Declaración de Max Schrems un año después de la decisión "Schrems II" del Tribunal de Justicia de la Unión Europea
Hace un año, la llamada decisión "Schrems II" se calificó de innovadora, a pesar de que era la segunda vez que el TJUE declaraba ilegales las transferencias de datos entre la UE y los EE.UU., sobre la base de la legislación de la UE que existe efectivamente desde 1995. Durante el último año, parece que las partes interesadas se han dedicado principalmente a desviar y señalar con el dedo, pasando cada una de ellas la responsabilidad a la siguiente.
Sólo una parte de las empresas europeas se ha dado cuenta de que el conflicto subyacente entre la protección de datos de la UE y la ley de vigilancia de EE.UU. no se resolverá a corto plazo, y ha optado por alojar los datos personales en Europa, o en otras regiones seguras, en lugar de embarcarse en una interminable pesadilla de cumplimiento de la ley de EE.UU. Otras empresas europeas se quejan regularmente de la falta de "orientación" a pesar de dos sentencias claras. Cuando se dan orientaciones, como las recientes directrices de la EDPB, muchos argumentan que es "poco realista" seguir los requisitos de la ley.
Un grupo de abogados del sector y de proveedores de la nube de EE.UU. trataron de llenar este vacío con pseudo-orientaciones de "mantener la calma y seguir adelante" y desarrollaron teorías legales cada vez más burdas durante el año pasado. Éstas abarcan desde la existencia de un "enfoque basado en el riesgo" (que no está presente en la parte pertinente del RGPD) hasta la sugerencia de "medidas complementarias" no funcionales (como tener vallas alrededor de los centros de datos). En lugar de invertir en sistemas informáticos seguros, estas partes interesadas del sector privado invierten en esfuerzos de relaciones públicas que falsean el cumplimiento. Será interesante ver si las empresas y los clientes de la UE exigen una compensación si estas promesas resultan ser sólo aire.
Las autoridades de protección de datos han adoptado en gran medida un enfoque de espera. Salvo contadas excepciones, hasta ahora no ha habido investigaciones ni decisiones por parte de las APD. De los 101 modelos de denuncia presentados por Noyb tras la sentencia, no se ha decidido ninguno, a pesar de la creación de un grupo de trabajo por parte de las APD. La denuncia original sobre Facebook, presentada en 2013, se retrasó por una segunda investigación innecesaria de la Comisión de Protección de Datos de Irlanda, que obligó a noyb a presentar otra demanda contra la APD, que resolvió en enero de 2021. Ahora mismo estamos esperando decisiones en breve.
La Comisión Europea está enturbiando las aguas emitiendo nuevas herramientas de transferencia, como las"Cláusulas Contractuales Estándar", que eluden cuidadosamente una opinión clara sobre las transferencias entre la UE y EE.UU. y permiten a los abogados de la industria seguir hilando nuevas teorías de cumplimiento y evitar soluciones a largo plazo. Al mismo tiempo, la Comisión no parece creer en una solución oportuna con los Estados Unidos.
Al contrario que su homólogo europeo, el Gobierno estadounidense se complace en anunciar periódicamente supuestos "avances" en las negociaciones para un nuevo acuerdo. Sin embargo, parece que hay poco o ningún deseo de cambiar la raíz del problema: las exageradas leyes de vigilancia estadounidenses. A menos que la industria estadounidense ejerza una fuerte presión sobre Washington para mejorar la protección de los clientes extranjeros, es poco probable que las leyes de vigilancia estadounidenses cambien. En las conversaciones que mantuve, la industria estadounidense fue bastante clara: sin la amenaza de una aplicación seria en la UE o de un éxodo masivo de clientes de la UE, la industria estadounidense no gastará su capital político en Washington para luchar por la protección de la privacidad de los extranjeros.
La situación equivale, sin duda, a un círculo de actores que en gran medida están parados. El lado positivo es que si alguno de estos actores empieza a moverse, puede provocar rápidamente un efecto dominó hacia una solución a largo plazo.
En mi opinión, una solución a largo plazo sólo puede ser algún tipo de acuerdo de "no espionaje" entre naciones democráticas que proteja el derecho humano de los usuarios a la privacidad, independientemente de su ubicación y ciudadanía. Puede que no lo consigamos en cuestión de meses, pero sí potencialmente en una década, ya que una Internet global necesita protecciones globales para funcionar como los usuarios y las empresas desean.
El equipo de noyb y muchos otros seguirán trabajando en esa solución a largo plazo.
Max Schrems