Privacy Shield: entre ser un «parche rápido» y un paso necesario en materia de protección de datos

Es el turno del llamado « Privacy Shield» («Escudo de privacidad»), nuevo tratado alcanzado por la Unión Europea y EE.UU. en materia de transferencias trasatlánticas de datos e información personal de los ciudadanos. Se trata de un marco legal con el que se pretende dotar de garantías a los usuarios en el uso de herramientas y servicios de internet. Con él se sustituye al «Safe Harbor» («Puerto seguro»), que quedó invalidado por el Tribunal de Justicia de la Unión Europea el pasado año.

El acuerdo viene a rellenar un vacío legal existente y, a su vez, establecer una equiparación de las diferentes legislaciones adoptadas al uno y otro lado del Atlántico. La comisaria de Justicia, Vera Jourová, y la secretaria de Comercio estadounidense, Penny Pritzker, se han mostrado convencidas de que el nuevo acuerdo de transferencia de datos personales por motivos comerciales no será impugnado en los tribunales.

Los expertos reconocen que se trata de un paso importante en el sentido que establece un nuevo marco legal, aunque critican algunos de los aspectos del acuerdo. De «patada hacia delante» y «parche rápido» lo califica Sergio Carrasco, abogado especializado en derecho tecnológico en Fase Consulting, que asegura a este diario que en la práctica no se producirán grandes cambios respecto al anterior modelo, el anulado «Safe Harbor».

Protección equiparable a nivel europeo

A su juicio, la repercusión más evidente que tiene el nuevo tratado es que «garantiza que los datos que se transfieran gozarán de un nivel de protección equiparable al nivel europeo sobre el papel, y vuelve a abrir las puertas a las transferencias internacionales de empresas hacia Estados Unidos». Sin embargo, «el problema es de base, de la propia legislación que está en EEUU.», más laxa y menos restrictiva que el modelo europeo. «La vigilancia masiva e indiscriminada queda un poco más limitada, pero esta recolección masiva de datos se intentarán focalizar lo masivo posible y se ajustará a casos justificados, aunque se seguirá haciendo», explica. Ahondando en los aspectos críticos, Carrasco asegura que «el problema de base, que supuso la anulación del Safe Harbor, están ahí», por lo que lo tilda de «patada hacia delante» porque en la práctica un gran número de empresas europeas dependen de estas transferencias de datos transatlánticas».

El peligro de una falta de acuerdo

Más optimista se muestra Borja Adsuara, profesor, abogado y consultor de Derecho Digital, quien estima que este acuerdo es mejor que «Safe Harbor» porque «viene a intentar paliar las críticas que hizo el tribunal europeo», aunque reconoce que «aunque siga siendo insuficiente nadie puede negar que se trata de un paso adelante respecto al anterior». Pese a las limitaciones y algunos aspectos mejorables, el tratado al que han llegado ambas legislaciones «es mucho mejor a que no haya acuerdo». En su opinión, «la hecatombe que sería que no hubiera acuerdo y que no pudieran trabajar las empresas norteamericanas con datos europeos sería no solo malo para las firmas sino para nosotros también».

Para ser justos, propone, uno de los aspectos para mejorar en el tratamiento de los datos personales pasa porque haya un estándar mínimo sobre protección de datos a nivel global. «Es verdad que acuerdo es voluntario y lo ideal sería que hubiese una regulación obligatoria, pero no sólo una ley en EEUU, sino un estándar mínimo internacional», afirma, ya que «a falta de una regulación internacional el nuevo derecho internacional son los términos y condiciones de uso de cada empresa».

«El verdadero problema es que en el fondo hay un choque entre las fuentes del derecho tradicional y lo que hacen entidades globales como las grandes empresas de internet». Respecto al modelo vigente, Adsuara cree que posiblemente no haya una multinacional que trabaje en la Unión Europea que finalmente «no se vaya a adherir».

Apelar a la voluntad del regulador

«A grandes rasgos lo veo positivo», relata a ABC Joaquín Muñoz, director del área de nuevas tecnologías de ONTIER, quien señala que la incertidumbre producida a raíz de la invalidación de «Safe Harbor» «no beneficiaba a nadie, ni a los ciudadanos ni a las empresas». En ese sentido, el nuevo marco legal ayudará a «tener una certidumbre jurídica», sobre todo para las empresas europeas acerca de los servicios que pueden utilizar para cumplir la normativa en materia de protección de datos.

No obstante, el espíritu del anterior modelo es «casi el mismo», pero se introducen nuevas medidas de control en aquellos aspectos que el Safe Harbor habían fallado y «era necesario mejorar». Por un lado -dice- aunque las empresas americanas van a tener que autocertificarse para dar la seguridad que cumplen con el adecuado nivel de protección que pide la normativa europea sí se establece que el Departamento de Comercio «pueda monitorizar y verificar que las empresas cumplen con esa certificación».

«El hecho que haya esa voluntad y posibilidad que el regulador pueda inspeccionar por lo menos se logra que las empresas no solo firmen un tratado sino que pueda haber un mayor de control», relata. Algo importante -sostiene- es que se limita el acceso de los servicios de inteligencia norteamericanas a una recolecta masiva de datos sin ningún filtro ni control. «Ahora se pedirá que se haga un filtro sobre lo que se está buscando y si por el camino se identifica información que no sirve para esa investigación se elimine».

Además de periodos de respuesta y presentación de quejas, aspectos destinados a los ciudadanos, «Privacy Shield» propone la creación de una figura del Defensor del Pueblo, aunque su efectividad habrá que comprobarla en el momento en el que se ponga en marcha y cerciorars «si hay una implicación y voluntad por parte de la NSA». A su juicio, «habrá que ver si estas mejoras que introucen son realmente efectivas y que haya, sobre todo, una voluntad del Departamento de Comercio de EE.UU para que se cumpla, ya que antes parecía que se dejaba a voluntad de las empresas y no se hacía un seguimiento».