El nuevo acuerdo de transferencia de datos con los EEUU, un “escudo” que nace roto

El nuevo acuerdo para la transferencia de datos entre Europa y EEUU ha sido aprobado este martes. El Privacy Shield viene a tomar el relevo del Safe Harbour, el tratado que imperaba hasta octubre del año pasado, cuando el Tribunal de Justicia de la UE lo anuló gracias a la denuncia presentada por Max Schrems. El joven abogado austriaco, apoyándose en los documentos filtrados por Edward Snowden del proyecto PRISM en 2013, demostró que el Safe Harbour no garantizaba el cumplimiento de nuestras leyes de protección de datos.

La Comisión Europea ha anunciado que el Privacy Shield entrará en vigor de inmediato y que las empresas podrán certificar su adhesión a partir del uno de agosto. Se pone fin así al limbo legal que existía en la UE desde octubre y en el que se le daba a elegir a las empresas si querían acogerse a unas disposiciones genéricas dictadas por la Comisión o a las leyes propias del país donde estuvieran radicadas. Hubo algunas, incluso, que fueron multadas por seguir utilizando el Safe Harbour y transfiriendo nuestros datos a suelo estadounidense de manera ilegal.

Aunque la comisaria de Justicia y Consumidores de la UE, Vera Jourová, ha asegurado que el nuevo tratado contiene “fuertes obligaciones” de protección de datos para las empresas, son muchos los que critican el nuevo acuerdo.

Para empezar, Austria, Eslovenia, Bulgaria y Croacia se abstuvieron en la votación del pasado viernes. Según The Guardian, los portavoces de estos países dijeron luego que tenían serias dudas de que el Privacy Shield protegiese a los ciudadanos de la vigilancia estadounidense.

Y eso que desde la Comisión Europea recalcan que este es el resultado de dos años de intenso esfuerzo -“hemos trabajado duro con nuestros compañeros en Europa y EEUU”, dice Andrus Ansip, vicepresidente de la Comisión-, pero el observatorio Privacy International ya ha dicho que este nuevo acuerdo se parece mucho al anterior. No son los únicos: Max Schrems anticipa que fracasará de nuevo, tan pronto como llegue al Tribunal de Justicia de la UE. Y en el pasado, varios grupos de trabajo como el Working Party 29 y el Working Party 31 ya dijeron que era farragoso, inapropiado, incosistente e insuficiente.

Un “escudo” nuevo, unos problemas viejos

Edward Snowden le contaba a eldiario.es en marzo que el Privacy Shield no era más que un intento del gobierno estadounidense para ganar tiempo, ya que no supondría ningún cambio sustancial para nuestra privacidad. En la misma línea se muestra este martes Schrems, tras la aprobación del nuevo tratado: “El acuerdo es malo para los usuarios, ya que no disfrutarán de protecciones adecuadas ante la privacidad y malo para las empresas, que tendrán que lidiar con una solución legal inestable”.

Según Schrems, hay varias disposiciones en el Privacy Shield que no están del todo bien resueltas. Por ejemplo, plantea varios “defectos” en lo que concierne al sector privado. Por un lado, en lo que respecta a la información de pacientes: “El Privacy Shield da pie a que se utilicen disposiciones tales como 'usamos tus datos para todos los servicios que te ofrecemos y otros', las cuales socavan esta protección tan crucial”. Por otro, el nuevo acuerdo también estará basado en los principios de 'Notificación y Elección'. Un enunciado que, según el abogado tiene muy poco de “elección”: “Proporcionará a las empresas un espacio muy amplio que les permitirá utilizar los datos de cualquier persona bajo el sol”, explica.

El observatorio Privacy International no es más benevolente que Schrems. “Sigue siendo un documento opaco”, se queja la organización. También afirman que, aunque se han hecho varios avances en lo que protección de datos se refiere, el Privacy Shield sigue estando “muy por debajo de lo que se espera para proteger los derechos individuales”. Tampoco hay “protecciones legales significativas”, ya que “muchas promesas de hoy pueden ser quebrantadas mañana”.

Vigilancia masiva y nueva figura del Defensor del Pueblo

Hace un mes, Giovanni Buttarelli, el Supervisor para la Protección de Datos en Europa ya dijo que el Privacy Shield no era “lo suficientemente robusto como para soportar el escrutinio legal en el futuro”. Una hipótesis a la que se suma Schrems, que además se muestra muy duro con el nuevo acuerdo: “La Comisión Europea y el gobierno de EEUU se las han arreglado para convertirnos a todos en miserables, cuando podían haber usado esta oportunidad para actualizar las protecciones que son cruciales para la confianza de los consumidores en los servicios online y en la nube”.

Privacy International también se queja de que la recolección a gran escala de la información seguirá estando permitida. El Privacy Shield confirma que cuando no es posible utilizar selectores específicos para localizar a alguien -cuando, por ejemplo, el nombre o el email del objetivo se desconozca-, los barridos de información estarán permitidos. Eso sí, han de ser “lo más preciso posible”, según el tratado. “El gobierno de los EEUU confirma explícitamente que podrá hacer barridos gracias a la información proporcionada por sus compañías”, dice Schrems.

También se ha creado una nueva figura a modo de Defensor del Pueblo, que va ligada al mecanismo que han de poner en práctica los usuarios cuando quieran denunciar el uso indebido de información por parte de una empresa estadounidense. “Los usuarios tendrán que contactar con la compañía en cuestión de los EEUU y luego con los diferentes equipos legales y las autoridades nacionales, que contactarán con la Comisión Federal de Comercio y el Departamento de Comercio para finalmente permitir que llegue la denuncia con el asunto 'Privacy Shield'”, asegura Schrems.

Para evitar este lío legal, se proporcionará la figura del Defensor del Pueblo, un subsecretario del Departamento de Estado estadounidense que -suponemos- hará llegar la denuncia hasta la instancia correspondiente. Pero EEUU nunca confirmará ni negará ningún tipo de vigilancia, ya que sus propias leyes se lo impiden. “El Defensor del Pueblo servirá para todo menos para tener derecho a un recurso efectivo y a un juicio justo”, confirma el abogado.

Por su parte, la secretaria de Comercio de EEUU, Penny Pritzker, calificó el Privacy Shield como un “hito para la privacidad en un momento en el que el intercambio de datos impulsa el crecimiento en cualquier sector”.