El desarrollo de la economía digital, motivada por la constante contratación de los servicios en la nube por parte de las empresas, el incremento en el uso de las redes sociales o las tecnologías disruptivas del Big Data o el blockchain, conlleva una gran cantidad de transferencias de datos por todo el mundo que exigen el cumplimiento de unos valores y de un marco legislativo europeo difícil de alcanzar en muchos países fuera de la UE debido, entre otros motivos, a las diferencias culturales que existen en ellos en materia de protección de datos y que se reflejan en sus legislaciones, provocando una falta de seguridad e incertidumbre sobre la ubicación de los datos a los efectos de determinar la ley aplicable, así como una amenaza constante al derecho de protección de datos y, en particular, al de los ciudadanos europeos.
Ante esta nueva realidad, la Unión Europea, junto con el reconocimiento de la libre circulación de mercancías, trabajadores, servicios y capitales, destaca la importancia de la libre circulación de datos dentro de la economía de los datos y, para responder a las nuevas necesidades de la era digital, ha diseñado una estrategia cuyo objetivo es la creación de un mercado único de datos que garantice la competitividad global y la soberanía de los datos de Europa y que también tenga en cuenta las realidades de las empresas europeas que operan en un entorno que va más allá de las fronteras de la UE.
Frente a aquellos países cuya legislación en materia de protección de datos es muy débil o inexistente, el régimen jurídico diseñado por el actual Reglamento General de Protección de Datos se ha impuesto como referencia para otras legislaciones dado que, además de ofrecer una adecuada protección y garantías a los titulares de sus datos, permite asegurar el libre flujo de información necesario para la realización de operaciones comerciales internacionales.
Ante los riesgos que se derivan de la falta de regulación en materia de protección de datos por parte de un tercer país receptor, este reglamento incluye diversos mecanismos a través de los cuales se puede presumir que dicho país cuenta con un nivel de protección adecuado y «sustancialmente equivalente», necesario si se quiere realizar una transferencia internacional, configurando la legislación europea como un estándar de facto a nivel internacional. Las decisiones de adecuación de la Comisión Europea son uno de los mecanismos más utilizados por la Unión Europea y, en particular, han sido el vehículo utilizado con Estados Unidos para simplificar las transferencias de datos y agilizar su tratamiento. Sin embargo, no parecen haber logrado el objetivo deseado, debido en gran medida a las diferencias entre los sistemas jurídicos de origen y el estatus del individuo que recibe los datos dentro de ellos, así como a la distinta concepción del derecho fundamental a la protección de datos o al diferente enfoque de la privacidad en ambos.
Así, tras años de negociaciones, se estableció el sistema de puerto seguro o Safe Harbor mediante la Decisión 20000/520/CE, de 26 de julio, que permitía la aprobación automática por parte de los Estados miembros de la UE de las transferencias de datos a las empresas estadounidenses participantes en el sistema.
Sin embargo, la denuncia presentada por el Sr. Schrems, ex trabajador de la Agencia de Seguridad Nacional Nacional, llevó al Tribunal de Justicia de la Unión Europea a invalidar dicha decisión, en su sentencia del asunto C-364/2014 o sentencia Schrems I, por considerar que la legislación estadounidense no garantiza un nivel de protección adecuado de acuerdo con el Derecho europeo. Tras más de dos años de nuevas negociaciones, el 2 de febrero de 2016, la Comisión Europea y Estados Unidos acordaron un nuevo acuerdo, denominado Escudo de Privacidad o Privacy Shield , que parecía haber superado los obstáculos que planteaba el sistema anterior. A pesar de las expectativas depositadas en este nuevo marco jurídico, corrió la misma suerte que el Safe Harbor y fue declarado inválido por el Tribunal de Justicia de la Unión Europea en su sentencia de 16 de julio de 2020 en el asunto C-311/18 o sentencia Schrems II.
Así, la respuesta dada por el alto tribunal, al analizar la adecuación del Privacy Shield a la exigencia del artículo 45 del RGPD, a la luz de los artículos 7, 8 y 47 de la Carta de Derechos fundamentales de la UE, fue que la legislación estadounidense no garantizaba un nivel de protección adecuado y sustancialmente equivalente al garantizado por el Derecho de la UE, fundamentalmente por dos razones
Por un lado, por la prevalencia de las exigencias de la seguridad nacional, el interés público y el cumplimiento de la legislación estadounidense sobre los estándares europeos, permitiendo la injerencia en los derechos fundamentales de los ciudadanos europeos sin establecer limitaciones y ofrecer suficientes garantías. Así, el TJUE declaró que el uso de datos personales en los programas de vigilancia PRISM y Upstream de acuerdo con el artículo 702 de la FISA y en el O.S. 12333. no satisfacía los requisitos mínimos establecidos por el Derecho de la Unión Europea en relación con el principio de proporcionalidad al realizar una vigilancia masiva e indiscriminada sin ningún control judicial posterior. Por otro lado, al analizar el mecanismo del Defensor del Pueblo, considera que no ofrece la protección debida a la tutela judicial efectiva que la Carta reconoce en su artículo 47, ya que el demandado no puede ejercer acciones legales en relación con sus datos personales. Además, considera que esta institución no goza de la independencia necesaria para el fiel cumplimiento de su función. Es curioso comprobar cómo esta cuestión de la vigilancia indiscriminada por parte de las autoridades públicas estadounidenses, así como la necesidad de contar con un organismo en el que los litigantes pudieran ejercer sus derechos, ya había sido analizada por el TJUE en su sentencia Schrems I, que declaró inválido el sistema de Puerto Seguro, principalmente por vulnerar tanto el derecho fundamental a la protección de datos personales como el derecho a la tutela judicial efectiva y, sin embargo, no parece haber sido lo suficientemente claro como para establecer un sistema que lo cumpliera.
Se puede concluir que los argumentos dados por el TJUE para declarar la nulidad del Escudo de Privacidad no introducen ninguna novedad respecto a los dados en su momento para declarar la nulidad del Safe Harbor y, por tanto, quizás esto sea lo más preocupante, dada la aparente impasibilidad, o mejor dicho, incapacidad de las instituciones europeas para garantizar que los datos personales de los ciudadanos europeos gocen de una adecuada protección de acuerdo con las exigencias derivadas del derecho fundamental a la protección de datos.
Así, a pesar de que aparentemente, o más bien jurídicamente, se haya venido contando con un marco legal que garantiza el derecho a la protección de datos, como fue el Safe Harbour y el Privacy Shield, en la realidad no ha sido así y, en la práctica, el uso de los datos por parte de las entidades estadounidenses se ha realizado y se realiza incumpliendo el Reglamento general de Protección de datos. ¿A la tercera irá la vencida?
Adrián Madrid López, abogado de Cremades & Calvo-Sotelo
