miércoles, 13 de junio de 2018

El “Privacy Shield” ¿tiene los días contados?

Bajo la lupa de la Unión Europea


El Comité de Libertades Civiles del Parlamento Europeo ha formulado una propuesta de resolución para su aprobación en pleno, en la que pide a la Comisión Europea la suspensión del acuerdo “Privacy Shield” entre la Unión Europea y los EEUU, el acuerdo en vigor desde julio de 2016 en virtud del cual se facilita la transferencia internacional de datos entre ambas zonas (ver nota de prensa).

El Privacy Shield sustituyó al anterior acuerdo existente entre la Unión Europea y los EEUU, denominado “Safe Harbor”, que fue anulado por sentencia del Tribunal de Justicia de la Unión Europea a raíz de una denuncia del ciudadano austríaco Maximillian Schrems ante la agencia de protección de datos de Irlanda.

En el borrador de resolución del Comité de Libertades Civiles, el Parlamento Europeo da de plazo hasta el 1 de septiembre de 2018, recomendando que se suspenda el Privacy Shield en esa fecha si no se acredita que los EEUU cumplen plenamente el Acuerdo internacional, e igualmente recomienda que se mantenga la suspensión en tanto no se acredite ese pleno cumplimiento.

De llevarse a cabo esta resolución, si se verifica la falta de adaptación de EEUU al Privacy Shield, el 1 de septiembre dejarían de ser válidas las transferencias de datos entre la Unión Europea y EEUU basadas en el marco de ese Acuerdo, por lo que numerosas empresas tendrían que cesar en su actividad, si ésta implicara la realización de tales transferencias. Es un escenario muy parecido al que se planteó hace poco más de dos años con la anulación del Safe Harbor por el TJUE, lo que causó numerosos problemas en los negocios transcontinentales.
Esta recomendación, si bien es enormemente preocupante, no resulta sorprendente. La propia sentencia del TJUE sobre el Safe Harbor ya contenía una argumentación que es perfectamente aplicable a la situación actual. En esencia, el TJUE decía que si no existen garantías de que el país de destino en una transferencia internacional respeta los principios y derechos fundamentales de los europeos en materia de protección de datos, tales transferencias no se pueden realizar a ese país. En aquella ocasión se hacía referencia a los accesos generalizados a datos de europeos que realizaban las agencias de investigación americanas, que se habían puesto de manifiesto en los documentos que salieron a la luz a raíz de la mega filtración de Snowden, posibilitando injerencias por parte de las autoridades públicas estadounidenses en los derechos fundamentales de las personas. En el documento que ha salido ahora del Parlamento, esta Institución europea hace referencia a casos recientes como el de Facebook y Cambridge Analytica, señalando que ambas compañías están registradas en el marco del Privacy Shield y ello no ha evitado el mal uso de los datos, de lo que se deduce que ese marco no es suficientemente protector de los derechos de los interesados, porque no permite que las obligaciones de supervisión y control se estén ejercitando de forma adecuada.

Pero no hace falta acudir a casos tan mediáticos para ver que el Privacy Shield ya estaba afectado por serios problemas desde casi sus comienzos. Podemos recordar que, ya en enero de 2017, el entonces recién nombrado Presidente Donald Trump, en la primera Orden Ejecutiva que firmó tras su toma de posesión como primer mandatario de los EEUU, bajo el título de “Aumento de la Seguridad Pública en el Interior de los EEUU” ya decía que “Las Agencias [estatales] deberán asegurar que sus políticas de privacidad excluyan de la protección de la Ley de Privacidad a personas que no sean ciudadanos de los EEUU o residentes legales permanentes en relación con los datos personales, en tanto sea posible de acuerdo con el derecho en vigor” (art. 14). Con esta declaración de intenciones resultaba patente que el contenido del Privacy Shield no casaba bien con tales principios, y algunos ya escribimos en aquel momento que el Privacy Shield estaba herido de muerte.
El documento del Parlamento que ha salido a la luz cita también como un punto de preocupación la reciente aprobación en EEUU de la “Clarifying Lawful Overseas Use of DataAct”, conocida como la “CLOUD Act”, que permite acceder a datos almacenados por empresas americanas cualquiera que sea la ubicación de sus servidores, evitando así la necesidad de acudir a mecanismos de colaboración internacional a través de tratados de cooperación judicial.

Se divisa, por tanto, nuevamente, un difícil horizonte para las transferencias internacionales entre Europa y EEUU. Es cierto que existen otros mecanismos para regularizar transferencias internacionales en el recientemente aplicable ReglamentoGeneral de Protección de Datos de la Unión Europea (RGPD), pero el marco del Privacy Shield era muy cómodo porque evita tener que firmar documentos específicos para cada transacción que se produzca entre partes, facilita el cumplimiento de la obligación de informar y supone un marco estable de transferencias. Veremos si el Parlamento adopta la propuesta de resolución del Comité de Libertades y, en tal caso, qué ocurre de aquí al 1 de septiembre. Dado el escenario político existente no parece que podamos ser demasiado optimistas.