La rápida evolución de las tecnologías digitales ha dado paso a una economía centrada en los datos, en la que la accesibilidad a los mismos impulsa la eficiencia del mercado y el crecimiento económico en diversas industrias. Sin embargo, este cambio, aunque ofrece numerosos beneficios, introduce importantes retos para la privacidad y la seguridad de los mismos, especialmente en el contexto de las transferencias transatlánticas de datos. Teniendo en cuenta los vastos lazos económicos entre la Unión Europea y Estados Unidos, el flujo transatlántico de datos ilustra vívidamente las complejidades que entraña la gobernanza de datos. Nos encontramos el desafío permanente de lograr un equilibrio entre las ventajas económicas derivadas de la utilización de los datos y las preocupaciones relativas a la seguridad nacional, la soberanía digital y los derechos individuales.
En los últimos años, la Comisión Europea aprobó dos marcos diferentes sobre el flujo transatlántico de datos –“Safe Harbour” en 2000 y “Privacy Shield” en 2016 -afirmando que EEUU ofrecía un nivel de protección de las transferencias de datos esencialmente equivalente al garantizado en la UE. Sin embargo, a pesar del optimismo inicial, ambos marcos sufrieron un importante revés cuando el Tribunal de Justicia de la Unión Europea (TJUE) las invalidó en lo que se conoce como la “saga Schrems”, llamada así por el activista austriaco que impugnó por primera vez ambos marcos ante el Tribunal Europeo. Los argumentos centrales se centraron en la ausencia de salvaguardias adecuadas para los datos personales en la legislación nacional estadounidense y en el alcance de la vigilancia estatal sobre dichos datos cuando se transferían, como reveló inicialmente Edward Snowden en 2013.
Esta evolución jurídica condujo a un periodo de gran incertidumbre y agudizó aún más el debate en curso sobre la regulación de la transferencia transatlántica de datos. Para hacer frente a las consecuencias de esta confusión jurídica, tanto la UE como EEUU se comprometieron a establecer “un marco renovado y sólido para los flujos de datos transatlánticos”, buscando una solución a largo plazo para abordar las complejidades de la privacidad y la seguridad de los datos, lo que finalmente desembocó en el Marco de Privacidad de Datos UE-EEUU (“DPF”, por sus siglas en inglés) adoptado recientemente.
Por qué importan los flujos de datos transatlánticos
Los flujos de datos tienen una importancia inmensa para la relación económica transatlántica y afectan a empresas de todos los tamaños e industrias. Estos intercambios de datos implican la participación de más del 90% de las empresas de la UE que realizan transacciones con EEUU, de las que un notable 70% son pequeñas y medianas empresas. De hecho, el volumen del flujo transatlántico de datos supera al de cualquier otra relación global, contribuyendo a una sólida asociación económica entre EEUU y la UE de 7,1 billones de dólares.
«En EEUU, la supervisión de la forma en que las empresas manejan y protegen los datos personales está marcada por la ausencia de una legislación federal exhaustiva»
Sin embargo, la regulación del intercambio de datos entre la UE y EEUU ha sido un asunto polémico, debido principalmente a sus diferentes interpretaciones de los derechos fundamentales y a las distintas normas de protección de datos. En EEUU, la supervisión de la forma en que las empresas manejan y protegen los datos personales está marcada predominantemente por la ausencia de una legislación federal exhaustiva. Así, las normas de privacidad y protección de datos varían según los sectores y son aplicadas por diferentes organismos, lo que da lugar a un panorama de privacidad diverso y fragmentado. Por el contrario, la UE opera bajo un marco integral de protección de datos regido principalmente por el Reglamento General de Protección de Datos (RGPD), que pone un fuerte énfasis en los derechos individuales e impone obligaciones estrictas a los titulares y procesadores de datos. A tal efecto, el RGPD prohíbe inequívocamente la transferencia de datos personales a terceros países que carezcan de suficientes medidas de protección de datos, a menos que la Comisión Europea emita decisiones de adecuación que certifiquen si un país se ajusta a las normas exigidas.
En consecuencia, las discrepancias en las normas sobre datos han generado incertidumbre entre los agentes económicos que participan en las relaciones económicas transatlánticas, lo que ha impulsado a las empresas a buscar formas de ajustarse a los requisitos europeos y evitar posibles infracciones del RGPD. Estas infracciones pueden dar lugar a sanciones de hasta el 4% de los ingresos anuales de la empresa, como ejemplifican varios casos en los que se han visto implicados gigantes tecnológicos: Meta, por ejemplo, recibió el pasado mes de mayo una multa récord por el RGPD de 1.300 millones de dólares, la mayor de la historia desde la adopción del RGPD.
Por último, situado en la encrucijada de la protección de datos, el comercio internacional y la seguridad nacional, el flujo transatlántico de datos está íntimamente ligado a la estrategia de la UE para afirmar su soberanía digital y asegurar la autonomía estratégica. Esta estrategia hace especial hincapié en la localización y conservación de los datos de los ciudadanos europeos dentro de las fronteras de la UE. Este enfoque está impulsado por el compromiso de garantizar que los datos de los ciudadanos europeos permanezcan bajo las leyes y normativas establecidas de la UE, que dan prioridad a la protección de la privacidad. En consecuencia, aunque el nuevo marco agiliza la transferencia de datos personales entre ambas regiones, puede suscitar preocupación por alejarse de los objetivos más amplios de la UE.
Restablecer la confianza en el entorno digital
En respuesta a las incertidumbres jurídicas derivadas de las decisiones del Tribunal de Justicia, la amplia colaboración entre Washington y Bruselas dio lugar a un acuerdo de principio en 2022. Este acuerdo, refrendado por el presidente estadounidense Joe Biden y la presidenta de la Comisión Europea Ursula von der Leyen, reflejaba el compromiso compartido de facilitar los flujos de datos entre ambas jurisdicciones de forma que se protejan los derechos individuales y los datos personales.
La orden ejecutiva 14086 sobre el refuerzo de las salvaguardias para las actividades de vigilancia fue promulgada por la administración de Biden el 7 de octubre de 2022. Junto con esta orden ejecutiva, el fiscal general de EEUU, Merrick Garland, emitió un Reglamento para establecer un Tribunal de Revisión de la Protección de Datos. Mediante estas acciones, EEUU se comprometía a introducir medidas de protección adicionales destinadas a abordar las preocupaciones planteadas por el tribunal en relación a la recopilación masiva de datos personales y la falta de criterios objetivos para limitar el acceso y la utilización por parte de las autoridades públicas.
En los meses siguientes, antes de finalizar su decisión de adecuación sobre el DPF, la Comisión Europea solicitó el dictamen del Consejo Europeo de Protección de Datos (CEPD) sobre el proyecto de decisión. El CEPD reconoció las mejoras introducidas por la Orden Ejecutiva 14086, sobre todo en lo que respecta a la limitación del acceso a los datos de la UE por parte de los servicios de inteligencia estadounidenses a lo necesario y proporcionado para proteger la seguridad nacional. No obstante, expresó varias preocupaciones, entre ellas las relacionadas con la «recogida masiva temporal» y el posterior almacenamiento y puesta en común de los datos recogidos en bloque dentro del marco jurídico estadounidense. Además, el 11 de mayo, el Parlamento Europeo transmitió sus reservas sobre el contenido del DPF. Aunque reconoció que la capacidad de transferir datos personales a través de las fronteras tiene “el potencial de ser un motor clave de la innovación, la productividad y la competitividad económica”, el Parlamento subrayó la necesidad crítica de que se establezcan firmemente salvaguardias sólidas.
Estas salvaguardias son esenciales para proteger el derecho a la intimidad, evitar la vigilancia masiva ilegal por parte de Estados Unidos y restablecer la confianza tanto de los ciudadanos como de las empresas de la UE en los servicios digitales, preservando en última instancia la vitalidad de la economía digital. Teniendo en cuenta el razonamiento del TJUE en Schrems II, el Parlamento Europeo sostuvo que el DPF no cumplía totalmente las normas legales de la UE debido a la falta de un «criterio objetivo» para justificar válidamente la intrusión gubernamental en la privacidad. En consecuencia, esto suscitó preocupaciones sobre la posibilidad de que el TJUE invalidara el DPF, como había hecho con marcos anteriores.
A pesar de estas preocupaciones, el 10 de julio, la Comisión Europea adoptó la decisión de adecuación sobre el DPF, confirmando que proporcionaba un nivel adecuado de protección de los datos personales. En consecuencia, los datos personales ya pueden circular libremente desde la UE hacia las empresas estadounidenses que hayan certificado su adhesión a los principios del DPF. Ursula von der Leyen declaró que el nuevo marco “garantizará flujos de datos seguros para los europeos y aportará seguridad jurídica a las empresas de ambos lados del Atlántico” al tiempo que reforzará los lazos económicos y reafirmará los valores compartidos. El presidente Joe Biden también acogió con satisfacción la decisión de adecuación, subrayando el compromiso conjunto de Bruselas y Washington.
