El reto de limitar el espionaje de EEUU

La nube y el modo en que la computación cloud está extendiéndose genera nuevos retos para los legisladores, especialmente cuando los datos viajan de unos países a otros con diferentes marcos normativos. Eso es, precisamente, lo que acontece ahora mismo entre EEUU y la Unión Europea (UE), como prueba un estudio de la Comisión de Libertades Civiles, Justicia y Asuntos de Interior de la Unión Europa (UE) que concluye que si se pretende llegar a un acuerdo de intercambio de datos con EEUU, éste habrá de acometer con urgencia una reforma de su legislación de vigilancia. Las diferencias existentes entre UE y EEUU en cuanto a privacidad y protección de los datos personales es tan grande que está en peligro la interoperabilidad.

El estudio elaborado por esta comisión europea recoge un conjunto de recomendaciones para facilitar que el intercambio transatlántico de datos sea una realidad. Entre dichas propuestas destaca, por ejemplo, la necesidad de limitar la recopilación masiva de datos de clientes de telefonía e internet puesto que, en virtud de la Sección 702 de la Ley de Vigilancia de Inteligencia Extranjera (FISA), las agencias de Inteligencia de EEUU pueden recopilar datos de proveedores de servicios de Internet y proveedores de computación en la nube relacionados con ciudadanos no estadounidenses.

En 2014, la Administración Obama puso ciertos límites a este cheque en blanco para la Inteligencia a través de la Directiva de Política Presidencial 28 (PPD 28), pero desde el Tribunal de Justicia de la Unión Europea (TJUE) se considera que resulta insuficiente y es preciso definir estándares más estrictos que justifiquen determinados niveles de vigilancia.

Precisamente el TJUE ha sido el detonante de este estudio con la sentencia el año pasado suspendiendo el que se conocía como Privacy Shield, es decir, el anterior acuerdo de intercambio de datos entre ambas regiones. Aquella decisión judicial vino motivada por encontrar que no salvaguardaba la privacidad de la ciudadanía europea del mismo modo que hace la UE, con el agravante añadido de que, en caso de violación de dicha privacidad, no existe un derecho efectivo de reparación ante un organismo independiente.

La legislación menos garantista de EEUU en cuanto a protección de los datos de carácter personal hace que la ciudadanía europea ignore si sus comunicaciones son interceptadas, si están siendo vigilados. A diferencia de la legislación europea en esta materia, la estadounidense ni es clara ni previsible en su utilización, con actuaciones de vigilancia que en ocasiones vienen motivadas con fines políticos o económicos, sin respetar el principio de proporcionalidad.

En su defensa, EEUU argumenta que esta recopilación de datos personales no interfiere con el derecho a la privacidad, siempre y cuando dichos datos no se examinen, pero eso no basta a la UE, que entre otras medidas reclama que el periodo de almacenamiento de datos personales pase de los actuales cinco años a tres, al tiempo que exige mayor transparencia en estas labores de vigilancia. Un espionaje a ciudadanos y ciudadanas europeas, por otro lado que, desde la óptica de la UE, no debería producirse sin contar, al menos, con el consentimiento de los estados donde residen dichas personas. Además, en caso de violación de privacidad, la ciudadanía europea debería contar con un marco como el RGPD (Reglamento General de Protección de Datos).

La inseguridad jurídica que existe en estos momentos trae a la memoria el caso Snowden y, de hecho, es lo que se encuentra en el origen de todos estos movimientos. En 2014, el activista austríaco Max Schrems abrió la caja de Pandora al interponer una demanda porque sus datos personales asociados a Facebook, alojados entonces en los servidores que tiene la multinacional en Irlanda, se habían transferido sin su autorización a EEUU, fuera de la jurisdicción europea.

La situación no afecta únicamente a lo más evidente, esto es, a los millones de usuarios de Amazon, Facebook, Google, Apple… sino también a las empresas. A pesar de existir mecanismos intermedios que parchean, como las denominadas Cláusulas Contractuales Estándar (SCC), son miles las empresas que precisan una legislación clara entre ambas regiones. Imaginen, sin ir más lejos el tráfico de datos que se produce entre empleados europeos de compañías estadounidenses, cómo un vacío legal o la suspensión del intercambio transatlántico de datos podría interferir, sin ir más lejos, en el pago de sus nóminas si sus datos se encuentran en servidores de EEUU.

Para evitar ese escenario indeseado, desde el año pasado EEUU y UE intensifican sus negociaciones buscando un nuevo mecanismo regulatorio, de ahí este estudio de esta comisión europea con sus propuestas, que no ha de perder de vista el imperativo de que los datos de cualquier persona europea que sean transferidos a terceros países han de contar con la misma protección que tienen dentro de la UE, algo que hoy por hoy no sucede en EEUU.