En la era del tapabocas, en la que nos sentimos como superhéroes con máscara para salir a cualquier lugar e intentar huir del COVID-19, las transferencias de datos personales entre la Unión Europea y los Estados Unidos se quedan sin su principal escudo.
La decisión del Tribunal de Justicia de la Unión Europea (TJUE) del 16 de julio de 2020 declaró inválido el Escudo de Privacidad (Privacy Shield en inglés), uno de los principales instrumentos para permitir la transferencia de datos personales desde la UE hacia los Estados Unidos, lo cual generará consecuencias dramáticas en el flujo de datos personales entre los dos países, aumentará en este sentido los costos operativos para las empresas y, por supuesto, evidencia la brecha no resuelta que existe desde hace tiempo entre los estándares de protección de datos personales en la UE y en los Estados Unidos.
El Escudo de Privacidad
Es una secuela de lo que se conocía como Puerto Seguro (Safe Harbour) que estuvo vigente hasta 2015 y que es básicamente un programa de auto certificación para las empresas que lo quieran adoptar voluntariamente, para adherirse a los estándares de protección de datos personales de la UE. Hoy en día, según las cifras oficiales, más de 5.300 organizaciones cuentan con esta certificación (ver la lista).
Las empresas que han optado por tener el Escudo de Privacidad deben demostrar el cumplimiento de los estándares adecuados de protección de datos personales, informarlo a las autoridades, a los titulares de los datos personales y al público en general. Esto supone no sólo una inversión monetaria importante y permanente para las empresas, sino que evidencia la apuesta que éstas hacen por el cumplimiento de estándares estrictos de protección de datos tanto frente a los titulares de los datos como de cara a su interés frente al procesamiento y flujos de información, que ha cobrado tanta importancia económica en los últimos años. Bueno, pues ese Escudo es el que se declaró inválido.
¿Qué implicaciones tiene esto?
Sería ambicioso pretender delimitarlas en unas líneas de un blog y menos de 24 horas después de que se haya dado a conocer la decisión del TJUE. Sin embargo, me lanzo con unas ideas iniciales. La primera es la de una sensación de déjà vu en la que se reabrirá la discusión sobre la tensión entre los estándares europeos y la visión de hipervigilancia del gobierno estadounidense en un mundo en el que la dicotomía entre cuidar los datos propios y dejarlos a disposición de quien los quiera a cambio de unos minutos de wifi en un aeropuerto o a cambio de un contacto social virtual (nada despreciable en esta pandémica coyuntura) está a la orden del día.
La segunda es qué será de lo que ya está en pie en las empresas que tienen su Escudo de Privacidad. ¿Borrón y cuenta nueva? ¿De nada habrá servido su inversión en generar altos estándares de protección de datos? O, mirando la otra cara, ¿será que los estándares impuestos por el Escudo de Privacidad no fueron suficientes y lograron que se abrieran agujeros (oficiales o no oficiales) que pusieran en riesgo la seguridad de la información? ¿Generaron una falsa sensación de seguridad?
Otro tema de discusión que surge es que aun cuando el TJUE haya declarado que otros instrumentos como las cláusulas contractuales estándares (SCCs) sí siguen siendo válidos, se sienten tambaleantes las bases para que la autoridad de un país o región declare con certeza que una u otra jurisdicción cumplen con estándares adecuados de protección, como es el caso de las decisiones de adecuación que expide la Comisión Europea (adecuacy) a través de las cuales determina que un país, territorio o una organización internacional cuentan con un nivel adecuado de protección de datos personales.
Esto último nos puede llevar a una discusión bastante más local, y es qué consecuencias puede tener la decisión del TJUE en la, no poco polémica, decisión de que la Superintendencia de Industria y Comercio incluyera a los Estados Unidos como país con estándares adecuados de protección de datos personales.
Gracias a Max Scherms, ciudadano austriaco que inició este caso con una denuncia ante la autoridad irlandesa de datos personales por la transferencia de sus datos personales de Facebook Irlanda a su par estadounidense, y que fue el mismo quien, como consecuencia de una denuncia anterior, llevó a que se derrumbara el Safe Harbour, los profesionales de la privacidad y los datos personales tendremos horas de Zooms, Meets, Teams y FB Lives, ríos de tinta, memes y otros tantos recursos para entretenernos en los meses porvenir.