Con el nombre de “Escudo de la privacidad UE-EEUU” o EU-US Privacy Shield es como se conoce al sucesor del antiguo marco de “puerto seguro” (Safe Harbor), vigente hasta 2015. Este nuevo marco, acordado de forma oficial a mediados de 2016, ha de servir como garante del cumplimiento de la normativa europea en materia de protección de la privacidad en los intercambios de datos con Estados Unidos, como ocurre, por poner un ejemplo, en las distintas redes sociales que se usan a diario.

En febrero de 2016, la Comisión Europea anunció oficialmente la celebración de un nuevo acuerdo para proteger los derechos de los europeos en materia de protección de datos. Tras el rechazo de la directiva de “puerto seguro” vigente hasta el momento por parte del Tribunal de Justicia Europeo en octubre de 2015, es en diciembre de ese mismo año cuando la Comisión Europea, el Parlamento Europeo y el Consejo llegan a un acuerdo cuyo texto final es adoptado a principios de 2016. Esto tuvo como consecuencia que en este periodo de tiempo no se controlaran los envíos de datos a Estados Unidos, lo que produjo una ola de descontento e inseguridad entre muchas empresas (la transferencia de datos desacorde con la ley podía acarrear la imposición de multas por parte de este mismo Comité). Esto condujo a intensas negociaciones entre las empresas y la Comisión en las que aquellas demandaban transparencia y claridad. El resultado de estas reuniones se ve reflejado en el texto final adoptado por la Comisión en febrero de 2016.

El 25 de febrero de 2016 el expresidente Barack Obama firmó la Ley de recurso judicial (Judicial Reddress Act), lo que representó un paso fundamental previo a la firma del Escudo de la privacidad UE-EEUU y permitió a los ciudadanos de la Unión Europea presentar en EEUU una demanda a una empresa estadounidense en caso de infracción de la normativa europea de protección de datos. Confirmado el acuerdo marco, a principios de julio de 2016 algunos miembros de la Unión ya habrían definido las condiciones de este escudo protector de la privacidad.

El reconocimiento por parte de las instituciones europeas de un nivel de protección de datos común sienta las bases legales para el tráfico de datos a ambos lados del Atlántico. En concreto, esto significa que servicios digitales como Facebook, Amazon o Google están autorizados a almacenar de forma legal los datos de sus usuarios europeos y a enviar estos paquetes de información a Estados Unidos. Las bases para que finalmente la Unión acepte el tratado, tras la decisión sobre el carácter adecuado de la protección, las constituyen los llamados acuerdos Privacy Shield. Por ellos, el Gobierno estadounidense se compromete a cumplir con determinados estándares que implican equiparar el nivel de protección de los datos personales de los ciudadanos europeos almacenados en el país norteamericano con los estándares europeos en esta materia.

El exministro de asuntos exteriores estadounidense John Kerry aseguró en 2016 la creación de la figura de un Defensor del Pueblo, un mecanismo de mediación dentro del Departamento de Estado pero independiente de las agencias de seguridad nacionales al que los ciudadanos europeos podrían dirigirse en el caso de denuncias o consultas. Esta figura, ya conocida en Europa (Ombudsman) y Latinoamérica, ha de ocuparse de las peticiones de los particulares, haciendo un seguimiento de sus consultas e informando de si se produjo una infracción de la legalidad vigente o no.

Los ciudadanos europeos contarían, además, con diversas opciones de recurso legal. En caso de disputa, las empresas implicadas han de responder a la causa presentada por el usuario y resolverla en un plazo de 45 días. A este efecto ambas partes dispondrían de un sistema extrajudicial gratuito de resolución de conflictos, pero también habría otro procedimiento de arbitraje alternativo. Todos los ciudadanos europeos podrán dirigirse también a sus respectivos organismos nacionales de protección de datos, los cuales impulsarían la investigación de las causas no resueltas en colaboración con la Comisión Federal de Comercio (FTC) estadounidense. Si no se llegara a ninguna resolución del conflicto por una de las dos vías, se podría aún recurrir en última instancia a un mecanismo de arbitraje adicional con una solución jurídica ejecutable. Las empresas podrían comprometerse a actuar según las recomendaciones asesoradas por las autoridades de protección de datos europeas. Para las empresas que trabajan con datos en materia de recursos humanos, esto es obligatorio.

El ejecutivo estadounidense se comprometió, asimismo, a hacer un seguimiento anual del funcionamiento del escudo de privacidad y del acceso a los datos por parte de las agencias de seguridad. Este seguimiento sería llevado a cabo en conjunto por la Comisión Europea y el Departamento de Comercio de los Estados Unidos con la inclusión de expertos nacionales. En una cumbre planificada anualmente se discutirían las últimas novedades en el derecho norteamericano en materia de protección de datos y sus consecuencias para los ciudadanos de la Unión Europea, a lo que ha de seguir un informe accesible públicamente dirigido al Parlamento Europeo y al Consejo.

El acuerdo establece los seis ámbitos en los cuales se permite la vigilancia masiva y la recolección de datos privados de forma legal, aunque las delimitaciones entre ellos están sujetas a interpretación:

• la lucha contra el terrorismo
• la revelación de actividades de potencias extranjeras
• la lucha contra la distribución de armas de destrucción masiva
• la ciberseguridad
• la protección de las fuerzas armadas estadounidenses y aliadas
• la lucha contra amenazas criminales trasnacionales

Las empresas estadounidenses que quieran suscribirse a la normativa del Privacy Shield tienen, desde agosto de 2016, la posibilidad de comprometerse con sus principios con una autocertificación. Gran parte del reglamento que sustenta el Escudo de la privacidad UE-EEUU ya se encontraba entre los componentes del acuerdo de “puerto seguro”, aunque algunos requisitos se han endurecido o ampliado con el fin de que el nuevo escudo imponga exigencias más estrictas que su predecesor a las empresas receptoras en el intercambio transatlántico de datos. No obstante, no puede hablarse aquí de equivalencia con los estándares europeos de seguridad, ya que el cumplimiento de los estándares europeos solo es obligatorio para aquellas empresas que procesan datos personales.

Una lista publicada en la página web de la Comisión Federal de Comercio enumera todas las empresas certificadas hasta ahora para la recolección de datos en base al escudo, aunque ha de ser considerada con reservas, ya que en ella no se encuentran las numerosas filiales con las que cuentan muchas compañías incluidas, por ejemplo, Microsoft con sus 20 empresas subsidiarias.

El Escudo de la privacidad UE-EEUU conlleva algunas ventajas para los usuarios europeos. Un buen ejemplo es el principio de la recolección de datos solo en función del propósito por el cual se recogen, lo que será un componente integral del reglamento europeo de base para la protección de datos personales. Esto significa que los datos solo pueden ser protocolizados y procesados para un propósito legal, inequívoco y acordado previamente. Son sobre todo los derechos de los ciudadanos europeos los que han salido fortalecidos con el acuerdo, ya que, en caso de violaciones concretas de la protección de datos por parte de empresas de EEUU, pueden dirigirse a diversas instancias, como el Defensor del Pueblo.

Sin embargo, a los críticos del acuerdo no les parece lo suficientemente amplio, ya que las exigencias del Tribunal de Justicia Europeo reflejadas en la declaración de invalidez del acuerdo de “puerto seguro” en octubre de 2015, no han sido satisfechas del todo: solo se habrían maquillado las deficiencias. Esto impediría un fallo positivo por parte del Tribunal en el examen detallado de las cláusulas del acuerdo. Entre las críticas abiertas también se incluyen las visibles mínimas diferencias con Safe Harbor y muchos opositores sospechan que Privacy Shield no ha conseguido cerrar algunos vacíos legales.

Las medidas de vigilancia masiva tampoco están sujetas a ninguna prueba de proporcionalidad, lo que viola el derecho europeo. Estados Unidos sigue figurando como instancia de control central, sin reconocerse la supervisión por parte de organismos nacionales. De esta forma se echa en falta el control necesario y urgente de las grandes compañías digitales estadounidenses, lo que para los sectores críticos lleva a concluir en otro fracaso de la resolución.

Para muchas empresas dentro de la Unión Europea el escudo de privacidad no supone una solución real, ya que el nuevo reglamento contribuye a la seguridad legal solo en parte. En un marco jurídico, como es un proceso judicial, muchas empresas digitales dependen de la transmisión transatlántica de datos. Aun cuando los receptores de los paquetes de datos en EEUU pueden autocertificarse gracias a esta nueva normativa, no están a salvo de fallos ulteriores en contra.

Esto hace plausible pensar que muchas empresas eviten el Escudo de la privacidad UE-EEUU y con ello renuncien al intercambio de datos en base a esta nueva resolución. Una alternativa más segura como es implementar las cláusulas contractuales estándar de la UE tampoco garantiza la seguridad legal absoluta. Las autoridades irlandesas encargadas de la protección de los datos ya han anunciado que examinarán jurídicamente a estas directrices en profundidad.

La discusión a propósito del sentido del marco no parece que vaya a desfallecer a corto plazo. Toda empresa que haya albergado la esperanza de una normativa inequívoca y con todas las garantías legales deberá esperar a un examen judicial concluyente del acuerdo.

Y el hecho de acogerse a las cláusulas contractuales estándar en la Unión en el intercambio de datos tampoco es garante de estar cumpliendo con la legalidad, puesto que estas no son más seguras que el antaño “puerto seguro”. Es por esto que los protectores de datos ponen de relieve que los argumentos críticos válidos para Safe Harbor también podrían aplicarse a las cláusulas de las directrices que hoy por hoy son válidas según el derecho europeo —y, en consecuencia, tampoco estas directrices superarían un examen jurídico a conciencia.

Con todo lo dicho, se puede afirmar que el intercambio de datos con los Estados Unidos no dejará de constituir en el futuro un campo inseguro para las empresas. En el marco del reglamento vigente hoy día, la transferencia de datos a EEUU sigue siendo legalmente una zona gris. Para las empresas esto significa no perder nunca de vista la evolución de la situación legal en este tema. A principios de 2017, cuando la legislatura Trump comenzaba, la Comisión de Justicia Europea anunció una evaluación más detallada de las reglamentaciones de Privacy Shield. Así, está claro que la historia continúa.