Artículo de Irene Cortés en El País. Publicado el 26 de julio de 2020.
El pasado 16 de julio, el Tribunal de Justicia de la Unión Europea (TJUE) dictó una relevante sentencia en la que invalidaba el Privacy Shield (en español, escudo de privacidad), el acuerdo entre Estados Unidos y la UE para regular las transferencias de datos entre ambas jurisdicciones. Los magistrados consideran que el sistema no cumple con las garantías que exige en el Reglamento General de Protección de Datos (RGPD). El problema, explican, reside en una ley estadounidense que permite a su Gobierno acceder a la información personal que posean las empresas del país en caso de que se vea amenazada la seguridad nacional. Una concesión que, según la resolución, es completamente inadmisible.
El fallo ha sido un déjà vu para muchos de expertos en la materia. El escudo de privacidad es el segundo intento de acuerdo político para el intercambio de datos que tumba la justicia europea. El anterior, bautizado como Safe Harbor(puerto seguro) fue llevado ante los tribunales en 2015 y también acabó anulado por no cumplir con los mínimos de protección exigidos en el Viejo continente.
¿Qué impacto tiene la anulación del Privacy Shield? Para empezar, todas las transferencias de información personal que se realicen en base al escudo son, desde el 16 de julio, ilegales y contrarias al RGPD. Una consideración que puede tener consecuencias muy graves para las compañías, ya que las sanciones europeas en materia de privacidad pueden alcanzar, en los casos más flagrantes, los 20 millones de euros o el 4% de la facturación anual de la organización.
La decisión afecta, asimismo, a una cantidad considerable de compañías que, sobre el susodicho acuerdo, han contratado un sinfín de servicios de empresas estadounidenses que requieren intercambio de datos. Entre otros, servidores, aplicaciones de mensajería instantánea, plataformas de envíos masivos de correos o alojamientos de páginas web.
¿Supondrá esto un parón de la actividad de las entidades perjudicadas? “Ni mucho menos”, rechaza Rafael García del Poyo, socio de Osborne Clarke. En su opinión, la situación no es tan crítica como pudo parecer en un principio. Y, aunque admite que la resolución complica la gestión de los datos (un activo de cada vez mayor valor para las compañías), existen otras fórmulas legales que legitiman ese intercambio.
Una de ellas, avanza, son las cláusulas contractuales tipo. Este instrumento legal permite realizar transferencias internacionales con garantías, suscribiendo un contrato entre el exportador e importador de los datos por el que el último se compromete a tratar la información respetando la normativa europea.
Ahora bien, no está claro que las cláusulas puedan aplicarse con compañías estadounidenses. Como explica Leandro Núñez, socio en Audens, el TJUE menciona en su sentencia que esta opción será válida “siempre y cuando las disposiciones acordadas se cumplan íntegramente y no exista ningún obstáculo en las leyes del país receptor que vulnere la intimidad de los ciudadanos comunitarios”. Algo que no ocurre en el caso de Estados Unidos.
El abogado advierte que estos contratos contienen una disposición que prohíbe al importador ceder los datos a terceros, por lo que, en caso de producirse una intromisión por parte del gobierno norteamericano, “se incumple la cláusula y el contrato sería nulo”. Un riesgo al que hay que sumar el de una posible multa por la autoridad de protección de datos competente. No obstante, García del Poyo ve muy remota la posibilidad de sanción. “Ni el tribunal ni el Comité Europeo de Protección de Datos han sido alarmistas”, reflexiona. El letrado cree que las cláusulas tipo serán válidas, pero la empresa deberá hacer un análisis previo y exhaustivo sobre las mismas y sobre el régimen legal del país de recepción. En todo caso, y ante la falta de claridad, “lo más probable es que las autoridades se pronuncien próximamente”, augura.
Los pronunciamientos, sin embargo, se están haciendo esperar. En Berlín, por ejemplo, el comisionado de protección de datos ha aconsejado a las compañías que, de momento, paren las transferencias de información a Estados Unidos hasta que haya un nuevo marco legal. Más parca ha sido la respuesta de Francia y Liechtenstein, limitándose a anunciar que están examinando la sentencia.
En la misma línea, la Agencia Española de Protección de Datos (AEPD) subraya que el fallo supone, en primer término, “un respaldo a los derechos de los ciudadanos europeos”. Y avanza que está analizando el fallo junto con el resto de las autoridades europeas para “dar una respuesta armonizada”.
Daniel López Carballo, socio de Ecija, apunta otras alternativas para minimizar el peligro de incumplimiento. La primera, pedir una validación de las cláusulas tipo a la autoridad de control “para que certifique que se respetan los mínimos legales”. La segunda es poner en marcha normas corporativas vinculantes, una política interna de privacidad que debe servir para realizar transferencias seguras de información a las sucursales en otros lugares. “Garantiza que, independientemente del país en el que se esté, se cumplen con los mínimos legales”, señala.
La solución ideal, no obstante, sería un tercer acuerdo entre UE y EE UU, esta vez respetuoso con la normativa europea. Una posibilidad que, para Leandro Núñez, es más bien remota. “Es una cuestión cultural. En EE UU la seguridad nacional está por encima de la privacidad individual”. La propia idiosincrasia del país imposibilita un potencial pacto y, además, “la Administración actual parece poco dispuesta a ceder en este sentido”, lamenta. Sin una resolución clara y en pleno auge de la economía digital, este conflicto amenaza con convertirse con una importante fuente de inseguridad jurídica para muchas compañías.
Si hay algo claro en todo este escenario de incertidumbre en torno a las comunicaciones transoceánicas de información corporativa es que las soluciones alternativas requerirán un esfuerzo extra para las compañías, lo que se traduce, en definitiva, en un mayor coste para las mimas. En esta línea, los expertos consultados señalan un aspecto positivo a medio y largo plazo de este problema. Y es que las dificultades constantes que presentan los intercambios de datos con EE UU pueden llevar a que las compañías europeas dejen de contratar servidores americanos y se decanten por opciones fabricadas dentro del Continente. “Aunque a priori puedan resultar más costosas, la sencillez de los trámites puede hacerlas más rentables”, observa Daniel López.
