Confirmado: nuestro nuevo acuerdo con EEUU para la protección de datos es un fraude

Hace menos de un año que el Tribunal de Justicia de la Unión Europea anuló el acuerdo de transferencia de datos entre la UE y EEUU por no garantizar el cumplimiento de nuestras leyes de protección de datos. Fue un caso sonado y celebrado, un David contra Goliat. El jovencísimo abogado austríaco Max Schrems usó los documentos filtrados por Snowden sobre el proyecto Prisma para tumbar el llamado Safe Harbour, un régimen de “puerto seguro” que funcionaba desde hacía 15 años y que permite la transferencia de esos datos privados a empresas o instituciones norteamericanas como Facebook, Apple, Google, Twitter, Dropbox, Amazon o Microsoft.

“Necesitamos un tiempo para aplicar estas cosas -declaró Schrems el 6 de octubre, día de la resolución- El gran cambio importante es que existe una presión y que este sistema tendrá que implementarse tarde o temprano”. El 29 de febrero, menos de cinco meses más tarde, la Comisión Europea presentaba su nuevo acuerdo transatlántico para el intercambio comercial de datos personales entre EU y EEUU. Lo llamaron Privacy Shield (escudo de privacidad). Hoy el comité independiente de expertos en protección de datos convocado para valorar la nueva propuesta (en el documento, Working Party 29) ha publicado sus conclusiones: es farragosa, inapropiada, inconsistente e insuficiente.

Es importante recordar que la opinión de este grupo es influyente pero no vinculante, y que quedan por publicarse las conclusiones del grupo 31 – cuyas recomendaciones sí son vinculantes –y las de otro grupo que estudia la legalidad de las actividades de la NSA británica, llamada GCHQ.

Las razones del suspenso

“El WP29 no espera que el Privacy Shield sea una copia de la directiva legal europea, pero sí espera que contenga lo sustancial de los principios fundamentales, garantizando una protección 'esencialmente equivalente'”, explica el documento. Se han valorado los aspectos comerciales (el uso que las empresas como Facebook o Google hacen de esos datos) como “las posibles derogaciones de los principios del Privacy Shield por razones de seguridad del estado, cuerpos de seguridad o interés público”.

Su conclusión es que no contiene ni refleja esos principios. Por ejemplo, “el Principio de Retención de Datos no se menciona de manera expresa y no se puede inferir del contenido del Principio de Integridad de Datos y Limitación de Propósito. Tampoco se menciona la protección necesaria contra las decisiones individuales automáticas basadas en un proceso automático”. Esto es, la intercepción y/o retención de datos que hace un algoritmo. Tampoco refleja la necesidad de mantener esos principios cuando los datos viajan de los servidores estadounidenses a otros países fuera de la EU.

Finalmente, “aunque el WP29 aprecia los recursos adicionales que se ofrece al individuo para ejercer sus derechos”, considera que, en la práctica, esos recursos son “demasiado complejos, difíciles de aprovechar desde la UE y, por lo tanto, poco efectivos”.

Es la misma conclusión a la que llegó otro especialista en vigilancia y privacidad de datos. Cuando le entrevistamos en Moscú, Edward Snowden aseguró que el Privacy Shield era un intento de ganar tiempo por parte del gobierno norteamericano y que, en lo que se refiere a nuestra privacidad, no supone ningún cambio sustancial. “La NSA guarda un registro de todo lo que hace un ciudadano europeo, independientemente de si hace algo malo o no. Y pueden acceder a ese registro sin una orden y examinar todos los archivos. La única diferencia es cómo los tratan después de haberlos investigado”.

Una solución legal para un problema estructural

La NSA son las autoridades. Más preocupante quizá, el vacío legal que regula el uso comercial. “En vez de una legislación -explicaba Snowden- lo que tenemos son esos contratos en los que cada proveedor de servicios establece los términos de servicio. Y en esos acuerdo de términos de uso, estás comprando software donde los términos pueden ser modificados unilateral e inmediatamente por el proveedor de servicio en cualquier momento. Usando ese servicio, estás de acuerdo con que te estafen y abusen de ti de manera permanente”.

La Directiva europea sobre protección de datos -en España es la Ley Orgánica de Protección de Datos- entró en vigencia en 1998. Estaba diseñada para proteger a los ciudadanos europeos de abusos por parte de las empresas que requieren esos datos para ofrecer servicios a sus clientes, como las compañías telefónicas, los bancos, servicios de transporte, proveedores de gas, electricidad, agua, etc. Todas las compañías europeas entran dentro de la directiva y, por lo tanto, se acepta la libre circulación de datos entre compañías europeas pero prohíbe su exportación a países de fuera de Europa, como los EEUU.

Con la llegada de Internet, millones de europeos empezaron a usar servicios y plataformas de comunicación norteamericanos. Los correos de Yahoo y Gmail, las cuentas de Facebook, MySpace, Twitter, aplicaciones para móvil como WhatsApp, 4Square, etc. Todas esas cuentas de usuario quedaban almacenabas en servidores y bases de datos fuera de Europa. El 26 de julio de 2000, la Comisión Europea firmó el acuerdo Safe Harbor para proteger la intimidad de esos usuarios. En octubre del año pasado, Max Schrems demostró que “El régimen estadounidense de puerto seguro posibilita injerencias por parte de las autoridades públicas estadounidenses en los derechos fundamentales de las personas”. De momento, nuestros datos siguen almacenándose en servidores extranjeros y no tenemos ninguna solución.