Desde las revelaciones de Snowden sabemos que Estados Unidos lleva a cabo una vigilancia masiva de los usuarios de la UE recogiendo datos personales de las grandes empresas tecnológicas estadounidenses. El Consejo de Supervisión de la Privacidad y las Libertades Civiles (PCLOB, por sus siglas en inglés) es la principal autoridad estadounidense de supervisión de estas leyes. Los medios de comunicación estadounidenses informan ahoraque los miembros demócratas del PCLOB han sido destituidos y sus cuentas de correo electrónico cerradas. Con ello, el número de miembros designados se sitúa por debajo del umbral necesario para que funcione el PCLOB. El hecho de que el Presidente de los EE.UU. simplemente destituyera a personas de una autoridad (supuestamente) independiente, cuestiona la independencia de todos los demás órganos de recurso ejecutivo en los EE.UU..
La Unión Europea se ha basado en estas juntas y tribunales estadounidenses para concluir que Estados Unidos ofrece una protección "adecuada" de los datos personales. Basándose en el PCLOB y en otros mecanismos, la Comisión Europea permite que los datos personales europeos fluyan libremente a EE.UU. en el llamado "Marco Transatlántico de Privacidad de Datos" (TADPF). El PCLOB es el único elemento de "supervisión" relevante del acuerdo. Los demás elementos sólo actúan como órganos de recurso. Miles de empresas, organismos públicos o escuelas de la UE dependen de estas disposiciones. Sin el TADPF, tendrían que dejar de utilizar proveedores de nube estadounidenses como Apple, Google, Microsoft o Amazon al instante.
- Antecedentes de la saga de transferencia de datos UE-EE.UU
- PDF informativo sobre el programa TADPF de la UE
- Página del programa TADPF del Gobierno de EE.UU
- Decisión TADPF (UE) 2023/1795
- TJUE: Schrems I y Schrems II
- Informe sobre la destitución de miembros del PCLOB
El sistema de transferencia de datos UE-EE.UU.: una mezcla de legislación de la UE y de EE.UU. En general, la legislación de la UE prohíbe exportar datos personales a países no pertenecientes a la UE desde 1995, a menos que exista una necesidad absoluta (por ejemplo, al enviar un correo electrónico a cualquier país no perteneciente a la UE). Los datos pueden enviarse al extranjero cuando el país no comunitario ofrezca una protección "esencialmente equivalente" a los datos personales de los europeos. EE.UU., por otro lado, tiene leyes de vigilancia masiva muy fuertes (por ejemplo, FISA702 o EO 12.333), que permiten al gobierno de EE.UU. acceder a cualquier dato almacenado en Amazon, Meta, Microsoft, Google y cualquier otra empresa estadounidense de Big Tech sin causa probable o aprobación judicial individual. Por ello, el Tribunal de Justicia de las Comunidades Europeas ha declarado en dos ocasiones(Schrems I y Schrems II) que la legislación estadounidense no es "esencialmente equivalente". Sin embargo, Ursula von der Leyen ha insistido en aprobar un tercer acuerdo UE-EE.UU., denominado "Marco Transatlántico de Privacidad de Datos" (TADPF, por sus siglas en inglés).
El TADPF se construyó sobre arena. El 10 de julio de 2023, la Comisión Europea publicó la Decisión de Ejecución (UE) 2023/1795, por la que se aprobaba formalmente el TADPF. Esto permitía a cualquier empresa de la UE transferir datos libremente a proveedores estadounidenses, a pesar de las leyes de vigilancia de Estados Unidos. La Comisión Europea se basó en órdenes ejecutivas o cartas (muy cuestionables) del gobierno estadounidense, incluido el PCLOB, para considerar que EE.UU. es "esencialmente equivalente". Sin embargo, estos elementos no se reflejan en los estatutos ni en el derecho codificado de EE.UU., porque no había mayoría en el Congreso de EE.UU. para aprobar tales leyes. Durante mucho tiempo se criticó que el próximo presidente de EE.UU. podría acabar con estas protecciones de un plumazo. Este escenario se vislumbra ahora en el horizonte. En su decisión, la Comisión Europea mencionó el PCLOB la friolera de 31 veces para explicar por qué Estados Unidos tiene protecciones "esencialmente equivalentes". El PCLOB es el único organismo general de "supervisión" que vigila si los servicios estadounidenses cumplen realmente las leyes, órdenes y otras promesas. Otros elementos de la legislación estadounidense, como diversos mecanismos de reparación, requieren que un demandante se convierta en parte activa. Tradicionalmente, Estados Unidos ha bloqueado el acceso a estos órganos mediante diversas normas de "legitimación activa", lo que ha provocado que prácticamente no se admitan demandas. Esto significa que el PCLOB es el único mecanismo de supervisión pertinente en el que se basó el TADPF.
Max Schrems:"Este acuerdo siempre se construyó sobre arena, pero el lobby empresarial de la UE y la Comisión Europea lo quisieron de todos modos. En lugar de limitaciones legales estables, la UE acordó promesas ejecutivas que pueden ser revocadas en segundos. Ahora que las primeras olas de Trump golpean este acuerdo, rápidamente arroja a muchas empresas de la UE a un limbo legal. El propio PCLOB es solo una pieza del rompecabezas, y mientras no funcione temporalmente, se puede argumentar que el acuerdo no es peor que antes. Sin embargo, la dirección que está tomando en la primera semana de la presidencia de Trump no tiene buena pinta. Estamos vigilando de cerca si se trata de un problema temporal o si el PCLOB muere definitivamente."
Se cuestiona la independencia de los órganos ejecutivos. A diferencia de las autoridades de protección de datos de la UE, la mayoría de los organismos de supervisión estadounidenses son criaturas del poder ejecutivo y, por tanto, no son independientes. A menudo, la independencia sólo la concede el Presidente, pero puede ser revocada o anulada en cualquier momento. Muchos de estos extraños conceptos jurídicos son el resultado de la incapacidad estructural para aprobar legislación real en Estados Unidos. En su lugar, ámbitos jurídicos enteros se regulan simplemente mediante órdenes presidenciales. El hecho de que el presidente estadounidense intente ahora simplemente destituir a personas, pone en tela de juicio si la idea de órganos ejecutivos (supuestamente) "independientes" era siquiera discutible desde el principio. Muchos otros elementos del TADPF, como el Tribunal de Revisión de Protección de Datos, tienen protecciones legales aún más débiles que el PCLOB.
Max Schrems:"Había muchas dudas sobre la independencia de estos mecanismos de supervisión. Desgraciadamente, parece que puede que ni siquiera resistan la prueba de solo los primeros días de una Presidencia de Trump. Esta es la diferencia entre protecciones jurídicas sólidas en la ley y elucubraciones. La Comisión Europea se ha basado únicamente en lo segundo"
45 días para el próximo punto de inflexión. En una de las primeras Órdenes Ejecutivas que Trump firmó el lunes, determinó que todas las decisiones de seguridad nacional de Biden (incluidas las decisiones pertinentes en las que se basan las transferencias UE-EEUU) deberán ser revisadas y potencialmente desechadas en un plazo de 45 días. Esto significa que otros elementos en los que se basaba el TADPF podrían venirse abajo en cuestión de días. Como todo el acuerdo se basa en decisiones ejecutivas de Biden, Trump podría desechar todos los elementos clave del acuerdo con una sola firma , lo que llevaría a transferencias de datos instantáneamente ilegales entre la UE y Estados Unidos.
Max Schrems:"Me cuesta imaginar que una orden ejecutiva de Biden impuesta a EE.UU. por la UE y que regula el espionaje de EE.UU. en el extranjero pueda sobrevivir a la lógica de 'América primero' de Trump. El problema es que no solo las Big Tech estadounidenses, sino especialmente las empresas normales de la UE, todas confían en este sistema de órdenes ejecutivas inestables para argumentar que el uso de sistemas de nube estadounidenses es legal en la UE."
La Comisión maniobra con las empresas de la UE hacia un precipicio. A pesar de todos los hechos y de las críticas del Parlamento Europeo y de las autoridades de protección de datos de la UE, la Comisión Europea ha defendido sistemáticamente que el TADPF es sólido y sólido. El lobby empresarial de la UE presionó para que se llegara a un acuerdo , por muy inestable o descabellado que fuera. Del mismo modo, las grandes tecnológicas estadounidenses querían permanecer en el mercado de la UE sin ninguna limitación técnica en relación con el acceso del gobierno de Estados Unidos. Ahora, todo el mundo, desde los grandes bancos hasta los sistemas escolares nacionales, pasando por muchas pequeñas empresas, puede encontrarse con una situación legal en la que el uso de productos estadounidenses en la nube pronto será ilegal.
Las transferencias de datos entre la UE y EE.UU. son legales por ahora - pero prepárese. Una decisión de la administración estadounidense no convertirá instantáneamente en ilegales las transferencias estadounidenses. En general, la decisión de la Comisión Europea es legal mientras siga vigente y no sea anulada por la propia Comisión o por el Tribunal de Justicia. Por tanto, aunque la conclusión material sea errónea, la decisión sigue existiendo formalmente hasta que sea anulada. Sin embargo, si elementos clave en los que la UE se ha basado no funcionan, la UE tendrá que anular el acuerdo.
Max Schrems: "Aunque los argumentos a favor del acuerdo UE-EE.UU. parecen venirse abajo, las empresas pueden confiar en el acuerdo mientras no se anule formalmente. Sin embargo, dados los acontecimientos en EE.UU., es más crucial que nunca que las empresas y otras organizaciones cuenten con un plan de contingencia de "acogida en Europa"."
La Comisión Europea en apuros. La Comisión Europea se encuentra en una situación difícil, no sólo desde el punto de vista de la credibilidad, sino también desde el punto de vista diplomático. Si ahora reacciona rápidamente y anula el TADPF, la oligarquía tecnológica estadounidense clamará que la UE estaría "jodiendo" a las grandes tecnológicas estadounidenses. La administración Trump puede tomar esto como una razón para iniciar una primera gran pelea con la UE. Sin embargo, no tomar medidas y no advertir oficialmente a las empresas, organismos públicos y otras organizaciones de la UE que envían datos a Estados Unidos también parece problemático. El futuro de la TADPF puede ser muy efímero.
¿Una versión europea del debate estadounidense sobre TikTok? Mientras que EE.UU. ha menospreciado durante mucho tiempo los temores europeos a que los datos personales fluyan a EE.UU. y se utilicen en la vigilancia masiva, EE.UU. ha dado un giro repentino una vez que sus propios datos fueron agregados por TikTok. Por un lado, una prohibición o una adquisición obligatoria de Big Tech estadounidenses en Europa sería jurídicamente imposible. Las empresas estadounidenses estarían protegidas de que la UE aprobara un equivalente a una "prohibición de TikTok". Al mismo tiempo, la obligación de mantener los datos de la UE fuera del alcance del gobierno de EE.UU. es la norma por defecto en virtud de la legislación de la UE desde 1995. También sería la ley, una vez que la Comisión Europea anule el acuerdo UE-EEUU. Las grandes tecnológicas estadounidenses tendrían entonces que proteger sus centros de datos de la UE del acceso de sus matrices estadounidenses...
