La protección de los datos transferidos a Estados Unidos: ¿podemos confiar en ella?

Dadas las recientes noticias, nos parece oportuno hacer un resumen de la situación. Según el artículo 45 del Reglamento General de Protección de Datos (RGPD), las transferencias de datos fuera del Espacio Económico Europeo (EEE) están prohibidas, a menos que se demuestre que estamos en una situación específica prevista por dicho artículo. Las dos excepciones más comúnmente utilizadas por las empresas para justificar las transferencias de datos fuera de la UE y del EEE son (1) un nivel adecuado de protección proporcionado por el país de destino y (2) la aplicación de cláusulas contractuales estándar (CCT) entre las empresas que transfieren datos fuera del Espacio Económico Europeo. En el primer caso, el país de destino debe tener una legislación reconocida por la Comisión Europea como que ofrece un nivel de protección de datos equivalente al aplicado en la Unión Europea. En el segundo caso, las CCT firmadas entre las dos entidades deben basarse en los modelos aprobados por la Comisión Europea.

En cuanto a las transferencias a Estados Unidos, y desde la anulación del Privacy Shield por el Tribunal de Justicia de la Unión Europea (TJUE) en 2020, las empresas ya no pueden basarse en un nivel adecuado de protección para justificar las transferencias. De hecho, el TJUE consideró que el acceso a los datos concedido a los servicios de inteligencia estadounidenses, por motivos de vigilancia, era demasiado amplio. En cuanto a las CCT, todavía es necesario que la entidad receptora cumpla con los modelos europeos. Esto no es tan fácil de implementar dado los requisitos establecidos por estos modelos, a veces incompatibles con la visión estadounidense de la protección de datos.

Para llenar este vacío legal, y dada la crucial importancia para la economía digital, la Comisión Europea ha adoptado recientemente un nuevo texto. Se han establecido medidas adicionales para regular el acceso de los datos a las agencias de inteligencia estadounidenses. Ahora el acceso, además de tener que ser justificado en nombre de la seguridad nacional, debe limitarse a lo que es "proporcional" y "necesario" para cumplir con los requisitos del artículo 45.3 del RGPD, que permite la transferencia de datos personales a un tercer país. Aunque la intención es loable, hay que reconocer que estos términos, todavía dejan mucho espacio para la interpretación.

Una novedad del acuerdo es la concesión de un recurso para los ciudadanos europeos si consideran que sus datos personales han sido recopilados ilegalmente por las autoridades estadounidenses. Este derecho de recurso viene acompañado de un derecho a la corrección o eliminación de estos datos, también previsto por el RGPD. En comparación con la nada que existía antes en este sentido, el avance es relavante. Esta nueva versión del texto tiene el mérito de querer, al menos en papel, otorgar a los ciudadanos europeos los mismos derechos que a los ciudadanos estadounidenses. Anteriormente, e incluso con la implementación del Privacy Shield, cuando una empresa estadounidense trataba inapropiadamente los datos de los ciudadanos europeos, no había recurso posible.

Sin embargo, no creemos que debamos alegrarnos demasiado rápido de este avance. ¿Qué ley crees que se aplicará? La ley estadounidense, por supuesto. En la práctica, ¿un ciudadano europeo realmente irá ante un tribunal estadounidense para hacer valer sus derechos? En este sentido, este derecho nos parece utópico. Además, tanto en la ley estadounidense como en la española, se necesita un interés para iniciar una acción legal. Demostrar este interés ante un tribunal reacio a la protección de datos puede ser un verdadero desafío. Ofrecer derechos de recurso está bien, pero poder hacerlos cumplir es mejor. Nos parece que esta globalización de la justicia estadounidense no protege realmente los derechos de los ciudadanos a nivel internacional.

Además, las empresas que envían datos a los Estados Unidos están en la misma situación. ¿Cómo van a poder las empresas, que como subcontratistas son responsables de la elección de sus proveedores y de la seguridad que ello implica, realizar sus auditorías de seguridad en el extranjero? ¿Cómo puede una empresa permitir realmente a uno de sus clientes, cuyos datos han sido comprometidos, hacer valer sus derechos ante un tribunal estadounidense, sabiendo que no existe ninguna disposición federal de protección de datos?

También podemos preguntarnos sobre la relación del nuevo acuerdo marco con el Cloud Act. Este texto, en vigor desde 2018 e instaurado bajo el régimen de Donald Trump, permite a las autoridades estadounidenses acceder a todos los datos almacenados por empresas estadounidenses, sin importar su ubicación. Esto aplica, con mayor razón, para todos los datos almacenados por empresas estadounidenses en territorio europeo. ¿El nuevo acuerdo marco superará al Cloud Act? ¿Estos dos textos se aplicarán independientemente? Todavía hay áreas grises. Además, ¿cómo, incluso con este nuevo acuerdo, podemos estar seguros de que nuestros datos no serán absorbidos por una empresa estadounidense que no escapa a la vigilancia, a pesar de las medidas de seguridad establecidas?

Es innegable que el nuevo acuerdo adoptado por la Comisión es bienvenido como una buena noticia para muchas empresas que, independientemente de su tamaño, transfieren datos a los Estados Unidos todos los días. Sin embargo, en nuestra opinión, sigue siendo un primer compromiso que tendrá que evolucionar. Max Schrems, el activista austriaco detrás de los anteriores recursos y sentencias Schrems I y Schrems II, ya ha anunciado un recurso contra este nuevo marco jurídico. Por lo tanto, podemos esperar que el caso vuelva a ser llevado ante el Tribunal de Justicia de la Unión Europea a principios del próximo año. Mientras tanto, y bajo estas circunstancias, le recomendamos encarecidamente que deje sus datos dentro de la Unión Europea, bajo el control de un actor europeo.