¿Quién teme a Max Schrems? La UE brega para evitar que vuelva a tumbar el envío de datos personales a EEUU
“Creo que sería más sano no personalizar este debate. Esto no va de Max Schrems contra EEUU o Max Schrems contra la UE. Para nosotros, se trata de crear seguridad jurídica en la protección de datos, y para ello estamos desarrollando normas en consonancia con las exigencias de los tribunales”, aseguraba este lunes el responsable de la Comisión Europea Bruno Gencarelli en un seminario en Madrid centrado en las transferencias de información personal hacia EEUU. El llamamiento ha servido de poco: Schrems era el elefante en la habitación y su nombre sobrevolaba cada debate.
Schrems es un abogado de privacidad austriaco de 35 años. Su fama en las instituciones europeas es merecida: ha conseguido que la justicia tumbe dos acuerdos internacionales para la transferencia de datos personales entre la UE y EEUU. Estos tratados son vitales para las tecnológicas estadounidenses y rigen flujos de información valorados en miles de millones de euros. Gencarelli es el jefe de la unidad de Protección y Flujos Internacionales de Datos de Bruselas y uno de los responsables de la negociación del que será el tercer pacto con EEUU en esta materia. Schrems ha avisado que también lo va a llevar a los tribunales.
“No puedo especular, por supuesto, sobre el desafío legal y lo que dirá el Tribunal de Justicia de la UE en caso de que se presente un nuevo caso ante él”, ha dicho Gencarelli sobre el aviso del austriaco. “Esta vez será un poco diferente a las dos primeras”, confía.
Schrems consiguió que el TJUE invalidara el primer acuerdo de transferencia de datos entre la UE y EEUU en 2015. Elevó la denuncia contra el tratado en 2013, mientras terminaba la carrera de derecho, tras comprobar que las agencias de inteligencia estadounidenses tenían acceso a la información personal de los europeos a través del programa PRISM que sacó a la luz Edward Snowden. El más alto tribunal europeo le dio la razón e invalidó el tratado, llamado Safe Harbour (puerto seguro).
Washington y Bruselas se afanaron en rubricar un nuevo acuerdo que blindara las transferencias de datos, que también son fundamentales para los negocios de innumerables empresas europeas. Tomó forma en el Privacy Shield (escudo de privacidad), que entró en vigor en 2016. Estuvo en vigor cinco años, hasta que el TJUE lo derribó en 2021 a instancias de una nueva denuncia de Schrems por motivos muy similares a los que acabaron con su antecesor. Las leyes estadounidenses permiten que sus agencias de seguridad accedan a las bases de datos de sus tecnológicas, lo que viola los derechos de los ciudadanos europeos, zanjaron los magistrados.
¿Tercera seguida?
Si bien el argumento jurídico fue similar al que acabó con su antecesor, la caída del Privacy Shield fue más grave. El avance de la digitalización ha unido los ecosistemas de datos estadounidense y europeo mucho más profundamente de lo que estaban cinco años antes, con lo que el nuevo varapalo judicial puso en riesgo de cataclismo a todo el sector. El hecho de que la propia Meta, matriz de Facebook o Instagram, haya puesto sobre la mesa la posibilidad de cerrar estas dos redes sociales en Europa es solo uno de los efectos en cadena que podría provocar.
La UE y EEUU negocian un nuevo acuerdo que evite el cisma digital. La primera piedra fue una Orden Ejecutiva firmada por Joe Biden para relajar las leyes de seguridad estadounidenses en lo referente a ciudadanos europeos. No lo suficiente para adaptarse a las normas comunitarias, en opinión de Schrems. “La Comisión Europea vuelve a hacer oídos sordos a la legislación estadounidense, para permitir que se siga espiando a los europeos”, ha denunciado.
El abogado cree que Washington y Bruselas están intentando regatear las imposiciones del TJUE en vez de asumirlas. Uno de los principales ejemplos es el órgano judicial al que deben poder recurrir los europeos para las denuncias sobre el uso de sus datos que se haga en EEUU. El Privacy Shield no planteaba ninguno y fue una de las causas de su invalidación. En el nuevo acuerdo propone que estas cuestiones se encarguen a un “tribunal” especializado, pero el austriaco denuncia que no cuenta con las suficientes garantías.
“Está claro que este ”tribunal“ simplemente no es un tribunal. La Carta [de Derechos Fundamentales de la UE] exige claramente un ”recurso judicial“; el mero hecho de rebautizar a un organismo de reclamaciones como ”tribunal“ no lo convierte en un verdadero tribunal”, avisa Schrems, que también ha criticado otros puntos concretos del nuevo pacto que se está fraguando.
Margen de negociación
La Comisión Europea está ultimando un borrador del nuevo acuerdo que encaje con la Orden Ejecutiva de Biden. En público, todo son alabanzas a Schrems y al “éxito de la democracia” que supone que un ciudadano particular haya podido tumbar no uno sino dos acuerdos internacionales preparados por algunos de los principales expertos en protección de datos de la UE y EEUU. De puertas adentro, Bruselas brega para blindar el texto ante una posible reclamación del abogado. “Una tercera anulación sería un golpe de credibilidad durísimo para la Comisión”, explica un jurista especializado en protección de datos que pide no ser identificado.
Bruselas debe enviar un borrador del acuerdo al regulador europeo de privacidad para que emita su opinión sobre el nuevo pacto. Según lo comentado en el seminario de este lunes, se espera que lo haga de manera inminente. Fuentes de este organismo explican a elDiario.es que “esto es una negociación” y que la posibilidad de que las concesiones de Biden no sean consideradas suficientes está sobre la mesa.
No obstante, también lo está la sensación de urgencia derivada de la inseguridad jurídica en la que se están efectuando las transferencias de datos de un lado a otro del Atlántico. La salida de información personal de los europeos no se ha detenido, sino que se sostiene sobre otra figura jurídica llamada “cláusulas contractuales estándar”. Se trata de parches temporales para evitar cortar el flujo comercial basado en los datos que Schrems también ha denunciado.
Agencias de protección de datos de toda Europa, incluida la española, están resolviendo en este momento las más de un centenar de reclamaciones que el austriaco elevó tras comprobar que las compañías recurrían a estas cláusulas para continuar enviando datos a EEUU. Todas las grandes tecnológicas están afectadas. La Comisión Europea está enturbiando las aguas emitiendo nuevas herramientas de transferencia“ —ha acusado el abogado— ”que eluden cuidadosamente una opinión clara sobre las transferencias entre la UE y EEUU y permiten a los abogados de la industria seguir hilando nuevas teorías de cumplimiento y evitar soluciones a largo plazo“. Si el acuerdo no llega antes que esas resoluciones, las agencias europeas podrían obligar a las tecnológicas a dejar todos los datos de los europeos en Europa o dejar el continente de inmediato, algo que por ejemplo Facebook e Instagram han avisado que no harían.
21