El tercer intento de la Comisión Europea de conseguir un acuerdo estable sobre las transferencias de datos entre la UE y EE.UU. volverá probablemente al Tribunal de Justicia (TJUE) en cuestión de meses. El supuestamente "nuevo" Marco Transatlántico de Privacidad de Datos es en gran medida una copia del fracasado "Escudo de Privacidad". A pesar de los esfuerzos de relaciones públicas de la Comisión Europea, hay pocos cambios en la legislación estadounidense o en el enfoque adoptado por la UE. EE.UU. no abordó el problema fundamental de la ley FISA 702, ya que sigue considerando que sólo las personas estadounidenses son merecedoras de derechos constitucionales.
- Comparación del cambio en la legislación estadounidense desde 2014:
- Comparación con anteriores esfuerzos de relaciones públicas:
- "Reconstruir la confianza en los flujos de datos UE-EE.UU." y el "Paraguas" de 2013
- Comunicado de prensa sobre el "Escudo de la privacidad" de 2016
- Preguntas frecuentes de los medios de comunicación sobre el "Escudo de la privacidad" de 2016
- Acuerdo de principio de una sola página entre Biden y von der Leyen de 2022
- Proyecto de Decisión de Adecuación de la Comisión Europea (diciembre de 2022)
Antecedentes. En 2013 Edward Snowden reveló que el Gobierno de Estados Unidos utilizaba empresas de "grandes tecnologías" y programas como"PRISM" o"Upstream" al amparo de la FISA 702 y la OE 12.333 para espiar al resto del mundo sin necesidad de causa probable ni aprobación judicial. Esto no se limitaba a la delincuencia o el terrorismo, sino que también incluía el espionaje a "socios" de Estados Unidos. Desde una ley de la UE de 1995, en general no se pueden enviar datos personales fuera de la UE a menos que exista una protección "esencialmente equivalente" en el país de destino. La industria estadounidense se basó en gran medida en una Decisión de la Comisión Europea llamada "Safe Harbor" (Puerto Seguro) que declaró a EE.UU. "esencialmente equivalente" en 2000. El TJUE anuló la Decisión de la Comisión en el asunto C-362/14 ("Schrems I") en 2015, dadas las leyes de vigilancia de EEUU. En 2016, la Comisión Europea ha aprobado en gran medida la misma Decisión sobre transferencias de datos UE-EE.UU. de nuevo, bajo el nuevo nombre de "Escudo de Privacidad", que fue invalidado por el TJUE en C-311/18 ("Schrems II") en 2020 en gran medida por los mismos motivos.
Los trucos "mágicos" de Úrsula y Joe. Tras la anulación del "Escudo de la privacidad", las negociaciones entre la UE y EE.UU. apenas avanzaron. EE.UU. insistió en que los datos de la UE seguirían sujetos a la vigilancia masiva estadounidense y que las personas "no estadounidenses" no tendrían las mismas protecciones que las estadounidenses. Tras más de año y medio sin apenas movimiento, Estados Unidos habría utilizado la guerra de Ucrania para presionar a la UE sobre el intercambio de datos personales. Poco después, Joe Biden y Ursula von der Leyen se reunieron el 25 de marzo de 2022. Ese mismo día, los dos han "resuelto" de repente lo que los abogados eran incapaces de resolver y han presentado un"acuerdo de principio", un pagaré que en esencia contenía dos "trucos" que deberían calmar a la opinión pública:
- En primer lugar, el TJUE consideró que la vigilancia masiva FISA 702 no era "proporcionada" en el sentido del artículo 52 de la Carta de los Derechos Fundamentales de la UE (CFR). La "nueva" Orden Ejecutiva 14086 de Estados Unidos (que equivale en gran medida a la PPD-28 de 2014) incluiría ahora la palabra "proporcionada". El "truco" aquí: EEUU atribuirá otro significado a la palabra "proporcionado" que el TJUE. La OE 14086 declara que la vigilancia masiva FISA 702 es "proporcionada" en virtud de una "interpretación estadounidense" no revelada de la palabra y contraria a las dos conclusiones del TJUE. De este modo, la UE y EE.UU. pudieron afirmar que estaban de acuerdo en la misma palabra ("proporcionada"), incluso cuando no hay acuerdo sobre el significado de la palabra.
- En segundo lugar, el TJUE determinó que la compensación a través del "Defensor del Pueblo" del Escudo de Privacidad no cumplía ni remotamente con el artículo 47 del MCR , incluso cuando el Defensor del Pueblo fue aclamado por las relaciones públicas de la Comisión en 2016 como una forma "independiente" de "compensación en el ámbito de la seguridad nacional". El "truco" de la reparación: el mecanismo del Defensor del Pueblo fue renombrado y dividido en un Oficial de Protección de las Libertades Civiles (CLPO) y un llamado "Tribunal " (que no es un tribunal, sino un órgano ejecutivo parcialmente independiente). Aunque hay algunas mejoras menores con respecto al Defensor del Pueblo, el individuo no tendrá ninguna interacción directa con los nuevos organismos (tendrá que enviar una queja a una autoridad de protección de datos de la UE y no será escuchado por EE.UU.) y darán exactamente la misma respuesta que el anterior "Defensor del Pueblo". Según la OE 14086, el CLPO y el Tribunal deberán responder en cualquier caso diciendo:"Sin confirmar ni negar que el denunciante estuviera sometido a actividades de inteligencia de señales de Estados Unidos, la revisión o bien no identificó ninguna violación cubierta o bien el Tribunal de Revisión de Protección de Datos emitió una resolución que exigía una reparación adecuada" (ver aquí). Por lo tanto, la "sentencia" de este "Tribunal" se conoce incluso antes de que se presente un caso. Hay muchos problemas adicionales con el mecanismo, que garantizarán en gran medida que las denuncias ni siquiera sean admitidas. Parece impensable que el Tribunal de Justicia acepte esto como "recurso judicial" en virtud del artículo 47 del MCR.
- Por último, EE.UU. se ha negado a reformar la FISA 702 para ofrecer a las personas no estadounidenses una protección razonable de la intimidad. Hay acuerdo a ambos lados del Atlántico en que la FISA 702 y la OE 12.333 violan derechos fundamentales en virtud de la 4ª Enmienda en EE.UU. y de los artículos 7, 8 y 47 del CFR en la UE, pero EE.UU. sigue insistiendo en que las personas no estadounidenses no tienen derechos constitucionales en EE.UU., por lo que una violación de su derecho a la intimidad no está cubierta por la 4ª Enmienda.
- FISA 702 tendrá que prorrogarse a finales de 2023, dado que existe una "cláusula de extinción" en la legislación estadounidense. Esta habría sido la oportunidad perfecta para mejorar la ley estadounidense, pero dado el nuevo acuerdo con la UE, habrá pocas razones para que Estados Unidos reforme la FISA 702.
En general, el nuevo "Marco Transatlántico de Privacidad de Datos" es una copia de Privacy Shield (de 2016), que a su vez era una copia de "Safe Harbor" (de 2000). Dado que este enfoque ya ha fracasado dos veces, no había base jurídica para el cambio de rumbo: la única lógica de llegar a un acuerdo era política.
Max Schrems, presidente de Noyb:"Dicen que la definición de locura es hacer lo mismo una y otra vez y esperar un resultado diferente. Al igual que el "Escudo de la privacidad", el último acuerdo no se basa en cambios materiales, sino en intereses políticos. Una vez más, la actual Comisión parece pensar que el lío será problema de la próxima Comisión. La FISA 702 debe ser prorrogada por EE.UU. este año, pero con el anuncio del nuevo acuerdo la UE ha perdido todo poder para conseguir una reforma de la FISA 702"
¿Me engañas tres veces? Ya a raíz de las revelaciones de Snowden en 2013, la Comisión Europea anunció que "reconstruiría" la confianza y"haría más seguro" el Safe Harbor y presentaría un"acuerdo paraguas". En 2016 se dijo a los periodistas que el "Escudo de Privacidad" significaría que "por primera vez, Estados Unidos ha dado garantías por escrito a la UE", que habría "limitaciones, salvaguardas y mecanismos de supervisión claros" e incluso "nada de vigilancia masiva indiscriminada". Ninguna de estas afirmaciones y sistemas ha demostrado ser estable cuando se ha presentado ante el TJUE. En la versión actual de los esfuerzos de relaciones públicas de la Comisión, se mantienen las mismas afirmaciones (siempre repetidas).
Max Schrems:"Ahora tenemos 'Puertos', 'Paraguas', 'Escudos' y 'Marcos', pero ningún cambio sustancial en la legislación estadounidense sobre vigilancia. Las declaraciones de prensa de hoy son casi una copia literal de las de hace 23 años. El mero anuncio de que algo es "nuevo", "sólido" o "eficaz" no basta ante el Tribunal de Justicia. Necesitaríamos cambios en la legislación estadounidense sobre vigilancia para que esto funcionara, y sencillamente no los tenemos."
La impugnación ante el TJUE está lista. Cualquier persona cuyos datos personales vayan a ser transferidos en virtud del nuevo acuerdo puede presentar un recurso ante las autoridades de protección de datos o los tribunales. noyb ha preparado varias opciones procesales para llevar el nuevo acuerdo ante el TJUE. Esperamos que el nuevo sistema sea aplicado por las primeras empresas en los próximos meses, lo que abrirá la vía a la impugnación por parte de una persona cuyos datos se transfieran en virtud del nuevo instrumento. No es improbable que una impugnación llegue al TJUE a finales de 2023 o principios de 2024. El TJUE tendría entonces incluso la opción de suspender el "Marco" durante el tiempo que dure el procedimiento. Una decisión final del TJUE sería probable para 2024 o 2025. Independientemente de que la impugnación prospere, esto aportará claridad al "Marco Transatlántico de Privacidad de Datos" dentro de unos dos años.
Max Schrems: "Tenemos varias opciones de impugnación ya en el cajón, aunque estamos hartos de este ping-pong jurídico. Actualmente esperamos que esto vuelva al Tribunal de Justicia a principios del año que viene. El Tribunal de Justicia podría incluso suspender el nuevo acuerdo mientras revisa su contenido. En aras de la seguridad jurídica y el Estado de Derecho, entonces sabremos si las pequeñas mejoras de la Comisión han sido suficientes o no. Durante los últimos 23 años, todos los acuerdos entre la UE y EE.UU. han sido declarados inválidos con carácter retroactivo, haciendo ilegales todas las transferencias de datos realizadas por las empresas en el pasado; parece que ahora vamos a añadir otros dos años de este ping-pong"
La Comisión Europea muestra poco interés por el Estado de Derecho y la privacidad de los ciudadanos. Este tercer intento de aprobar en gran medida la misma decisión ilegal también plantea interrogantes sobre el papel más amplio de la Comisión Europea como guardiana de los tratados de la UE. En lugar de defender el "Estado de derecho", la Comisión se limita a aprobar una decisión inválida una y otra vez, a pesar de las claras sentencias del TJUE. A pesar de la gran indignación tras las revelaciones de Snowden en la UE y de los repetidos llamamientos del Parlamento Europeo a tomar medidas, la Comisión parece dar prioridad a las relaciones diplomáticas con Estados Unidos y a la presión empresarial a ambos lados del Atlántico sobre los derechos de los europeos y los requisitos de la legislación de la UE.
Max Schrems:"Se supone que la Comisión es la 'guardiana de los tratados' y la defensora del 'Estado de Derecho'. Le encanta ese papel cuando se trata de que los Estados miembros violen la legislación de la UE. Ahora la propia Comisión simplemente ignora al Tribunal de Justicia por tercera vez"