El “Marco de Privacidad de Datos UE-EEUU” es el tercer intento por ordenar la trasferencia de datos entre la Unión Europea y los Estados Unidos. La Comisión Europea ha concluido que “Estados Unidos garantiza un nivel adecuado de protección, comparable al de la Unión Europea, para los datos personales transferidos desde la UE a las empresas estadounidenses en virtud del nuevo marco”.
Entre las adecuaciones que la Comisión Europea ha detallado en una comunicación desde su sitio web oficial, se destacan la limitación del acceso a los datos por parte de los servicios de inteligencia de EEUU “a lo estrictamente necesario y proporcionado para proteger la seguridad nacional” (de los Estados Unidos), y el establecimiento de un Tribunal de Revisión de Protección de Datos, al que los ciudadanos de la UE tendrán acceso en caso de que sus datos sean tratados indebidamente por empresas estadounidenses, con mecanismos independientes y gratuitos de resolución de litigios y arbitraje. Además, si este Tribunal encontrara que los datos se recopilaron en violación de las nuevas protecciones, podrá ordenar la eliminación de los datos, lo que complementará las obligaciones de las empresas estadounidenses sobre la información de los ciudadanos europeos.
“Sobre la base de la nueva decisión de adecuación, los datos personales pueden fluir de forma segura desde la UE a las empresas estadounidenses que participan en el Marco”, asegura la Comisión Europea. Así, las compañías que se unan a este marco de privacidad deberán comprometerse a eliminar datos personales cuando ya no sean necesarios para el propósito para el que fueron recopilados, y garantizar la continuidad de la protección cuando los datos personales se compartan con terceros.
Este nuevo marco legislativo es el resultado de un acuerdo al que llegó la presidenta de la Comisión Europea, Ursula von der Leyen, con el presidente de los EEUU, Joe Biden, el año pasado.
Los antecedentes
El debate por la transferencia de datos entre Europa y Estados Unidos lleva más de 20 años. En el año 2000 se acordó el “Safe Harbour”, que fue anulado por el Tribunal de Justicia de la Unión Europea en 2015. En 2016 se firmó el “Privacy Shield”, que corrió la misma suerte en 2020.
El TJUE ha invalidado estos acuerdos por considerar que posibilitaban injerencias en los derechos fundamentales de ciudadanos europeos cuyos datos se transfieren a EEUU.
Lo que hay detrás de toda esta discusión es que las empresas estadounidenses están obligadas por ley a entregar sus contenidos a las autoridades de EEUU, lo que permite el acceso a los datos de los ciudadanos comunitarios.
Tras el nuevo acuerdo, una próxima impugnación
La ONG austríaca de protección de datos Noyb, quien ha denunciado los dos intentos previos de acuerdo de transferencia de datos transatlántica y ha dado lugar a las consiguientes anulaciones del Tribunal de Justicia de la Unión Europea, adelantó que volverá a llevar este Marco al banquillo.
“No hay ningún cambio sustancial en la ley de vigilancia de EEUU. Las declaraciones de prensa de hoy son casi una copia literal de las de los últimos 23 años. Solo por anunciar que algo sea ‘nuevo’, ‘robusto’ o ‘efectivo’ no es suficiente ante el Tribunal de Justicia. Necesitaríamos cambios en la ley de vigilancia de EE.UU. para que esto funcione, y simplemente no los tenemos", explica Max Schrems, el abogado de la organización de activistas en defensa de la privacidad, desde la web de la ONG.
FISA 702 es el artículo de la Ley de Vigilancia de Inteligencia Extranjera que establece cómo debe Estados Unidos recopilar documentos física y electrónicamente sobre blancos no estadounidenses en su radar de vigilancia que supongan una amenaza para la seguridad nacional. Esto se aplica a todo “proveedor de servicios de comunicaciones electrónicas”, lo que los obliga a revelar datos personales al gobierno de los Estados Unidos.
“En 2013, Edward Snowden reveló que el gobierno de los Estados Unidos utilizó compañías y programas de ‘gran tecnología’ como ‘PRISM’ o ‘Upstream’ bajo FISA 702 y EO 12.333 para espiar al resto del mundo sin la necesidad de una causa probable o aprobación judicial. Esto no se limitaba al crimen o al terrorismo, sino que también incluía el espionaje a los "socios" de los Estados Unidos”, explican desde Noyb.
Y agregan que Estados Unidos no ha reformado la norma FISA 702 para ofrecer suficientes garantías de privacidad a los usuarios no estadounidenses: "EEUU continúa insistiendo en que las personas no estadounidenses no tienen derechos constitucionales en EE.UU., por lo tanto, la violación de su derecho a la privacidad no está cubierta por la Cuarta Enmienda", destaca el comunicado de Noyb.
Mientras tanto, el 90% de los datos europeos se almacena en EEUU, y, con ellos, la soberanía digital europea queda en manos extranjeras. Es decir que, en caso de conflicto geopolítico, la UE no tendría el control sobre los datos de todos sus ciudadanos, sus empresas y sus organizaciones, con las implicancias económicas que esto podría acarrear
Una de las consecuencias recientes de estas normativas
1200 millones de euros es el valor de la multa que la Unión Europea aplicó a Meta por no cumplir con el Reglamento General de Protección de Datos al transferir información personal de ciudadanos europeos a los Estados Unidos. Se trata de la penalización más alta de la historia emitida por este organismo, y se aplicó en mayo de este año, acompañada, además, de la orden de cesar el procesamiento ilegal, incluido el almacenamiento, en los Estados Unidos de datos personales de usuarios europeos transferidos en violación del RGPD.
Andrea Jelinek, presidenta del CEPD, Comité europeo que vela por la aplicación de esta norma, ha calificado esa infracción como “muy grave, ya que se refiere a transferencias que son sistemáticas, repetitivas y continuas. Facebook tiene millones de usuarios en Europa, por lo que el volumen de datos personales transferidos es masivo. La multa sin precedentes es una fuerte señal para las organizaciones de que las infracciones graves tienen consecuencias de largo alcance”.