El acuerdo al que han llegado EE.UU. y Europa en lo relativo a la protección de la privacidad de los datos de los europeos todavía tiene que ser aprobado por el TJCE. Y parece que no lo tendrá fácil.
La Unión Europea y Estados Unidos llegaron el martes a un nuevo acuerdo sobre la protección de la privacidad de los datos de los europeos que se envían a los servidores de Estados Unidos. El acuerdo, que se llamará Privacy Shield (escudo de privacidad), sustituye a un acuerdo rechazado por el Tribunal Europeo de Justicia en octubre. Se trata de una buena noticia para las grandes empresas como Facebook y Google que quieren disponer de acceso continuo a los datos de sus usuarios europeos.
Pero el nuevo acuerdo debe ser examinado por los reguladores europeos y probablemente el TJCE. A pesar de los poderosos intereses empresariales en juego, hay razones para pensar que el acuerdo pueda tener lagunas que impidan su aprobación por parte de estos organismos.
Los antecedentes no invitan al optimismo
El acuerdo del año 2000, llamado Safe Harbor, fue rechazado por el TJCE, básicamente debido a que las empresas estadounidenses estaban brindando a la Agencia de Seguridad Nacional acceso a los datos de los europeos. El asunto que se presentó ante el tribunal europeo era si los datos transferidos a EE. UU. recibían un «nivel adecuado de protección» en virtud de la Directiva de Protección de Datos de la UE.
La respuesta fue no - y por razones complicadas. El tribunal reconoció que bajo la ley de EE. UU., los requisitos legales y constitucionales no cumplían con el acuerdo Safe Harbor. Se llegó a decir que, basándose en las revelaciones del excontratista de la NSA, Edward Snowden, en la práctica el nivel de protección de privacidad no era lo suficientemente alto como para satisfacer la normativa europea. Por tanto, el acuerdo fue rechazado.
Es fundamental tener en cuenta que la sentencia del TJCE incluye el reconocimiento de que, en virtud del derecho de la UE, los gobiernos pueden acceder a los datos privados de los consumidores en determinadas circunstancias. Lo que el tribunal afirmaba era que la ley de EE. UU. no ofrecía suficiente protección para satisfacer la normativa europea. Una sentencia del Tribunal Superior de Justicia de Irlanda sostuvo que:
«Las revelaciones de Edward Snowden habían demostrado “una sobreactuación significativa” por parte de la NSA y otras agencias federales».
Más concretamente, el tribunal irlandés estaba preocupado de que los ciudadanos europeos «no tenían un derecho real» de defenderse ante los tribunales de Estados Unidos si los organismos de seguridad accedían a sus datos personales.
El Tribunal de Justicia tuvo que admitir que la legislación comunitaria no contempla «una definición del concepto de nivel adecuado de protección». Pero llegó a la conclusión de que se debe garantizar «un nivel de protección de los derechos y libertades fundamentales equivalente al que se garantiza dentro de la Unión Europea».
En otras palabras, si la protección de la privacidad de EE. UU. es más débil que la protección de la UE, el acuerdo debe ser invalidado. El nuevo acuerdo debe examinarse en este contexto para comprobar si aprueba el examen legal.
Una garantía explícita es necesaria
El punto más importante del acuerdo, remarcado por la Comisión Europea en su anuncio, es lo que se supone que es una «garantía por escrito» de los EE. UU. que garantice la protección de los datos de los europeos. Según el acuerdo, el director de inteligencia nacional de EE. UU. garantiza que los datos de los europeos no serán objeto de «vigilancia masiva». Eso suena mejor que el anterior acuerdo, que no incluía una promesa explícita de la agencia de inteligencia.
Pero casi con total seguridad el director de inteligencia nacional será capaz de cumplir esta promesa en términos muy generales. Y, en la práctica, puede que la vigilancia estadounidense sea más amplia y proteja menos la privacidad de lo que normalmente se permite en los países europeos. EE. UU. afirma que va a revisar los datos de forma proporcional, lo que puede tener un significado en Europa, pero también uno muy diferente en EE. UU.
Es más, en virtud de la ley de EE. UU., por regla general se ofrece poca o ninguna protección a los datos de los extranjeros, siempre y cuando sea fuera de EE. UU. Esa ley no ha cambiado. Al menos parece posible que la NSA simplemente intente acceder a los datos de los europeos antes de que sean transferidos a EE. UU. Si lo hacen en secreto, nadie podrá quejarse.
Otra disposición del nuevo acuerdo contempla la creación de un defensor del pueblo para que los europeos puedan plantear sus preocupaciones relativas a la protección de datos personales. Simplemente se trata de un medio para que los ciudadanos puedan recurrir y también para aplacar las preocupaciones de los tribunales irlandeses sobre el secretismo. Pero probablemente este defensor del pueblo no tendrá acceso a las interpretaciones secretas de la ley de EE. UU. o a la vigilancia secreta.
Otra disposición dice que las empresas estadounidenses deben estar de acuerdo en fortalecer las protecciones de privacidad antes de transferir los datos. El objetivo de esto es evitar que estas transfieran voluntariamente a la NSA los datos violando así las regulaciones de privacidad. Pero sí que tendrán que transferir los datos si así se lo requiere la ley estadounidense.
¿Será el nuevo Privacy Shield aprobado?
Todo esto significa que hay muchas posibilidades de que el TJCE considere que el Privacy Shield sea tan inadecuado como su predecesor. Pero, ¿será así?
Eso depende en parte de la posición negociadora de la UE. Ninguna persona de la élite política europea quiere renunciar a Facebook o Amazon. Y ningún burócrata de la UE cree que EE. UU. vaya a cambiar sus leyes de seguridad nacional para complacer a la UE.
El nuevo acuerdo es un compromiso pragmático destinado a preservar la formalidad legal de la privacidad de los datos sin alterar la seguridad nacional de EE. UU. o los servicios de inteligencia europeos, a los que les gustaría tener la oportunidad de echar un vistazo a los datos de sus propios ciudadanos.
Puede que el TJCE no quiera alterar este delicado equilibrio. En ese caso, puede que no sea demasiado estricto con el nuevo acuerdo. Eso resolvería el problema práctico. Pero la disparidad entre la concepción europea y americana de privacidad seguirá estando ahí.