Vamos a abordar en este artículo la problemática de la transferencia de datos personales entre la Unión Europa y EEUU desde la posición del ciudadano medio que quiere defender sus derechos.
La Comisión Europea en comunicación de 27 de noviembre de 2013, dejó sentado que "las transferencias de datos personales son un elemento importante y necesario de la relación transatlántica. Forman parte integrante de los intercambios comerciales entre ambos lados del Atlántico, incluidos los relacionados con los nuevos sectores digitales en crecimiento, tales como las redes sociales o la computación en nube, que implican la transferencia de grandes cantidades de datos de la UE a Estados Unidos".
Han aparecido empresas, filiales, sucursales, franquicias, etc., que operan en España para comercializar la publicidad pero al servicio de una empresa principal prestadora del servicio que se encuentra en EE.UU. Pongamos como ejemplo el caso de "GOOGLE ESPAÑA" cuando recibió las primeras peticiones de ciudadanos reclamando su "derecho al olvido". Otras redes sociales como, por ejemplo "FACEBOOK", tienen auténticas empresas o delegaciones en algunos países de la UE, pero la situación física del dato, es decir, el ordenador que lo almacena, se encuentra en EEUU.
Por si fuera poco, cada vez resulta más frecuente, el caso de, por ejemplo, un trabajador español en Irlanda que, al retornar a España, conserva las cuentas de correos y perfiles sociales que creó en aquel país, pero que ahora maneja desde España.
La base jurídica que permitía la transferencia de datos personales desde la Unión Europea a empresas radicadas en Estados Unidos fueron dos normas concretas: la Decisión 2000/520/CE de la Comisión y la Directiva 95/46/CE sobre la Protección de la Vida Privada y los "Principios de Puerto Seguro".
En concreto, la Decisión 2000/520 autoriza la transferencia de datos a empresas radicadas en Estados Unidos que se comprometan a respetar los principios de puerto seguro. No existe una autorización general de transferencia de datos a EE.UU, sino solamente a favor de aquellas empresas que cumplan los requisitos "puerto seguro", que acepten un "código de conducta", con una autocertificación y autoevaluación, sometidas a una intervención o supervisión del poder público que finaliza en una "certificación" de presunción de "adecuación", lo que no implica en modo alguno una garantía del cumplimiento de los requisitos sino un "nivel adecuado de protección".
La legislación europea y la estadounidense han sufrido una profunda divergencia no solo en el establecimiento de los criterios para proteger los datos personales y la llamada "inteligencia de señales" (captación de cualquier señal que contenga un dato y su posterior uso) sino también y, sobre todo, en la forma de ejecutar esa protección de datos.
El concepto "nivel adecuado" de protección de los datos personales surge de un conjunto de pautas que incluye (aunque no exclusivamente) normas profesionales, medidas de seguridad de las empresas, el marco legislativo de cada nación y, además, la ejecución real de esa legislación, contando además con las eventuales desviaciones que puedan detectarse, incluidas aquellas imprevistas causadas o derivadas de motivos políticos, acuerdos internacionales, etc., y sin hacer distinciones entre la legislación civil, policial y militar, pues estos campos no son precisamente claros, ni estancos, ni se encuentran definidos de igual forma a ambos lados de Atlántico.
Asimismo, dentro del "nivel adecuado de protección" debe tenerse en cuenta que existe una diferencia de trato entre un nacional o un extranjero, y entre el extranjero residente o no residente en un país, pues la protección que eventualmente pueda otorgarse (según la legislación y la práctica) es muy variopinta; puede suceder que un ciudadano defienda sus derechos en suelo extranjero sin todas las garantías que se concede a los residentes en ese país o a sus nacionales, pues no siempre son las mismas.
Para definir "nivel adecuado" existe una capacidad de control o supervisión de carácter general, en el artículo 3, apartado 1, de la Decisión 2000/520, que reserva esta función a las autoridades competentes de los Estados miembros. Se contempla la posibilidad de suspender, con carácter particular o general, los flujos de datos.
Para dificultar el escenario, todos conocemos, por revelaciones bien acreditadas, la existencia de espionajes masivos por parte de la NSA, que incluyen conversaciones telefónicas de jefes de estado o presidentes de gobierno, y el acceso total y masivo a ordenadores de redes sociales. Este hecho plantea la cuestión de sí el ciudadano debe acreditar necesariamente la vulneración de su derecho, o servirá como prueba alguna noticia periodística bien documentada referente a uno o varios informes, más o menos fiables, más o menos accesibles.
Para obstaculizar aún más el problema, tenemos dos entes (U.E. y EE.UU.) cada uno con su propia legislación general que, además, están compuestos de varios Estados (países en la U.E. y los estados de EE.UU.), cada uno también con su legislación, varias jurisdicciones que no son exactamente iguales en cada lugar (civil, penal, policial, militar), y una diversidad de operadores (autoridades, agencias, estados, servicios secretos, empresas privadas mercantiles, etc.), con diferentes capacidades de investigación, publicidad y las posibilidades de oponerse o autoblindarse, por parte de estas empresas, frente a la acción oficial de las agencias de EE.UU., y la actividad encubierta, no pública, o vetada al acceso de otros estados y otras autoridades judiciales.
Y, por si fuera poco, se cambian los elementos de juicio, ya no es necesaria la prueba plena, ni la indiciaria, ni tampoco la presunción, con las que sabemos trabajar, se incluye el concepto de "constatación", algo más que la presunción, pero menos que la prueba, y de muy difícil definición.
La inteligencia de señales es un medio adecuado de investigación, que debe soportarse para la prevención de delitos graves, pero parece que se han producido excesos, no debidamente controlados por la "FOREIGN INTELLIGENCE SURVEILLANCE COURT", lo que en ultima instancia representa la recepción por parte de un país de las resoluciones "judiciales" de un estado extranjero, EE.UU., porque, no nos equivoquemos, la "FOREIGN INTELLIGENCE SURVEILLANCE COURT" no es un tribunal, según el criterio europeo, en el mejor de los casos, tiene algunos elementos de un tribunal de justicia, pero suele (por no decir siempre) actuar "inaudita parte"…
Y, después de todo este galimatías, se nos ha olvidado hacer la pregunta sencilla y esencial: ¿Permitimos que unos padres residentes en un país en guerra adopten a un niño? NO. Y esto, independientemente, de que haya o no una ley que dé cobertura a esa adopción, que esos padres sean adecuados o no, simplemente, viven en un sitio peligroso al que no vamos a enviar a un niño.
¿Por qué tenemos que permitir que salga de la U.E. un dato, para que una empresa extranjera realice un negocio que, cuando menos, debería estar bajo sospecha?
¿Cuál es el coste de los ordenadores y de personal necesarios para mantener una red social?
¿Cuáles son los ingresos corrientes, procedentes de publicidad y similares, de esa empresa?
Si ese saldo es negativo para la empresa ¿con qué ingresos se cubre la diferencia?
La sospecha de la venta de datos o de ser un "contratista" de un estado extranjero, que ha instalado un embudo de captación de datos, son tal vez algo más que una teoría de la conspiración y se puede acercar peligrosamente al concepto de "constatación".
Con todo ello:
¿Por qué la UE permite la salida de material sensible o de doble uso a un país militarizado o, en una situación de alerta, como se encuentra EE.UU. en la actualidad?
La conclusión es que, muy probablemente, la combinación de los artículos 25 y 28 de la Directiva 95/46/CE, junto con los artículos 7 y 8 de la Carta de los Derechos Fundamentales de la Unión Europea, permita que cualquier autoridad de control nacional investigue el tratamiento de los datos que son remitidos a EE.UU. y actuar en consecuencia. Del mismo modo que se concedió la capacidad "certificante", se otorgó la posibilidad de retirar la calificación, con carácter territorial la calificación de "puerto seguro", a los datos remitidos a EEUU, con independencia de la actuación, comportamiento y garantías que faciliten las empresas pues, la actuación del estado donde radican, sus agencias, y la situación de "alerta" o de "guerra asimétrica", les impiden a esas empresas ofrecer las garantías que la UE ha regulado y que son necesarias para permitir la salida de esos datos.
Con independencia de lo que ocurra, leyendo las normas parece que la única solución es levantar el "Muro del Atlántico", aunque todos sabemos que la legalidad siempre es una aspiración y la ponderación de los factores políticos y económicos, un agujero negro que desvía el recto uso de la ley,… ¡Con perdón de la luz, pues el agujero negro tuerce su trayecto y la engulle el rayo luminoso!
Pero todos sabemos que las teorías de la conspiración son novelas de ciencia-ficción y, en países modernos y democráticos, estas cosas no pasan.
