PROTECCIÓN DE DATOS: ESTADOS UNIDOS NO ES UN LUGAR SEGURO. ANULACIÓN DEL PRIVACY SHIELD

El Tribunal de Justicia de la Unión Europea ha resuelto ayer el caso C‑311/18, por el que se resuelve una cuestión prejudicial planteada por la High en el procedimiento entre Data Protection Commissioner y Facebook Ireland Ltd, Maximillian Schrems. Un asunto de la máxima transcendencia en materia de protección de datos, en la medida en que lo que estaba el juego era la compatibilidad de Privacy Shield y los demás instrumentos complementarios para la transferencia de datos entre los Estados Unidos y la Unión Europea.

Y la respuesta es, como ocurrió con la sentencia del Tribunal de Justicia de 6 de octubre de 2015, por la que se anuló el safe harbour, que los Estados Unidos no constituyen un lugar para los datos europeos.

Dos son los problemas esenciales que se han percibido por el Tribunal de Justicia:

En primer lugar, del examen de las cláusulas contractuales tipo aprobadas por la Comisión Europea se deducen dos aspectos: por un lado, que no son vinculantes en terceros países y, en segundo lugar, que es responsabilidad del responsable del tratamiento examinar si hay elementos complementarios que se deban recoger en el acuerdo para la protección.

Este dato nos obliga, como es lógico, a un examen país por país. Y el estándar de protección en los Estados Unidos tiene carencias relevantes. La promulgación de la Cloud Act, por ejemplo, impone la obligación a las empresas radicadas en los Estados Unidos la obligación de entrega de toda las comunicaciones electrónicas y datos que estén en su poder de cualquier ciudadano del mundo.

Un precepto que atenta directamente contra el artículo 46 del Reglamento General de Protección de Datos lo que está en la base de la anulación del Privacy Shield. Un precepto que constituye un riesgo para cualquier ciudadano y, especialmente para las empresas ya que pueden verificar los correos electrónicos para comprobar qué relaciones económicas tienen con países que estén en las listas negras de los EE.UU.

Una realidad que muestra la necesidad de que los datos no salgan de servidores situados en la Unión Europea. Incluso, resultaría conveniente que ni siquiera los correos electrónicos sean remitidos desde servidores de empresas estadounidenses.

El segundo problema deriva de los mecanismos de protección que están en el acuerdo entre la Comisión Europea y los Estados Unidos.

Es cierto que han de arbitrarse mecanismos de protección de derechos individuales que resulten eficaces. En particular, uno de los aspectos que se exige es que los mecanismos de resolución de litigios sean accesibles y asequibles. Ahora bien, a pesar de los avances que se han producido, la protección resulta muy insuficiente desde una perspectiva europea, especialmente sobre la manera de presentar denuncias contra las empresas estadounidenses.

Imagino que, al igual que se hizo después de la sentencia de 2015, se iniciarán nuevas negociaciones para articular un régimen diferente. No está aquí el problema. En aquél país parece cada vez más claro lo que señaló Tzodorov  “My name is America and I’m a dataholic”. Y, por ello, desde Europa debemos ser mucho más exigentes frente a la laxitud estadounidense.

En este punto, hay que destacar la importancia de las resoluciones del Tribunal de Justicia de la Unión Europea, en su sentencia del 19 de octubre de 2016 declaró que las direcciones IP dinámicas, que son las que nos asignan usualmente los proveedores de internet en los hogares, son datos de carácter personal y, por consiguiente, están sometidos a la normativa de protección de datos. En el mismo sentido, anuló en la sentencia de 6 de octubre de 2015 el safe harbour.

Porque el problema no está sólo en las normas aprobadas por los Estados Unidos de América, sino por las grandes compañías domiciliadas allí y que usan y abusan de nuestros datos personales, que recogen con especial fruicción.

Una práctica para la cual tiene su inestimable cooperación a través de los datos que gratuitamente les estamos cediendo cada vez que encendemos un ordenador, nuestro teléfono móvil o la tableta. No lo hacen, además, por razones de protección del interés general -lo que hipotéticamente podría hacer más entendible la pregunta inicial- sino para comerciar con ellos, lo que se hará de forma creciente en la próxima década. De hecho, John Chambers, Presidente de CISCO hablaba de 14.4 trillones de dólares de negocio en la próxima década como consecuencia del denominado “Internet de las cosas”.

La inteligencia artificial es el gran reto de los años venideros para la protección de los Derechos fundamentales. Fijémonos un poco en lo que en este momento es capaz de hacer cualquiera de los grandes propietarios de nubes para el almacenamiento de información (sí, esa que transmitimos con nuestros correos electrónicos o paseando con nuestro smartphone).

No sólo es capaz de reconocer imágenes y sonidos, no sólo es capaz de determinar las IP desde las que navegamos, sino que puede entrar dentro de lo que se denomina el deep learning a través de la cual puede interpretar los requerimientos de los seres humanos para adaptarse a ellos. El desarrollo por parte de los grandes tecnológicos les permite obtener pingües beneficios. Un dato posiblemente lo exprese muy claramente: los beneficios que obtiene Amazon con su actividad comercial sobre los datos supera lo que obtiene por la venta al por menor en los EE.UU. Hoy, cuando hablamos del “cloud computing” debemos estar pensando tanto en esto como en que es en Utah o Idaho donde se sitúan los servidores que permiten esta actividad lucrativa.

Los beneficios son considerables. Pensemos en su cuenta de Facebook. Proporcionan a sus accionistas 3,62$ por usuario de la red social. Pensemos al mismo tiempo en el beneficio que obtiene Google por ceder “gratuitamente” su infraestructura a una Universidad Pública española proporcionando un correo electrónico institucional y otras herramientas electrónicas a su profesorado, sus estudiantes y su personal de administración y servicios. Por el mero hecho de ser un usuario activo con cuyos datos interactúan. Unos datos que generamos una parte de forma consciente pero que la mayor parte es de forma inconsciente. Y que además, la hiperconectividad de la sociedad actual impide limitar ya que ninguno estará dispuesto, hoy, a cambiar su smartphone por un teléfono móvil de los no smart.

Frente a esta realidad, es claro que no existe en la actualidad un debate público sobre las consecuencias políticas de esta concentración empresarial. No la hay en la mayor parte de los países de Europa, donde sólo el Tribunal de Justicia de la Unión Europea está dando algunos pasos, ni la hay tampoco en los EE.UU. donde ni siquiera las personas más a la izquierda del Partido Demócrata, Elisabeth Warren o Bernie Sanders están llevando al primer plano de la agenda pública la acumulación de poder por parte de estas compañías. Ni menos aún se arbitran mecanismos para redefinir los términos de la relación. Posiblemente detrás de todo ello esté el respeto reverencial que siempre han tenido los demócratas hacia la innovación que venía de Silicon Valley, a pesar de que es claramente demostrable que detrás de la innovación hay una actividad por lo menos dudosa desde el punto de vista social, ambiental y tributario. Pero más allá de todo ello, está el propio favorecimiento por parte del Estado de esta actividad, como muestra la denominada “Start-Up de Obama”.

En Francia, por el contrario, se está empezando a desarrollar un debate público en relación con esta cuestión, aunque se quede en la cuestión fiscal. Se ha hablado, de este modo, de arbitrar un mecanismo de cobro de impuestos por el beneficio obtenido por el trabajo gratuito de los internautas. En esta línea, se empieza a abrir el debate en este país sobre la vinculación de los datos personales a la cuestión de la soberanía digital de los países; lo que sirve, entre otras cosas, para arbitrar mecanismos de cese en su acceso con carácter lucrativo. De hecho, no podemos olvidar el dato de que ingentes cantidades de información de todo tipo está siendo traspasada desde Europa a los EE.UU., ya que las 5 grandes empresas que he citado con anterioridad está domiciliadas en aquél país.

Como habitualmente, el debate público en nuestro país no ha entrado en estas cuestiones. No hay por parte de los partidos de izquierda un planteamiento sobre cómo analizar la creación, gestión, tráfico y almacenamiento de los datos personales, a pesar de la existencia de filiales de algunas de las cinco grandes compañías que cité al comienzo de este artículo. De los partidos de derecha, que son más propensos a un aprovechamiento de toda posible riqueza lo espero menos. Las Agencias de Protección de Datos no han tenido hasta ahora la fortaleza para abrir un debate público sobre estas cuestiones que, sin duda, nos atañen muy inmediatamente.

No es sólo un problema de apropiación por parte de las empresas de lo producido por nosotros, los datos (lo cual recuerda bastante a las formas de acumulación del capital a que se refería Marx en “El Capital”) sino a la cuestión de la protección de los derechos fundamentales. Con todo lo anterior no se está sino vulnerando el contenido esencial del derecho a la intimidad y a la vida privada.

La pregunta que surge inmediatamente es sencilla ¿se puede hacer algo? Hasta ahora no se ha planteado en demasiadas ocasiones una opción que se aplicó en los EEUU en 1982 con ATT o en el siglo XIX con Standard Oil: desmantelarla en su configuración actual. De hecho, el Parlamento europeo ya planteó en su momento que era la opción más razonable ante el tamaño que había adquirido Google, separando la actividad de búsqueda de información de las demás. Acaso el Parlamento europeo se quedó corto; en la medida en que sólo adoptó dicha decisión desde la perspectiva de protección del consumidor y no proporcionando una respuesta integrada de protección de los derechos fundamentales.

Obviamente, frente a todo ello, queda el impulsar una iniciativa pública que permita que los datos, nuestros datos, los de nuestros chats, nuestros correos electrónicos, nuestras fotos o documentos queden en servidores radicados en España. Ahí tenemos el reto para los años venideros.

 

El texto de la sentencia se puede consultar en este enlace