Hace apenas unos días el foco sobre la protección y transmisión de datos volvía a ocupar la primera plana de la actualidad. Un nuevo acuerdo entre la Unión Europea y Estados Unidos para reactivar el flujo de información personal entre ambas potencias volvía a poner el debate sobre la mesa.
Durante una rueda de prensa conjunta celebrada a finales del mes de marzo, la presidenta de la Comisión Europea (CE), Ursula Von der Leyen, y el presidente de Estados Unidos, Joe Biden, dieron a conocer este consenso.
"Estamos satisfechos porque hemos llegado a un entendimiento para el principio de un nuevo marco para la transmisión transatlántica de datos", escribía Von der Leyen en su cuenta de Twitter. "Permitirá flujos de información predecibles y fiables, en equilibrio con la seguridad, el derecho a la privacidad y la protección", añadía.
La presidenta de la CE concluía este breve anuncio señalando que este acuerdo era "otro paso" en el fortalecimiento de la relación entre la Unión Europea y Estados Unidos.
Por su parte, el mandatario estadounidense situaba en 7.100 billones de dólares el impacto que tendrá en las empresas de ambas regiones la posibilidad de volver a compartir datos personales.
Un principio de acuerdo que apenas contempla medidas concretas
Lo cierto es que, de momento, no se sabe mucho sobre la aplicación última de este pacto, ya que se trata de "un principio de acuerdo" y el texto definitivo, donde se recogerán las medidas concretas, no se publicará hasta dentro de varios meses.
Así, las pocas pinceladas que se adivinan sobre este consenso provienen de las notas de prensa proporcionadas por ambas potencias.
En la facilitada por la Unión Europea se habla de una alianza que "abordará las preocupaciones planteadas por el TJUE sobre la sentencia Schrems II de julio de 2020".
En concreto, el organismo señala que se trata de "un compromiso sin precedentes por parte de Estados Unidos" para "implementar reformas que fortalecerán las protecciones de privacidad y a las libertades civiles" aplicables a las actividades de inteligencia por parte de dicho país.
La UE cuenta que, bajo el nuevo marco, EEUU introducirá salvaguardas que garanticen que las actividades de vigilancia son "necesarias y proporcionales" en la "búsqueda de definir objetivos para la seguridad nacional".
En este sentido, una de las pocas medidas concretas que contienen los comunicados remitidos por ambas entidades es el establecimiento de un mecanismo de compensación en dos niveles que incluye un Tribunal de Revisión de Protección de Datos independiente formado por personas elegidas fuera del gobierno estadounidense.
Este futuro organismo tiene como objetivo resolver quejas de europeos sobre el acceso a datos por parte de las autoridades de inteligencia de EEUU y tendrá plena potestad para imponer medidas correctivas de ser necesario.
Además, el documento de la UE también recoge "fuertes aplicaciones" para las empresas que procesan datos transferidos desde la UE, que seguirán estando obligadas a certificar su adhesión a los principios a través del Departamento de Comercio de EEUU.
El futuro plan también contendrá mecanismos de revisión y monitorización de la situación.
El organismo europeo precisa que esta alianza "proporcionará una base duradera" para los flujos de datos transatlánticos que, según la Comisión, sustentan 900.000 millones de euros en comercios transfronterizos cada año.
A su vez, permitirá un escenario de cooperación económica en todos los sectores.
"El acuerdo promocionará una economía digital inclusiva en la que todas las personas podrán participar y en la que compañías de todos los tamaños y todos los países podrán prosperar", sostiene el documento.
Por su parte, el organismo estadounidense precisa que este marco proporcionará beneficios "vitales" a los ciudadanos de ambas regiones.
Así, explica que el acuerdo subraya el "compromiso compartido por la privacidad, la protección de datos" y el reconocimiento de la importancia de la transmisión de información entre ambos actores para sus ciudadanos, economías y sociedades.
Según cuentan fuentes de la Comisión Europea a D+I, este "marco para la privacidad en los datos transatlánticos", como se conoce al pacto, refleja el trabajo de más de un año de negociación liderado por la secretaria de Comercio Gina Raimondo, por parte de EEUU, y el comisario europeo de Justicia Didier Reynders, por la de la UE.
La misma fuente señala que el siguiente paso es terminar de decidir los detalles del acuerdo y materializarlo en documentos legales que garanticen su implementación de manera efectiva.
En concreto, explican que, por parte de la UE, el proceso implicará presentar un documento que será revisado por el Comité Europeo de Protección de Datos (EDPB, por sus siglas en inglés) y la "luz verde" de los representantes de los estados miembros de la Unión Europea.
Además, precisan que el Parlamento Europeo también tiene derecho de escrutinio.
Según avanzan, los compromisos de EEUU deberán incluirse en una orden ejecutiva, que formará la base de la evaluación de la Comisión en su futura decisión de adecuación.
No es el primer pacto entre ambas potencias en materia de datos
Este anuncio no es la primera aproximación a un consenso en materia de transmisión de información entre ambos actores. Antes de él estuvo el Safe Harbor, anulado en 2015, y después el Privacy Shield, una alianza bajo la que ambas potencias estuvieron amparadas hasta julio de 2020.
Este último fue invalidado por el Tribunal de Justicia de la Unión Europea (TJUE) hace dos años tras una denuncia de Max Schrems, un abogado y activista austríaco, contra Meta (antes conocida como Facebook).
El organismo concluyó que los datos compartidos no se limitaban "a lo estrictamente necesario" y determinó que toda la información transferida fuera del bloque debería "otorgar un nivel de protección esencialmente equivalente al garantizado dentro de la UE por el GDPR (Reglamento General de Protección de Datos)".
Schrems, de hecho, ha sido uno de los primeros en pronunciarse sobre el último anuncio de ambas regiones.
A través de un tweet en su cuenta personal, el abogado explica que es similar al descartado Privacy Shield, señalando que "antepone lo político a la ley y a los derechos fundamentales".
"Lo que escuchamos es otra serie de parches, pero ninguna reforma sustancial por parte de Estados Unidos'', afirma.
El activista recuerda que este tipo de acuerdo "ya falló antes" y cree que, en este caso, volverá a hacerlo, aunque emplaza a esperar a que se publique el texto completo.
En un comunicado más extenso publicado en noyb, la organización sin ánimo de lucro enfocada en la protección de datos presidida por Schrems, el experto explica que parece que este acuerdo es, "aparentemente, el símbolo que von der Leyen quería, pero no parece contar con el apoyo de los expertos en Bruselas, ya que no se aprecia ningún cambio en Estados Unidos".
Asimismo, califica de "espantoso" que el país presidido por Biden haya utilizado "supuestamente" la guerra de Ucrania con el objetivo de presionar al organismo europeo para llegar a un consenso en este "asunto económico".
El abogado explica que el texto final "necesitará tiempo" y promete analizarlo "una vez llegue", pero ya avanza que "si no está en línea con la legislación de la UE" será impugnado por su equipo o por cualquier otro grupo similar.
"Es lamentable que la UE y EEUU no hayan utilizado esta situación para llegar a un acuerdo de 'no espionaje' con garantías básicas entre democracias afines", se lamenta. "Los consumidores y las empresas se enfrentan a más años de incertidumbre legal", concluye.
Por su parte, Matthias Bauer, economista senior del European Centre for International Political Economy y autor del informe "La Soberanía trasatlántica de los datos", recientemente publicado por el Open Internet Governance Institute de EsadeEcPol, apunta que este acuerdo político es una "señal de fuerza" que indica la voluntad de ambas regiones líderes de cooperar.
Bauer explica a D+I que "miles de empresas" están, actualmente, expuestas a la inseguridad jurídica relativa a la transmisión de datos comerciales y personales entre las dos potencias, lo que supone "un fuerte elemento disuasorio" para la inversión transfronteriza.
El experto apunta que es necesario garantizar un marco seguro que evite disputas legales costosas con las autoridades y tribunales nacionales de protección de datos.
De esta forma, el economista del European Centre for International Political Economy señala que las empresas y los ciudadanos de ambas regiones son los grandes beneficiarios del supuesto pacto, ya que se abrirán nuevas oportunidades de negocio a la par que se protegerá el acceso a la información personal.
"No veo que nadie salga perjudicado con esta alianza, salvo los abogados especializados en esta temática, que perderarán una parte de su negocio debido al nuevo marco", precisa.
El EDPB evaluará "cuidadosamente" este acuerdo
En su caso, el Comité Europeo de Protección de datos (EDPB) que, como explican desde la Comisión Europea, deberá analizar el documento antes de que se adopte una decisión en firme, tal y como recoge el Reglamento General de Protección de datos (GDPR, por sus siglas en inglés), ha emitido una declaración oficial en el que "acoge con satisfacción" este movimiento.
El organismo explica que este acuerdo es un "primer paso positivo en la dirección correcta" que se produce en un momento en el que la transferencia de datos entre ambos actores "se enfrenta a desafíos importantes".
El EDPB ha recordado que, de momento, el anuncio no constituye un marco legal, por lo que los exportadores de datos tendrán que seguir cumpliendo con las medidas impuestas por el TJUE y a partir de la sentencia Schrems II.
En este sentido, el organismo ha precisado que, cuando "evaluará cuidadosamente" cómo esta reforma garantiza que la recopilación de información personal es "proporcionada" y se limita a lo "estrictamente necesario".
Además, también examinará en qué medida el mecanismo anunciado respeta el derecho de los usuarios europeos a un "recurso efectivo y a un juicio justo".
Fuertes presiones de las grandes tecnológicas
Desde que, en julio de 2020, el TJUE anulase el anterior marco legislativo, ambos actores han vivido en un escenario de tensión en relación a la protección de datos personales.
Este contexto se recrudeció cuando Meta, la compañía presidida por Mark Zuckerberg, envió a principios de año un documento a la Securities and Exchange Comission (SEC, por sus siglas en inglés) en el que contemplaba la posibilidad de retirar sus servicios de Europa si no se llegaba a un acuerdo que contemplase la transmisión de información.
"Si no se adopta un nuevo marco de transferencia transatlántica de datos y no podemos seguir recurriendo a los CCE (cláusulas contractuales estándar) o a otros medios alternativos de transferencia de datos de Europa a Estados Unidos, es probable que no podamos ofrecer varios de nuestros productos y servicios más importantes, como Facebook e Instagram, en Europa, lo que afectaría de forma negativa a nuestro negocio, situación financiera y resultados de las operaciones", exponían en el texto.
La compañía lanzaba, de esta forma, un órdago a las autoridades europeas y estadounidenses para lograr un nuevo tratado e impedir la entrada en vigor del fallo de 2020, previsto para la primera mitad del presente ejercicio.
Esta advertencia le valió a la firma presidida por Mark Zuckerber una caída del 3% en el inicio de la sesión bursátil del día en el que se conoció esta noticia, lo que evidenció la importancia de Europa para los inversores de la firma.
Markus Reinisch, vicepresidente de Políticas Públicas de Meta, salió rápidamente a matizar las palabras del documento presentado a la SEC, explicando que era una posibilidad, "no una amenaza".
En este sentido, hace unas semanas, Carme Artigas, secretaria de Estado de Digitalización e Inteligencia Artificial del Gobierno de España, explicaba durante su intervención en un evento sobre soberanía digital que Europa es un mercado "suficientemente importante para que nadie pueda renunciar a él".
Artigas señaló que las empresas que amenazan con irse al aplicarse nuevas normativas no podrán hacerlo porque "no se pueden arriesgar" a perder este negocio y recordó que con la GDPR "pasó lo mismo", al principio nadie quería adoptarlo y, después, no solo se aplicó en Europa, sino que se reprodujo en el resto del mundo.
Hasta la fecha, la Unión Europea se había mostrado cauta frente a un acuerdo para la gestión de los datos con Estados Unidos, pero la crisis actual, sumada a otros factores de actualidad, ha terminado por poner de relevancia la necesidad de un consenso entre ambos actores.
Habrá que esperar unos meses a la publicación del texto completo para ver las concesiones que se han hecho en ambos sentidos y la forma en la que se protegerá la privacidad de los datos de los usuarios europeos.