Dicen que a la tercera va la vencida, pero no está tan claro. La Comisión Europea ha anunciado un nuevo acuerdo para la transferencia de datos entre Estados Unidos y Europa. Un marco legal para que los datos personales de los europeos puedan ser procesados por empresas estadounidenses, siempre que sigan una serie de mecanismos. Pero su destino puede acabar siendo el mismo que los dos anteriores.
Europa vuelve a ceder. El 'EU-U.S. Data Privacy Framework' es resultado de un acuerdo al que llegó la presidenta de la Comisión, Ursula von der Leyen, con el presidente de los EE.UU, Joe Biden, el año pasado. Acordaron volver a intentar crear una normativa para permitir estas transferencias de datos.
El primer intento fue 'Safe Harbour' en el año 2000, que fue anulado por el Tribunal de Justicia de la Unión Europea en 2015. El segundo intento fue 'Privacy Shield', en 2016. Y posteriormente también anulado por la Justicia en 2020 por no dar garantías suficientes. Este 'Framework' es el tercer intento.
Qué se ha añadido. Según describe la Comisión, este nuevo acuerdo obligará a las empresas estadounidenses a cumplir una serie de medidas. Por ejemplo "eliminar los datos cuando ya no se necesiten para la razón original por la que fueron recogidos"; "mecanismos de disputa gratuitos"; "salvaguardas para el acceso de estos datos por parte de autoridades estadounidenses" y "acceso limitado cuando sea necesario y proporcionado para la seguridad nacional".
Consideran que es un copia-pega y volverán a llevarlo ante los tribunales. Max Schrems, abogado de la organización de activistas en defensa de la privacidad, Noyb, explica que volverá a llevar este acuerdo ante los tribunales. Él fue quien consiguió que los dos anteriores fueran anulados.
En un comunicado explican que Noyb volverá a denunciar este acuerdo, por ser básicamente una copia del fallido 'Privacy Shield' y no solucionar algunos problemas fundamentales.
"No hay ningún cambio sustancial en la ley de vigilancia de EE.UU. Las declaraciones de prensa de hoy son casi una copia literal de las de los últimos 23 años. Solo por anunciar que algo sea "nuevo", "robusto" o "efectivo" no es suficiente ante el Tribunal de Justicia. Necesitaríamos cambios en la ley de vigilancia de EE.UU. para que esto funcione, y simplemente no los tenemos", explica Schrems.
Los derechos constitucionales solo son para los estadounidenses. Uno de los problemas de este acuerdo es que lo que Europa considera "proporcionado" es diferente a lo que en Estados Unidos es. En concreto sobre la videovigilancia masiva para usuarios no estadounidenses. Allí sí se considera "proporcionado" por una cuestión de seguridad nacional, mientras que la Justicia europea no lo ve así hasta la fecha.
Según explican desde Noyb, Estados Unidos no ha reformado la norma FISA 702 para ofrecer suficientes garantías de privacidad a los usuarios no estadounidenses: "EE.UU. continúa insistiendo en que las personas no estadounidenses no tienen derechos constitucionales en EE.UU., por lo tanto, la violación de su derecho a la privacidad no está cubierta por la Cuarta Enmienda".
25 años de batalla legal. Desde el año 2000, Estados Unidos y Europa buscan cómo ponerse de acuerdo para transferir los datos de los usuarios. Hasta la fecha no han encontrado una solución legal, aunque eso no ha evitado que haya habido transferencia.
"Ahora se añadirán otros dos años más a este ping-pong", explican desde Noyb. El caso es que el TJUE no tomará una decisión final hasta, previsiblemente, 2025. Dos años más donde se irán tomando decisiones hacia un lado u otro sin tener del todo claro cuál es el marco a aplicar.
Ver 20 comentarios