La Agencia Europea de Protección de Datos publicó el 11 de noviembre unas «Recomendaciones» – en dos partes – como reacción a la sentencia Schrems II, del 16 de julio de 2020. Esta resolución del Tribunal de Justicia de la Unión Europea, de enorme importancia, invalida el actual esquema de transferencias internacionales de datos en la Unión Europea y los Estados Unidos, al estimar que los derechos de los ciudadanos comunitarios están desprotegidos.
Las dos Recomendaciones están abiertas a consulta pública hasta el 30 de noviembre.
Los textos de la AEPD no tienen desperdicio, y suponen una nueva sacudida al sistema internacional de transferencia de datos. No solo confirman la sentencia, sino que la ratifican aún más. Lo que propone es que el único modo de permitir la exportación de los datos sea cifrándolos o encriptándalos, de tal forma que no puedan ser leídos por nadie en el país receptor, ni siquiera por el destinatario previsto.
Es decir, algo muy difícil o imposible de aceptar por las empresas que comercian internacionalmente con los datos. Lo que contrasta con la enorme presión ejercida por algunas empresas europeas y estadounidenses, además de los procesadores y controladores de datos.
Como ejemplo, el Centre for Information Policy Leadership (CIPL), un think tank de 85 multinacionales de la UE, Estados Unidos y otras regiones, publicó en septiembre de 2020 el Libro Blanco “A Path Forward for International Data Transfers under the GDPR after the CJEU Schrems II Decision” recomendando que las futuras directrices de la AEPD contuviesen un conjunto de medidas que puedan ser aplicadas en función del contexto y el riesgo, y no prescribir estrictos requisitos técnicos o de procedimiento. Lo contrario de lo que ha hecho la AEPD.
También la administración norteamericana había publicado un Libro Blanco en septiembre de 2020 “Information on U.S. Privacy Safeguards Relevant to SCCs and Other EU Legal Bases for EU-U.S. Data Transfers after Schrems II”, adoptando un enfoque práctico, y minimizando el riesgo del acceso a los datos de seguridad nacional que, según esta agencia, había preocupado tanto al Tribunal Europeo en la sentencia Schrems II. Alegaba, cínicamente, que la “inmensa mayoría” de las empresas nunca han recibido órdenes de revelar datos en virtud de la legislación FISA 702, que permite a la Agencia de Seguridad Nacional recabar unilateralmente esos datos de las empresas para organismos de inteligencia de los Estados Unidos. Y que esa puerta para las autoridades de inteligencia estadounidenses también estaba abierta para sus homólogos europeos. En la práctica, decía el Libro Blanco, “para muchas empresas es poco probable que se planteen los problemas de acceso a los datos porque estos – normalmente información comercial ordinaria, registros de empleados, clientes o ventas -, no son de interés para la inteligencia de los Estados Unidos.”
Más allá del análisis jurídico de la sentencia, y de su aplicación en un ámbito tan decisivo como la seguridad y el ciberespionaje, es clave señalar cómo apunta a una cuestión fundamental de nuestras sociedades: el control del dato. Como dice nuestro manifiesto fundacional, solo con el control de la tecnología y el dato un territorio es dueño de su futuro. i pierde las riendas del dato, pierde su soberanía; la política, la ciudadana y la económica.
Por eso, en espera de que las instituciones de la UE decidan de una vez como aplicar la sentencia, desde la AETD seguiremos señalando la importancia de que Europa no permita ninguna desprotección de los derechos de sus ciudadanos en relación con el dato. Lamentablemente, eso es lo que está pasando, y lo seguirá haciendo hasta que la sentencia se haga efectiva de una vez.
