Hace apenas un año nos recuperamos de la incertidumbre de saber si era legal o no el uso de aplicaciones cuyos datos de carácter personal estuvieran alojados en servidores fuera de la Unión Europea.
Tras la derogación del Safe Harbor, por considerarse poco seguro, las autoridades europeas y norteamericanas trabajaron en un nuevo acuerdo que desembocó en el Privacy Shield, vigente desde julio de 2016.
El origen del problema.
Para comprender la trascendencia del problema debemos retrotraernos al año 2013. Maximiliam Schrems, ciudadano austríaco y por aquel entonces estudiante de derecho, era usuario de la red social Facebook desde el año 2008. Facebook, desde su sede en Irlanda, transfería datos de carácter personal a sus servidores ubicados en Estados Unidos.
Maximilian presentó una reclamación ante la Agencia irlandesa encargada de la protección de datos tras el escándalo de las revelaciones de Edward Snowden en relación a las actividades que venían realizando los servicios de información estadounidenses. Él consideraba que la política de protección de datos norteamericana no era garantía suficiente y que vulneraba sus derechos.
Inicialmente, la agencia austriaca de Protección de Datos desestimó su reclamación alegando que Estados Unidos si garantizaba un nivel adecuado de protección de datos de carácter personal al amparo del régimen vigente en aquel momento, el Safe Harbor o Puerto Seguro.
Pero este asunto no quedó ahí y acabó en el Tribunal de Justicia de la Unión Europea que en octubre de 2015 acabó dando la razón a Maximilian argumentando que efectivamente el marco que regulaba las transferencias de datos de carácter personal vulneraban los derechos fundamentales de los ciudadanos europeos.
El Tribunal de Justicia no tuvo más remedio que invalidar la decisión de la Comisión de 26 de Julio de 2000, relativa al Safe Harbor.
Fue en esta fecha cuando surgió el revuelo mediático acerca de si era o no legal, en lo que a materia de cumplimiento de la LOPD, usar aplicaciones cuyos datos estuvieran alojados en servidores de Estados Unidos, como por ejemplo Mailchimp, Amazon, Drive de Google o Dropbox, entre otros y que ya contamos en teenvio.
La derogación del Safe Harbor obligó a Estados Unidos y la Unión Europea a trabajar en un nuevo marco regulador de estas transferencias de datos que aseguraran un mayor control y la no injerencia, sin motivos más que justificados, en estos datos por parte del gobierno norteamericano.
Después de difíciles negociaciones se llegó al denominado Escudo de Privacidad o Privacy Shield, acuerdo que obligó EEUU a ofrecer mayores garantías que las que ofrecía el derogado Safe Harbor.
Donald Trump: Privacidad vs Seguridad Nacional
Donald Trump firmó el pasado 25 de enero una orden ejecutiva que en principio estaba destinada a optimizar la aplicación interna de la inmigración, pero que señalaba también que: “las agencias se asegurarán de que sus políticas de privacidad excluyan a las personas que no sean ciudadanos estadounidenses o residentes permanentes legales de las protección de la ley de privacidad en relación con la información de identificación personal”.
¿Y esto qué quiere decir? Pues que como seguramente habéis intuido, para el polémico presidente estadounidense el Privacy Shield es un acuerdo insuficiente para salvaguardar uno de los ejes de su política, la seguridad nacional.
Está orden ejecutiva pone en peligro el escenario actual ya que nuevamente podría volver a vulnerar las garantías de privacidad establecidas en el acuerdo para con los ciudadanos comunitarios, trasladándonos de nuevo a una situación de incertidumbre inseguridad jurídica como la que se vivió en el período de transición entra en Safe Harbor y el Privacy Shield.
Esto hace referencia a que se vuelve a poner en tela de juicio la legalidad de las transferencias de datos que realizan empresas como Mailchimp, Facebook o Dropbox, entre otras, servicios que forman parte de nuestro quehacer diario tanto personal como profesional y que a día de hoy son necesarias para el correcto funcionamiento de muchas empresas europeas.
Pero por otro lado también tenemos que fijarnos en la proporcionalidad con la que los servicios norteamericanos traten nuestros datos sin que esto suponga una vulneración de nuestros derechos. Aquí, privacidad y seguridad van de la mano, y es muy difícil establecer una línea roja donde empiece un derecho y acabe el otro sin vulnerarse mutuamente.
Es cuestión de prioridades, y a tenor de la orden ejecutiva firmada por Donald Trump queda bastante claro la posición del Gobierno de EEUU donde su intención es claramente apostar por la seguridad, a pesar de que ésta pueda no cumplir los acuerdos recogidos en el marco legal actual.
Lo que está claro es que es necesario de nuevo reconducir esta situación, porque algún otro Maximilian podría volver a presentar una reclamación que podría conducir para invalidez del Privacy Shield provocando un nuevo bucle que no beneficia ni Estados Unidos ni a la Unión Europea.
La checa Věra Jourová, Comisaria Europea de Justicia, tiene previsto un viaje esta misma primavera a Washington para iniciar las conversaciones que conduzcan en una renovación del acuerdo. ¿Serán fructíferas estas conversaciones?