Una review veraniega y fresquita sobre la nueva regulación de datos personales que ha parido la Comisión Europea, y cómo puede afectarnos
19 jul 2023 . Actualizado a las 05:00 h.El pasado lunes 10 de julio, se aprobó el «EU-U.S. Data Privacy Framework», o el tercer intento de cuadrar la legislación estadounidense y la europea sobre la privacidad de nuestros datos personales, tras «Safe Harbor» (2000) —que fue anulado por el Tribunal de Justicia de la Unión Europea en el 2015, por vulnerar el Reglamento General de Protección de Datos o RGPD— y el «Privacy Shield» (2016), también anulado por el mismo motivo y el mismo tribunal.
No es poca cosa. Sin una base legal que regule la transferencia de datos entre la Unión y Estados Unidos, más de un billón de euros al año en transacciones económicas transfronterizas sufren una inseguridad jurídica que las pone en riesgo. Pero ¿cómo hemos podido llegar hasta aquí?
Argumentar que no te importa el derecho a la privacidad porque no tienes nada que ocultar es igual que afirmar que no te importa la libertad de expresión porque no tienes nada que decir.— Edward Snowden
En el 2011, el austríaco Maximilian Schrems pasaba un semestre en la Universidad de Santa Clara para complementar sus estudios de Derecho cuando su clase recibió la visita de Ed Palmieri, abogado de Facebook encargado de que la plataforma cumpliera las distintas normativas de privacidad de datos.
A Schrems le sorprendió el desconocimiento de Palmieri sobre la legislación europea y decidió dedicar su tesis a la implementación de Facebook de la misma. El joven abogado descubrió que la compañía norteamericana recogía ingentes cantidades de datos de sus usuarios, incluyendo información que los mismos creían haber borrado.
Aprovechando que Facebook había abierto una oficina en Irlanda para ahorrar impuestos y eso le sometía a la legislación europea sobre protección de datos, Schrems solicitó el acceso a los suyos. Unas pocas semanas después, recibió un CD con casi 1.200 páginas de información, incluyendo datos de sí mismo que él nunca había proporcionado, pero que algunos de sus amigos habían registrado. El hallazgo derivó en una demanda y posterior sentencia —denominada Schrems I— que finiquitó el «Safe Harbor» porque era evidente que el mismo no garantizaba los derechos de los ciudadanos europeos ni les proporcionaba ningún mecanismo para ejercerlos.
El abogado también acabó con su sucesor, denominado «Privacy Shield», al conseguir que el tribunal europeo dictaminara que —sentencia, Schrems II— más allá del uso de los datos por parte de empresas privadas, la propia Administración de EEUU no garantizaba un nivel de protección adecuado.
Uno de los fundamentos de Schrems II fue «la Sección 702», un agujero legal que permite a las agencias de seguridad norteamericanas espiar a extranjeros sin las garantías jurídicas que se aplican a los ciudadanos norteamericanos.
El nuevo «Privacy Framework» es la respuesta a Schrems II por parte de la Comisión Europea y el Gobierno norteamericano. Por si —por cualquier cosa— no quieres leer las 137 páginas del mismo, he hecho un pequeño resumen de su contenido y cómo puede afectarnos.
Los ciudadanos
Estados Unidos se ha comprometido a que, a pesar de la Sección 702, sus servicios de inteligencia solo podrán acceder a los datos personales de la Unión Europea cuando sea «necesario y proporcionado».
Las empresas estadounidenses que quieran adherirse al «Privacy Framework» deben comprometerse a borrar los datos personales cuando ya no sean necesarios para el fin para el que fueron recogidos, y a garantizar que eso también se aplica en caso de que los compartan con terceros.
Pero si dichas empresas hacen un mal uso de esos datos, ahora los ciudadanos de la Unión dispondrán de un trámite sencillo y gratuito para dirimir cualquier disputa y exigir el cumplimiento de sus derechos, incluyendo el borrado de cualquier dato personal.
Las empresas
En teoría, el framework se dirige a las compañías norteamericanas que quieran hacer negocios en Europa, pero en realidad, esta norma afecta a todas las empresas europeas. Sin el mismo, por el mero hecho de usar cualquier servicio o producto digital de una compañía estadounidense o con servidores alojados allí estarían infringiendo las leyes de protección de datos.
Para evitar cualquier problema, a partir de ahora, las empresas europeas deben asegurarse de que las políticas de privacidad de dichos servicios y productos recogen los principios del Privacy Framework o —mejor aún— aceptan someterse al mismo de forma explicita.
A nadie le gusta ver un expediente del Gobierno con su nombre.— Stephen King
¿A la tercera va a la vencida?
Maximilian Schrems no lo cree así. El problema es que el «Privacy Framework» se limita a recoger que los servicios de inteligencia norteamericanos solo podrán acceder a datos personales de ciudadanos y empresas europeas cuando sea «necesario y proporcionado», pero no acota qué se considera necesario y proporcionado y, por tanto, la protección de los derechos de los ciudadanos europeos sigue sin garantizarse lo más mínimo.
Tampoco cree en los mecanismos para resolver disputas que se definen en el texto tengan una mínima efectividad, porque Estados Unidos no tiene ninguna obligación de comunicar o confirmar a un extranjero que sus datos personales están siendo revisados por sus agencias de inteligencia. Así que, ¿cómo van a protestar por ser investigados cuando ni siquiera saben si lo están siendo?
El abogado asegura que los políticos saben que el texto no se sostendrá ante el Tribunal de Justicia de la Unión Europea, pero con el mismo han ganado un par de años hasta que se emita una nueva sentencia que, con toda probabilidad, se llamará Schrems III.
¿Y por qué aprueba la Comisión un texto que nace muerto? Nadie lo sabe con exactitud. Algunos afirman que es parte de una negociación política —nuestros datos a cambio de gas americano en un momento en el que hemos prescindido de nuestro principal proveedor, Rusia— otros, que es por pura incompetencia. Lo único que es seguro es que, 23 años después de «Safe Harbor», los políticos de uno y otro lado siguen sin ser capaces de firmar un acuerdo que proporcione seguridad jurídica a empresas y ciudadanos.
Durante esos 23 años, la inmensa mayoría de nuestros medios de comunicación han tratado el tema de nuestra privacidad más como un fastidio que como uno de los pilares de nuestra Sociedad. Hasta el punto de que muchos creen que la Unión Europea se extralimita en la defensa del mismo y Schrems no es más que un pesado en busca de notoriedad.
Sin embargo, el abogado austríaco siempre recuerda que, en realidad, ambas potencias tienen visiones muy parecidas sobre el derecho a la privacidad. El problema es que Estados Unidos solo reconoce ese derecho a sus ciudadanos, pero no a los extranjeros, mientras que la Unión Europea trata a todos por igual.
La solución no será el «Privacy Framework», pero parece tan sencilla como evidente. Esperemos no tener que necesitar una Schrems IV.
ESTA BONILISTA FUE POSIBLE GRACIAS AL APOYO DE
¿Quieres estar al día de las últimas tendencias, innovaciones y oportunidades en el mundo de la IA?
¿Te apasiona la Inteligencia Artificial? Pues el equipo detrás de Talent Land —el mayor evento en español sobre Talento, Innovación y Tendencias, que en 2024 también se celebrará en España— ha creado la newsletter AI Academy News.
Si te suscribes, recibirás tres envíos semanales diseñados para curiosos que buscan mantenerse actualizados en esta área en constante cambio. Con cada envío te mantendrán al día sobre la actualidad, herramientas, plugins, conferencias, documentales, podcasts, recomendaciones de expertos a los que seguir en las redes sociales y mucho más.
Además, tendrás acceso a recursos de aprendizaje y eventos de la industria. Suscríbete gratis, solo tienes que hacer click en este enlace.
Este texto se publicó originalmente en la Bonilista, la lista de correo de noticias tecnológicas relevantes para personas importantes. Si desea suscribirse y leerlo antes que nadie, puede hacerlo aquí ¡es bastante gratis!