El caso Schrems: la privacidad contra la vigilancia masiva

El pasado 6 de octubre el Tribunal de Justicia de la Unión Europea dictaba una sentencia emblemática que marcará un antes y un después tanto en la jurisprudencia de protección de datos en Europa como en las relaciones con Estados Unidos. Este pronunciamiento supone un hito porque anula la Decisión del año 2000 sobre los principios de “puerto seguro”. Mediante esta norma, la Comisión Europea reconocía que las transferencias de datos a las empresas de Estados Unidos adheridas voluntariamente a dichos principios - y entre las que se encuentran titanes tecnológicos como Facebook, Amazon, Google o Twitter - tenía un nivel “adecuado” de protección.

Los perdedores de este fallo judicial tienen nombre propio: la Comisión Europea y los Estados Unidos. La legitimidad del ejecutivo comunitario ha sufrido un duro varapalo. El Tribunal le reprocha que no llevara a cabo su obligación de comprobar si Estados Unidos garantizaba un nivel de protección de los derechos “sustancialmente equivalente” al asegurado en la Unión. No olvidemos que la Comisión había seguido defendiendo la Decisión de “puerto seguro” incluso tras las revelaciones de Snowden en 2013, ignorando la petición específica del Parlamento Europeo de suspender tal normativa. Tan sólo se limitó a realizar trece recomendaciones, permitiendo que el sistema siguiera funcionando, ajeno al supuesto espionaje masivo que la National Security Agency (“NSA”) realiza sobre los ciudadanos europeos.

El segundo perjudicado por la decisión judicial es Estados Unidos, cuyo sistema de protección de datos no está a la altura de lo que el Tribunal europeo considera necesario para proteger la privacidad de los ciudadanos europeos. Quizás es algo que ya sospechábamos y esta sentencia no hace más que confirmar esos temores. Las empresas estadounidenses adheridas al sistema de “puerto seguro” resultan obviamente damnificadas por este pronunciamiento. No obstante, como señalaron los comisarios Frans Timmermans y Věra Jourová en la rueda de prensa inmediatamente posterior a la publicación de la sentencia, existen otras vías legales para que las corporaciones puedan seguir transfiriendo los datos a través del Atlántico. Lo que no es tan evidente es cómo afectará el fallo judicial a las relaciones comerciales entre ambas orillas del océano, y más concretamente, al polémico Tratado de Asociación Transatlántica de Comercio e Inversión (más conocido por sus siglas en inglés “TTIP”). Si bien este tratado excluye la regulación de la protección de datos de su ámbito material, puede tener implicaciones indirectas en términos de legitimidad y de confianza en Estados Unidos como socio.

La Casa Blanca se apresuró a declarar, nada más conocerse la sentencia, su “profunda decepción”, a la vez que la Comisión Europea manifestaba la intención de seguir las conversaciones con Estados Unidos para alcanzar un acuerdo “renovado y seguro”. Debemos tener muy presente que la legislación de aquél país permite que el derecho a la privacidad de los ciudadanos se vea limitado por cuestiones de “seguridad nacional, interés público o cumplimiento de la ley”. En este sentido, el Tribunal señala dos fallas importantes en la normativa relativa al “puerto seguro”. Una es la ausencia de reglas en Estados Unidos que limiten las posibles injerencias en los derechos fundamentales de las personas cuyos datos se transfirieran desde la Unión hacia su territorio. La segunda es la falta de una protección jurídica eficaz contra intrusiones de esa naturaleza, es decir, los ciudadanos no disponen de vías jurídicas en aquél país que les permitan acceder a los datos que les conciernen y conseguir, en su caso, su rectificación o supresión.

Por tanto, mientras la normativa estadounidense tenga esos dos “defectos”, ningún acuerdo transatlántico que sustituya a la Decisión de “puerto seguro” podrá proteger los derechos de privacidad de los ciudadanos europeos, tal y como los concibe el Tribunal de la Unión. A diferencia de Estados Unidos, que no está obligado a cambiar su legislación, la Comisión sí debe respetar la normativa europea y velar por los derechos de sus ciudadanos. Así, la solución no parece tan sencilla como sentarse en una mesa de negociación, si no que - si se pretende lograr un acuerdo duradero que no sea abatido judicialmente de nuevo - deben tenerse en cuenta las exigencias establecidas por el Tribunal de Luxemburgo.

Por último, conviene destacar que Max Scherms, el joven abogado que comenzó esta batalla jurídica, no se limitó a presentar reclamaciones ante distintas autoridades de protección de datos sino que además creó una plataforma, “Europa contra Facebook” donde ha ido informando sobre su activismo judicial a favor del derecho a la privacidad. Tanto por el objeto del litigio como por las formas mediante las cuales Scherms se ha dado a conocer, da la sensación de que hemos asistido a una auténtica cruzada digital del siglo XXI. O quizás estamos viviendo un 1984 al más puro estilo “orwelliano”, en el que Scherms ha vencido, por una vez, al “Gran Hermano”. Lo que está claro es que este jurista austríaco ha hecho historia, con la complicidad del Tribunal de Justicia. En esta época de – comprensible - desafección de los ciudadanos hacia la Unión Europea, el enfoque garantista de su máximo órgano jurisdiccional no es una victoria menor. Incluso desacreditando a la propia Comisión, el Tribunal ha primado la protección de los derechos fundamentales sobre cualquier otra consideración. Sólo esperamos que esta tendencia jurisprudencial continúe, y se mantenga impermeable a cualquier negociación política que pretenda situar otros intereses por encima de los derechos de los ciudadanos.