Transferencias de datos UE-EEUU: Es hora de prepararse para más problemas

Blog de Max Schrems

Capas de legislación de EE.UU. y la UE. El "puente" que la Comisión Europea y las anteriores administraciones demócratas de EE.UU. tendieron para permitir que los datos personales de la UE se procesaran en EE.UU. no se basa en una ley de privacidad estadounidense simple y estable. En su lugar, la UE y EE.UU. se basaron en un mosaico de toneladas de directrices y reglamentos internos, jurisprudencia del Tribunal Supremo, "prácticas"u órdenes ejecutivas.

En un intento de llegar a fin de mes, estas capas no se apoyan entre sí, sino que se alinean para generar la conexión más delgada posible entre la legislación de la UE y la de EE.UU. - lo que significa que el fracaso de tan sólo uno de los muchos elementos legales probablemente haría que la mayoría de las transferencias de datos entre la UE y EE.UU. fueran instantáneamente ilegales. Al igual que en un castillo de naipes, la inestabilidad de cualquier carta individual hará que el castillo se derrumbe.

Dado el enfoque enormemente destructivo de la administración Trump, muchos elementos de las transferencias UE-EE.UU. están siendo atacados, a menudo no debido a ninguna intención directa. En cambio, la actual administración estadounidense solo ataca ampliamente el sistema legal y el tejido constitucional de los Estados Unidos (con la ayuda de un Tribunal Supremo altamente politizado) - con muchas consecuencias potenciales para los flujos de datos UE-EE. UU.

1er punto probable de fracaso: La independencia de la FTC. Este pasado lunes, el Tribunal Supremo de EE.UU. ha visto un caso sobre la independencia de la Comisión Federal de Comercio (FTC). Desde un caso de 1935 (El ejecutor de Humphrey), es jurisprudencia del Tribunal Supremo de EE.UU. que el legislador estadounidense puede crear órganos "independientes" dentro del poder ejecutivo, que está en cierto modo aislado del Presidente de EE.UU..

Una teoría hasta ahora marginal según la cual, en virtud de la Constitución estadounidense, todos los poderes del ejecutivo deben recaer en una sola persona (el Presidente) ha ganado adeptos entre los juristas conservadores estadounidenses. La llamada "teoría del ejecutivo unitario"haría que cualquier autoridad independiente, como la FTC, fuera típicamente inconstitucional. Todos los poderes tendrían que concentrarse en el Presidente.

En Trump contra Slaughterel Tribunal Supremo de EE.UU. escuchó ahora los argumentos de un comisario de la FTC que fue destituido por Trump a pesar de todas las garantías de independencia en 15 U.S.C. § 41. Sobre la base de los comentarios y preguntas de los jueces, se cree ampliamente (ver por ejemplo The Guardian, CNN o Blog SCOTUS) que la mayoría conservadora del Tribunal Supremo de EE.UU. se pondrá del lado de Trump y (en una medida u otra) seguirá la "teoría del ejecutivo unitario", anulando la independencia de la FTC.

En combinación con las sentencias del Tribunal Supremo de EE.UU. sobre inmunidad absoluta del Presidentelos EE.UU. avanzarían así cada vez más hacia un sistema en el que el Presidente es un "Rey" absoluto - al menos durante cuatro años.

Desde una perspectiva europea, la independencia de la FTC es un elemento crucial, ya que el artículo 8.3 de la Carta de los Derechos Fundamentales de la UE (CFR) exige que el tratamiento de los datos personales sea supervisado y aplicado por un organismo "independienteindependiente". En el TADPF (y anteriormente en los sistemas "Safe Harbor" y "Privacy Shield"), la UE y EE.UU. han acordado otorgar estas competencias a la FTC en EE.UU., que es dicho organismo "independiente". Sección 2.3.4. de la Decisión TADPF de la Comisión Europea destaca que el papel de aplicación corresponde a la FTC. El considerando 61 y la nota a pie de página 92 hacen referencia explícita a 15 U.S.C. § 41 como base para contar con las garantías de independencia necesarias en EE.UU.

Ningún otro elemento del TADPF tiene los poderes de investigación y la independencia necesarios. También existe el arbitraje privado, pero carece de poderes de investigación o de las facultades de ejecución pertinentes. En consecuencia, cualquier participante en el TADPF debe regirse por la independiente FTC o por el DoT (para las organizaciones de transporte).

El caso Trump contra Slaughter está previsto que se decida en junio o julio de 2026 a más tardar, pero podría decidirse antes. Así que es hora de "abrocharse el cinturón" y prepararse.

Un camino podría ser cambiar a los SCC o BCR, ya que no requieren un organismo estadounidense independiente para su aplicación, pero también permiten someter el acuerdo a una autoridad de protección de datos de la UE. Sin embargo, también se plantean enormes interrogantes sobre cómo pueden "devolverse" los datos ya transferidos a cualquier sistema aprobado por la UE o incluso "devolverse" a la UE en general. Además, los SCC y los BRC también pueden verse afectados por cambios masivos en la legislación estadounidense (véase más adelante).

segundo punto probable de fracaso: Tribunal de Revisión de Protección de Datos. Directamente relacionado con Trump contra Slaughter, que trata de la supervisión en el sector privado, se plantea la cuestión paralela de cómo se puede seguir confiando en el llamado "Tribunal de Revisión de Protección de Datos" (DPRC) como cualquier forma de recurso realista contra la vigilancia del gobierno de EE.UU..

El DPRC tiene muchos problemas legales (se podría llenar fácilmente una tesis doctoral con estos problemas), pero lo crucial es que el DPRC no es un verdadero tribunal estadounidense, también porque no está establecido por ley. En realidad, se trata de un grupo de personas dentro del poder ejecutivo establecido únicamente por una Orden Ejecutiva de Biden (OE 14.086ver detalles más abajo). En el mejor de los casos, este grupo de personas puede calificarse de "tribunal" desde la perspectiva del artículo 6 del CEDH, pero incluso esta afirmación es probablemente exagerada.

El quid es que, en relación con Trump contra Slaughterla "independencia" de este supuesto "Tribunal" ni siquiera está establecida por ley (como el 15 USC § 41 para la FTC), sino por la OE 14.086por lo que se trata de una Orden Presidencial meramente interna que puede ser modificada en cualquier momento.

Lógicamente, si el Tribunal Supremo en Trump v. Slaughter sostiene que los órganos ejecutivos independientes son inconstitucionales, es muy posible que cualquier pretensión de independencia en la propia OE 14.086 sea (lógicamente) también inconstitucional. Esto depende en gran medida de la línea argumental que utilice el Tribunal Supremo en el caso Trump contra Slaughterpero es muy probable que veamos esto como una consecuencia directa de cualquier fallo más amplio.

Este problema se extendería mucho más allá del TADPF, porque otros sistemas de transferencia (SCC o BCR) se basan en las llamadas "Evaluaciones del Impacto de la Transferencia" (TIA) que, a su vez, suelen apuntar a OE 14.086 y la DPRC como motivo por el que cualquier controlador de la UE llegó a la conclusión de que la legislación estadounidense no puede anular las SCC o las BCR más allá de lo que permiten los artículos 7, 8 y 47 de la Carta.

Si estos elementos desaparecen, nos encontramos con el artículo 49 del GDPR para transferencias "necesarias" (por ejemplo, enviar un correo electrónico a EE.UU., hacer un pedido o reservar un hotel o un vuelo), pero cualquier "externalización" a proveedores de nube o proveedores de SaaS de EE.UU. normalmente ya no tendría ninguna base jurídica viable.

tercer punto probable de fracaso: OE 14.086. Más allá de los cambios en la legislación constitucional estadounidense, también está el propio Trump como factor de riesgo importante. Como se ha explicado anteriormente, básicamente todas las formas de transferencias de datos UE-EE.UU. se basan en una Orden Ejecutiva de Biden (OE 14.086). Trump ha amenazado repetidamente con anular esta OE. Ya el día de su toma de posesión, los medios de comunicación indicaron que anularía ciegamente todas las OE de Biden. Al final firmó la OE 14.148que sólo deroga 68 OE de Biden y 11 Memorandos Presidenciales de Biden, pero no la OE 14.086.

LA OE 14.148 exige que todas las OE de "seguridad nacional" sean revisadas en un plazo de 45 días por el Asesor de Seguridad Nacional, lo que debería haberse hecho antes del 6 de marzo de 2025. No se ha informado de ningún cambio en consecuencia. Esto no significa que la OE 14.086 no haya sido anulada (parcialmente) entretanto, ya que el Presidente de los EE.UU. puede emitir "secreto" Secretas" que modifiquen la OE 14.086 publicada. Dadas las acciones erráticas de Trump, no es un escenario improbable.

En un reciente arrebato sobre el uso de Biden del llamado Autopen, Trump ha declarado nulas todas las OE de Biden firmadas con autopens a través de un Publicación de Truth Social. No está del todo claro si la OE 14.086 es una OE "autopen" y si las publicaciones de Trump en las redes sociales equivalen a la anulación formal de estas OE. Al mismo tiempo, cabe preguntarse si algún funcionario de la NSA se siente ya demasiado obligado por ellas. Tampoco es improbable que la publicación de Truth Social vaya seguida de una OE formal que anule estas OE de Biden.

Otro indicio de que la OE 14.086 puede estar en juego es la agenda del "Proyecto 2025" para la toma de control conservadora del gobierno estadounidense. En página 225el autor arremete contra la OE 14.086, la UE y el supuesto trato injusto a EE.UU., por lo que la OE 14.086 está claramente en el orden del día. Para hacer las cosas aún más absurdas, el autor (Dustin Carmack) es ahora el nuevo lobista "republicano" de Meta - una empresa que se basa en la OE 14.086 para justificar sus transferencias de datos entre la UE y EE.UU., que fueron impugnadas en el caso Schrems I y Schrems II.

En general, la OE 14.086 podría caer en cualquier momento, y con ella el TADPF y con él casi todos los TIAS y la mayoría de los SCC, BCR.

Muchas otras opciones. Aunque esto va más allá de esta entrada del blog, hay muchas preguntas adicionales en cuanto a los muchos otros elementos utilizados en el TADPF.

Obviamente, siguen existiendo las principales dudas sobre si el TADPF ha logrado alguna vez "equivalencia esencial". Por ejemplo:

• Las protecciones de la OE 14.086 eran en gran medida una copia 1:1 de una OE de Obama llamada PPD-28, que fue rechazada por el TJUE en el asunto Schrems II.
• Las cargas extremadamente elevadas para la reparación o la falta de un derecho real a ser oído ante el DPRC están muy lejos del artículo 47 de la Carta.
• Los principios de protección de datos comerciales del TADPF ni siquiera exigen una base jurídica (como exigen el artículo 8, apartado 2, de la Carta y el artículo 6, apartado 1, del RGPD), sino que se limitan a permitir una exclusión voluntaria.

Además, se cuestionó la independencia del PCLOB o la gran dependencia de la UE de las "Prácticas estadounidenses" - cuando Trump ha demostrado que él y su administración ni siquiera respetan las leyes, y mucho menos las "prácticas".

¿Qué podemos hacer? En mi opinión, Los gobiernos y controladores de la UE deben (más que nunca) prepararse urgentemente para los muy probables golpes a las transferencias de datos UE-EE.UU. en los próximos meses. La Estrategia de Seguridad Nacional de EE.UU ha dejado claro que la Administración Trump ve a Europa más como un enemigo que como un socio y que la legislación digital europea es un punto central de la probable agresión estadounidense.

La única solución a largo plazo es (por desgracia) limitar cualquier transferencia de datos a proveedores estadounidenses, en la medida en que tengan "posesión, custodia o control"de datos personales europeos. Puede que haya más ofertas en las que todo acceso fáctico desde EE.UU. sea técnicamente imposible; sin embargo, hasta ahora la única protección realista disponible en el mercado es cambiar a Proveedores europeos.