¿Qué hay tras la “amenaza” de retirar Facebook e Instagram de Europa?

Esta semana nos hemos hecho eco de la información que señala que Meta podría retirar Facebook e Instagram de Europa si la UE sigue poniendo trabas a la transferencia de datos con Estados Unidos.

“No podemos ofrecer en Europa una serie de nuestros productos y servicios más importantes, incluidos Facebook e Instagram, o estamos limitados en nuestras operaciones comerciales, como resultado de que los reguladores, tribunales u organismos legislativos europeos determinen que nuestra confianza en las Cláusulas Contractuales Estándar (SCC) u otras bases legales en las que confiamos para transferir datos de usuarios de la Unión Europea a los Estados Unidos no es válida”, señala el grupo creado por Mark Zuckerberg en el informe anual presentado a la Securities and Exchanges Commission (SEC).

Ante el revuelo que ha desatado esta afirmación, Meta se ha visto obligada a matizar sus palabras. “Meta no amenaza en absoluto con irse de Europa”, titula el grupo el comunicado emitido para aclarar esta situación. En el mismo, la compañía explica que no se trata de una “amenaza”, como han titulado la mayoría de los medios de comunicación. Meta señala que la incertidumbre sobre los mecanismos de transferencia de datos entre la UE y Estados Unidos es uno de los posibles riesgos que afronta su negocio, que deben ser especificados en los informes que deben presentar a la SEC las sociedades cotizadas.

Sin embargo, esta situación no es nueva. Facebook ya planteó la posibilidad de dejar el Viejo Continente en septiembre de 2020, un par de meses después de que el Tribunal de Justicia de la UE dictase una sentencia en contra de la transferencia internacional de datos a EE.UU., en virtud del acuerdo ‘Privacy Shield’. De hecho, este riesgo ya se había apuntado en los informes del primer, segundo y tercer trimestre de 2021.

“Meta, como otras tecnológicas, depende totalmente de la comunicación de datos transfronterizos. Sin dicho flujo no podría operar. Así que las empresas del sector son las primeras interesadas en que se genere un marco que, a largo plazo, normalice y legalice estas transferencias, explica Antonio Quevedo, CEO de GlobalSuite Solutions.

Otra cuestión es por qué Facebook e Instagram han podido seguir operando sin alterar su funcionamiento tras la invalidación del protocolo que regulaba dicha transferencia de datos. “Se basaba en otra de las garantías permitidas por la normativa vigente en Europa: las cláusulas contractuales tipo (SCC). Lo que ocurre es que la existencia de dichas cláusulas no garantiza al 100% el respeto y la seguridad en el tratamiento de los datos de los europeos”, advierte Quevedo. “La realidad es que las SCC no dotan al tratamiento de datos de garantías suficientes en el caso de que, en base a fines de seguridad nacional, una autoridad estadounidense reclamase el acceso a la información proveniente de Europa”, añade.

Esta situación no afecta sólo a Facebook e Instagram. “Nos estamos centrando en Estados Unidos, donde se habla de más de 5.800 empresas afectadas, según algunas fuentes. Pero cualquier compañía que operase desde un territorio no reconocido por la UE como de adecuado nivel de cumplimiento podría estar en la misma situación que las compañías norteamericanas que ahora están en el foco de atención. No sólo es Meta, sino que, en realidad, Amazon, Microsoft, Apple, etc., se podrían encontrar en esta misma situación, con algunos matices, entre los que se encuentra el hecho de que estas compañías han trabajado en el desplazamiento de sus centros de alojamiento de datos a Europa”. puntualiza.

Quevedo indica cuáles pueden ser las posibles vías para resolver este conflicto. “La solución más garantista sería que se restableciera algún tipo de mecanismo que permitiera y legalizara el flujo transoceánico de información. Mientras tanto, parecería razonable que la normativa estadounidense tratara de alinearse con la europea para coordinar un tratamiento de datos en la misma línea de garantías y seguridad. Razonable, aunque también complejo de implementar. Como alternativa, las filiales locales de las tecnológicas americanas podrían independizar sus procesos de tratamiento de datos de los territorios donde la seguridad nacional va en contra de la privacidad, tal y como la conocemos en la UE. Sin embargo, a efectos prácticos, resulta utópico que una filial, en cumplimiento del RGPD europeo, se independice de su matriz con el objeto de conseguir esas garantías. La solución no es sencilla, y claramente ha de pasar por acuerdos gubernamentales firmes y concretos”, sentencia.

De hecho, la UE y EE.UU. están trabajando en ello. “El 25 de marzo de 2021, la Secretaría de Comercio de Estados Unidos, Gina Raimondo, y el Comisario Europeo de Justicia, Didier Reynders, emitieron una declaración conjunta en la que señalaron que «el gobierno de EE.UU. y la Comisión Europea han decidido intensificar las negociaciones en relación a obtener un mejorado marco Privacy Shield UE-EE-UU. para dar cumplimiento a la sentencia de 16 de julio de 2020 de la TJUE en el caso Schrems II». Está claro que el objetivo debe ser conseguir este marco. Entre otras cosas, porque desde la entrada en vigor del RGPD, la concienciación de los ciudadanos de la Unión Europea respecto al control de sus datos ha crecido exponencialmente. Y conseguirá que las empresas acaben poniendo todos los medios para adecuarse al reglamento”, concluye el CEO de GlobalSuite Solutions.