Transferencias internacionales de datos UE-USA
Estados Unidos y la Unión Europea han anunciado recientemente haber alcanzado un nuevo acuerdo, el Trans-Atlantic Data Framework, que pretende proporcionar un nivel de protección adecuado a los datos personales de ciudadanos europeos en el marco de las transferencias internacionales de datos.
Sin embargo, este no es el primer intento de regular las transferencias internacionales de datos con Estados Unidos. Hay una historia profunda (y bastante turbulenta) detrás de las transferencias internacionales de datos entre la Unión Europea y Estados Unidos, que ha tenido definitivamente un gran impacto en el nuevo acuerdo.
Un nuevo acuerdo y una historia turbulenta
Es oficial, la Comisión Europea y los Estados Unidos han anunciado haber llegado finalmente a un acuerdo para establecer un Marco de Privacidad y Protección de Datos, que recibe el nombre de Trans-Atlantic Data Privacy Framework.
El desarrollo económico, la aparición de nuevas formas de comunicación o las relaciones comerciales, todo ello comienza y desemboca en un mismo sitio: los datos personales. Que las empresas necesitan transferir datos entre diferentes países para desarrollar sus actividades es una realidad cada vez más contundente, y los países necesitan un marco legal global que les permita hacerlo de manera segura.
Ejemplos como Meta y sus dificultades para desarrollar sus actividades en Europa ponen de manifiesto que no estamos ante una cuestión sencilla o con poca trascendencia.
En Febrero de 2022, Markus Renish, Vicepresidente de Políticas Públicas en Europa de Meta, aclaraba que en “ningún momento” se plantearon salir de Europa ni “amenazaron” con irse. La realidad para Meta y para otras muchas empresas desde su punto de vista, es que se basan en las transferencias internacionales de datos entre Europa y Estados Unidos para poder operar de manera global, y no solamente ellos, sino empresas alrededor de todo el mundo.
La necesidad de establecer un marco claro y seguro para transferir datos entre ambos territorios se hacía cada vez más necesaria, y todo ello pone de manifiesto que las transferencias internacionales de datos son algo clave en nuestro tiempo, en nuestra vida diaria, en los servicios que usamos día a día.
Sin embargo, la historia para llegar hasta aquí no ha sido nada simple, sino todo lo contrario. Invalidaciones, largas negociaciones, parones, conflictos constantes entre las leyes de ambos países. En definitiva, una historia muy turbulenta.
Pero ¿por qué es tan complejo transferir datos fuera de la Unión Europea? ¿Cómo hemos llegado hasta aquí? ¿Qué pasado hemos tenido que superar para alcanzar el nuevo acuerdo?
Vamos a hacer un viaje en el tiempo bastante agitado para dar respuesta a todas estas preguntas, en lo que ha venido pareciendo una historia interminable entre ambos.
Antecedentes históricos entre EEUU y EU: el camino hacia el nuevo acuerdo y próximos pasos
Antes de que entrara en vigor el causante de muchas de las negociaciones, el Reglamento General de Protección de Datos (RGPD), el primer antecedente que tenemos que nombrar es el Acuerdo “Safe Harbor” del año 2000, que permitía a las empresas estadounidenses llevar a cabo transferencias internacionales de datos de una manera sencilla y legítima (aparentemente).
En Europa la Directiva 95/46/CE venía estableciendo que únicamente se podrían transferir datos personales a aquellos países fuera de la Unión Europea que ofrezcan un nivel adecuado de protección.
En este contexto, todo fluía de manera armoniosa y los datos viajaban “seguros” a compañías estadounidenses, en un marco ideal y protegido sin ningún tipo de riesgo, que respetaba en todo momento los derechos de los ciudadanos europeos.
Pero ¿era realmente así? La respuesta es un rotundo no. Todo resultaba ser una falsa apariencia de seguridad.
El “Caso Snowden” pondría más tarde de manifiesto que no se estaban garantizando los principios y las garantías de protección de los datos personales de ciudadanos europeos en estas transferencias, y revelaría las primeras sospechas de una “vigilancia masiva”.
Max Schrems ganaría más tarde un juicio decisivo en la historia de las transferencias contra el gigante estadounidense Facebook.
Schrems emprendió una batalla legal contra un gigante como Facebook, lo que nos llevaría a una de las decisiones más importantes en materia de privacidad de los últimos años. Schrems decía (dadas las revelaciones hechas por Snowden), que existían sospechas de vigilancia masiva de los servicios de información Estadounidenses y que no se garantiza por tanto, el idealizado “nivel de protección adecuado”.
El Tribunal de Justicia de la Unión Europea dictaría en 2015 sentencia del que sería conocido como “Schrems I”, dadas las importantes quiebras en la seguridad de los datos personales que se estaban produciendo por parte de Estados Unidos.
Todo esto tendría como amargo final la declaración de invalidez del acuerdo “Safe Harbor” por parte del TJUE.
Pero nuestra turbulenta historia no acaba aquí.
La sentencia del TJUE daría lugar a nuevas negociaciones para solucionar este tropiezo en las transferencias internacionales de datos, que nos llevarían a un nuevo acuerdo, el “Escudo de Privacidad”. que venía a asegurar la protección de los ciudadanos europeos, a cumplir con los requisitos que imponía Schrems I, y que limitaba cualquier tipo de injerencia de las autoridades públicas estadounidenses en los derechos fundamentales de las personas a los estrictamente necesarios para lograr los objetivos legítimos en cuestión.
Poco tuvimos que esperar (cuatro años) para que el Tribunal de Justicia de la Unión Europea invalidara el Escudo de Privacidad, en otra sentencia crucial conocida como “Schrems II”.
Schrems pondría de manifiesto la invalidez del Escudo de Privacidad, donde se pudo ver su choque directo con el Reglamento General de Protección de Datos. Por su parte, Facebook trataría de argumentar que otros instrumentos eran válidos para las transferencias internacionales de datos (conceptos como las Cláusulas Contractuales Tipo o las Normas Corporativas Vinculantes).
Pero el TJUE no cedió ante los argumentos esgrimidos por Facebook, y se mostró a favor de Schrems una vez más, anulando por tanto el Escudo de Privacidad.
Toda esta agitada historia desemboca en el Trans-Atlantic Data Privacy Framework, un nuevo hito en esta batalla por conseguir un marco efectivo de protección de los datos personales, y una nueva oportunidad de conseguir finalmente un espacio donde puedan realizarse de manera legítima, segura y respetuosa transferencias internacionales de datos entre estos dos territorios.
Aún nos queda por ver y comprobar cómo se materializará este acuerdo y si finalmente, se posicionará como una relación duradera y estable que permita las transferencias seguras de datos personales, que permita una necesaria cooperación económica y competitiva para las empresas de manera global.
No Comments