¿Qué NO arreglará un Privacy Shield 2?
El pasado viernes 7 de octubre se publicó la “Executive Order On Enhancing Safeguards For United States Signals Intelligence Activities” del Presidente Biden (la “EO”).
Esta norma concreta los esfuerzos realizados por la administración estadounidense para subsanar las deficiencias que llevaron al TJUE a declarar la nulidad del antiguo Privacy Shield en la tristemente famosa sentencia “Schrems II”.
En suma, esta EO es el germen del próximo “Privacy Shield 2”.
Lo primero que hay que decir es que después de su publicación, la situación de tus transferencias de datos a los EEUU no ha cambiado. Ni cambiará hasta que veamos publicada en el DOUE la decisión de adecuación de la Comisión Europea sobre EEUU.
Indice
Hoja de ruta a partir de ahora
- La Comisión Europea elabora un borrador de decisión de adecuación.
- El EDPB emite un informe sobre el mismo (que incluirá comentarios sobre la Executive Order). Este informe es importante, pero no vinculante para la Comisión.
- El Parlamento europeo puede votar sobre la decisión. Esta votación no es vinculante, aunque podría tener efectos significativos si fuera abrumadoramente negativa. No se espera que ocurra esto.
Parece que la decisión de adecuación de la Comisión podría publicarse, si todo va bien, en marzo.
¿Cómo se llamará la criatura?
Y con ello, ya tendremos el ansiado “Privacy Shield 2” o “Trans-Atlantic Data Privacy Framework” cuyo acrónimo (“TADPF”) simula el ruido que haces cuando, por poner un ejemplo tonto, te tragas algo que no querías, con patatas y a destiempo (sea porque te han cortado el gas ruso y no tienes otra o sea por lo que sea).
Muy probablemente acabarán metiendo un “Act” por algún sitio y se quedará en “TA-DÁ”.
Como jocosamente se ha comentado en twitter, “TA-DÁH” tiene pleno sentido “porque hará falta magia pero de verdad de la buena para que perdure”.
¿Por qué?
Algunos de los problemas que motivaron la nulidad del Privacy Shield siguen ahí, así que es seguro que la futura decisión de adecuación será impugnada judicialmente, y el TJUE se volverá a pronunciar sobre ella.
Problemas: (por citar sólo dos):
- El “órgano independiente” ante el que se reconocerá legitimación a los interesados para solicitar la tutela de sus derechos ante los espías, digo Inteligencia estadounidense: una doble instancia: el CLPO o Civil Liberties Protection Officer -una especie de DPO de las agencias- y el DPRC o Data Protection Review Court, que tiene de “Court” –tribunal- lo que yo de melenas. El DPRC es una agencia independiente de carácter administrativo. No tiene carácter jurisdiccional. Algo normal, teniendo en cuenta que la norma que lo crea proviene del poder ejecutivo, no del legislativo, como hubiera sido lo suyo. Pero eso era imposible por razones más problemáticas y profundas.
¿Tiene mejor pinta que el anterior Ombudsman? No era difícil.
¿Será suficiente para el TJUE? Veremos.
- Lo único que recibirá el interesado que “denuncie” o solicite la tutela del CPRC será la notificación del nuevo “tribunal” de que ha revisado el caso y no ha encontrado ninguna infracción ni ha ordenado una reparación. Sin clarificación sobre si el denunciante efectivamente fue objeto de vigilancia o no. ¿No te parece suficiente, amigo? Pues es el mismo estándar que aquí en Europa.
Poniéndonos en el mejor escenario posible: el de una aprobación rápida y, er, limpia de una florida y primaveral decisión de adecuación…
Su publicación significará, en el peor de los casos un lustro de tranquilidad, asumiendo que Max Schrems, impugnará la nueva decisión y el TJUE volverá a pronunciarse sobre su adecuación.
Pero parece más interesante preguntarse ¿Qué no arreglará ese futurible “Privacy Shield 2”?
1.- El “gap” actual de incumplimiento
La responsabilidad por los casi tres años de transferencias ininterrumpidas comprendidas entre la publicación de Schrems II y (yendo todo bien) ese Privacy Shield 2, no prescribirá hasta 2026.
Puede que a Max Schrems (mosca cojonera oficial en esta materia) se le ocurra denunciar otra vez a empresas a cascoporro. Pero por la situación de hoy, no la que tengamos en el 2023.
Una buena piedra de toque será la inminente publicación de la mil veces retrasada sanción a Meta de la DPA Irlandesa. Ya sabemos que ¡ojo! se le ordenará paralizar sus transferencias de datos a EEUU: lo único que hoy se discute en el seno del EDPB es la cuantía de la sancionzaca adicional.
Obvio que Meta recurrirá y dará patada a seguir, pero podríamos ver algún tipo de acción coordinada de las DPAs europeas con motivo de este anuncio que será, sin duda, mediático.
Irónicamente, la inclusión de una sanción que se adivina épica, salvó el pellejo de Facebook.
Hablamos del empate en el minuto 95 que consiguió una prórroga providencial: la orden de congelar transferencias se iba a publicar antes del verano y ahora prácticamente se solapará con la publicación de la decisión de adecuación… ¡TA-DÁ!
2.- Las transferencias a casi cualquier otro país.
Por definición, el Privacy Shield 2 sólo aplicará a las transferencias entre UE y USA.
Las transferencias a (o, recordemos, accesos de datos desde) cualquier otro estado, seguirán en la misma (mala) situación que hoy. De hecho, esa mala situación es aún más evidente para los países que, ejem, no hagan el esfuerzo realizado por la administración USA.
Y eso porque, para añadir más surrealismo al asunto, la normativa de la mayoría de los estados históricamente declarados adecuados por la Comisión Europea sería igualmente declarada insuficiente a la luz de los argumentos de la sentencia Schrems II.
Si sometiéramos la “legislación en materia de vigilancia” de Canadá y Nueva Zelanda (miembros de la liga de los cinco ojos), Israel (¿en serio hay que razonar lo de Israel?), Argentina o Uruguay (no particular reason) al mismo escrutinio practicado en la sentencia Schrems II, esas decisiones serían hoy sin duda anuladas.
Esta realidad estallará en algún momento.
3.- Las transferencias actualmente amparadas en Normas Corporativas Vinculantes
Toooodas esas Binding Corporate Rules aprobadas antes (ojo: y también las de después) de la sentencia Schrems II.
Claro, esto no tiene nada que ver, pero el repintado del ordenamiento jurídico de los EEUU, deja por definición al resto de players en evidencia.
Las normas corporativas vinculantes cubren los flujos de datos entre filiales de distintos países de empresas multinacionales.
Su aprobación es larga, compleja y, a los efectos aquí comentados… insuficiente: se pre-aprueban por la autoridad nacional competente y después por el EDPB mediante una opinión. Pero ojo:
Hay que saber que el EDPB se cubre limitando el alcance de sus opiniones a la concurrencia de los requisitos del art. 47 RGPD, y hace expresa reserva sobre la necesidad de implementar medidas suplementarias en caso (?) de que sean necesarias en algún (??) país.
Este párrafo se encuentra en la opinión del EDPB sobre las BCRs de Grupo Antolín, recién “aprobadas”.
En suma, el emperador sigue desnudo y la principal “garantía” jurídica para las organizaciones españolas no será ningún Privacy Shield 2, sino la actual parálisis sancionatoria de la AEPD (que Dios guarde muchos años) en la materia.
Jorge García Herrero
Abogado y Delegado de Protección de Datos.