El sector digital europeo, altamente dependiente de las multinacionales tecnológicas estadounidenses, pende desde hace años de un hilo muy fino. Un hilo sobre el que sobrevuelan las tijeras de un regulador local al que la política de bajos impuestos de su país ha hecho recaer un gran poder. Se trata de la agencia irlandesa de protección de datos, que ha decidido cortar. La primera derivada puede ser poner a Facebook e Instagram frente al espejo para saber si iban en serio cuando plantearon abandonar Europa.
El organismo irlandés se ha posicionado sobre las Cláusulas Contractuales Estándar que utiliza Meta (matriz de ambas redes, así como de WhatsApp) para seguir enviando datos personales de los europeos a EEUU a pesar de que dos fallos del Tribunal de Justicia de la UE lo prohíben. Es una decisión que impacta a todo el continente pero que se toma en Dublín porque Meta, al igual que muchas otras tecnológicas, tiene allí su sede por su fiscalidad muy favorable.
La autoridad irlandesa (DPC, por sus siglas en inglés) ha decidido invalidar las transferencias de datos basadas en las citadas Cláusulas, según ha revelado esta semana Politico. Dado que es una decisión que afecta a toda la UE, el DPC debe enviar el borrador de resolución a las agencias de protección de datos de cada país para que se posicionen. Tienen un mes para hacerlo.
“El DPC puede confirmar que hemos presentado un borrador de decisión a las demás autoridades de protección de datos, que tienen un mes para dar su opinión. No podemos comentar el contenido del borrador, ya que el procedimiento sigue en curso”, ha confirmado el organismo a elDiario.es.
En febrero, Meta dejó claro que podría cerrar Facebook e Instagram en Europa si se invalidaban las Cláusulas Contractuales Estándar, el hilo del que pende tanto su negocio como el de muchas otras tecnológicas estadounidenses que operan en el continente.
¿Lo va a hacer? “El borrador aún está sujeto a la revisión de las autoridades europeas de protección de datos”, contesta a este medio una portavoz de la multinacional, que prefiere no contestar antes de que la decisión sea firme. Meta confía en que un acuerdo entre Bruselas y Washington salve su negocio europeo, pero ese acuerdo podría no llegar a tiempo.
¿De dónde viene todo esto?
El pasado mes de febrero una noticia corrió como la pólvora en Europa: Facebook e Instagram podrían salir de la UE si no se les permitía seguir exportando datos de europeos a EEUU. La mecha prendió por una comunicación oficial de Meta al regulador bursátil estadounidense, la SEC, al que las empresas cotizadas del país deben dar detalles de los cambios drásticos que podría sufrir su negocio.
“Si no se adopta un nuevo marco de transferencia transatlántica de datos y no podemos seguir recurriendo a las CCE [Cláusulas Contractuales Estándar] o a otros medios alternativos de transferencia de datos de Europa a Estados Unidos, es probable que no podamos ofrecer varios de nuestros productos y servicios más importantes, como Facebook e Instagram, en Europa, lo que afectaría de forma negativa a nuestro negocio, situación financiera y resultados de las operaciones”, avisaba Meta.
La declaración fue rápidamente interpretada como una amenaza para que la UE relajara sus políticas de privacidad. La situación escaló hasta provocar reacciones de las autoridades comunitarias y del eje franco-alemán, al que el follón pilló en medio de un encuentro de alto nivel. “Viviríamos muy bien sin Facebook”, expresó el ministro de Finanzas galo tras ser preguntado por la red social en rueda de prensa, mientras su homólogo germano asentía.
El incendio provocó que Meta tuviera que emitir un comunicado oficial asegurando que “no es cierto” que su comentario a la SEC fuera “una amenaza”. “No deseamos en absoluto retirarnos de Europa; por supuesto que no. Pero la simple realidad es que Meta, como muchas otras empresas, organizaciones y servicios, depende de las transferencias de datos entre la UE y EEUU para poder operar nuestros servicios globales”, explicó.
La multinacional no quiere irse del continente, pero reveló la clave de por qué podría hacerlo: “Las empresas necesitan normas claras y globales para proteger los flujos de datos transatlánticos a largo plazo y, al igual que otras empresas de un amplio abanico de sectores, estamos vigilando de cerca las posibles repercusiones para los millones de personas y empresas que utilizan nuestros servicios a medida que avanzan estos acontecimientos”.
Los acontecimientos han avanzado y la decisión del regulador de privacidad irlandés, que por entonces aún no se atisbaba en el horizonte, ya ha llegado.
Acuerdo salvavidas que puede no llegar a tiempo
Meta dice que no estaba amenazando con abandonar Europa, pero lo cierto es que su comunicado a la SEC provocó movimientos. Apenas un mes después, Bruselas y Washington acordaban establecer un nuevo tratado para dotar de seguridad jurídica a las transferencias de datos personales de europeos que hacen las tecnológicas estadounidenses hacia su país.
Es el tercero en menos de una década. Los dos anteriores fueron anulados por el Tribunal de Justicia de la UE (TJUE), y los dos por el mismo motivo: la legislación de EEUU permite a sus agencias de seguridad investigar las bases de datos de las tecnológicas sin autorización judicial, lo cual es incompatible con el derecho comunitario.
Tras la anulación del último de esos acuerdos, en 2020, las tecnológicas estadounidenses no detuvieron los envíos, sino que siguieron realizándolos en virtud de las Cláusulas Contractuales Estándar. A su juicio, estos anexos a los contratos de servicios que firman con sus clientes europeos permiten seguir haciendo transferencias de datos, una interpretación que la autoridad de protección de datos irlandesa se dispone a tumbar.
En su comunicación a elDiario.es, Meta recuerda que solo utiliza las Cláusulas por la ausencia de un tratado internacional. “Este es un conflicto entre la legislación de la UE y la de EEUU que está en proceso de resolución. Acogemos con satisfacción el acuerdo entre la UE y los EEUU para un nuevo marco jurídico que permitirá seguir transfiriendo datos a través de las fronteras, y esperamos que este marco nos permita mantener conectadas a las familias, las comunidades y las economías”, añade su portavoz.
El problema de todo esto es que los tiempos podrían no cuadrar. Según comunicó la Comisión Europea, el nuevo tratado no estará listo al menos hasta finales de este año. Pero las agencias europeas de privacidad deben enviar su valoración a Irlanda antes de un mes, a contar a partir de esta semana.
Queda la opción de una tercera vía que parchee la situación unos meses, una posibilidad que Meta también contemplaba en su comunicación a la SEC. Fuentes de la multinacional recalcan a elDiario.es que no son los únicos afectados por esta situación y que si las Cláusulas caen, multitud de servicios digitales en Europa podrían seguirles.
“No estamos solos. Al menos otras 70 empresas de una amplia gama de sectores, incluidas diez empresas europeas, también han planteado los riesgos en torno a las transferencias de datos en sus declaraciones de resultados”, recuerda la empresa.