La rápida evolución de las tecnologías digitales ha dado paso a una economía centrada en los datos, en la que la accesibilidad a los mismos impulsa la eficiencia del mercado y el crecimiento económico en diversas industrias. Sin embargo, este cambio, aunque ofrece numerosos beneficios, introduce importantes retos para la privacidad y la seguridad de los mismos, especialmente en el contexto de las transferencias transatlánticas de datos. Teniendo en cuenta los vastos lazos económicos entre la Unión Europea y Estados Unidos, el flujo transatlántico de datos ilustra vívidamente las complejidades que entraña la gobernanza de datos. Nos encontramos el desafío permanente de lograr un equilibrio entre las ventajas económicas derivadas de la utilización de los datos y las preocupaciones relativas a la seguridad nacional, la soberanía digital y los derechos individuales.
En los últimos años, la Comisión Europea aprobó dos marcos diferentes sobre el flujo transatlántico de datos –“Safe Harbour” en 2000 y “Privacy Shield” en 2016 -afirmando que EEUU ofrecía un nivel de protección de las transferencias de datos esencialmente equivalente al garantizado en la UE. Sin embargo, a pesar del optimismo inicial, ambos marcos sufrieron un importante revés cuando el Tribunal de Justicia de la Unión Europea (TJUE) las invalidó en lo que se conoce como la “saga Schrems”, llamada así por el activista austriaco que impugnó por primera vez ambos marcos ante el Tribunal Europeo. Los argumentos centrales se centraron en la ausencia de salvaguardias adecuadas para los datos personales en la legislación nacional estadounidense y en el alcance de la vigilancia estatal sobre dichos datos cuando se transferían, como reveló inicialmente Edward Snowden en 2013.
Esta evolución jurídica condujo a un periodo de gran incertidumbre y agudizó aún más el debate en curso sobre la regulación de la transferencia transatlántica de datos. Para hacer frente a las consecuencias de esta confusión jurídica, tanto la UE como EEUU se comprometieron a establecer “un marco renovado y sólido para los flujos de datos transatlánticos”, buscando una solución a largo plazo para abordar las complejidades de la privacidad y la seguridad de los datos, lo que finalmente desembocó en el Marco de Privacidad de Datos UE-EEUU (“DPF”, por sus siglas en inglés) adoptado recientemente.
Por qué importan los flujos de datos transatlánticos
Los flujos de datos tienen una importancia inmensa para la relación económica transatlántica y afectan a empresas de todos los tamaños e industrias. Estos intercambios de datos implican la participación de más del 90% de las empresas de la UE que realizan transacciones con EEUU, de las que un notable 70% son pequeñas y medianas empresas. De hecho, el volumen del flujo transatlántico de datos supera al de cualquier otra relación global, contribuyendo a una sólida asociación económica entre EEUU y la UE de 7,1 billones de dólares.
«En EEUU, la supervisión de la forma en que las empresas manejan y protegen los datos personales está marcada por la ausencia de una legislación federal exhaustiva»
Sin embargo, la regulación del intercambio de datos entre la UE y EEUU ha sido un asunto polémico, debido principalmente a sus diferentes interpretaciones de los derechos fundamentales y a las distintas normas de protección de datos. En EEUU, la supervisión de la forma en que las empresas manejan y protegen los datos personales está marcada predominantemente por la ausencia de una legislación federal exhaustiva. Así, las normas de privacidad y protección de datos varían según los sectores y son aplicadas por diferentes organismos, lo que da lugar a un panorama de privacidad diverso y fragmentado. Por el contrario, la UE opera bajo un marco integral de protección de datos regido principalmente por el Reglamento General de Protección de Datos (RGPD), que pone un fuerte énfasis en los derechos individuales e impone obligaciones estrictas a los titulares y procesadores de datos. A tal efecto, el RGPD prohíbe inequívocamente la transferencia de datos personales a terceros países que carezcan de suficientes medidas de protección de datos, a menos que la Comisión Europea emita decisiones de adecuación que certifiquen si un país se ajusta a las normas exigidas.
En consecuencia, las discrepancias en las normas sobre datos han generado incertidumbre entre los agentes económicos que participan en las relaciones económicas transatlánticas, lo que ha impulsado a las empresas a buscar formas de ajustarse a los requisitos europeos y evitar posibles infracciones del RGPD. Estas infracciones pueden dar lugar a sanciones de hasta el 4% de los ingresos anuales de la empresa, como ejemplifican varios casos en los que se han visto implicados gigantes tecnológicos: Meta, por ejemplo, recibió el pasado mes de mayo una multa récord por el RGPD de 1.300 millones de dólares, la mayor de la historia desde la adopción del RGPD.
Por último, situado en la encrucijada de la protección de datos, el comercio internacional y la seguridad nacional, el flujo transatlántico de datos está íntimamente ligado a la estrategia de la UE para afirmar su soberanía digital y asegurar la autonomía estratégica. Esta estrategia hace especial hincapié en la localización y conservación de los datos de los ciudadanos europeos dentro de las fronteras de la UE. Este enfoque está impulsado por el compromiso de garantizar que los datos de los ciudadanos europeos permanezcan bajo las leyes y normativas establecidas de la UE, que dan prioridad a la protección de la privacidad. En consecuencia, aunque el nuevo marco agiliza la transferencia de datos personales entre ambas regiones, puede suscitar preocupación por alejarse de los objetivos más amplios de la UE.
