El 16 de julio de 2020, la Comisión Europea (CE) invalidó el data privacy shield (DPS, en español “escudo para la privacidad de los datos”). El DPS era un marco de trabajo que permitía transferencias de datos europeos a los EE. UU. El data privacy shield tenía como propósito el lograr un nivel superior de protección a la privacidad y limitar la vigilancia por parte del gobierno de los EE. UU.
Incluso se designó un Defensor del Pueblo (Ombudsman) para Protección de Datos, para garantizar que no se infringiesen las salvaguardas de privacidad. Después de determinó que, aunque el cargo del Defensor del Pueblo le daba autoridad (teóricamente) a este para hacer cumplir las salvaguardas de privacidad, el sistema legal americano no le otorgaba el poder para hacerlo, lo cual lo inutilizaba para todos los efectos prácticos.
Antes del DPS, existía otro marco de trabajo que permitía la transferencia de datos desde la UE, llamado safe harbor (en español, literalmente, “puerto seguro”). El caso de Max Schrems y el comisionado de protección de datos de Irlanda hicieron que el Tribunal de Justicia de la UE (TJUE) cuestionase tanto la idoneidad y validez del acuerdo de safe harbor, como el papel del Privacy Shield. El RGPD, que prohíbe la transferencia de datos de la UE. Sin embargo, el safe harbor y el DPS actúan como un punto medio para mantener a flote las operaciones comerciales. Existen más de 5.000 empresas estadounidenses que dependen del intercambio de datos a nivel transatlántico.
¿Por qué invalidó el tribunal al privacy shield?
El TJUE descubrió que los EE. UU. infringían los estándares de privacidad establecidos por la UE. Por tanto, todas las transferencias de datos de empresas no radicadas en la UE fueron pausados. Solo pueden llevarse a cabo si se implementan las medidas y salvaguardas adecuadas, que se conocen como cláusulas contractuales estandarizadas. Ahora las empresas deben verificar caso por caso si el país destinatario tiene los estándares de privacidad y medidas adecuados. Si un país no cumple con los estándares de privacidad establecidos por la UE, entonces todas las transmisiones de datos deben cesar de inmediato.
En términos generales, esto representa una pequeña victoria para los ciudadanos europeos y los activistas de la privacidad. Esto implica que sus datos permanecerán en servidores europeos a menos que el gobierno de los EE. UU. decrete leyes de privacidad más estrictas. ¿A quién debemos agradecer esta victoria? A Max Schrems, un estudiante de derecho que se convirtió en activista de la privacidad. Max presentó una demanda contra Facebook Ireland y contra Google, relacionada con la manera en que manejan los datos de los usuarios y obligan a los consumidores a aceptar sus políticas de recolección de datos. El Dictamen Schrems II es lo que provocó que el TJUE invalidase el DPS.
¿Y ahora qué va a ocurrir?
Nadie lo sabe con certeza, pero lo que sí debe ocurrir es que los EE. UU. adopten, de una vez por todas, unas normativas más estrictas en torno a la privacidad. A pesar de las revelaciones de Snowden, la vigilancia masiva y la recolección de datos sigue estando activa. Han pasado siete años, pero casi nada ha cambiado. La invalidación del data privacy shield debería ser una llamada de atención para los EE. UU. Facebook y otras compañías “big tech” siguen ocultando sus prácticas de recolección de datos. Los EE. UU. deben seguir el ejemplo de la UE y comenzar a hacer cumplir unas regulaciones de privacidad más concretas.
La UE seguramente creará un tercer marco de trabajo, como el safe harbor y el DPS, para ceder un poco ante los EE. UU. con la esperanza de que los EE. UU. adopten leyes de privacidad más estrictas. Las novedades en estos temas llegan con lentitud, porque esto toma tiempo y muchas negociaciones. Seguiremos este tema muy de cerca y les tendremos actualizados de los nuevos detalles que vayan surgiendo.
La privacidad es un derecho, no una funcionalidad
Mailfence es un paquete de correo electrónico seguro y privado, afincado en Europa. En Mailfence, creemos firmemente que “La privacidad es un derecho, no una funcionalidad”. Hacemos todo lo que está en nuestro poder para proteger y promover la privacidad de los datos. Es por eso por lo que apoyamos al RGPD, la ePrivacy y otras iniciativas legales orientadas a estos fines. También apoyamos a organizaciones como EDRI y EFF para contribuir con su lucha por la privacidad de los datos.
Síganos en twitter/reddit y manténgase actualizado en todo momento.