Leonardo Cervera: “Es lamentable la falta de resoluciones contra grandes tecnológicas”
La UE tiene en la privacidad su caballo de batalla para controlar la actividad de las multinacionales tecnológicas de EEUU. El Reglamento General de Protección de Datos (RGPD) convirtió al bloque en uno de los espacios más garantistas del mundo, pero casi cinco años después de su entrada en vigor, empiezan a vérsele algunas costuras. Una de ellas es el papel de Irlanda, quien debe comandar las investigaciones de privacidad contra estas corporaciones ya que la mayoría de ellas tienen allí su sede europea gracias a los beneficios fiscales que les ofrece. Que Dublín ha mostrado poca predisposición a ser expeditiva no es un secreto para nadie. “No está invirtiendo lo suficiente y afecta a la credibilidad de todo el sistema”, lamenta Leonardo Cervera, director del Supervisor Europeo de Protección de Datos.
En esta entrevista, Cervera adelanta que ya se están haciendo movimientos para intentar deshacer el tapón irlandés. También analiza la peliaguda posición de las transferencias de datos personales hacia EEUU: Max Schrems, el abogado austríaco que ha tumbado los dos tratados internacionales que regulaban esos envíos ha anunciado que denunciará también el nuevo acuerdo entre Bruselas y Washington si se ratifica en los términos anunciados. Todo el sistema para compartir datos, clave para el negocio de miles de empresas europeas y para las tecnológicas estadounidenses, cuelga de un hilo.
Las transferencias de datos personales entre la UE y EEUU se consideran clave para el negocio digital de ambos bloques. ¿En qué punto está el nuevo acuerdo de transferencia de datos con EEUU?
El punto de partida es una sentencia del Tribunal de Justicia del año 2020 que declaró nulo el acuerdo firmado entre la Unión Europea y Estados Unidos para las transferencias de datos. En octubre EEUU aprobó una orden ejecutiva mediante la cual refuerza algunos de los puntos que las sentencias del Tribunal de Justicia Europeo consideraban insuficientes de ese acuerdo. Ahora es la Comisión Europea quien tiene que valorar esa Orden Ejecutiva estadounidense y decidir si se puede considerar o no a los Estados Unidos un lugar seguro para mandar los datos de los europeos. En el proceso se consulta también a las autoridades nacionales y al Comité Europeo de Protección de Datos. La perspectiva es que, si todo va bien, para la próxima primavera entrará en vigor ese nuevo acuerdo con los Estados Unidos para que los datos puedan fluir libremente.
¿La UE tiene margen de movimiento para pedir más a Joe Biden? ¿O es un 'lo tomas o lo dejas'?
Esto es una negociación que lleva ya bastante tiempo. No es una imposición por parte de los Estados Unidos. Ahora lo que hace la Comisión Europea es poner un borrador sobre la mesa del Comité Europeo de Protección de Datos. El Comité, así como el Supervisor Europeo de Protección de Datos, haremos comentarios. Esos comentarios se incorporarán y es posible que haya cambios tanto en el borrador de la Comisión como en el acuerdo final que se haga con los Estados Unidos. Hay cierto margen porque son negociaciones internacionales, aunque claro, le mentiría si dijera que el margen es enorme. Estamos hablando de Estados Unidos, la primera potencia mundial, y estamos hablando de la relación transatlántica, que es de más de 7 billones de euros, por lo que este es un tema muy serio. Pero sí, hay cierto margen.
Max Schrems, autor de las denuncias que tumbaron los dos tratados anteriores, ha avisado que denunciará este también si se consuma en los términos que proponer la Orden Ejecutiva de Biden. ¿Qué le parece?
Lo primero es la admiración que todos los profesionales de la protección de datos tenemos hacia este señor. Con su insistencia ha demostrado que vivimos en una democracia y que el Estado de Derecho funciona en la Unión Europea. Es decir, que un ciudadano insignificante, simplemente invocando la ley, puede conseguir anular un acuerdo que tiene implicaciones geopolíticas enormes. Eso es una magnífica noticia y que Max Schrems haya anunciado que lo va a volver a llevar al tribunal también lo es, porque significa que este señor es libre de hacer lo que quiera y de llevar el tema al Tribunal de Justicia de la UE las veces que quiera. Pero él es una de las muchas voces que hay sobre este tema. Hay que escuchar con igual respeto lo que tengan que decir otras personas y que no necesariamente lo que diga Max Schrems es la verdad absoluta. Ha conseguido tumbar los acuerdos en un par de ocasiones, pero vamos a mirar ahora con tranquilidad lo que dice esa Orden Ejecutiva, vamos a ver lo que dicen las autoridades nacionales y vamos a ver lo que dice el Tribunal de Justicia de la UE.
El principal motivo de que se tumbaran los dos anteriores acuerdos (y que Schrems dice que la Orden Ejecutiva no arregla) es la posibilidad de que las agencias de inteligencia de EEUU accedan a datos personales de los europeos sin control judicial. ¿El borrador lo corrige?
Este tema es muy complejo técnicamente. Por una parte están los requisitos de la seguridad nacional y por la otra, un derecho fundamental, que es la protección de datos personales y la privacidad. La Orden Ejecutiva lo que hace es, por primera vez en la historia de los Estados Unidos, limitar el alcance de las actividades de inteligencia. Y dice claramente que todas estas actividades estarán sujetas a los principios de necesidad y proporcionalidad, que son los pilares básicos sobre los que se construye el Reglamento General de Protección de Datos Europeo (RGPD). Son palabras, pero tiene un calado muy importante. Claro, si le pregunta a Max Schrems, seguramente le va a decir que está muy desequilibrado hacia la seguridad nacional. Si le pregunta al CNI español, probablemente le diga lo contrario. Son intereses diferentes. Yo valoro muy positivamente el esfuerzo que han hecho los Estados Unidos y creo que hay que hacer todo lo posible para que nuestros sistemas converjan. Somos dos democracias y es mucho lo que nos jugamos. Por supuesto, también es un tema legal y será el Tribunal de Justicia que dictamine si esto no es no compatible con nuestro derecho.
La Orden Ejecutiva de Biden limita el alcance de las actividades de inteligencia por primera vez en la historia de EEUU
En 2023 se cumplirán cinco años desde que el RGPD entró en vigor. Ha sido una normativa alabada pero que ha chocado con el papel de Irlanda, que es a menudo criticada por no actuar con la rapidez y severidad que debería. ¿Qué le parecen estas críticas?
Lo primero es que me gustaría expresar mi máximo respeto por el trabajo que hacen los compañeros de la autoridad irlandesa de protección de datos. Ellos hacen todo lo que pueden hacer con los recursos que tienen. Un problema que tienen y que ellos mismos han denunciado es que no tienen suficientes recursos para lidiar con todos estos temas tan complejos con la celeridad que les gustaría. Es algo objetivo: se pueden ver las estadísticas y comparar el número de casos de importancia que tienen y el número de empleados que hay en la oficina. Quizá no habría que mirar tanto a los compañeros de la agencia como al gobierno irlandés, que no está invirtiendo lo suficiente en una autoridad que es clave para el funcionamiento del Reglamento.
Quizá no habría que mirar tanto a los compañeros de la agencia como al gobierno irlandés, que no está invirtiendo lo suficiente en una autoridad que es clave para el funcionamiento del Reglamento
Lo segundo que hay que tener en cuenta es que estamos ante los primeros casos en los que se aplica el Reglamento General de Protección de Datos a estas grandes corporaciones tecnológicas. Entonces se comprende que se vaya con cuidado. Imagínese si se empiezan a tomar decisiones y luego viene el Tribunal de Justicia de la UE y las anula. Estaríamos peor de lo que estábamos. Tienen que ser cuidadosos porque saben que estas grandes corporaciones van a recurrir las multas que les pongan y además con abogados muy buenos.
Habiendo dicho todo eso, yo tengo que lamentar que a día de hoy no haya habido un buen número de resoluciones, que no culpo necesariamente a la autoridad irlandesa, que creo que tiene buenas justificaciones para ello. Pero es lamentable la falta de más resoluciones porque esto afecta a la credibilidad del sistema. Entonces, algo hay que hacer para que esto mejore, sin culpar a la autoridad irlandesa, pero el sistema tiene que funcionar bien y ellos son una parte muy importante de ese engranaje.
¿Se está preparando algún cambio para impedir que un solo país tenga tanto peso en la defensa de la privacidad de los ciudadanos de toda la UE?
Efectivamente, ha puesto el dedo en la llaga. Hay que hacer algo. Una de las opciones es centralizar un poco las decisiones. No necesariamente centralizar en Bruselas, que ya sabemos que tiene esa sospecha de burocratización. Pero sí en un organismo a nivel europeo con participación de las autoridades nacionales y con suficientes recursos para mirar cara a cara a esas tecnológicas y llevarlas al cumplimiento de la ley. Igual que existe a día de hoy en la Unión Europea con el derecho de la competencia, cuyos procesos no los decide la autoridad de competencia española o la austriaca o la irlandesa, sino un un organismo central. Hay varios modelos posibles, pero lo que parece claro es que se tiene que producir algún cambio.
Una de las decisiones más importantes son las Cláusulas Contractuales, el mecanismo del que penden las transferencias de datos después de que Schrems tumbara el último tratado con EEUU. La decisión se está retrasando mucho y, pensando mal, podría parecer que se quiere hacer coincidir con el nuevo acuerdo con EEUU para que no cambie nada si se anulan.
Claro, pero eso es pensando mal [ríe]. Yo no quiero pensar mal. Yo quiero pensar que los compañeros irlandeses, como he explicado, tienen los recursos que tienen. Y tienen unos abogados muy fuertes en frente. De todas formas, esto va a salir pronto. Está ya, digamos, en las cocinas del Comité Europeo de Protección de Datos y va a salir en los próximos meses.
Las Cláusulas Contractuales han sido una herramienta útil pero a mí me gustaría mirar un poco más allá: hay que animar a Estados Unidos y los demás países a que se acerquen a nuestros estándares, que no son unos estándares caprichosos sino el resultado de décadas de trabajo y de reflexionar cómo se gestiona bien la información personal en las redes y por medio de las empresas. Hay que hacer un equilibrio entre las necesidades del comercio y ciertas líneas rojas que si se pasan, se empieza a poner en peligro la seguridad y la dignidad de las personas. Los europeos hemos hecho ya este trabajo, no hace falta reinventar la rueda. Es necesario que otros países tomen inspiración de lo que hemos hecho nosotros y se acerquen un poco a nuestro sistema. Hay que tener altura de miras, porque si nos vamos a un enfoque demasiado legalista, pues claro, todo son problemas. Pero eso pasa con todo. En una reunión de comunidad de propietarios también, si empecemos a ponernos legalistas, no habrá manera de avanzar en nada.
Hay que animar a EEUU y los demás países a que se acerquen a nuestros estándares, que no son caprichosos sino el resultado de décadas de trabajo
Hablando de ponerse demasiado legalistas. No pocos juristas especializados en protección de datos afirman que los tratados no son el problema, sino que el problema son los modelos de negocio de estas grandes tecnológicas, que son totalmente incompatibles con el derecho europeo. ¿Qué opina?
Hay algo de verdad en eso, porque estas grandes compañías tecnológicas han nacido y han florecido en los Estados Unidos, donde durante muchísimo tiempo ha habido barra libre en el tratamiento de los datos personales con fines comerciales. Cuando sus ingenieros desarrollan esas herramientas no lo hacen pensando en la legislación, como sí lo hacen por ejemplo los ingenieros de empresas europeas.
Es cierto que ahí hay un problema. Pero también lo que hay muchas veces es falta de voluntad, porque la propia tecnología les sirve a estas grandes empresas para solucionar esos problemas, con mecanismos como la encriptación, como la privacidad por diseño. Hay un montón de cosas que pueden desarrollar y que no hacen porque ven un coste añadido respecto a otros territorios donde no les obligan a hacer lo mismo. El trabajo de los gobiernos y de las autoridades de protección de datos es recordarles que tienen una obligación legal más allá de los beneficios y en eso estamos, pero con pragmatismo.
Cuando se aprobó el tema del RGPD se hizo mucho hincapié en el tema de las multas y que estas iban a ser muy dolorosas para las grandes tecnológicas, incentivándolas a cambiar su forma de hacer las cosas. ¿Cree que está siendo así?
Es otro dedo en la llaga. A mí me gusta mucho la capacidad de interponer multas importantes que incluye el Reglamento, me parece que es un gesto del legislador europeo de que se toma muy en serio la protección de datos, lo que es de aplaudir. Para determinados actores, como una clínica médica por ejemplo, las multas que se establecen son disuasorias. Cuesta mucho más dinero hacerlo mal que adecuarse a la ley desde un principio. Pero luego, que le pongan 25 millones de euros de multa a Instagram… pues parece que no está siendo un factor decisivo para que cambie su forma de proceder, aunque implique un daño reputacional.
No, eso no les duele. Lo que posiblemente le duele a una tecnológica es una orden ejecutiva de la autoridad competente diciendo “tiene usted tres meses para corregir A, B y C. Si transcurridos tres meses no ha corregido A, B y C, quedarán suspendidos los tratamientos de datos personales”. Eso es lo que duele y eso es lo que yo echo en falta en la ejecución del Reglamento hoy en día. Estamos viendo cosas horrorosas que están pasando en algunas plataformas que afectan a niños y adolescentes y no veo actuaciones de ese estilo, de decir “tiene usted tres meses para verificar que no hay ningún menor de 14 años en su red”. Eso es bastante más importante que poner una multa, que llega cuando ya han pasado varios años, que luego se recurre y que vaya usted a saber si al final no se tumba porque ha habido algún defecto en el procedimiento.
En los últimos meses ha habido países europeos que se han movido en esa línea. Francia, Alemania y Dinamarca han ordenado sacar las herramientas de Google y Microsoft de las escuelas, por ejemplo. ¿Qué le parece?
Creo que hay que ser realistas. Más que sacar, yo creo que lo que hay que hacer es lo que decíamos antes. Si hay un problema con esta herramienta de Microsoft, pues hay que decirle a Microsoft que lo arregle. “Mantenga los datos de los menores en Europa en todo momento y aplique las salvaguardas que correspondan, y después demuestre que las ha aplicado”. Cuando una empresa como Microsoft recibe una resolución como esa, lo que va a hacer es adecuar sus procedimientos, porque es una vía en la que todos ganan. Ellos pueden seguir con su actividad sin poner en riesgo la privacidad de los jóvenes y nosotros podemos seguir beneficiándonos de esos productos que son buenos y están muy bien construidos.
Por eso pienso que hay que ser un poco pragmático con estas cosas, huir de los extremismos. Yo he trabajado muchos años con los responsables de estas empresas y verdaderamente se toman muy en serio la privacidad, no viven en un vacío. Hay que ayudar a los que cooperan y a los que no, pues sí, enseñarles un poquito la vara y avisarles de que si no lo hacen, a las autoridades no les quedará más remedio que obligarlos a que cierren el servicio temporalmente hasta que lo arreglen.
2