La soberanía trasatlántica de los datos: cómo conseguir unos flujos de datos entre la UE y EE. UU. que garanticen la protección de la privacidad

→ El estado del problema. El Tribunal de Justicia de la Unión Europea (TJUE) dictaminó en julio de 2020 que en EE. UU. no existe un nivel de protección suficiente para los datos personales de los ciudadanos de la UE,  anulando así el acuerdo del Escudo de Privacidad entre EE. UU. y la UE de 2016 en el que basaban las transferencias trasatlánticas de datos. Recientemente, la Comisión Europea y el Gobierno de Estados Unidos anunciaron  conjuntamente un “acuerdo de principio” para elaborar un nuevo marco para las bajas de datos. Sin embargo, su contenido, sus especificidades y, sobre todo, su plasmación en cambios mejorados serán claves para garantizar que sea más sostenible que su predecesor.

→ Lo que hay en juego. Esa resolución, sumada a la respuesta vaga e incierta que las autoridades de protección de datos le dieron y a su errática aplicación por parte de las entidades nacionales, generó una considerable  incertidumbre a las empresas (pequeñas y grandes), las organizaciones y los ciudadanos sobre un aspecto central de la gobernanza económica global: durante los últimos 15 años, los datos han permitido que el comercio de  servicios digitales entre EE. UU. y Europa se haya duplicado; y ha sido así tanto en los sectores digitales como en los menos digitales, por ejemplo, la manufactura tradicional, que depende fundamentalmente de los datos que  circulan entre la UE y EE. UU.

→ El obstáculo clave. El TJUE considera que las autoridades estadounidenses que recopilan datos no cuentan, en virtud de las actuales leyes de vigilancia, con opciones reales de reparación para los ciudadanos de la UE, lo  que permite a los organismos gubernamentales recopilar información de usuarios extranjeros que se encuentran fuera de su territorio nacional sin que estos tengan los mismos medios que los ciudadanos estadounidenses para  defender su privacidad a través de un proceso judicial. La priorización de la seguridad nacional sobre la privacidad (de los ciudadanos extranjeros) se deriva del diferente planteamiento de la privacidad en los dos sistemas  legales: en la UE, la protección de los datos personales se considera un derecho fundamental; en consecuencia, el Reglamento General de Protección de Datos europeo (RGPD) impone normas obligatorias acerca de la manera  en que las organizaciones y las empresas deben utilizar los datos personales y otorga a las autoridades la capacidad de actuar ex officio cuando se infringe esta protección básica de la privacidad. Por el contrario, EE. UU. no  cuenta con un equivalente federal al RGPD (ni planes inmediatos o intentos creíbles de crear uno) y se basa en regulaciones estatales de diferente alcance, contenido y cuestiones procesales, que suelen atribuir la responsabilidad de corregir las externalidades negativas a los actores privados y a sus actuaciones específicas.

→ Un posible camino a seguir. El objetivo final que deberían fijarse la UE y EE. UU. es «la soberanía trasatlántica de los datos», es decir, las transferencias de datos personales de individuos que respeten la privacidad y se  basen en los objetivos y principios comunes y compartidos de los estándares, basados en el valor, utilizados para el comercio internacional y la tecnología en las democracias de mercado orientadas a los derechos y basadas en  el Estado de derecho. A pesar de estos puntos en común, convendría adoptar un enfoque pragmático que reconozca el ámbito limitado del acuerdo y se centre, por lo tanto, en la adecuación, la equivalencia o el reconocimiento  mutuo. Para eso, el mínimo de partida deberían ser unas condiciones idénticas para la UE y EE. UU. que reconozcan las opciones de reparación y el control de las capacidades de vigilancia. El gobierno de EE.UU. ha señalado recientemente su voluntad de aplicar un nuevo marco que presenta ambas novedades.

→ Dentro de EE. UU., el principal problema es la articulación del proceso político. Sugerimos tres posibles caminos:

1. El más expeditivo y eficiente sería una orden ejecutiva que limitase las recopilaciones a bulto de datos por parte de las agencias de vigilancia estadounidenses y que proporcionara mecanismos de reparación adicionales  para los ciudadanos europeos, por ejemplo una oficina ejecutiva o un tribunal con poder para decidir sobre las reclamaciones y dictar resoluciones vinculantes sobre los servicios de inteligencia estadounidenses. Este  parece ser el enfoque preferido por el actual gobierno estadounidense, que se ha comprometido a incluir sus próximos compromisos en una nueva OE. El problema fundamental de esta alternativa es su sostenibilidad a  largo plazo, una vez finalice la Administración actual.
2. El más sostenible a largo plazo debería seguir el proceso legislativo convencional: el Congreso de EE. UU. podría modificar la Ley de Vigilancia de la Inteligencia Extranjera (FISA, por sus siglas en inglés) para prohibir la recopilación a bulto de datos de inteligencia y exigir una autorización judicial para cada objeto de vigilancia. Sin embargo, esta ruta podría resultar demasiado lenta para un asunto que es urgente, y además estar sujeta a incertidumbres políticas: la situación política en EE. UU. es compleja, y está caracterizada por un Senado dividido, un marcado partidismo y las próximas elecciones de mitad de mandato.
3. También está sobre la mesa una solución no legal, por ejemplo la modificación del papel de ombudsperson, o defensor/a del pueblo, para darle el poder de actuar ex officio en nombre de la protección de la privacidad. El  problema de esta alternativa, que sería rápida y tal vez políticamente más viable, es la dificultad de evaluar si una opción no legal cumpliría los considerables requisitos europeos en materia de reparación, y si daría lugar a normas estables y fiables.

→ Dentro de la UE, los Estados miembros no están sujetos a los mismo estándares que las entidades extranjeras. De hecho, determinados Estados miembros (por ejemplo, Francia) expresaron en el pasado su disposición a  excluir por completo a sus agencias de inteligencia del ámbito de la legislación de la UE. Pero, para que un acuerdo sea sostenible, cualquier concesión que haga EE. UU. relacionada con la posibilidad de reparación debería  reflejarse en el tratamiento de los datos personales de los ciudadanos estadounidenses por parte de los Estados miembros de la UE. Esto abre la posibilidad de que otros Estados miembros de la UE defiendan un enfoque de la  UE que refleje las concesiones estadounidenses en materia de derechos fundamentales de reparación en el contexto de las actividades de vigilancia gubernamentales, subrayando su compromiso con los derechos fundamentales de la UE, la apertura económica y una cooperación transatlántica significativa para resolver el dilema entre privacidad y seguridad.