La historia se repite: en 2015, el Safe Harbor; en 2020, el Privacy Shield. El Tribunal de Justicia de la Unión Europea (TJUE) ha invalidado el acuerdo de trasferencia de datos entre la Unión Europea y Estados Unidos, como ya hizo con su antecesor hace cinco años. Ambas sentencias tienen su origen en sendas denuncias interpuestas por el activista austriaco Max Schrems contra Facebook, en las que pedía la interrupción del envío de datos de la filial europea a la matriz estadounidense por la falta de protección de los mismos.

Los magistrados europeos han corroborado esta falta de protección. Han señalado que el Privacy Shield no protege los datos de los residentes en Europa ante las autoridades americanas. Es decir, bajo el pretexto de garantizar la seguridad nacional, los programas de vigilancia de las agencias de inteligencia estadounidenses tienen acceso a este tipo de información sensible. En virtud de la Ley de Vigilancia de Inteligencia Extranjera (FISA), esto es perfectamente legal en Estados Unidos. Sin embargo, en Europa constituye una injerencia en los derechos fundamentales.

[Créditos: Unsplash]

En definitiva, de la sentencia se deduce que Estados Unidos goza de un nivel de protección de datos menor que la Unión Europea y que el Privacy Shield no logra salvar estas diferencias. Esto evidencia las carencias del acuerdo de transferencia de datos de 2016, que consiste en un mecanismo de autocertificación en el que las empresas se registran en una lista controlada por el Departamento de Comercio de Estados Unidos y se comprometen a respetar un conjunto de principios de privacidad (informar sobre el fin de esos datos, los derechos del dueño, si se van a transferir a terceros…).

No obstante, la brecha entre la Unión Europea y Estados Unidos en esta materia va más allá del acceso que se les reconoce a las autoridades públicas en cada caso. Las diferencias parten de la propia definición de la protección de datos. Mientras que en Europa el punto de partida es el hecho de que los datos pertenecen al individuo y, por tanto, se aborda desde la perspectiva de los derechos fundamentales, en Estados Unidos prima la vertiente económica, con el Departamento de Comercio como autoridad competente.

En el país más rico del mundo no existe una ley federal de protección de datos, sino que conviven varias normas sectoriales que regulan ámbitos concretos, como la Ley de Protección de la Privacidad Online de los Menores (COPPA), la Ley de Responsabilidad y Portabilidad del Seguro Médico (HIPAA) y la Ley de Cumplimiento Fiscal de Cuentas en el Extranjero (FATCA). Además, cada estado cuenta con su propia legislación, siendo una de las más estrictas la de California.

En cambio, en el viejo continente existe una normativa comunitaria de obligado cumplimiento para todos los Estados miembro. El Reglamento General de Protección de Datos (RGPD), en vigor desde 2018, sí estipula una serie de sanciones y garantiza la cooperación entre las autoridades de protección de datos. De él se desprenden las distintas leyes nacionales.

Pese la invalidación del Privacy Shield, una decisión que afecta a más de 5.300 empresas, la sentencia de la Justicia Europea ha avalado el RGPD. De hecho, la transferencia de datos entre la Unión Europea y Estados Unidos tendrá que cobijarse por el momento al amparo de las cláusulas contractuales tipo del RGPD, aunque las autoridades europeas ya están trabajando para lograr un nuevo acuerdo. Por lo tanto, nada de qué preocuparse. Los datos personales, el oro del siglo XXI, siguen y seguirán en circulación.