Carta abierta sobre el futuro de las transferencias de datos entre la UE y Estados Unidos

May 23, 2022

Carta abierta sobre el futuro de las transferencias de datos entre la UE y Estados Unidos

Aunque muchos detalles aún no están claros, cada vez han surgido más detalles sobre el acuerdo de transferencia de datos previsto entre la UE y EE.UU. Estos detalles parecen plantear más preguntas en cuanto a la estabilidad de cualquier nuevo acuerdo de adecuación por parte de la Comisión Europea. A la luz de estos acontecimientos preocupantes, el demandante principal en los casos "Schrems I" y "Schrems II" ha enviado la siguiente carta abierta (PDF) a las partes interesadas:


Estimado Comisario Didier Reynders,

Estimada Secretaria Gina Raimondo,

Estimada Pauline Dubarry,

Estimada Presidenta del EDPB, Andrea Jelinek,

Estimado Presidente de la LIBE, Juan Fernando López Aguilar,

Tomamos nota del anuncio de un acuerdo de principio para un nuevo Marco Transatlántico de Privacidad de Datos. Entendemos que el futuro acuerdo "de principio" se basa principalmente en un acuerdo político entre la Presidenta de la Comisión, von der Leyen, y el Presidente de los Estados Unidos, Joe Biden, pero no es el resultado de cambios materiales en la legislación estadounidense en respuesta a la sentencia del TJUE. Este enfoque parece repetir el acuerdo del "Escudo de Privacidad" y es profundamente preocupante.

Somos conscientes de que el anuncio sólo esboza ideas y titulares a grandes rasgos, pero que el texto final aún debe negociarse. Por tanto, las siguientes observaciones preliminares se basan en el limitado anuncio político y en otros detalles que la UE y EE.UU. compartieron informalmente con las partes interesadas en diversos formatos públicos o semipúblicos.

Sobre la base de estas declaraciones, entendemos que EE.UU. ha rechazado cualquier protección material para las personas no estadounidenses y sigue discriminando a las personas no estadounidenses al rechazar las protecciones básicas, como la aprobación judicial de las medidas de vigilancia individuales

Entendemos que el acuerdo previsto se basará en gran medida en las órdenes ejecutivas estadounidenses. Habiendo trabajado en este asunto con expertos en vigilancia de EE.UU. y con abogados, dichas órdenes ejecutivas parecen ser estructuralmente insuficientes para cumplir con los requisitos del TJUE.

Sobre la base de las piedras angulares conocidas, advertimos a los negociadores de ambos lados del Atlántico, al Consejo de la UE, a la JEPD y a la Comisión LIBE del Parlamento Europeo que el marco anunciado corre el riesgo de compartir el mismo destino que sus dos predecesores frente al TJUE, a menos que se lleven a cabo reformas sustantivas (legislativas) en los Estados Unidos

Hacemos un llamamiento a los negociadores para que sigan trabajando por una solución duradera y que preserve la privacidad de los flujos transatlánticos para evitar una decisión "Schrems III". El enfoque actual puede causar más inseguridad jurídica para los ciudadanos y las empresas en los próximos años, un temor que también fue expresado por los representantes de la industria en reacción al "acuerdo de principio".

Somos plenamente conscientes de que esto es todo menos una tarea fácil, pero la inversión en hacerlo bien no sólo garantizaría la solución de este asunto a largo plazo, sino que también beneficiaría a los ciudadanos y a la economía de ambas partes.

Para alcanzar ese objetivo, presentamos las siguientes observaciones y recomendaciones más detalladas:

(1) Aplicar una prueba de proporcionalidad correcta a la ley de vigilancia de EE.UU. en virtud del artículo 8 del MCR

Entendemos que los negociadores de EE.UU. no tienen previsto solicitar modificaciones de la legislación estadounidense en relación con la vigilancia del material, sino que planean sustituir esencialmente la Directiva Política Presidencial 28 (PPD-28) sobre actividades de inteligencia de señales por una nueva orden ejecutiva que incluiría las palabras "necesario y proporcionado"

Parece que la Comisión Europea pretende que estas palabras en una orden ejecutiva de EE.UU. se consideren equivalentes a la prueba de proporcionalidad de la UE en el artículo 52 de la Cartaer de los Derechos Fundamentales (CFR)

Sin embargo, es difícil ver cómo la vigilancia existente en EE.UU. puede ser "necesaria y proporcionada" en virtud de la legislación europea si el TJUE ha considerado explícitamente lo contrario en dos sentencias

Este planteamiento parece ser insuficiente al menos por las siguientes razones:

  • En ambas sentencias del TJUE ("Schrems I" y "Schrems II"), el Tribunal ha sostenido claramente que las leyes y prácticas de vigilancia de EE.UU. violan los artículos 7, 8 y 47 de la Carta de Derechos Fundamentales. El TJUE incluso ha considerado explícitamente que estas leyes y prácticas no son "necesarias y proporcionadas"
  • La sentencia "Schrems II" se dictó teniendo en cuenta la PPD28 (como directiva ejecutiva pertinente en ese momento). Como la Comisión Europea y el Gobierno de los Estados Unidos han argumentado ante el TJUE, la PPD-28 ya incluye la expresión "tan adaptada como sea posible", que la Comisión ha interpretado como equivalente a la proporcionalidad en virtud del artículo 52 del CFR. El TJUE ha rechazado esta idea. No vemos cómo las leyes y prácticas que el TJUE ha considerado explícitamente que no son "necesarias y proporcionadas" podrían convencer de repente al TJUE si se vuelven a etiquetar como "necesarias y proporcionadas" en lugar de "tan adaptadascomosea posible".
  • Entendemos que, aunque EE.UU. adopte estas palabras, no ha accedido a limitar la vigilancia de los sujetos de datos no estadounidenses de forma material. En concreto, EE.UU. no ha anunciado ninguna intención de limitar o revisar las prácticas de vigilancia llevadas a cabo en virtud de las leyes y programas (FISA 702, EO 12.333, "PRISM" y "Upstream") mencionados específicamente por el TJUE en su sentencia. Estados Unidos tampoco ha indicado que vaya a realizar ningún cambio para poner fin a sus prácticas de vigilancia masiva . Los programas de vigilancia parecen continuar tal cual. El TJUE ha llevado a cabo una prueba de proporcionalidad en virtud del artículo 52 del RFC y ha concluido que las prácticas de vigilancia de EE.UU. no superan esa prueba. Si EE.UU. integrara el concepto de"necesidad y proporcionalidad", esto significaría detener o limitar severamente estas prácticas de vigilancia. Los negociadores tienen claro que esto no es lo que se pretende.
  • Por lo tanto, los negociadores parecen limitarse a copiar las palabras del CFR y de la jurisprudencia del TJUE a una orden ejecutiva de EE.UU., pero es probable que apliquen un significado diferente al del TJUE, ya que, de lo contrario, esto tendría que llevar a la detención de los programas Upstream y Downstream (antes "PRISM") en virtud de la Sección 702 de la Ley de Vigilancia de Inteligencia Extranjera (FISA), y al fin de la vigilancia masiva en virtud de la Orden Ejecutiva 12.333.
  • Además, nos preocupa que las órdenes ejecutivas no suelen conferir derechos a terceros. Parece que incluso si se aplicara una prueba "necesaria y proporcionada" en línea con el artículo 52 del CFR en una orden ejecutiva, cualquier sujeto de datos podría no ser capaz de hacer valer tales limitaciones en los tribunales.

En resumen, este enfoque parece limitarse a satisfacer los requisitos políticos, diplomáticos y de relaciones públicas de ambas partes, pero parece ignorar el hecho de que el TJUE ya ha determinado que la vigilancia estadounidense no es "necesaria y proporcionada" y que Estados Unidos continuará con estas prácticas.

(2) Crear un recurso judicial significativo en virtud del artículo 47 del MCR

Entendemos que los negociadores de EE.UU. no tienen previsto modificar la legislación estadounidense para crear vías de recurso judicial para los interesados de la UE

En su lugar, el ejecutivo estadounidense debería crear un nuevo "organismo" dentro del poder ejecutivo (similar al anterior "Defensor del Pueblo", pero bajo la autoridad del Abogado General) que se encargue de las posibles violaciones de la legislación estadounidense y de las órdenes ejecutivas. Este organismo, denominado "Tribunal de Revisión de la Protección de Datos", no será -en contra de su nombre- un "Tribunal", sino un órgano ejecutivo. Formará parte del poder ejecutivo, con una independencia limitada

Entendemos que los titulares de los datos de la UE no podrán acceder a la información sobre posibles operaciones de vigilancia que les afecten durante el procedimiento y no podrán apelar las decisiones de este "Tribunal" ante un órgano judicial totalmente independiente establecido en virtud del artículo 3 de la Constitución estadounidense

Este enfoque parece violar la jurisprudencia del TJUE al menos en el siguiente aspecto:

  • La solución propuesta no prevé un recurso judicial , sino un órganode recurso dentro del poder ejecutivo, similar al Defensor del Pueblo , que el TJUE consideró no sólo desproporcionado, sino que vulnera la esencia del artículo 47 del MCR. El mero hecho de denominar "Tribunal" a un órgano ejecutivo no crea un recurso judicial. El enfoque parece describirse mejor como un "Defensor del Pueblo Plus".
  • Es difícil ver cómo este nuevo organismo cumpliría los requisitos formales de un tribunal o juzgado en virtud del artículo 47 del RFC, especialmente si se compara con los casos y las normas vigentes que se aplican en la UE (por ejemplo, en Polonia y Hungría). Se pediría al TJUE que aplicara una norma "alta" del artículo 47 CFR dentro de la UE, pero una norma "baja" del artículo 47 CFR para un "Tribunal de Revisión de la Protección de Datos" de EE.UU. Sería la Comisión Europea la que tendría que convencer al TJUE de estas diferentes normas del artículo 47 CFR.
  • Entendemos que esteeste nuevo "Tribunal" seguirá funcionando como el actual "Defensor del Pueblo" y no confirmará ni negará si una persona ha sido objeto de vigilancia y si se ha producido una infracción de la legislación estadounidense. Entendemos que el sujeto de los datos no tendrá ninguna opción directa o indirecta de ver las pruebas, solicitar la presentación de pruebas, interrogar al oponente o recibir una sentencia motivada . Esto lo convertirá en una institución de "sello de goma", sin relevancia práctica.
  • Este enfoque de "sello de goma" también limitará las opciones de cualquier recurso potencialmente previsto ante cualquier órgano secundario: Si el "Tribunal de Revisión de la Protección de Datos" está obligado a enviar una respuesta estándar prescrita, no vemos que haya espacio para ninguna apelación material informada y significativa. Si sólo hay un posible resultado predefinido en cada caso, parece que apenas hay casos en los que un ciudadano pueda plantear un error, ya que parece que sólo hay una respuesta posible.
  • Existen dudas fundamentales sobre si doctrinas estadounidenses como " secretos de Estado" se aplicarán a estos organismos y limitarán aún más cualquier opción de un juicio justo. Entendemos que el gobierno de EE.UU. seguirá basándose en estas doctrinas.

En resumen, no vemos cómo este nuevo "Tribunal" cumpliría con el artículo 47 del MCR, especialmente a la luz de la reciente jurisprudencia del TJUE sobre la vigilancia de EE.UU., pero también a la luz de la jurisprudencia del TJUE sobre la reparación judicial y el Estado de Derecho en los Estados miembros de la UE. Parece que el TJUE tendría que desarrollar una prueba separada del artículo 47 CFR para los EE.UU., para encontrar que un órgano ejecutivo que produce respuestas de sello de goma es de hecho una forma de reparación judicial. No vemos cómo este desarrollo de la jurisprudencia del TJUE es remotamente realista o incluso deseable.

(3) La necesidad de actualizar la protección de la privacidad comercial

Además de las deficiencias del acuerdo anunciado en principio vinculadas a la falta de reformas sobre la vigilancia de EE.UU y las leyestambién advertimos a los negociadores de la UE sobre la necesidad de actualizar las obligaciones de protección de datos comerciales en cualquier acuerdo futuro.

Nos preocupa que los negociadores de la UE y de EE.UU. no parezcan prever ninguna actualización de los propios Principios del Escudo de Privacidad. Entendemos que los Principios del Escudo de Privacidad y las certificaciones no se tocarán, ni siquiera se les cambiará el nombre. Esto es enormemente problemático, ya que los principios se basan en gran medida en los principios de "Puerto Seguro" del año 2000, con sólo pequeñas actualizaciones en 2016. No están en consonancia con los requisitos del GDPR, que entró en vigor en 2018. De hecho, los Principios del Escudo de Privacidad se refieren incluso a la Directiva 95/46/CE, que no es aplicable desde hace tiempo, y no al GDPR

Destacamos aquí algunos ejemplos de algunas de las muchas deficiencias de los Principios del Escudo de Privacidad y en qué se apartan del GDPR:

  • Los Principios del Escudo de la Privacidad no tienen un requisito general de base legal, como en el artículo 6(1) del GDPR y el artículo 8(2) de la Cartade los Derechos Fundamentales. De hecho, sólo existe el llamado enfoque de "notificación y elección" con derecho a rechazar (opt-out). Especialmente porque los principios suelen aplicarse a los subprocesadores, que no tienen contacto directo con el sujeto de los datos, no parece haber un escenario realista en el que el sujeto de los datos pueda ser notificado sobre un tratamiento problemático.
  • Los Principios del Escudo de la Privacidad no exigen que el tratamiento de datos sea "necesario", como exigen el artículo 5(1)(c) del GDPR y el artículo 52(1) del CFR, sino sólo "pertinente".
  • La mayor parte de los elementos del derecho de acceso previsto en el artículo 15 del RGPD y en el artículo 8.2 del RFC no se reflejan en la Carta de Derechos Fundamentalesde los Derechos Fundamentales no se reflejan en los Principios del Escudo de la Privacidad.
  • El mecanismo de recurso previsto en losel mecanismo de recurso previsto en los Principios se basa en el arbitraje privado, un sistema que está prohibido en relación con los consumidores en la UE desde la Directiva 93/13/CEE. Los servicios de arbitraje privado son pagados por la empresa estadounidense y no cuentan con los mecanismos de "supervisión y detección" necesarios ni con poderes que se parezcan ni remotamente a los poderes de las autoridades de supervisión de la UE en virtud del artículo 58 del RGPD. Existen múltiples pasos para que un laudo arbitral sea realmente ejecutable según la legislación estadounidense.

Hay innumerables ejemplos más, en los que los Principios del Escudo de la Privacidad no son "esencialmente equivalentes" al GDPR y, por tanto, permiten a los competidores estadounidenses operar en el mercado europeo, sin cumplir la legislación de la UE. Incluso si se resolvieran los asuntos de la vigilancia estadounidense, cualquier nuevo acuerdo podría ser invalidado por el TJUE sobre la base de que los Principios del Escudo de Privacidad no son en absoluto "esencialmente equivalentes" al RGPD.


El futuro de las transferencias internacionales de datos

Lamentamos ver que los negociadores no han aprovechado esta oportunidad para garantizar que los derechos humanos a la privacidad y a la protección de datos estén protegidos a ambos lados del Atlántico y con independencia de la ubicación geográfica o la ciudadanía. Estamos profundamente convencidos de que una Internet global y la libre circulación de datos personales sólo son posibles si las protecciones no se basan en conceptos históricos y nacionalistas, como la ciudadanía. Mientras que el GDPR y los artículos 7, 8 y 47 del CFR son derechos humanos y se aplican a cualquier usuario, independientemente de los lazos nacionales, la FISA 702 y las órdenes ejecutivas pertinentes en EE.UU. continúan siguiendo una idea arcaica de "personas estadounidenses" y "personas no estadounidenses".

Esto no sólo está provocando violaciones de los derechos humanos, sino que también parece socavar los supuestos objetivos de estas leyes de vigilancia: Sabemos que la mayoría de los peligros actuales (como el terrorismo doméstico, el espionaje y otros similares) no se basan en la ciudadanía del objetivo.

Hacemos un llamamiento a los negociadores y a otras partes interesadas, incluida la industria tecnológica estadounidense, para que pongan en tela de juicio los conceptos nacionalistas tradicionales. Si Internet no debe conocer las fronteras nacionales, nuestros derechos de privacidad y leyes de vigilancia deben superar igualmente los conceptos nacionalistas. Una opción serían los acuerdos internacionales entre naciones democráticas.

El capítulo 5 del GDPR ya permite la libre circulación de datos, si las protecciones son "esencialmente equivalentes". Lamentamos que las leyes nacionales de vigilancia de EE.UU. y la UE sigan aferrándose a conceptos como el de ciudadanía y que, hasta ahora, carezcan de cláusulas modernas de interoperabilidad.

Este conflicto entre las protecciones de la privacidad (interoperables) y las leyes de vigilancia (nacionalistas) obstaculiza los flujos de datos internacionales, el comercio y la convergencia.

Reacción ante cualquier nueva decisión de adecuación

Dado que nuestro litigio siempre está dirigido a garantizar una solución duradera que proteja los datos de los usuarios y permita el libre flujo de datos, seríamos los primeros en aplaudir cualquier resultado de este tipo. Seguimos confiando en que cualquier texto final pueda superar las deficiencias señaladas en esta carta y animamos a los negociadores de ambos lados del Atlántico a avanzar en las tan necesarias reformas de la legislación estadounidense.

En ausencia de estos cambios legislativos, nos preocupa que cualquier acuerdo futuro se base (de nuevo) en esperanzas políticas en lugar de en realidades jurídicas. Nos preocupa especialmente que la Comisión Europea pueda adoptar a sabiendas otra decisión de adecuación ilegal con el objetivo de socavar las sentencias del TJUE. Esto se conoce como "comprar otro par de años". Esto no sólo puede conducir a un ping-pong interminable entre Bruselas y Luxemburgo, sino que también amenaza la confianza en el Estado de Derecho y el TPI a nivel europeo.

A la luz de lo anterior, noyb está dispuesta a impugnar cualquier decisión final de adecuación que no proporcione la seguridad jurídica necesaria. En caso de que dicho litigio sea realmente necesario, nos centraremos especialmente en una vía rápida y eficaz para que el TJUE llegue a una decisión rápida. Esperamos que esto garantice un período más corto de inseguridad jurídica en caso de cualquier acuerdo político mal concebido

Tal desafío puede incluir una solicitud para que el TJUE suspenda la aplicación de cualquier tercera versión de una decisión de adecuación de los Estados Unidos. Dicha opción está prevista en el artículo 278 del TFUE y podría garantizar que la Comisión Europea no socava al TJUE aprobando nuevas decisiones de adecuación ilegales en un intento de superar la revisión de las mismas por parte del TJUE.

Esperamos que estas observaciones preliminares le sean útiles. Estamos a su disposición en caso de que tenga alguna pregunta o quiera proporcionarnos más aclaraciones sobre el nuevo acuerdo previsto.

Atentamente,

Max Schrems

Presidente de Honor, noyb

Sinceramente,

Max Schrems

Presidente de Honor, noyb