisión fue suspendida la transferencia de datos de usuarios desde Europa a Estados Unidos.

No obstante, la idea de invalidar la Decisión 2000/520 que contenía las directrices de Safe Harbor no era dejar sin régimen o dejar sin efecto la facilidad de las trasferencias de datos internacionales siendo estas “vitales para el desarrollo de las empresas y por ello el logro del éxito en estas negociaciones es fundamental”[6]. De no existir un acuerdo de este tipo significaría un “obstáculo al normal desenvolviendo de las empresas y supondría dar marcha atrás”[7]. La cuestión aquí era encontrar una solución que fuese más segura y que garantizara la protección de los datos manejados entre unos países y otros; además, llegar a un consenso ya que como mencionó en su momento la ex comisaria de Justicia de la Unión Europea, Vivian Reding, “desde su aplicación el Safe Harbor nunca estuvo exento de críticas”.

Luego de haberse invalidado ese acuerdo, el 12 de julio de 2016 la Comisión Europea emitió la Decisión de Ejecución (UE) 2016/1250 con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, sobre la adecuación de la protección conferida por el Escudo de Privacidad UE-EE. UU. (“Privacy Shield o Escudo de Privacidad). Con este las empresas estadounidenses interesadas y que calificaban se podían auto certificar para ser parte del sistema. Esa validación implicaba que el nivel de protección de datos personales que por transferencia se encontraban en la base de datos de una empresa de un tercer país era adecuado y por lo tanto “se comprometían a cumplir con los principios de protección de vida privada” de ciudadanos europeos en el proceso de transferencia y uso de los mismos.

Al margen de haberse declarado la invalidez del acuerdo Safe Harbor, la Comisión mantuvo las Cláusulas Contractuales Tipo en el Privacy Shield; mediante las que “se estipulan las medidas de seguridad técnicas y organizativas necesarias que han de aplicar los encargados del tratamiento establecidos en un tercer país que no ofrece la protección adecuada, con el fin de garantizar el nivel de seguridad apropiado para los riesgos que entraña el tratamiento y la naturaleza de los datos que han de protegerse. Las partes estipularán en el contrato aquellas medidas de seguridad técnicas y organizativas que, habida cuenta de la legislación sobre protección de datos aplicable […] resulten necesarias para proteger los datos personales contra su destrucción accidental o ilícita o su pérdida accidental, alteración, divulgación o acceso no autorizados o cualquier otra forma ilícita de tratamiento”.[8]

Su objetivo era garantizar que los datos transferidos estuvieran ciertamente amparados y fueran exigibles en caso de derechos vulnerados a los particulares.  Sin embargo, no aplicaban a entidades que estuvieren sometidas a programas de vigilancia del Gobierno estadounidense. Igualmente, señalaba una serie de excepciones en las que era permitida la vigilancia y recolección de datos, entre ellas, la lucha contra el terrorismo, ciberseguridad, amenazas criminales trasnacionales; en fin, situaciones y actividades relacionadas a seguridad nacional.  

A pesar de ello, el Privacy Shield no tuvo la aceptación y eficacia esperada pues al igual que el Safe Harbor tenía muchas aristas que no garantizaban ciertamente los estándares de protección exigidos en la Unión Europea, no consagraba los derechos exigibles por los afectados ni involucraba acciones legales que fueran realmente efectivas y que estuvieran conforme a las exigencias de las autoridades europeas; tampoco la preservación del derecho fundamental de la privacidad, catalogado como tal en la Unión Europea; por esto y otras razones, el Privacy Shield fue también invalidado por el TJUE.

Al momento de analizar y anular el Escudo de Privacidad, el tribunal parte de la Carta de los Derechos Fundamentales y toma como base principal de la decisión “los derechos que garantizan el respeto a la vida privada y familiar, así como la protección de datos de carácter personal y el derecho a la tutela judicial efectiva”, impulsados por las bondades que tenía a favor de los estadounidenses,  pues como indica la sentencia de invalidez, “al igual que sucede con la Decisión 2000/520, la primacía de las exigencias relativas a la seguridad nacional, el interés público y el cumplimiento de la ley estadounidense, posibilitaban las injerencias en los derechos fundamentales de las personas cuyos datos personales se transfieren a ese país tercero”[9] (El subrayado es nuestro)

En adición, el TJUE recalcó que Estados Unidos no limitaba el acceso y uso de los datos transferidos, de manera que no se ajusta al nivel de exigencia y requerimientos que equivaliesen al derecho europeo. En ese sentido menciona los programas de vigilancia que dicho país pone en práctica y en la misma advierte que no se reducen a los casos estrictamente necesarios pues “en modo alguno se desprende que existan limitaciones a la habilitación que otorga [la normativa] para la ejecución de esos programas ni tampoco que existan garantías para las personas no nacionales de los Estados Unidos que sean potencialmente objeto de esos programas”[10]. Se planteaban las exigencias que la autoridad estadounidense tenía que obedecer mas “no atribuía a los particulares […] los derechos exigibles a las autoridades estadounidenses ante los tribunales”, es decir, no planteaba las herramientas sobre las que se podría auxiliar la persona afectada al momento de ver vulnerados sus derechos. 

En la sentencia también hizo alusión a la figura del “Defensor del Pueblo” y determinó que “contrariamente a lo que la Comisión consideró en la Decisión 2016/1250, el mecanismo del Defensor del Pueblo […] no proporciona […] ninguna vía de recurso ante un órgano que ofrezca garantías sustancialmente equivalentes a las exigidas en el Derecho de la Unión, que puedan asegurar tanto la independencia del Defensor del Pueblo […] como la existencia de normas que faculten al referido Defensor del Pueblo para adoptar decisiones vinculantes con respecto a los servicios de inteligencia estadounidenses”[11].

En fin, la principal razón sobre la que se sustenta el TJUE al declarar la invalidez de la Decisión 2016/1250 en fecha 16 de julio de 2020, es por no estatuir realmente los niveles de protección adecuados que debía garantizar el Escudo de la Privacidad Unión Europea – Estados Unidos (Schrems II). La sentencia fue de aplicación inmediata.[12] A partir de ese momento no existe un acuerdo marco entre Estados Unidos y la Unión Europea, por lo que las transferencias de datos personales entre empresas de estos Estados han quedado bajo los regímenes del Reglamento General de Protección de Datos[13] de fecha 27 de abril de 2016 y cuyas disposiciones entraron en vigor en fecha 25 de mayo de 2018 (el “Reglamento de Protección de Datos”).

Conforme a lo que indica la  sentencia que invalida el Privacy Shied, este reglamento “se aplica a una transferencia de datos personales realizada con fines comerciales por un operador económico establecido en un Estado miembro a otro operador económico establecido en un país tercero incluso si, en el transcurso de dicha transferencia o tras ella, esos datos pueden ser tratados con fines de seguridad nacional, defensa y seguridad del Estado por las autoridades del país tercero en cuestión […] precisa que ese tipo de tratamiento de datos por parte de las autoridades de un país tercero no puede excluir a la referida transferencia del ámbito de aplicación del Reglamento”[14].  Por tanto, las normas de los países que no forman parte de la Unión deben adecuarse a las instrucciones para incrementar la protección, seguridad y garantía de los derechos de los particulares durante las operaciones comerciales interestatales.

De este modo, las consecuencias se traducen a que el fast pass donde las empresas se auto certificaban sobre la base del cumplimiento del mencionado acuerdo ya no es posible para la transferencia de datos entre Estados Unidos y la Unión Europea; pero no quiere decir que dichas operaciones estén prohibidas, sino que las empresas deberán ampararse y adecuar sus políticas y protocolos bajo otros instrumentos que ofrece el Reglamente General de Protección de Datos.  

Los más perjudicados en ese aspecto podrían ser las Pymes[15]. Hay modelos de negocios que dependen 100% de mercados digitales y haber estado certificadas e institucionalizadas con el Privacy Shield, la declaración de invalidez a muchas les caería como un balde de agua fría porque además la medida es de aplicación inmediata; situación que ciertamente ha provocado que estas inicien un proceso rápido de adaptación al tiempo de establecer sus propios protocolos para la Transferencia de Datos Internacionales ajustados a las reglas europeas.

Si bien se ha invalidado el Privacy Shield no todo ha sido frustrante. Las Claúsulas Contractuales Tipo entre el exportador e importador de Datos siguen vigentes, no fueron invalidadas por esa última decisión y serán aceptadas siempre que garanticen un nivel de protección que se equipare con lo estipulado en el Reglamento de Protección de Datos, construido sobre la base de la Carta de los Derechos Fundamentales de la Unión Europea. Importante es señalar que empresas como Facebook, Google y Microsoft están obligadas a proporcionar datos personales de ciudadanos de la Unión Europea a las agencias estadounidenses como la National Security Agency (NSA, por sus siglas en inglés) en virtud de la Ley de Vigilancia de Inteligencia Extranjera (Foreign Intelligence Surveillance Act   o FISA, por sus siglas en inglés); de manera que estas no pueden optar por la opción de Cláusulas Contractuales Tipo.

Al tiempo de la declaración de invalidez de la Decisión 2016/1250 la Unión Europea está trabajando con la Ley de Servicios Digitales (Digital Services Act, o DSA por sus siglas en inglés), con el principal objetivo de regular la publicidad en línea, esclarecer lo que sería un contenido con carácter pecuniario y no pecuniario así como marcar la diferencia y lineamientos que deben regir los contenidos que están comprometidos por una relación de patrocinio y contenidos que difieren de ello; en resumen,  lo que persigue es “la seguridad del contenido online y garantizar la transparencia” o como ha dicho la vicepresidenta de la Comisión Europea, Margaret Vestager, con el DSA se busca que “todo lo que sea ilegal offline, sea ilegal también online”[16].

Además, en la propuesta se alude a que potencialmente grandes plataformas tendrán el deber de “crear mecanismos para identificar contenido ilegal y poder eliminarlo rápidamente […] obligará a las grandes plataformas digitales a identificar claramente los anuncios, quién está detrás de ellos y los parámetros que hacen que lleguen al usuario […] Saber quién quiere influenciarnos y cómo […].”[17] Esta ley se tiene pautada para que entre en vigor a principios del año 2023.

______

[1] Abril, Guillermo. Max Shrems, el hombre que retó a Mark Zuckerberg. Periódico El País. Disponible en: https://elpais.com/elpais/2018/05/10/eps/1525952227_419658.html

[2] El Tribunal de Justicia declara inválida la Decisión de la Comisión que declaró que Estados Unidos garantiza un nivel de protección adecuado de los datos personales transferidos. Disponible en: https://curia.europa.eu/jcms/upload/docs/application/pdf/2015-10/cp150117es.pdf

[3] Ídem.

[4] https://www.redalyc.org/jatsRepo/3376/337655201009/html/index.html

[5] Ídem.

[6] Álvarez Caro, María, Recio Gayo, Miguel. Hacia un acuerdo Safe Habaour renovado para la transferencia internacional de datos entre EE. UU. y la UE. Instituto de Derecho Europeo e Integración Regional (IDEIR). Universidad Complutense de Madrid. P. 22

[7] Álvarez Caro, María, Recio Gayo, Miguel. Hacia un acuerdo Safe Habaour renovado para la transferencia internacional de datos entre EE. UU. y la UE. Instituto de Derecho Europeo e Integración Regional (IDEIR). Universidad Complutense de Madrid. P. 22 [Ídem]

[8] Decisión de la Comisión de fecha 5 de febrero de 2010, relativa a las cláusulas contractuales tipo para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros países, de conformidad con la Directiva 95/46/CE del Parlamento Europeo y del Consejo. Disponible en: https://eur-lex.europa.eu/legal-content/ES/TXT/?uri=celex%3A32010D0087

[9] Sentencia del Tribunal de Justicia (Gran Sala), emitida en fecha 16 de julio de 2020, relativo a la Petición de decisión prejudicial por la High Court de Irlanda. Asunto C-311/18. Disponible en: http://curia.europa.eu/juris/document/document.jsf?text=&docid=228728&pageIndex=0&doclang=ES&mode=req&dir=&occ=first&part=1&cid=1220354

[10] Ídem.

[11] Ídem

[12] Es importante aclarar que, al margen de haberse declarado la invalidez de la Decisión 2016/1250, el Tribunal de Justicia de la Unión Europea no descartó asimismo la práctica y uso de la Cláusulas Contractuales Tipo, sin embargo, estas solo se establecen en acuerdos comerciales en los que no existen mayores inconvenientes en el cumplimiento de las disposiciones europeas respecto a la transferencia de datos internacionales; así también estos documentos tendrán  valor aplicado a cada caso en específico, no serían  unas cláusulas válidas para todo los tipos de acuerdos comerciales.

[13] Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo del 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE

[14] Op. Cit. Sentencia del Tribunal de Justicia (Gran Sala), emitida en fecha 16 de julio de 2020, relativo a la Petición de decisión prejudicial por la High Court de Irlanda. Asunto C-311/18

[15] Pymes: Pequeñas y medianas empresas

[16] Citado por Rodríguez, Andrea. Europa ya tiene su nueva Biblia digital para frear a las “big tech”, pero no será tan fácil. Periódico El Confidencial. Disponible en línea:

[17] Op. Cit. Rodríguez, Andrea. Periódico El Confidencial.