We are now working on an in-depth analysis, which will be published on noyb.eu in the next days.
Primera reacción: Es improbable que la Orden Ejecutiva sobre la vigilancia de EE.UU. satisfaga la legislación de la UE
Más de seis meses después de un "acuerdo de principio" entre la UE y EE.UU., el Presidente de EE.UU., Joe Biden, ha firmado la tan esperada Orden Ejecutiva que pretende respetar las sentencias anteriores del Tribunal de Justicia de las Comunidades Europeas (TJCE). Con ello se pretende superar las limitaciones en las transferencias de datos entre la UE y Estados Unidos. El TJUE exigió (1) que la vigilancia de EE.UU. sea proporcionada en el sentido del artículo 52 de la Carta de los Derechos Fundamentales (CFR) y (2) que haya acceso a la reparación judicial, como exige el artículo 47 de la CFR. La nueva Orden Ejecutiva de Biden parece fallar en ambos requisitos. Hay una "vigilancia masiva" continua y un "tribunal" que no es un tribunal real.
Orden ejecutiva. Una Orden Ejecutiva es una directiva interna del Presidente de los Estados Unidos dentro del gobierno federal, pero no una ley. Anteriormente, el asunto estaba regulado por una orden del presidente Obama de 2014, denominada PPD-28. Si bien es bueno ver que nuestro litigio ahora conduce a una reacción del Presidente de los Estados Unidos, esta orden presidencial interna probablemente no resolverá el problema:
La vigilancia masiva continúa a través de dos tipos de "proporcionalidad". EE.UU. destaca que la nueva orden ejecutiva utiliza la redacción de la legislación de la UE ("necesaria" y"proporcionada", como en el artículo 52 del CFR) en lugar del término anterior"tan adaptada como sea posible" utilizado en la sección 1(d) del PPD-28. Esto podría resolver el problema, si EE.UU. siguiera la misma interpretación y aplicara también la prueba de proporcionalidad del TJUE.
Sin embargo, a pesar de cambiar estas palabras, no hay indicios de que la vigilancia masiva de EE.UU. vaya a cambiar en la práctica. La llamada "vigilancia masiva" continuará en virtud de la nueva Orden Ejecutiva (véase la sección 2 (c)(ii)) y cualquier dato enviado a los proveedores estadounidenses seguirá acabando en programas como PRISM o Upstream, a pesar de que el TJUE haya declarado dos veces que las leyes y prácticas de vigilancia estadounidenses no son"proporcionadas"(según la interpretación europea de la palabra).
¿Cómo es posible? Al parecer, la UE y EE.UU. acordaron copiar las palabras"necesario" y"proporcionado" en la Orden Ejecutiva, pero no acordaron que tuvieran el mismo significado jurídico. Si tuvieran el mismo significado, EE.UU. tendría que limitar fundamentalmente sus sistemas de vigilancia masiva para cumplir con la comprensión de la UE de la vigilancia "proporcionada".
Max Schrems, presidente de noyb.eu: "LaUE y los EE.UU. están ahora de acuerdo en el uso de la palabra "proporcional", pero parecen no estar de acuerdo en el significado de la misma. Al final, prevalecerá la definición del TJUE, lo que probablemente acabará con cualquier decisión de la UE. La Comisión Europea vuelve a hacer oídos sordos a la legislación estadounidense, para permitir que se siga espiando a los europeos."
el "Tribunal" no es un verdadero Tribunal. La orden ejecutiva pretende también añadir un recurso. Ahora habrá un procedimiento de dos pasos, siendo el primero un funcionario dependiente del Director de Inteligencia Nacional y el segundo un "Tribunal de Revisión de la Protección de Datos". Sin embargo, no se tratará de un "Tribunal" en el sentido jurídico normal del artículo 47 de la Carta o de la Constitución de los Estados Unidos, sino de un órgano dentro del poder ejecutivo del gobierno estadounidense. El nuevo sistema es una versión mejorada del anterior sistema de "Defensor del Pueblo", que ya fue rechazado por el TJUE. Parece claro que este órgano ejecutivo no equivaldría a un "recurso judicial" como exige la Carta de la UE.
La resolución por parte del "Tribunal" ya está prevista en la orden ejecutiva. Los usuarios tendrán que plantear sus problemas a un organismo nacional de la UE, que a su vez planteará la cuestión al gobierno de Estados Unidos. Al igual que antes, el gobierno de EE.UU. no confirmará ni negará que el usuario haya sido vigilado y sólo le informará de que no ha habido violación o de que ha sido subsanada (véase la sección 3(c)(E) de la OE). El usuario no sabrá más. Esto también hace inútil la opción de apelar, ya que simplemente no hay nada que apelar, mientras el usuario obtenga esta respuesta de sello de goma. La sección 3(i)(d)(H) incluso llega a detallar lo que el "Tribunal" responderá, sin importar los argumentos o el caso:"la revisión no identificó ninguna violación cubierta o el Tribunal de Revisión de la Protección de Datos emitió una determinación que requería una solución adecuada"
Max Schrems, presidente de noyb.eu: "Tenemos que estudiar la propuesta en detalle, pero a primera vista, está claro que este 'tribunal' simplemente no es un tribunal. LaCarta exige claramente un "recurso judicial"; el mero hecho de rebautizar a un organismo de reclamaciones como "tribunal" no lo convierte en un verdadero tribunal. Los detalles del procedimiento también serán relevantes para ver si esto puede satisfacer la legislación de la UE."
Investigación adicional y posible impugnación. noyb y sus socios analizarán los documentos con más detalle en los próximos días y publicarán un análisis jurídico detallado en los próximos días y semanas. Si la decisión de la Comisión no se ajusta a la legislación de la UE y a las sentencias pertinentes del TJUE, es probable que noyb presente otra impugnación ante el TJUE. Mientras tanto, el Congreso de EE.UU. tendrá que volver a autorizar la ley FISA 702 en 2023, lo que podría permitir al legislador estadounidense aplicar limitaciones significativas que respeten los derechos de privacidad de las personas no estadounidenses.
Max Schrems:"Analizaremos este paquete en detalle, lo que nos llevará un par de días. A primera vista, parece que las cuestiones fundamentales no se han resuelto y volverá al TJUE tarde o temprano."
¿Países con protecciones de privacidad similares no pueden llegar a un acuerdo estable? No parece lógico que dos países democráticos que coinciden en los principios legales básicos de la privacidad puedan producir el tercer acuerdo defectuoso consecutivo:
La Cuarta Enmienda de la Constitución de EE.UU. consagra el derecho a la privacidad y exige que haya una causa probable y una aprobación judicial para cualquier intervención telefónica. Del mismo modo, el TJUE exige que la vigilancia sea selectiva y que haya una aprobación o revisión judicial en virtud de la Carta de Derechos Fundamentales de la UE.
La única diferencia parece ser que mientras la UE considera que la privacidad es un derecho humano que se aplica a cualquier persona, la Cuarta Enmienda sólo se aplica a los ciudadanos estadounidenses o a los residentes permanentes. En opinión de EE.UU., los europeos no tienen derechos de privacidad. La ley FISA 702 aprovecha esa diferencia en la legislación estadounidense y permite una vigilancia que es ilegal según la Cuarta Enmienda, siempre que no se trate de estadounidenses.
Max Schrems:"Es sorprendente que la UE y Estados Unidos estén de acuerdo en que las escuchas telefónicas necesitan una causa probable y una aprobación judicial. Sin embargo, EE.UU. considera que los extranjeros no tienen derechos de privacidad. Dudo que EE.UU. tenga futuro como proveedor de la nube del mundo, si las personas no estadounidenses no tienen derechos bajo sus leyes. Me resulta contradictorio que la Comisión Europea esté trabajando en un acuerdo que acepta que los europeos son ciudadanos de "segunda clase" y no merecen los mismos derechos de privacidad que los ciudadanos estadounidenses"
Las empresas estadounidenses no tienen que cumplir con el GDPR. Lo que llama la atención, es que la Comisión Europea no pidió que los llamados "Principios del Escudo de Privacidad" se alineen con el GDPR, que está en vigor desde 2018. Los principios son en gran medida los mismos que los anteriores "Safe Harbor", que se redactaron en el año 2000 y que seguirán utilizándose en el nuevo marco. Esto significa que las empresas estadounidenses pueden seguir procesando datos europeos sin cumplir el RGPD. Por ejemplo, ni siquiera necesitan una base legal para el tratamiento, como el consentimiento. En virtud del Escudo de Privacidad, las empresas estadounidenses sólo tienen que ofrecer una opción de exclusión voluntaria a los usuarios. Esto es así a pesar de que el TJUE destaca que debe haber protecciones "esencialmente equivalentes" en Estados Unidos.
Próximos pasos. Ahora que EE.UU. ha emitido su orden ejecutiva, la Comisión Europea tendrá que redactar una llamada "decisión de adecuación" en virtud del artículo 45 del RGPD. Una vez emitido el proyecto de decisión, la Comisión debe escuchar al Consejo Europeo de Protección de Datos (CEPD), pero no está obligada por sus conclusiones. Además, los Estados miembros europeos deben estar a la cabeza y podrían bloquear el acuerdo. Este proceso puede durar un par de meses. Sin embargo, incluso las declaraciones negativas del EDPB y los Estados miembros no son vinculantes para la Comisión. Una vez que se publique la decisión, las empresas podrán basarse en ella a la hora de enviar datos a Estados Unidos y los usuarios podrán impugnarla a través de los tribunales nacionales y europeos. No se espera que esto ocurra antes de la primavera de 2023, aunque en un principio estaba previsto para el otoño de 2022.