La Unión Europea y Estados Unidos negocian un nuevo tratado para las transferencias de datos personales que desprotege a los ciudadanos europeos. Nos ofrece todos los detalles sobre este movimiento Vittorio Bertola, Head of Policy & Innovation, Open-Xchange.
En las últimas semanas, hemos visto cómo más países se sumaban a la recomendación del gobierno de Estados Unidos de prohibir el uso de TikTok. La Unión Europea, Canadá y Letonia, entre otros, ya han vetado la aplicación a sus funcionarios debido a “riesgos relativos a la protección de datos”.
Resulta curioso que esta preocupación no se extienda a otras plataformas sociales como Facebook e Instagram. Meta, la compañía responsable de ambas, deberá pagar otra multa de 1.200 millones de euros porque los datos se analizan en EE.UU. y aún no existe un acuerdo válido sobre datos entre Europa y EE.UU. La cuestión general ahora es hasta qué punto Europa sigue siendo soberana en materia de protección de datos.
En lugar de eso, la Comisión Europea negocia un nuevo acuerdo de transferencia de datos entre la UE y los Estados Unidos. Esto permitirá a las compañías tecnológicas norteamericanas alojar datos personales de los usuarios fuera de las fronteras europeas, sin ofrecer las garantías necesarias.
Tercer intento tras Safe Harbor y Privacy Shield
La historia de las transferencias de datos UE-EE. UU. viene de largo. En 2015, el Tribunal de Justicia de la Unión Europea (TJUE) anuló los llamados Principios Internacionales Safe Harbor (“puerto seguro”), por considerar que las prácticas de protección de datos de las empresas de Estados Unidos no eran homologables con las europeas. Al año siguiente, se aprobó el esquema Privacy Shield (Escudo de Privacidad), que volvía a autorizar las transferencias internacionales de datos a Estados Unidos. De nuevo, el TJUE anuló el tratado en 2020 por falta de garantías para los datos personales. Lejos de darse por vencido, EE. UU. ha puesto en marcha un tercer intento con la “Orden ejecutiva sobre la mejora de las salvaguardias para las actividades de inteligencia de señales de Estados Unidos” firmada por el presidente Joe Biden a finales de 2022. Y es que hay mucho en juego.
Sin un marco legal para la transferencia de datos entre la UE y EE. UU., las compañías tecnológicas que no quieran operar al margen de la ley y exponerse a sanciones deben alojar los datos de sus clientes europeos en territorio europeo. Esto no solo supone un gasto adicional, sino que implica que Estados Unidos pierda el acceso a una ingente cantidad de datos que los servicios de inteligencia de ese país reconocen abiertamente que utilizan para proteger los intereses de seguridad nacional.
Al fin y al cabo, la propuesta lanzada por Joe Biden establece que las autoridades estadounidenses seguirán teniendo derecho a acceder a los datos de los ciudadanos de la UE. Y no solo si la seguridad nacional se ve amenazada, sino también para descubrir delitos financieros internacionales, perseguir delitos graves o si la información de inteligencia no puede obtenerse por otros medios.
Por qué no debería aceptarse el nuevo acuerdo
Como ocurrió con los acuerdos de Safe Harbor y Privacy Shield, la Comisión Europea ve con buenos ojos esta nueva propuesta. Ya existe un borrador de “decisión de adecuación” del Parlamento Europeo en el que se señala que ofrece un nivel adecuado de protección para la transferencia de datos personales. Sin embargo, antes de que pueda adoptarse la decisión final, el Comité Europeo de Protección de Datos (EDPB, por sus siglas en inglés) debe dar su visto bueno, aunque ya ha avisado de que todavía no se cumplen todas las garantías respecto a la seguridad de la información.
Si se superan estos escollos, es probable que la “Orden Ejecutiva” de Joe Biden se acabe traduciendo en un nuevo acuerdo para la transferencia de datos personales UE-EE. UU. que hará enormemente felices a las Big Tech… aunque no tanto a los consumidores europeos, si supieran lo que se juegan.
Conviene recordar que en Estados Unidos no existe una legislación federal sobre protección de datos, solo leyes estatales o sectoriales como la CCPA de California o la HiPPA para la información sanitaria. En los últimos años no se han producido avances significativos en este ámbito, de modo que… ¿Por qué debería aprobarse de nuevo lo que la justicia europea ha derogado dos veces?
Los expertos del sector europeos consideran que se trata de otro intento de socavar las leyes europeas de protección de datos. “Ya en dos ocasiones, los tribunales han juzgado insuficientes los acuerdos transatlánticos de protección de datos y los han invalidado”, recuerda Vittorio Bertola, de la empresa de desarrollo de software de código abierto Open-Xchange. “Esta tercera versión es un parche y no protege los datos de los ciudadanos de la UE de la probada vigilancia masiva de las autoridades estadounidenses”, señala Bertola. “Esto resulta extremadamente preocupante”.
Detlef Schmuck, del fabricante alemán de software TeamDrive Systems, se muestra todavía más contundente: “Mientras Estados Unidos siga ignorando el nivel europeo de protección de datos tan descaradamente como hasta ahora, no puede haber una base jurídica para un acuerdo estable”.
Cómo proteger la soberanía de datos europea
Parece evidente que Estados Unidos no ofrece, ni tiene visos de ofrecer, garantías suficientes como para permitir que los datos personales de los ciudadanos europeos se transfieran a su territorio. De modo que la Unión Europea, en lugar de insistir en firmar nuevos tratados cuestionables, debería reforzar su legislación para asegurar una mayor protección de los derechos de sus consumidores.
En primer lugar, esto pasa por exigir que las empresas tecnológicas que operen en la Unión Europea alojen sus datos en centros de datos de la UE. No solo ofrecería mayores garantías de control, sino que también daría un impulso a la industria tecnológica europea y haría que una parte mayor de los ingresos de las tecnológicas se quedara aquí. “A las empresas europeas les conviene mantener los datos personales siempre dentro de la UE”, es el consejo de Detlef Schmuck de TeamDrive Systems.
Otra medida que pueden tomar las autoridades europeas es fomentar el uso de software libre de código abierto, que no depende de ninguna empresa tecnológica. A diferencia de los productos de software patentados de proveedores estadounidenses como Microsoft, Apple o Google, el software de código abierto da un mayor control a los usuarios, las administraciones y las empresas europeas sobre el destino de sus datos. Por ejemplo, pueden decidir qué datos se almacenan en la nube y ver dónde están alojados los servidores del servicio que están usando antes de decidir guardar sus datos.
Estas posibilidades ya están disponibles mediante la tecnología actual, solo es una cuestión de voluntad política que su uso se extienda en el ámbito tecnológico europeo. “Estamos avanzando en el buen camino hacia la soberanía digital mediante soluciones de código abierto, como el puesto de trabajo digital Phoenix para las administraciones públicas o la pila de nube soberana SCS”, concluye Vittorio Bertola, de Open-Xchange. Con centros de datos alojados en territorio europeo y software que protege la privacidad de los usuarios, la soberanía de datos europea estaría a buen recaudo.
