El Privacy Shield sustituyó al anterior acuerdo existente entre la Unión Europea y los EE.UU., denominado “Safe Harbor”, que fue anulado por sentencia del Tribunal de Justicia de la Unión Europea a raíz de una denuncia del ciudadano austríaco Maximillian Schrems ante la agencia de protección de datos de Irlanda.
En el borrador de resolución del Comité de Libertades Civiles, el Parlamento Europeo da de plazo hasta el 1 de septiembre de 2018, recomendando que se suspenda el Privacy Shield en esa fecha si no se acredita que los EE.UU. cumplen plenamente el Acuerdo internacional, e igualmente recomienda que se mantenga la suspensión en tanto no se acredite ese pleno cumplimiento.
De llevarse a cabo esta resolución, si se verifica la falta de adaptación de EE.UU. al Privacy Shield, el 1 de septiembre dejarían de ser válidas las transferencias de datos entre la Unión Europea y EE.UU. basadas en el marco de ese Acuerdo, por lo que numerosas empresas tendrían que cesar en su actividad, si esta implicara la realización de tales transferencias. Es un escenario muy parecido al que se planteó hace poco más de dos años con la anulación del Safe Harbor por el TJUE, lo que causó numerosos problemas en los negocios transcontinentales.
Esta recomendación, si bien es enormemente preocupante, no resulta sorprendente. La propia sentencia del TJUE sobre el Safe Harbor ya contenía una argumentación que es perfectamente aplicable a la situación actual. En esencia, el TJUE decía que si no existen garantías de que el país de destino en una transferencia internacional respeta los principios y derechos fundamentales de los europeos en materia de protección de datos, tales transferencias no se pueden realizar a ese país. En aquella ocasión se hacía referencia a los accesos generalizados a datos de europeos que realizaban las agencias de investigación americanas, que se habían puesto de manifiesto en los documentos que salieron a la luz a raíz de la mega filtración de Snowden, posibilitando injerencias por parte de las autoridades públicas estadounidenses en los derechos fundamentales de las personas. En el documento que ha salido ahora del Parlamento, esta institución europea hace referencia a casos recientes como el de Facebook y Cambridge Analytica, señalando que ambas compañías están registradas en el marco del Privacy Shield y ello no ha evitado el mal uso de los datos, de lo que se deduce que ese marco no es suficientemente protector de los derechos de los interesados, porque no permite que las obligaciones de supervisión y control se estén ejercitando de forma adecuada.
Pero no hace falta acudir a casos tan mediáticos para ver que el Privacy Shield ya estaba afectado por serios problemas desde casi sus comienzos. Podemos recordar que, ya en enero de 2017, el entonces recién nombrado presidente Donald Trump, en la primera Orden Ejecutiva que firmó tras su toma de posesión como primer mandatario de los EE.UU., bajo el título de “Aumento de la Seguridad Pública en el Interior de los EE.UU.” ya decía que “Las Agencias [estatales] deberán asegurar que sus políticas de privacidad excluyan de la protección de la Ley de Privacidad a personas que no sean ciudadanos de los EE.UU. o residentes legales permanentes en relación con los datos personales, en tanto sea posible de acuerdo con el derecho en vigor” (art. 14). Con esta declaración de intenciones resultaba patente que el contenido del Privacy Shield no casaba bien con tales principios, y algunos ya escribimos en aquel momento que el Privacy Shield estaba herido de muerte.
El documento del Parlamento que ha salido a la luz cita también como un punto de preocupación la reciente aprobación en EE.UU. de la “Clarifying Lawful Overseas Use of Data Act”, conocida como la “CLOUD Act”, que permite acceder a datos almacenados por empresas americanas cualquiera que sea la ubicación de sus servidores, evitando así la necesidad de acudir a mecanismos de colaboración internacional a través de tratados de cooperación judicial.
Se divisa por tanto, nuevamente, un difícil horizonte para las transferencias internacionales entre Europa y EE.UU. Es cierto que existen otros mecanismos para regularizar transferencias internacionales en el recientemente aplicable Reglamento General de Protección de Datos de la Unión Europea (RGPD), pero el marco del Privacy Shield era muy cómodo porque evita tener que firmar documentos específicos para cada transacción que se produzca entre partes, facilita el cumplimiento de la obligación de informar y supone un marco estable de transferencias. Veremos si el Parlamento adopta la propuesta de resolución del Comité de Libertades y, en tal caso, qué ocurre de aquí al 1 de septiembre. Dado el escenario político existente no parece que podamos ser demasiado optimistas.
