La extensión del texto que regula el nuevo Marco de Privacidad de Datos entre la Unión Europea y los Estados Unidos de América es de 136 folios. Dicho así puede no significar nada pero lo cierto es que es un documento de gran relevancia mundial y que viene a tratar de solucionar un problema legal entre ambos territorios en la gestión de la protección de los derechos fundamentales de los ciudadanos.
El conflicto nace a partir de la derogada Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respeta al tratamiento de datos personales y a la libre circulación de estos datos, que fue el germen de la normativa de privacidad en la Unión Europea.
Dicho texto legal obligaba a los Estados Miembros a garantizar la protección de las libertades y de los derechos fundamentales de las personas físicas, y, en particular, del derecho a la intimidad, en lo que respecta al tratamiento de los datos personales y en particular en su capítulo IV establecía que salvo contadas excepciones sólo podían efectuarse transferencias internacionales de datos a terceros países que garantizaran un nivel de protección adecuado.
Dado que el sistema jurídico de Estados Unidos no garantizaba un nivel de protección adecuado conforme a dicha regulación, para permitir el flujo de datos entre ambos territorios se estableció el sistema de “Puerto Seguro” (safe harbour) mediante el cual cualquier empresa estadounidense que quisiera tratar datos de carácter personal de ciudadanos europeos podía certificarse mediante el cumplimiento de una serie de principios concretos de actuación que fueron publicados en la Decisión 2000/520/CE de la Comisión Europea, de 26 de julio de 2000, que supuestamente otorgaban garantías suficientes a los ciudadanos europeos respecto del trabamiento de sus datos de carácter personal en Estados Unidos.
Cualquiera que haya visto la película biográfica Snowden estrenada en 2016 de suspense dirigida por Oliver Stone -altamente recomendable para cualquiera que quiera ver cómo se trataba la privacidad de los ciudadanos en el mundo por parte de los sistemas de inteligencia de Estados Unidos-, entenderá los motivos que llevaron al Tribunal de Justicia de la Unión Europea (Sentencia Schrems I de 6 de octubre de 2015) a anular el sistema de Puerto Seguro, a raíz de la iniciativa de un joven abogado y activista austríaco, Max Schrems, que puso en solfa todo el sistema de flujo de datos personales entre la Unión Europea y Estados Unidos, año en el que ya Facebook ganaba tratando datos de carácter personal más de diez mil millones de dólares al año de beneficio neto.
En las revelaciones que el agente Snowden reveló a la prensa se acreditaban operaciones de vigilancia masiva realizadas por la NSA (Agencia de Seguridad Nacional) de Estados Unidos en las que se trataban datos de forma indiscriminada de ciudadanos europeos quedando en tela de juicio el tratamiento de datos personales de empresas como Google, Facebook, Microsoft, Apple o Yahoo
Al quedar sin amparo jurídico las grandes multinacionales norteamericanas para poder tratar los datos de carácter personal transferidos desde la Unión Europea, las autoridades de ambos territorios se apresuraron para establecer el “Escudo de Privacidad” (Privacy Shield) mediante la Decisión 2016/1250 de la Comisión Europea por medio de la cual se establecía que Estados Unidos garantizaba un nivel adecuado de seguridad en las transferencias internacionales de datos personales basado en un escudo de privacidad determinado a partir de los principios establecidos por el Departamento de Comercio de los Estados Unidos el 7 de julio de 2016 y los compromisos y declaraciones recogidas en dicha Decisión en sus Anexos.
Sin embargo la realidad es que en la práctica este Escudo de Privacidad no dejaba de ser una especie de nueva versión del Puerto Seguro sin cambios sustanciales por lo que fue finalmente anulado de nuevo (Sentencia Schrems II de 16 de julio de 2020) dado que a pesar de los retoques del Escudo de Privacidad quedó acreditado que la normativa estadounidense impone la obligación a determinadas empresas (i.e. Facebook) a poner los datos personales que se transfieren desde la Unión Europea a disposición de autoridades estadounidenses donde son utilizados en el marco de programas de vigilancia de las autoridades gubernamentales norteamericanas vulnerando los derechos de los ciudadanos europeos.
Desde entonces, y ya con el nuevo Reglamento Europeo de Protección de Datos en vigor, las empresas y las autoridades de ambos territorios han estado trabajando para poder establecer un nuevo marco jurídico que permita las transferencias internacionales de la Unión Europea a Estados Unidos y es por ello que el pasado 10 de julio ha sido por fin publicada la Decisión de la Comisión Europea que establece el nuevo “Marco de Privacidad de datos UE-EEUU” que concluye (dèja vu?) que concluye los Estados Unidos garantizan un nivel de protección adecuado (equiparable al de la Unión Europea) de los datos personales transferidos de la UE a empresas estadounidenses al amparo del nuevo marco.
De especial importancia resulta lo concerniente a la limitación del acceso por parte de los servicios de inteligencia estadounidenses a los datos de la Unión Europea según los principios de necesidad y proporcionalidad, y el establecimiento de un Tribunal de Recurso en Materia de Protección de Datos, al que los ciudadanos de la Unión Europea tendrán acceso.
Este nuevo marco, permitido por el artículo 45 apartado 3 del Reglamento Europeo de Protección de Datos que permite a la Comisión Europea mediante un acto de Ejecución decidir que un país de fuera de la Unión Europea garantice un nivel de protección adecuado, permitirá que las empresas estadounidenses que quieran puedan adherirse mediante el cumplimiento de la obligaciones de privacidad establecidas en el documento de 136 páginas al que hacíamos alusión en el encabezamiento del presente artículo.
Habrá que ver cómo evoluciona la aplicación de este Marco de Privacidad y en particular si efectivamente las medidas adoptadas son suficientes para garantizar un nivel de protección adecuado o no, aunque lo cierto es que viendo la evolución histórica de las transferencias internacionales de datos entre Estados Unidos y Europa y en confirmación de la dialéctica hegeliana, si tras el Puerto Seguro llegó en 2015 Schrems I ytras el Escudo de Privacidad llegó en 2020 Schrems II, algunos esperan ansiosos la llegada del 2025 por si tenemos un Schrems III que anule el nuevo Marco de Privacidad.
En cualquier caso si pretenden que alguien confíe en que los servicios de inteligencia de fuera de la Unión harán un uso adecuado del juicio de necesidad y proporcionalidad a la hora de tratar los datos personales de los ciudadanos de la Unión Europea, quizá no haga falta ni llegar a 2025 antes de que este nuevo Marco sea de nuevo anulado. Schrems debe estar frotándose las manos.