Olalla Llauradó González
Responsble del Departament de Protecció de Dades de Balañà & Eguia
La protección de datos personales es un área en la que había una relativa calma normativa en los últimos tiempos, pero muy recientemente se ha producido un movimiento político-jurídico que, de culminar con éxito, podría tener gran trascendencia internacional: el pasado 25 de marzo, Ursula von der Leyen, presidenta de la Comisión Europea y Joe Biden, presidente de los Estados Unidos, hicieron público un acuerdo para la transferencia de datos entre empresas europeas y estadounidenses. Esto supone una potencial mejora en el movimiento de datos entre corporaciones a uno y otro lado del Atlántico, que lleva años intentando fraguarse con más fracasos que éxitos.
La transferencia de datos personales es un tipo de tratamiento de este tipo de información, previsto en el "Reglamento (UE) 2016/679 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos" (en adelante RGPD), que supone enviar información a empresas e instituciones fuera del territorio comunitario y que, por lo tanto, requiere garantías específicas de cumplimiento mínimo.
De entrada, esto parece algo remoto, pero muchas empresas usan servicios que implican una transferencia de datos, como pueden ser, programas de envío de correos electrónicos, servicios de Google para comprobar la analítica de la página web, almacenamientos en la nube y herramientas de envío de archivos. Muchas empresas no son conscientes de que el uso de las herramientas enumeradas puede suponer una sanción. Convine recordar que las empresas son responsables de garantizar la seguridad de los datos de sus clientes y trabajadores, por lo que no se trata de un asunto trivial.
Las transferencias internacionales de datos entre la UE y EE. UU.
El primer momento en que se estandarizaron las transferencias internacionales de datos personales entre empresas europeas y estadounidenses llegó con el acuerdo "Safe Harbor" en 1999. Fue desarrollado por el Departamento de Comercio de Estados Unidos y la Comisión Europea, y fijaba los principios para que las empresas americanas estuviesen certificadas en el tratamiento de datos de ciudadanos europeos. Gracias a dicha certificación, las compañías estadounidenses podían garantizar el cumplimiento de la ya derogada Directiva 95/46/UE (de la que surgió la española Ley Orgánica 15/1999 del 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD)) y, por lo tanto, les era posible tratar datos de ciudadanos de la Unión Europea, ya que acreditaban el cumplimiento necesario equivalente.
Mediante el "Safe Harbor", se consiguió fomentar los negocios, especialmente aquellos de mercadotecnia y publicidad, sin que fuera necesaria la autorización expresa para el tratamiento de los datos ni contratos o acuerdos bilaterales. Ahora bien, el 6 de octubre de 2015, tras la publicación de una Sentencia del Tribunal de Justicia de la Unión Europea (TJUE), el acuerdo fue invalidado.
Con la intención de salvar esa situación, el 12 de julio de 2016 la Comisión Europea aprueba, mediante la Decisión 2016/1250, el nuevo acuerdo propuesto por el Departamento de Comercio de Estados Unidos llamado "Privacy Shield". Volvemos a un período en que el envío de datos entre empresas europeas y norteamericanas están avaladas por ese acuerdo, pero de nuevo, una Sentencia de TJUE del 16 de Julio de 2020, considera que este nuevo modelo tampoco garantiza los estándares europeos. Por ello, desde 2020 no se permite enviar datos personales a una empresa que tenga los servidores en Estados Unidos salvo que se cuente con la autorización expresa de la persona o entidad interesada.
Esta segunda decisión europea consideró que la legislación federal estadounidense de Seguridad Nacional, la cual permite que la NSA y el FBI puedan acceder a los datos de los servidores de cualquier empresa radicada en Estados Unidos, impacta en los derechos de los ciudadanos europeos. Eso significa que, de facto, ninguna empresa estadounidense puede garantizar que esas posibles intromisiones de las agencias federales en sus servidores no vayan a suceder y, por lo tanto, tampoco puede garantizar los estándares de seguridad europeos.
¿Por qué es importante este nuevo acuerdo?
Este nuevo acuerdo del 25 de marzo parece estar todavía en una fase inicial, ya que se ha declarado que hay unas líneas de trabajo, pero todavía no componen un texto legal. Aunque, según un comunicado de la Comisión, "el nuevo marco supone un compromiso sin precedentes por parte de EE.UU. para aplicar reformas que refuercen la privacidad y las libertades civiles aplicables a las actividades de inteligencia de EE.UU". Además, Joe Biden aseguró que este acuerdo permitirá "facilitar unas relaciones económicas de 7,1 billones de dólares (6,4 billones de euros)", que es la cifra de negocio que, según el Instituto Europeo de la University College London, generaba el negocio digital bajo el paraguas del Privacy Shield. Dicha institución señaló en un paper que, del negocio generado bajo el citado acuerdo, el 65% suponía directamente beneficios para PYMES y empresas de nueva creación.
En caso de que finalmente el acuerdo llegue a aplicarse, supondrá la posibilidad de que cualquier empresa europea pueda contratar servicios con plataformas estadounidenses acreditadas, lo que facilitará el uso de herramientas tecnológicas, manteniendo la garantía de los estándares de seguridad que la UE marca como básicos y sin exponerse con ello a un incumplimiento normativo y la sanción que conlleva.
Esperemos que así sea, ya que desde que el Privacy Shield perdió su vigencia, se ha limitado la capacidad de las empresas europeas para contratar proveedores estadounidenses, especialmente en el sector digital, lo que supone dar la espalda a las principales corporaciones que ofertan servicios necesarios para un mundo empresarial cada vez más globalizado.