El 10 de julio, la Comisión Europea adoptó su tan esperada decisión de adecuación para Estados Unidos. Se trata del último paso en la aplicación del Marco Transatlántico de Protección de Datos, un marco bilateral entre la UE y EE.UU. que facilita los flujos de datos entre EE.UU. y los países de la UE y el EEE.
No todos están contentos con la decisión. El Parlamento Europeo expresó una opinión negativa sobre el nuevo marco y la ONG de defensa de la privacidad noyb -bastante implicada en la historia- ya anunció que recurriría la decisión de adecuación ante el Tribunal de Justicia de la UE. No es nada nuevo. Dos marcos de transferencia de datos ya han sido invalidados anteriormente en las sentencias Schrems I y II. Con toda probabilidad, Schrems III será el bautismo de fuego del marco. Y es realmente difícil decir cómo se desarrollará.
Pero, ¿qué es exactamente el DPF? ¿Cómo afecta a las transferencias de datos y qué cuestiones jurídicas plantea? Averigüémoslo.
- ¿Qué es el Marco Transatlántico de Protección de Datos?
- ¿Resolverá el Marco Transatlántico de Protección de Datos el problema de las transferencias de datos entre la UE y EE.UU.?
- ¿Cómo funciona el Marco Transatlántico de Protección de Datos?
- ¿Cuál es la historia de la DPF?
- Reflexiones finales
¿Qué es el Marco Transatlántico de Protección de Datos?
El MPD es un marco de transferencia de datos creado por el gobierno de EE.UU. y la Comisión Europea para facilitar las transferencias de datos entre EE.UU. y la UE/Espacio Económico Europeo. Pero no es un acuerdo internacional en sentido estricto porque se basa en actos jurídicos internos de los marcos jurídicos de EE.UU. y la UE. Estos actos internos son el resultado de extensas negociaciones entre EE.UU. y la UE.
Por parte europea tenemos la decisión de adecuación que hemos mencionado antes. Una decisión de adecuación es un acto unilateral de la Comisión Europea que reconoce que un tercer país (en este caso, EE.UU.) tiene un marco de protección de datos suficientemente sólido y, por lo tanto, "da luz verde" a las transferencias de datos a ese país.
Por parte estadounidense, tenemos la Orden Ejecutiva 14086, firmada en octubre de 2022 por el Presidente Joe Biden. Una orden ejecutiva es una orden emitida por el Presidente a las administraciones públicas (en este caso, las agencias de inteligencia). La Orden Ejecutiva 14086 incluye normas que limitan (en cierta medida) los poderes de las agencias a la hora de tratar con determinados aliados estratégicos, incluida la UE. También establece un sistema de recurso para aumentar el grado de escrutinio sobre la vigilancia por Internet de personas en la UE y el EEE.
¿Resolverá el Marco Transatlántico de Protección de Datos el problema de las transferencias de datos entre la UE y EE.UU.?
Lo hará si el Tribunal de Justicia no lo tumba, y eso es un gran "si".
Dos marcos anteriores (el Safe Harbor y el Privacy Shield) han sido invalidados por el Tribunal con anterioridad por no ofrecer suficiente protección a los datos europeos, y la ONG noyb ya anunció una batalla legal en el Tribunal de Justicia contra el DPF en el Tribunal de Justicia.
Esto no significa necesariamente que el DPF vaya a ser invalidado también, pero es una posibilidad real. Es difícil decir cómo irá: el DPF es, en cierto modo, un paso adelante respecto al pasado, pero sigue siendo problemático en ciertos aspectos.
¿Cómo funciona el Marco Transatlántico de Protección de Datos?
Las transferencias de datos en pocas palabras
Para entender cómo afecta el marco a las transferencias de datos, primero tenemos que dar un paso atrás y ver cómo funcionan las transferencias de datos con arreglo al RGPD.
El RGPD sólo permite transferencias seguras y confidenciales de datos personales fuera de la UE (más exactamente, fuera del EEE, porque el RGPD también se aplica en Islandia, Noruega y Liechtenstein).
Esto tiene sentido: sin este principio fundamental, todas las protecciones de la privacidad del RGPD se verían comprometidas en el momento en que los datos personales salieran de la UE (lo que ocurre todo el tiempo). Así pues, el RGPD no prohíbe las transferencias de datos personales fuera de la UE, sino que exige que sean seguras.
Para aplicar este principio, el RGPD exige ciertas salvaguardias para las transferencias de datos. En la práctica, esto significa que el GDPR enumera un pequeño número de mecanismos legales que actúan como salvaguardias para los datos personales y requiere que las organizaciones elijan uno y lo apliquen correctamente antes de transferir datos personales. Una transferencia de datos sin salvaguardias es ilegal (con excepciones muy limitadas).
Las decisiones de adecuación que hemos mencionado son una de estas salvaguardias. Son la salvaguardia favorita de todas las organizaciones porque requieren poco o ningún papeleo. Aun así, sólo están disponibles para unos pocos países (puede encontrarlos en el sitio web de la Comisión Europea).
Cuando no se dispone de una decisión de adecuación, la mayoría de las organizaciones recurren a las cláusulas contractuales tipo (CCT ) redactadas por la Comisión Europea. Las CEC son cláusulas que indican a las partes lo que pueden y no pueden hacer con los datos personales. De este modo, la fuerza vinculante de un contrato compensa la falta de normas de privacidad en el país del destinatario.
Los CEC son una herramienta inteligente, pero tienen un gran defecto: hacen poco o nada para proteger los datos contra la vigilancia del Estado. Esto se debe a su naturaleza contractual: obligan a las organizaciones que los firman pero no obligan a los países.
Por desgracia, la vigilancia estatal es precisamente el problema jurídico que obstaculiza las transferencias de datos entre la UE y Estados Unidos. El carácter amplio y desproporcionado de las operaciones de los servicios de inteligencia estadounidenses es la razón por la que el Tribunal de Justicia ya invalidó dos marcos de transferencia de datos en las sentencias Schrems I y II.
Las sentencias Schrems II también repercutieron en el uso de los SCC. El Tribunal aclaró que las organizaciones deben asegurarse de que los SCC funcionan realmente para el país al que van los datos. En la práctica, esto significa que las empresas que utilizan CCE para enviar datos a EE.UU. deben aplicar salvaguardias adicionales para mantener los datos personales a salvo de la Agencia de Seguridad Nacional.
No es la tarea más fácil del mundo y resulta del todo imposible cuando se recurre a determinados proveedores con sede en Estados Unidos. Si se toma en serio, la sentencia Schrems II del Tribunal de Justicia puede hacer que depender de muchos servicios estadounidenses sea totalmente ilegal, incluidos actores clave como Azure, Oracle y AWS. Así pues, el DPF y su futuro son un gran problema para la economía digital europea.
¿Cómo se transfieren datos a Estados Unidos con el Marco Transatlántico de Protección de Datos?
El DPF simplificará las transferencias de datos de dos maneras. En primer lugar, las organizaciones europeas podrán basarse en la decisión de adecuación para EE.UU. cuando envíen datos a algunas organizaciones con sede en EE.UU., pero no a todas.
El DPF sólo permite a las empresas de la UE transferir datos a organizaciones que se adhieran a los principios del Escudo de Privacidad y autocertifiquen esta adhesión al Departamento de Comercio de Estados Unidos. En la práctica, esto significa que no se puede confiar en la decisión de adecuación para enviar datos a una organización que no se adhiere a los principios del Escudo de Privacidad. En ese caso, tendrá que utilizar una salvaguardia diferente, normalmente los SCC.
En segundo lugar, las transferencias de datos a todas las demás organizaciones se ven facilitadas porque el Decreto limita (en cierta medida) la discrecionalidad de las agencias de inteligencia para espiar datos europeos. Así pues, el Decreto permite transferencias de datos basadas en SCC sin apenas salvaguardias adicionales.
Por supuesto, esto supone que el DPF sobreviva a Schrems III, ¡lo cual no es nada seguro!
También vale la pena señalar que no se pueden transferir datos personales a empresas estadounidenses a diestro y siniestro solo porque se cuente con una decisión de adecuación. Se siguen aplicando las normas generales del RGPD: si no tiene un motivo legítimo para revelar datos personales a otra organización, no puede hacerlo, aunque los datos permanezcan dentro de la UE. Con todo lo que se habla sobre las transferencias de datos, es fácil olvidar que las normas de transferencia de datos son solo una pieza del rompecabezas del cumplimiento.
¿Cuál es la historia de la DPF?
Schrems I y II
El DPF no es el primer marco de protección de datos entre la UE y EE.UU.. En el pasado se crearon dos marcos de este tipo y las cosas no fueron bien.
En 2000, la UE y EE.UU. tenían un marco de transferencia de datos llamado Safe Harbor. En 2013, tras las revelaciones de Snowden sobre la amplia vigilancia estadounidense de datos extranjeros, el ciudadano austriaco Maximilian Schrems (este nombre saldrá mucho) presentó una denuncia contra Facebook Ireland (ahora Meta). Alegó que las transferencias de datos personales de la empresa a su matriz estadounidense exponían la información a un riesgo sustancial de vigilancia estatal por parte de agencias estadounidenses y que, por tanto, eran ilegales.
Esto inició una batalla legal de una década en la que intervinieron la autoridad irlandesa de protección de la intimidad (DPC), el sistema judicial administrativo irlandés y el Tribunal de Justicia de la UE (TJUE). El TJUE se pronunció dos veces sobre el asunto con las sentencias Schrems I y II.
Ambas sentencias son casos históricos en la legislación de protección de datos de la UE, y ambas invalidaron un marco de transferencia de datos, primero el Puerto de Seguridad y luego su sucesor, el Escudo de Privacidad (sí, se llama como los principios del Escudo de Privacidad, lo cual es confuso). En otras palabras, el DPF es un tercer intento.
Schrems I y II son decisiones largas y complicadas que tocan muchos temas, pero tienen dos conclusiones principales.
- Las decisiones de adecuación no son decisiones puramente políticas. Según el RGPD, la Comisión solo puede adoptar una decisión de adecuación para países que garanticen "un nivel adecuado de protección" de los datos personales. En otras palabras, la Comisión no puede adoptar una decisión de adecuación solo porque le guste un país, sino que debe tener en cuenta factores objetivos. Si estos factores no se evalúan correctamente, la decisión de adecuación es errónea y puede ser invalidada por el Tribunal de Justicia. Esto es lo que ocurrió en Schrems I y II.
- La segunda conclusión importante es que la transferencia de datos personales puede requerir a veces salvaguardias adicionales a las exigidas por el RGPD. El razonamiento es sencillo: dado que las cláusulas contractuales estándar no vinculan al Estado receptor, no hacen nada para proteger los datos europeos de la vigilancia, que es el núcleo de la cuestión en ambas sentencias Schrems II. Por lo tanto, para transferir los datos con seguridad, las organizaciones de la UE deben encontrar otras formas de mantener la confidencialidad de los datos personales.
Aquí hay un problema obvio: a las agencias de inteligencia se les da bien recopilar información confidencial, por muy bien que esté protegida. Al fin y al cabo, ese es su trabajo. Así que, como hemos explicado antes, es muy difícil -y a veces imposible- que una empresa europea complemente los CSC con salvaguardias adicionales que realmente funcionen.
Transferencias de datos después de Schrems II
El caso Schrems II se resolvió en 2020 y la sentencia puso a muchas empresas europeas en una situación difícil porque eran (y siguen siendo) muy dependientes de los proveedores de servicios con sede en Estados Unidos. Como resultado, muchas empresas esencialmente ignoraron la sentencia y siguieron haciendo negocios como de costumbre.
Una ONG de defensa de la privacidad llamada noyb (de la que es miembro el propio Schrems) no estaba contenta con la situación y empezó a empujar a las autoridades hacia una aplicación estricta de la sentencia Schrems II presentando un montón de denuncias contra las transferencias de datos para Google Analytics y Facebook Connect. Esto llevó a las autoridades de protección de la intimidad a adoptar una postura más dura respecto a las transferencias de datos y a prohibir prácticamente Google Analytics en algunos Estados miembros, incluidos los mercados nacionales clave de Francia e Italia.
(Para que quede claro, las autoridades de protección de la intimidad decidieron caso por caso, pero estaba bastante claro que los casos futuros se habrían decidido de la misma manera, por lo que la decisión equivalía prácticamente a prohibiciones en todo el Estado y provocó un pánico generalizado entre los vendedores).
Por supuesto, había mucho más en juego que el propio Google Analytics, por lo que la Comisión Europea y el Gobierno estadounidense negociaron un nuevo marco de transferencia de datos. La aplicación de este marco comenzó en octubre de 2022, cuando el presidente Joe Biden emitió la Orden Ejecutiva 14086, y finalizó en julio de 2023, cuando la Comisión adoptó su decisión de adecuación para Estados Unidos.
¿Por qué ha tardado tanto el nuevo marco?
Si los flujos de datos entre la UE y EE.UU. son tan importantes para ambas partes, ¿por qué han tardado tres años en aplicar el nuevo marco?
Bueno, establecer este marco no fue fácil. El DPF es el resultado de un complejo trabajo jurídico, especialmente por parte estadounidense.
La Comisión deseaba fervientemente un marco para la transferencia de datos, pero también necesitaba uno que pudiera sobrevivir a una sentencia Schrems III (y está por ver si será así). Al mismo tiempo, el gobierno estadounidense tenía que idear un sistema que no sólo satisficiera al Tribunal de Justicia de la UE, sino que también se ajustara a las limitaciones de la legislación constitucional estadounidense y a la jurisprudencia del Tribunal Supremo de Estados Unidos. En otras palabras, el DPF es un intento de contentar a dos tribunales al mismo tiempo.
Si tiene tiempo, este excelente artículo profundiza en la legislación estadounidense y explica parte de la ingeniería jurídica que subyace en el mecanismo de recurso aplicado por el Decreto. Tanto si el DPF sobrevive a Schrems III como si no, el ingenio que hay detrás de los sistemas es impresionante.
Reflexiones finales
En general, el DPF es un tema controvertido y la gente tiende a dividirse en bandos. Algunos consideran que el DPF es la solución definitiva al problema de las transferencias de datos y confían en que Schrems III salga adelante. Otros, como Max Schrems y noyb, creen que el DPF es una copia del Escudo de Privacidad y están seguros de que el Tribunal de Justicia lo derribará.
Creemos que la verdad está en algún punto intermedio. El DPF es sin duda un paso adelante con respecto al Escudo de la privacidad, pero, por otra parte, el Escudo de la privacidad era terrible. Junto con las mejoras, sigue habiendo problemas potenciales con el nuevo marco.
Schrems III podría tener cualquier resultado. Por un lado, la opinión abrumadoramente negativa del Parlamento Europeo sobre el DPF no es el comienzo más prometedor y puede muy bien empujar al Tribunal hacia una postura dura. Por otro lado, la actual tensión internacional debida a la guerra en Ucrania podría empujar al Tribunal en la dirección opuesta y sugerir cierto grado de pragmatismo a la hora de tratar con un aliado estratégico de la UE.
Sabemos que si el DPF fracasa, volveremos al punto de partida. De hecho, las transferencias de datos podrían convertirse en un problema aún mayor después de Schrems III, ya que la aplicación de Schrems II ha cobrado cierto impulso desde 2020 (¡véase la reciente multa de 1.200 millones de euros contra Meta!). Por otra parte, es probable que el Tribunal no derribe el DPF sin dar al Gobierno de EE.UU. y a la Comisión algunas pistas sobre lo que quiere ver a continuación en el marco número cuatro.
En resumidas cuentas, sólo podemos esperar y ver qué pasa. Mientras tanto, las empresas deberían tener a mano un plan B -o al menos un esbozo de plan- por si Schrems III no sale bien.
La mala noticia es que esto es muy difícil para algunos proveedores de servicios. La buena noticia es que es muy fácil para los analistas web. De hecho, no hay necesidad de esperar a Schrems III: ¡muchas empresas pueden beneficiarse de deshacerse de Google Analytics!
Google Analytics es la herramienta de análisis estándar en Internet, pero no es insustituible. Existen muchas alternativas, incluidas las que respetan la privacidad y están basadas en la UE. Y nosotros tenemos la adecuada para usted.
En Simple Analytics creemos que no es necesario realizar un seguimiento agresivo de los visitantes para obtener la información que necesita. Por eso hemos hecho de la privacidad la piedra angular de Simple Analytics.
Nuestros servicios no recopilan datos personales, no toman huellas dactilares de los visitantes y no los rastrean de ninguna manera, a la vez que proporcionan información excelente y son muy fáciles de usar en comparación con la competencia. Si esto le parece bien, ¡pruébenos!