Guía para entender el caso 'Schrems vs Facebook': ¿ya no hay leyes? ¿vigilan mis datos?

El Tribunal de Justicia de la Unión Europea ha publicado esta semana una sentencia histórica. Ha invalidado una decisión de la Comisión Europea que tenía 15 años y que avalaba la transferencia de datos personales entre la UE y Estados Unidos. Ya no es segura. Las incógnitas abiertas son muchas, porque las aristas se multiplican: empresas, usuarios, NSA, redes sociales. Es posible que te hayas hecho alguna de estas preguntas:

La Comisión Europea decidió en 2000 que daba por buena y segura la transmisión de datos personales "desde la Comunidad (europea) a entidades establecidas en Estados Unidos de América" si las empresas responsables se adherían a unos principios concretos, los principios de "puerto seguro". Las propias compañías eran las que certificaban (sí, ellas mismas) que cumplían esos principios y el Departamento de Comercio, el otro actor en este acuerdo, respondía por ellas.

Por ejemplo, que se informe al usuario sobre el tratamiento de sus datos personales; que se le pida el consentimiento para cederlos a terceros; que las empresas están obligadas a vigilar que se haga un uso correcto de los datos y que no se traspapelen o desaparezcan; que el usuario pueda rectificarlos; la posibilidad de los usuarios de recurrir si creen que estos principios no se están cumpliendo; etc.

Se basó en una directiva anterior, la Directiva 95/46/CE, que dice que solo se pueden transferir datos personales desde Estados miembros a terceros países si estos garantizan una protección adecuada. Y que es la Comisión Europea la que puede determinar en un momento dado que un tercer país ofrece ese nivel de garantías, dado que a veces hay discrepancias entre legislaciones. Aun así, la directiva marca unas guías básicas.

El Tribunal de Justicia de la UE no entra en si EE UU cumple los estándares, "ha dicho que lo que ha hecho la Comisión no es suficiente para determinar que los cumple", explica a 20minutos Ángel Vallejo, responsable de relaciones institucionales del think tank de ciberseguridad Thiber. La sentencia dice que la Comisión Europea no comprobó nada; un "varapalo enorme". La decisión, tomada "por la vía del acuerdo entre Ejecutivos en lugar de ir por la vía legislativa", es nula. Algunos expertos consultados la consideran una decisión puramente política.

Un joven abogado y activista austríaco, Maximilian Schrems, puso una denuncia ante la autoridad irlandesa de protección de datos. Como usuario de Facebook —en Irlanda está su filial, como las de muchas grandes tecnológicas— y a raíz de las revelaciones del exconsultor en la CIA Edward Snowden, argumentó que sus datos estaban comprometidos. Que el espionaje le afectaba directamente como ciudadano. Recurrió a la High Court irlandesa después de ver desestimada su queja. La High Court preguntó al TJUE: no sabía si se podía contradecir a la Comisión Europea, que había decidido hace 15 años que todo estaba bien.

Sí, es el exconsultor de la CIA que reveló las supuestas tramas de espionaje de la NSA y el FBI, como por ejemplo el programa PRISM. No es que el TJUE haya dado por buenas las revelaciones —hay que tener en cuenta que no ha habido un juicio y que Snowden no ha declarado, de hecho, está refugiado en Rusia—, pero sí expone "dudas más que razonables" al respecto, dice Vallejo. El Tribunal sí habla, de todas formas, de "injerencias"; y el abogado general, más contundente, de "vulneración" de derechos.

"Es un problema" para las empresas, según Javier Prenafeta, abogado experto en tecnologías de la información, aunque no significa, como muchos han dicho, que ya no se puedan transferir nunca más datos personales a Estados Unidos. Vallejo apunta que, como la decisión es "inmediatamente aplicable", lo que sí puede provocar es un "bloqueo radical del negocio fundamental de algunas de las empresas más potentes del mundo", como Google y Facebook. Los datos, el nuevo oro. En cuanto a los usuarios a pie de calle, asegura que "no van anotar un daño efectivo en su vida diaria".

Sí y no. Schrems puso la reclamación por el tratamiento de sus datos personales recopilados por Facebook. Pero la sentencia se refiere a la decisión sobre todo el régimen de "puerto seguro". Y el abogado general del TJUE dijo expresamente que Facebook no incumplía el "puerto seguro". Ahora bien, esto le afecta.

Todos los expertos consultados por 20minutos señalan a la Comisión Europea. Lo hizo mal. En cuanto a Estados Unidos, esta sentencia "no viene de una zona del mundo con la que ellos normalmente tengan problemas", explica Vallejo, así que también se lleva lo suyo.

Realmente no. Europa y EE UU llevan hablando desde que se produjeron las revelaciones de Snowden para actualizar el "puerto seguro". Según ha explicado la comisaria europea de Justicia Vera Jourová, la Comisión ha hecho 13 recomendaciones al texto y sigue con la intención de renovarlo. Además, ha dicho, están trabajando en otras dos cosas: una gran reforma de la legislación europea de protección de datos y el llamado acuerdo paraguas EU-US, ligado a lucha contra el crimen. Quieren tenerlas listas antes de fin de año.

Tampoco, aunque el Departamento de Comercio sí ha manifestado su descontento, recuerda Prenafeta. "Ha dicho que crea inseguridad jurídica, y es verdad", añade. Vallejo explica que, además, el Ejecutivo estadounidense ya mantenía, por ejemplo, una disputa con Microsoft.

Casi 4.500 estaban en el "puerto seguro". No solo tecnológicas, también se pueden encontrar nombres como Pfizer (farmacéutica), Nintendo (videojuegos); Domino's Pizza (comida), Airbnb (alojamiento)... Pero hay que tener en cuenta también a las empresas europeas (y españolas) que: realizan transferencias de datos "intercompany" porque son multinacionales con matriz en España pero con servidores aquí y allá; tengan datos alojados en servidores en Estados Unidos; usen "Google como proveedor de correo electrónico, Facebook para hacer promociones, Dropbox...", explica Prenafeta. Hay "miedo", dice el abogado.

Parece, según Vallejo, que es más una cuestión "de cómo lo hacemos que de si se puede hacer o no". Es decir, hay que buscar la forma de sortear el hecho de que se haya anulado el "puerto seguro", al margen de decisiones legislativas o judiciales. Mike Weston, CEO de la consultora Profusion, ha dicho que esto va a costar mucho dinero a las compañías, aunque él cree que las más perjudicadas no van a ser empresas del tamaño de Google y Facebook, que cuentan ya con una cierta infraestructura para el almacenamiento de datos —en Irlanda, claro—, sino empresas con menos capacidad de reacción, publica The Guardian.

En el caso de empresas de EE UU, dice Prenafeta, podrían llegar a un acuerdo específico con la Comisión Europea o las autoridades nacionales de control; o bien, comprometerse a no ceder, en ningún caso, datos que les lleguen de Europa. Son hipótesis. Pero habría que ver, eso sí, qué opina EE UU, porque supondría ir contra sus estrictas leyes de seguridad. Otra opción es que operen a través de una sociedad constituida en Europa. En cuanto a las empresas españolas, explica el abogado, pueden "pedir autorización al director de la Agencia de Protección de Datos o a la propia Agencia —eso dice la ley— para que declare el nivel de seguridad equiparable o bien pedir el consentimiento del interesado. Sería lo más sencillo". También menciona el cifrado de datos, posibles auditorías, etc.

El problema es que "tiene que ser un consentimiento que indique a quién y dónde van a ir los datos, lo que es muy complicado", dice el abogado. La Directiva 95/46/CE, recuerda, dice que "tienes derecho a saber a quién se han cedido tus datos y quién accede a ellos". ¿Y si salta otro escándalo PRISM?

En el caso de Facebook, según explicó el abogado general, "la totalidad o parte de los datos de los usuarios de Facebook Ireland residentes en la Unión son transferidos a los servidores de Facebook USA, ubicados físicamente en Estados Unidos, en los que se almacenan". ¿Y no fuera así? Según Prenafeta, "si el Gobierno de EE UU puede investigar datos que estén en servidores europeos no hemos solucionado el problema", aunque el hecho de que los datos estén en Europa ya está evitando el paso de la transferencia. Hay empresas como Amazon que a la hora de alojar datos en la nube ofrecen a sus clientes que, por ejemplo, estén en Francia o España, hacerlo en servidores europeos (sí, en Irlanda), explica Prenafeta.

Las competencias son nacionales, la europea no es plena —solo en cuestiones de armonización—, dice el abogado. Sí que hay un organismo, el Grupo de trabajo del artículo 29, que se reúne para unificar, "pero no para ordenar nada". Y está la Directiva 95/46/CE, que incluye excepciones comunes en las que sí se pueden transferir datos, según ha recordado la comisaria Jourová: el consentimiento individual, la reserva de un hotel, la cooperación contra el fraude, situaciones de vida o muerte, etc. La Agencia española de Protección de Datos, recuerda Vallejo, "es autónoma para tomar decisiones ejecutivas". Algunos, añade Prenafeta, proponen una autorregulación para solventar el tema pronto, "pero en el fondo estaríamos en lo mismo de antes".

"No me cabe la menor duda de que el tema político se arreglará", dice el representante de Thiber. Igual tardan meses. Ahora que el TJUE ha dicho claramente que las agencias y los tribunales nacionales tienen capacidad total de acción, la UE no puede arriesgarse a tomar una decisión que le pueda acarrear más problemas.

Decenas de reclamaciones a las agencias de control de protección de datos en distintos países. Y un posible efecto dominó si alguna decreta una suspensión de transferencia de datos respecto a alguna empresa concreta. Todos los expertos consultados recuerdan el caso del derecho al olvido y Google. La suspensión de datos no se podría decretar a nivel europeo de golpe, al no haber una autoridad europea de control de datos, tendría que ser país por país.

Claro. Y es posible que el trabajo de la Agencia española para investigar que tus datos están comprometidos en EE UU no sea muy laborioso si, además de la sentencia del TJUE, se produce otra de la High Court irlandesa e incluso una suspensión de los datos de Facebook a EE UU de la agencia de control de ese país, que ahora está obligada a estudiar el caso. La empresa aludida en tu reclamación tendrá que demostrar que cumple las reglas, explica Prenafeta.

Hizo un comunicado inicial muy cauto. Fuentes de la Agencia explican a 20minutos que es "prematuro" hace un análisis de la sentencia y de sus consecuencias y remiten al trabajo conjunto entre las agencias nacionales y con la Comisión Europea. Las mismas fuentes confirman que hasta ahora no ha llegado a la Agencia ninguna reclamación por parte de usuarios, pero sí "algunas" solicitudes de información por parte de "responsables de tratamiento de datos" de algunas empresas, pero no dan una cifra. Prenafeta no cree que las agencias vayan a empezar a sancionar a empresas de forma inmediata.

No al 100%. "El único ordenador perfectamente seguro en Internet es el que no tiene conexión a Internet", dice Vallejo, "es un principio de ingeniería". El usuario medio, añade, sabe —"y si no, es que no vive en este mundo"— que la información se maneja de una determinada manera "y que siendo empresas estadounidenses la transferencia tiene un cierto control, mayor o menor". Hay una cierta tolerancia. Pero que se sepa "no es suficiente como para que sea admisible" a nivel formal. La Organización de Consumidores Europeos ha dicho que esto es una "victoria histórica"; Schrems, por su parte, ha celebrado que "la vigilancia masiva no es posible" porque "(va) contra los derechos fundamentales en Europa".

Pues esto: