La justicia europea invalida un acuerdo clave para transferir datos personales entre Europa y EE.UU.

Es un acuerdo que permitía a las empresas digitales transferir legalmente los datos personales de los ciudadanos europeos a sus bases en Estados Unidos. Esta disposición se utiliza por las grandes multinacionales de internet como Google, Facebook o Twitter e incluyen detalles como la identidad y su geolocalización, así como sus preferencias en internet. A raíz de esta sentencia anticipa nuevos conflictos entre ambas potencias y pone en una situación difícil a las empresas en Europa.

El tribunal ha tomado esta decisión por el «posible riesgo» que representan los programas de vigilancia estadounidenses para la protección de los datos personales de ciudadanos europeos. Entiende que este acuerdo, firmado en 2016 en sustitución al anterior marco legal conocido como «Safe Harbour» («Puerto seguro»), permite hacer posible interferencias en los derechos fundamentales de las personas cuyos datos se transfieren a servidores alojados en Estados Unidos y que pueden tener acceso las autoridades públicas del país sin que se limite «a lo estrictamente necesario».

Dado que la legislación norteamericana es menos estricta que la europea, el «Escudo de privacidad» fue creado para permitir una excepción a las leyes comunitarias de protección de datos a cambio de que las compañías norteamericanas cumpliesen algunos requisitos específicos . Los jueces han determinado que esa excepcionalidad no puede saltar los propios límites de la legislación europea sobre protección de datos y que «las personas cuyos datos personales se transfieren a un país tercero deben gozar de un nivel de protección sustancialmente equivalente al garantizado dentro de la Unión».

Los jueces afirman que ante un «posible acceso de las autoridades públicas de un país tercero a los datos personales transferidos de ese modo» también se deben tener en cuenta cuidadosamente «los elementos pertinentes del sistema jurídico de dicho país». «Safe Harbor» quedó también invalidado por el Tribunal de Justicia de la Unión Europea en 2015 obligando así Bruselas a negociar con Washington un nuevo marco para garantizar un mejor nivel de protección de los datos personales. Esta situación provocó que la información de los usuarios se encontrara en una situación de inseguridad jurídica .

«Hasta ahora, era muy sencillo transferir datos personales a Estados Unidos», señala en conversación telefónica Sergio Carrasco , experto en derecho digital de Fase Consulting. «Todos los prestadores de servicios, al final, tienen servicios allí [por Estados Unidos], sea en parte o totalmente. Y ahora existía Privacy Shield, que era un acuerdo que ponía de manifiesto que en Estados Unidos tenía un nivel de protección equiparable a Europa, permitiendo así esa transferencia sin contar con la autorización de los reguladores de protección de datos», explica.

La resolución del TJUE implica que no existen las mismas garantías entre ambos territorios. El tratamiento de información sensible en la UE se rige por el Reglamento General de Protección de Datos (RGPD), que pone el acento en el consentimiento expreso de los ciudadanos. Es un marco legal más garantista en comparación con Estados Unidos. «Lo que dice es que el nivel de protección no son equivalentes porque en EE.UU. existen otros asuntos como la Seguridad Nacional. Como no se garantizan los derechos de las personas como en Europa, lo que hace es anular ese acuerdo y, por lo tanto, la transferencia internacional de protección de datos hacia EE.UU. estará sometida al control de las autoridades de protección de datos como cualquier otro país », apunta.

Para Rafael García del Poyo, jurista de Osborne Clarke, las empresas deberán hacer un mayor esfuerzo en el tratamiento de datos. «La historia se repite. Una vez más el TJUE ha establecido altos estándares de protección de datos personales y ni el "Safe Harbor" ni el "Privacy Shield" han sobrevivido a la evaluación de la justicia europea. Esta decisión es un recordatorio de que los esfuerzos por lograr el cumplimiento de la GDPR es un proceso continuo y que, ahora más que nunca, las empresas deben realizar un examen detallado de las circunstancias que rodean cada transferencia internacional de datos y de las partes que los procesan antes de utilizar las cláusulas modelo de la UE o cualquier otra alternativa», apunta.

Para solucionar este escollo, los expertos creen que EE.UU. puede verse obligado a cambiar toda su normativa en materia de Seguridad Nacional porque «no pueden utilizar las amplias competencias en investigación» en el caso de ciudadanos europeos. «Y no lo van a hacer», interpreta Carrasco. Esta decisión anticipa un torrente de reacciones por parte de empresas estadounidenses filiales que operan en Europa como Google, Facebook, Amazon o Microsoft, además de adelantar un nuevo obstáculo en las relaciones entre ambos territorios.