De las cookies a la actividad intercontinental

Las cookies de Google Analytics están en el punto de mira por los cientos de denuncias de infracción del Reglamento General de Protección de Datos (RGPD). Pero esto es solo la punta de un iceberg que podría paralizar los servicios en la nube desde los EE. UU.

Este problema radica en las sentencias del Tribunal de Justicia de la Unión Europea (TJUE) Schrems I y II, que anularon, en 2016 y en 2020, los acuerdos conocidos como «Puerto Seguro» o «Safe Harbor» y «Escudo de Privacidad» o «Privacy Shield» entre la Comisión Europea y los EE. UU. para regular las transferencias intercontinentales de datos.

La anulación se fundamentó en que las leyes norteamericanas atribuyen a la CIA, al FBI y a la NSA unas potestades de investigación que no se adecúan a los estándares europeos de protección de derechos, al permitirles servirse de programas genéricos de vigilancia y requerir e incautar información personal sin justificación, y, además, impiden a los afectados demandar los abusos ante un juez independiente.

En la sentencia Schrems II, el TJUE manifestó que las empresas son las que tienen que verificar si el país de destino proporciona realmente un nivel de protección de datos adecuado y, en caso contrario, suspenderla o impedirla. A su vez, sugirió que se reforzaran las «model clauses», los modelos de contratos aprobados por la Comisión Europea que incluyen garantías y obligaciones adecuadas para proteger los datos transferidos.

En julio de 2021 el Parlamento Europeo publicó un estudio sobre las transferencias internacionales de datos entre la UE y los EE. UU. y propuso que se atribuyeran competencias a la Federal Trade Commission para tramitar acciones colectivas y sancionar las infracciones del RGPD europeo, que se modificaran las leyes de vigilancia americanas, y, además, que se facilitara a los ciudadanos europeos un recurso efectivo ante un tribunal independiente.

Sin embargo, no parece realista esperar que los EE. UU. limiten los poderes extraordinarios de sus agencias de información.

Atendiendo la sugerencia del TJUE, la Comisión Europea revisó las model clauses para reforzarlas, pero, las autoridades de Austria y de Francia han sido las primeras en manifestar que las model clauses reforzadas no protegen adecuadamente los datos y que las empresas deben paralizar las transferencias si es necesario y el resto de las autoridades se pronunciarán previsiblemente en este mismo sentido.

Sin embargo, las empresas no pueden suspender ni impedir estas transferencias, que son esenciales para su actividad.

Y, aunque todo gira en torno a Google Analytics, el problema alcanza a todas las transferencias de datos a los EE. UU. porque no existe un sistema de garantías que se adecúe al RGPD.

Recientemente, el Comité Europeo de Protección de Datos ha iniciado una investigación sobre la adecuación al RGPD del uso de servicios en la nube por el sector público de los Estados miembros que se centrará en los procedimientos de contratación, las transferencias internacionales de datos, y las garantías y reglas aplicables.

Aunque se limita al sector público, las conclusiones serán aplicables a todos los servicios de la nube prestados desde los Estados Unidos. En definitiva, esta acción es un primer paso para identificar los problemas que suscitan las sentencias Schrems y proponer soluciones.

Y el último movimiento ha sido el anuncio del principio de acuerdo entre la Comisión Europea y los Estados Unidos para aprobar un nuevo Marco Transatlántico de Privacidad de Datos que, dicen, resolverá el problema.

Según el comunicado oficial el nuevo marco generará un “mecanismo de reparación independiente de dos niveles” limitará la vigilancia de las agencias de investigación a las acciones estrictamente necesarias y adecuadas a los objetivos de seguridad nacional estadounidenses.

Sin embargo, Max Schrems, después de sus dos victorias, no ha tardado en cuestionar este nuevo marco que califica de acuerdo político carente de base legal. Afirma que EE. UU. no quiere modificar sus leyes de vigilancia ni acepta un acuerdo de “no espionaje” con garantías básicas, que según él sería la solución. Afirma que analizará el nuevo acuerdo y, si fuera necesario, lo impugnará ante el TJUE.

Por su parte, los proveedores de estos servicios comienzan a proponer soluciones basadas en la retención de los datos en Europa y el cifrado de la información con claves a disposición solo de los usuarios de los servicios. Sólo falta que las autoridades de control confirmen la suficiencia de estas soluciones.

Sin embargo, estas medidas no son aplicables a muchos servicios, que siguen planteando estos mismos problemas.

Ante este cuento de nunca acabar, solo queda esperar a las soluciones que proponga el Comité Europeo de Protección de Datos cuando termine la investigación o que, por fin, el acuerdo anunciado resista los envites del Sr. Schrems. Entre tanto, este juego continúa perjudicando a las empresas y a su capacidad de innovación.