En la actualidad, uno de los asuntos que preocupa a los legisladores de los países de nuestro entorno es la protección de los datos personales de sus ciudadanos. La normativa más garantista en esta materia la disfrutamos en la Unión Europea, y por ello hay gran preocupación en las transferencias internacionales de datos.

Si bien dentro de la Unión todos aquellos que hayan de tratar datos personales están sujetos a la normativa de datos, lo que ocurre fuera de nuestras fronteras no podemos controlarlo. Así, es necesario que existan una serie de mecanismos para garantizarnos un cierto control, pero tratando de no poner en riesgo el correcto funcionamiento del mercado.

Las transferencias internacionales de datos se producen cuando datos personales son enviados o son accesibles por alguien de un tercer país o a una organización internacional fuera del Espacio Económico Europeo (es decir, países fuera de la Unión, Noruega, Liechtenstein e Islandia) o Suiza.

Se encuentran reguladas en los artículos 44 y siguientes del RGPD de la UE, preceptos en los que se prohíben todas las transferencias internacionales de datos que no cumplan ciertas garantías y condiciones. Entre las exigencias se encuentra la necesidad de que haya una decisión de adecuación de la Comisión Europea.

Posiblemente, el mayor de los problemas hoy en día en este ámbito se da con las relaciones con Estados Unidos, pues si bien hasta junio de 2020 contaba con una decisión de adecuación por el acuerdo de Privacy Shield, ya no es así.

En EEUU la protección de datos de carácter personal no es un derecho fundamental reconocido a nivel constitucional, pues ni la Constitución Federal de 1787 ni sus enmiendas reconocen expresamente un “right to privacy”.

Sin embargo, sí existe, siendo una creación jurisprudencial del Tribunal Supremo, y plasmándose en la ley Privacy Act de 1974. Además de esta, existen numerosas leyes federales que inciden en el ámbito de la privacidad.

Como consecuencia de esta diferencia entre los niveles de tutela de este derecho de protección de datos entre EEUU y la Unión Europea, las transferencias a dicho país están prohibidas por defecto.

Para poder realizarlas, las autoridades nacionales de cada Estado Miembro (en España, la Agencia Española de Protección de Datos) han de realizar una autorización individual, comprobando si existen las suficientes garantías que aseguren la adecuada protección de los datos.

Safe Harbor

Para evitar dicho procedimiento, durante años, las transferencias internacionales entre los países de la Unión y EEUU se gestionaron mediante el “Safe Harbor”, un sistema de calificación en que las empresas, voluntariamente, podrían adaptarse a cumplir una serie de requisitos y se certificasen mediante ciertas autoridades americanas (Federal Trade Comission) para recibir la calificación de puerto seguro.

De este modo, a pesar de que EEUU carece del sello de adecuación para hacer transferencias garantistas, las entidades estadounidenses que se adhiriesen a dicho mecanismo estarían dotadas de un nivel de protección equiparable al de la UE, pudiendo así recibir datos de los ciudadanos europeos de manera segura y sin tener que ser autorizadas caso por caso por la AEPD.

Esta situación duró desde que se validó el Safe Harbor por la Comisión Europea en el año 2000 (Decisión 2000/520), hasta octubre de 2015, en que el TJUE declaró la invalidez de dicha decisión.

Hablamos de la sentencia del caso Schrems (STUJE asunto C-362/14, Maximiliam Schrems vs. Data Protection Comissioner), en el cual un ciudadano austríaco planteó una reclamación contra Facebook Irlanda, pues enviaba todos los datos de los usuarios a sus servidores en EEUU.

Dicha resolución se vio muy influenciada por el caso Snowden, en que se probó que las agencias gubernamentales estadounidenses estaban accediendo de manera masiva a los datos de ciudadanos europeos que se proporcionaban en estas supuestas transferencias seguras de datos.

El TJUE invalidó así el sistema de Safe Harbor, al considerar que en EEUU carecía tanto de un marco legislativo claro como de mecanismos judiciales y de control efectivos en materia de protección de datos.

Tras la caída del modelo de Safe Harbor, las necesidades de las empresas radicadas en EEUU para recibir transferencias de datos de la UE se fueron resolviendo con mecanismos como las Cláusulas contractuales tipo de la Unión Europea o las Reglas corporativas vinculantes.

No obstante, las mismas no son una solución ágil en sistemas como el español, puesto que la firma de estos documentos requiere muchas formalidades.

Privacy Shield

En julio de 2016 se aprobó por la Comisión Europea un nuevo acuerdo para las transferencias de datos a EEUU: el Privacy Shield (o Escudo de Privacidad).

Con este nuevo mecanismo se trataron de solucionar los defectos del Safe Harbor destacados por el TJUE en la sentencia Schrems.

De nuevo, existía un sistema de autocertificación con el que las empresas y organismos estadounidenses podían ser receptoras de datos de ciudadanos europeos, al gozar de un adecuado nivel de protección. La diferencia fundamental con el modelo anterior es que este ya no dependía de las agencias de seguridad nacionales, sino que se creó una figura similar al Defensor del Pueblo que gestionaba el Escudo de Privacidad.

Sin embargo, ya desde su aprobación, esta solución fue muy controvertida y criticada, lo que llevó a que finalmente, en junio de 2020, fuese declarada también inválida (Resolución 23/2021).

La Unidad Reguladora y de Control de Datos Personales, como ya hizo con el anterior modelo el TJUE, consideró que este sistema tampoco ofrecía las garantías suficientes para proteger la privacidad de los ciudadanos europeos: las autoridades estadounidenses seguían teniendo acceso a los datos de los ciudadanos europeos y, además, no existían vías de recurso para que los ciudadanos europeos reclamasen en caso de haberse visto vulnerado sus derechos fundamentales.

Situación actual

La situación actual es incierta y genera un gran riesgo para las empresas europeas y estadounidenses que operan en ambos continentes, no habiendo una causa legítima que ampare sus transferencias internacionales.

La solución que están empleando las empresas es la misma que se dio en el lapso entre la invalidación del Safe Harbor y la creación del Privacy Shield: adoptar cláusulas contractuales tipo o de la UE (Standard Contractual Clauses), pre-aprobadas por la Comisión Europea, o Reglas corporativas vinculantes (Branding corporate rules), que funcionan en grupos de empresas.

La falta de un marco claro que regule estos envíos de datos genera una gran inseguridad jurídica que ha de ser solucionada cuanto antes. Las empresas se juegan importantes sanciones en caso de incumplimiento de la normativa de protección de datos, por lo que buscan mitigar los riesgos al máximo.

Además, cada vez que se aprueba un nuevo modelo las empresas y organizaciones han de realizar numerosos trámites y toma de decisiones que en muchos casos suponen grandes costes, por lo que ha de alcanzarse una solución estable y segura.

Es, por tanto, imprescindible, encontrar nuevas alternativas. Desde mi punto de vista, podría ser una buena salida tomar un modelo en el que el control de que se cumplen las garantías necesarias no se ejecute por las autoridades de EEUU ni por un organismo, supuestamente independiente, creado por su gobierno. Lo más adecuado sería que fuera tarea de una entidad dependiente de la Unión Europea, pues de este modo se podría asegurar que se trabaja en aras de proteger los derechos de los ciudadanos europeos, sin injerencias políticas.

Si bien esto es complejo, se requiere que los diligentes políticos de ambas potencias lleguen a un acuerdo para asegurar un correcto desarrollo de la economía entre EEUU y la UE, pero al mismo tiempo garantizando los derechos y libertades de los ciudadanos europeos.