Privacidad: una sentencia problemática [PROJECT SYNDICATE]

Noëlle Lenoir
Ex ministra francesa de Asuntos Europeos

En octubre de 2015, una demanda judicial iniciada por un joven austríaco de 28 años llamado Max Schrems, activista por la privacidad y estudiante de posgrado de la Universidad de Viena, llevó a la invalidación del acuerdo de protección de datos (basado en los “principios de puerto seguro”) que regulaba el cumplimiento de las leyes de privacidad europeas por parte de empresas estadounidenses.

La decisión del Tribunal Europeo de Justicia (TEJ) dejó en un limbo jurídico las actividades de recolección, manejo, transferencia y almacenamiento de datos de usuarios de unas 4.500 empresas estadounidenses.

Sigue a Portafolio también en Facebook

La sentencia llevó a que muchos en Europa compararan a Schrems con Edward Snowden, el contratista de inteligencia que filtró información clasificada sobre los programas de vigilancia global de Estados Unidos.

De hecho, la demanda de Schrems se basó en gran medida en revelaciones de Snowden, entre ellas detalles de un programa de la Agencia Nacional de Seguridad (NSA) de EE.UU. por el cual las empresas de ese país presuntamente entregaban a la NSA datos personales almacenados en sus sistemas informáticos.

Según la sentencia del TEJ, la cooperación entre empresas y organismos de inteligencia estadounidenses viola el derecho a la privacidad y a la protección de datos garantizado por la Carta de Derechos Fundamentales de la Unión Europea.

El mensaje del tribunal fue claro: si el Gobierno Estadounidense no modificaba sus prácticas de recolección de inteligencia (de modo de restringir el acceso a datos personales y llevar a cabo sus investigaciones en forma particularizada), la transferencia de información de consumidores desde la UE hasta EE.UU. en el marco de los principios de puerto seguro no podía continuar.

El 2 de febrero, EE.UU. y Europa llegaron a un nuevo acuerdo (llamado Escudo de Privacidad) para satisfacer los requisitos del tribunal, que incluyen “limitaciones, salvaguardas y mecanismos de supervisión claros” para el uso de datos personales procedentes de Europa por parte de funcionarios policiales y de seguridad nacional. Además, se estipuló que los ciudadanos de la UE podrán iniciar acciones civiles contra agencias del Gobierno Estadounidense referidas a la protección de sus datos personales en Estados Unidos.

El Escudo de Privacidad, que necesita aprobación formal de los 28 estados miembros de la UE, todavía está supeditado a que la Comisión Europea emita una “decisión sobre el carácter adecuado de la protección”, algo que probablemente sucederá en abril. Entretanto, será revisado por el Grupo de Trabajo del Artículo 29, que incluye a representantes de las autoridades de protección de datos de los estados miembros. 

Hasta que se apruebe el Escudo de Privacidad, dicho grupo de trabajo pide a las empresas estadounidenses en Europa usar instrumentos alternativos (“cláusulas contractuales estándar” y “reglas corporativas vinculantes”) para la transferencia de datos a EE.UU., con el fin de evitar conflictos con las autoridades nacionales de protección de datos de Europa.

Que se llegara a un acuerdo era previsible. Después de los atentados de noviembre del 2015 en París, para la mayoría de los ciudadanos de la UE, la lucha contra el terrorismo islámico es máxima prioridad. Los gobiernos también quieren mejorar la eficacia de sus métodos de recolección de inteligencia (y aislarse de EE.UU. no sería modo de lograrlo).

La intensa presión para que se amplíen las capacidades de las agencias de inteligencia se ve en los pedidos de los gobiernos nacionales al Parlamento Europeo para que apruebe leyes que permitan reunir información de los pasajeros de aerolíneas. Se prevé que la directiva, que obligaría a las aerolíneas a entregar a las autoridades nombres, direcciones, números de teléfono, datos de tarjetas de crédito e itinerarios de viajeros con destino u origen en aeropuertos de la UE, se vote en los primeros meses de este año.
A pesar del acuerdo Escudo de Privacidad, es probable que la demanda de Schrems siga generando repercusiones en toda la UE. La sentencia del tribunal exhorta a las autoridades de protección de datos a asegurar que los países a los que se transfieran datos de ciudadanos europeos cumplan las leyes europeas, y a suspender la transferencia de datos a países que no las cumplan.

De modo que además de las consecuencias para las empresas y las actividades de inteligencia de EE.UU., la decisión del TEJ también puede afectar a los organismos de inteligencia nacionales europeos. A pesar de que el Tratado de la UE estipula que cada estado miembro es responsable exclusivo de su propia seguridad nacional, es de prever que el uso de datos personales por parte de dichos organismos quede sometido a un especial escrutinio.

Además, la aplicación de la jurisprudencia del tribunal a la transferencia de datos a otros países, como China, Rusia o la India, podría dar lugar a incidentes diplomáticos.

Todo indica que las autoridades de la UE seguirán teniendo noticias de Schrems, quien ya presentó varias demandas similares a la que terminó con la invalidación de los principios de “puerto seguro”.

Schrems sugirió una solución radical que implica imponer una condición para hacer negocios en la UE: en su opinión (y la de otros), todos los datos relativos a ciudadanos europeos deben quedar alojados en servidores dentro de la UE. De prosperar la propuesta, sus consecuencias serían amplias; incluso podría suponer la prohibición del uso de Internet (con sus innumerables servicios de valor económico multimillonario) en su forma actual.