El pasado 16 de julio el Tribunal de Justicia de la Unión Europea (TJUE) sentenció que el nivel de protección de los datos personales que ofrece la legislación de los Estados Unidos a ciudadanos de Estados miembros de la UE no es aceptable, toda vez que, como explicaré a continuación, invocando la seguridad nacional de Estados Unidos, los datos y las comunicaciones de determinadas personas están sometidas a la disección e interceptación por parte de las autoridades estadounidenses, con la colaboración obligada de las plataformas de Internet que por radicar allí su sede u operaciones que procesan tales datos personales se convierten a tales efectos en agentes de las autoridades. La tendencia a la aplicación del principio erga omnes por parte de los poderes públicos de Estados Unidos ya fue causa de una cierta incomprensión por parte de los Estados miembros de la UE con ocasión de la aprobación por el presidente Obama en 2010 de la ley FATCA, que obliga a las entidades financieras del resto del mundo a colaborar con la Hacienda estadounidense en su propósito de impedir la evasión fiscal de sus ciudadanos, resultando en una asimetría en los requisitos de colaboración y transferencia de responsabilidades difícilmente aceptable al menos entre países que sin ser vecinos han sido históricamente aliados.
El asunto objeto de la sentencia mencionada fue promovido por un usuario austríaco de Facebook, Maximilian Schrems, residente en su país de origen, que en 2013 instó a la Empresa (FB Irlanda) con la que, como el resto de los usuarios de Facebook en la UE, suscribió un contrato tipo conforme al cual aceptaba la transferencia total o parcial de sus datos personales a Estados Unidos, -donde están situados recursos técnicos necesarios para que el usuario obtenga de la red social la experiencia de uso y funcionalidades que esta ofrece-, a que sus datos personales no saliesen de la UE, toda vez que la normativa de los Estados Unidos permite la obtención, filtrado y tratamiento de los datos personales de extranjeros por razones de seguridad nacional, como "fundamento legitimo previsto por la ley" para la limitación del ejercicio de derechos consagrados en la legislación de la UE y que debe tener asociada un cierto régimen de garantías, como señaló en sus conclusiones al procedimiento el Abogado General de la UE, H. Saugmandsgaard.
Escudo de privacidad de datos
En lo que se refiere a la protección del derecho a la intimidad perseguida por el señor Schrems, la cláusula relevante del contrato tipo o de adhesión entre la red social y el usuario está amparada por varias decisiones de la Comisión Europea que ha venido considerando el llamado "escudo de privacidad de datos" desarrollado por el Departamento de Comercio del Gobierno de Estados Unidos para regular la importación de datos personales desde la Unión Europea y Suiza, un instrumento adecuado para la protección del mencionado derecho a la intimidad, como está expresado en el Carta Europea de Derechos Fundamentales que entró en vigor simultáneamente al Tratado de Lisboa en Diciembre 2009, en su artículo 7 y por extensión en lo que concierne a la protección de los datos de carácter personal (artículo 8) y al derecho a la tutela judicial efectiva (artículo 47) e igualmente conforme con las estipulaciones del Reglamento General de Protección de Datos (RGPD) de la UE, a lo largo de cerca de veinticinco años, desde que en 1995, cuando apenas existía la posibilidad de la cesión de datos personales en un entorno informático libre como Internet, se aprobara la directiva que regulaba la transferencia interna y fuera del espacio comunitario de datos personales, como una manifestación más de las libertades de circulación que se asienta la UE.
Ausencia de garantías
La sentencia objeto de comentario, que ha invalidado el régimen de protección de los datos de ciudadanos de la UE transferidos a Estados Unidos, ha creado un vacío explícito y efectivo de garantías y se remite a los acuerdos entre partes y a la obtención de certificados de seguridad por las plataformas, ahora carentes de virtualidad dado el sometimiento a la actuación independiente, sin restricciones ni controles, de las autoridades de los Estados Unidos (Agencia de Seguridad Nacional, FBI y CIA. De hecho, esta sentencia estuvo precedida por otra del TJUE del 6 de octubre de 2015 que dejó sin efecto la Decisión de la Comisión 2000/520, de 26 de Julio, que se refería a la adecuación del régimen de garantías al derecho a la protección de los datos personales de los ciudadanos de la UE en la formulación entonces vigente. Se podría por ello concluir que este tortuoso itinerario, de ida y vuelta, se ha ido complicando a medida que la transferencia de datos personales ha adquirido proporciones masivas y un alcance extensísimo en la nueva economía de las plataformas, en una confusión inquietante de expectativas individuales de uso de datos propios y de identificación de riesgos para la seguridad nacional de los Estados Unidos, que ciertamente han ganado un mayor protagonismo después de los ataques del 11 de Septiembre de 2001 y que no obstante las declaraciones de principios más progresistas, tomaron en efecto un carácter más restrictivo durante el segundo mandato del Presidente Obama (Directiva Presidencial (PPD-28) de 17 de Enero de 2014), en base a las facultades que le confiere la Ley de Control de Inteligencia Extranjera (FISA) de 1978.
Curiosamente, el ordenamiento jurídico estadounidense dispensa a sus ciudadanos una inmunidad frente a las autoridades antes mencionadas, en base a la Cuarta Enmienda a la Constitución de los Estados Unidos, que no se reconoce a los nacionales de otros Estados, menoscabando el carácter universal de los derechos humanos, la naturaleza abierta de Internet y la presunción de buena fe que debe inspirar las cláusulas tipo de los contratos de adhesión en razón de los cuales se ponen a disposición los datos personales. Todo ello supeditado a un "fundamento legitimo previsto por la ley" que en su aplicación desmerece del propósito al que debiera servir, toda vez que de manera extremadamente eficiente se procede por las autoridades de los Estados Unidos al análisis de los datos de tráfico y localización y a su filtrado automatizado, empleando criterios de selección inconcretos, como pone de manifiesto la sentencia de 16 de Julio tras una constatación rigurosa de la información compartida por el Gobierno estadounidense en el curso de sus intervenciones en el procedimiento.
Transferencias de datos personales
En la medida en que las cláusulas tipo de los contratos de adhesión y las cláusulas convencionales entre exportador e importador de los datos personales permitirían la no suspensión o interrupción de las transferencias de datos personales desde la UE a Estados Unidos, que en el caso fallado en rigor debieran instar bien la Comisaria de Protección de Datos de Irlanda (Helen Dixon) o subsidiariamente el Supervisor de Protección de Datos de la UE (Wojciech Wiewiórowski), es imperativo y urgente que tales cláusulas sean revisadas y homologadas, para garantizar la efectiva autonomía de las partes y la salvaguardia de los derechos fundamentales de los ciudadanos de la UE que obliga a los poderes públicos de los diferentes estamentos competentes, nacional y comunitario, reconociendo, según ha señalado tras conocerse la sentencia el Supervisor irlandés, que toda transferencia de datos personales, no obstante las condiciones bajo las cuales se realice, es "problemática".
Tras la publicación de la sentencia en cuestión las plataformas han procedido a informar a sus clientes de la invalidez del escudo de privacidad, señalando en el caso de Microsoft que la transferencia de datos personales de sus clientes entre la UE, Suiza y los Estados Unidos no depende del referido escudo, remitiéndose a la vigencia de las cláusulas de los acuerdos de tratamiento de datos explícitamente aceptados por los clientes o, en el caso de Facebook, directamente concernido por el fallo en cuestión, incorporando a los contratos de servicios con clientes en Europa y un anejo de transferencia de datos que complementa al de tratamiento de datos, sobre el que a su vez prevalecen las cláusulas de los contratos de servicios, que imponen ahora ciertas obligaciones a los clientes en su condición de exportadores de sus datos personales para dar cumplimiento a las prescripciones del RGPD, tras reconocer expresamente que los arreglos contractuales vigentes entre Facebook y sus clientes en el ámbito de aplicación del RGPD no proporcionan una protección adecuada según lo requerido en el artículo 46 del mismo Reglamento.
Siendo en todo caso, -y más allá de cualquier confusión derivada de la necesidad de no forzar la resolución de cientos de millones de contratos de servicio- insoslayable la salvaguardia de los derechos fundamentales, la sentencia impulsa, siquiera de manera diferida, la fragmentación y localización imparable de Internet, como ha señalado Graham Greenleaf, al convivir en la práctica marcos tan dispares de seguridad y protección, incluso entre Estados democráticos, con implicaciones en la diseminación del conocimiento, la topología de redes y el desarrollo de la llamada economía de plataformas, con una diferencia marcada de ofertas y capacidades de interacción. El acceso no consentido a los datos personales, como una manifestación contemporánea de la quiebra de la intimidad, siquiera alegando razones de seguridad pública, sin que medie un régimen de notificación y justificación adecuada puede producir daños morales de difícil reparación y debe poder evitarse con la potenciación de la transparencia y autenticidad de los privilegios y compromisos recíprocos entre los titulares de los datos personales y los usuarios de los mismos, la provisión de herramientas para la administración de los datos conforme a los perfiles deseados y la evolución hacia un modelo de autocontrol que aporte las garantías exigidas por el ordenamiento jurídico europeo, con el ánimo de armonizar con Estados Unidos los parámetros de acceso y tratamiento de los datos, eliminando el riesgo de intrusión generalizada e indiscriminada en sistemas de telecomunicaciones internacionales y en los repositorios de datos de los centros de cálculo que habilita la normativa de los Estados Unidos vigente.
Foro de Gobernanza de Internet
Siguiendo la estela de la iniciativa "Flujo de datos libre y fiable", enunciada por el recién dimitido primer ministro japonés Abe Shinzo, primero en Davos y posteriormente en la reunión del G-20 de Osaka en junio de 2019, quizás pueda ser precisamente este foro el que impulse la convergencia de requerimientos y opciones para la exportación de datos personales, incorporando la interpretación del RGPD de la UE surgida de la sentencia de 16 de Julio. Lamentablemente, el Foro de Gobernanza de Internet (IGF) de Naciones Unidas no ha sido capaz de incluir la cuestión entre sus mejores prácticas de ciberseguridad y acceso, en las que confluirían elementos fundamentales de la discusión entre países industrializados que podría llegar a extenderse al concierto de las naciones, ofreciendo un marco seguro a los usuarios de las plataformas y permitiendo que no surjan trabas a la circulación de los datos, para beneficio principal de sus titulares, en el espacio abierto y libre de Internet, como reivindica el principio 3 del "Contrato para la Web" promovido por uno de sus inventores, Tim Berners-Lee: para que todo el mundo pueda usar Internet de forma segura y sin miedo.
