Desde que el pasado mes de octubre el Tribunal de Luxemburgo invalidara la normativa sobre intercambio de datos entre los dos gigantes, las empresas se encuentran en un estado de “incertidumbre jurídica” en sus operaciones. Un nuevo acuerdo está en la mesa de negociación, aunque son muchas las divergencias que impiden el entendimiento.

Sin duda, el big data se ha convertido en el nuevo valor añadido para las empresas. El manejo de información y de datos es una constante en el mundo globalizado y por eso es tan importante dejar claras las reglas del juego.

Hasta octubre de 2015 existía una estructura estable para la exportación e importación de estos datos –el anterior sistema Safe Harbour-, pero tras la decisión del Tribunal Superior de Justicia Europeo de suspender dicho mecanismo, las compañías llevan más de seis meses en un auténtico “limbo legal”, según expusieron en el foro organizado por la Cámara de Comercio Americana.

“Ha sido un auténtico tsunami, de la noche a la mañana se invalidó toda la base jurídica y esto ha creado mucha incertidumbre en las empresas”, explicaba Paloma Bru,  responsable del departamento de Privacidad y Ciberseguridad en la estadounidense Jones Day.

“Necesitamos estabilidad para reunir los recursos con los que cumplir las exigencias que nos marque el legislador. Las empresas queremos trabajar en torno a esos datos pero sin que los individuos renuncien a su privacidad”, añadía Alfonso González, director de Asuntos Regulatorios y Comunicación externa en IBM España.

Tras siete meses de espera, ya existe un borrador para el nuevo marco jurídico que regulará esta actividad, el denominado Private Shield. Sin embargo, aunque el objetivo es firmar en junio y que entre en vigor a partir de septiembre, son pocos los que confían en el éxito de las negociaciones a corto plazo debido a su “complejidad”.

“Llevamos en conversaciones con los americanos desde octubre y es una tarea muy compleja. Tenemos que hacer que comprendan nuestras exigencias en materia de privacidad no como una excentricidad, sino como un rasgo identitario. Queremos que nuestros datos en Estados Unidos estén sometidos a nuestra legislación, pero tenemos que estar abiertos a converger”, señalaba Francisco Fonseca, director general adjunto de Justicia y Consumidores de la Unión Europea.

Precisamente, son esas convergencias las que están ocasionando los mayores quebraderos de cabeza. La protección de datos en la UE está reconocida como un derecho fundamental de primera generación. Por el contrario, en Estados Unidos el derecho constitucional permite la recolección masiva de datos bajo ciertas premisas relativas a la seguridad nacional.

“Hemos conseguido responder de manera razonable a las exigencias del Tribunal de Luxemburgo. Evidentemente hemos tenido que aceptar restricciones a los derechos fundamentales de seguridad y privacidad, pero siempre por la vía legislativa y en el interés general de la sociedad, no de manera unilateral. Logramos el compromiso de los americanos por escrito, con la carta del secretario general John Kerry, algo inédito en la historia. Aun así, seguimos en conversaciones permanentes para responder a las peticiones de los europeos”, añadía.

Los flecos sueltos del acuerdo

¿A qué se refiere el responsable europeo con “peticiones”? En concreto hace referencia a las exigencias del Grupo Europeo de Protección de Datos del Artículo 29, un órgano consultivo formado por las autoridades de la Agencia de Protección de Datos en cada uno de los países miembros, por el Supervisor Europeo de Protección de Datos y por la Comisión Europea.

Este grupo ha hecho presión para que las condiciones del acuerdo se ajusten lo máximo posible a la legislación europea y garanticen efectivamente la privacidad de los ciudadanos.

“El formato ya es de por sí complicado, con una mezcla de las obligaciones, principios e interrogantes que dificulta su comprensión. Otro de los grandes problemas es la falta de claridad en algunos conceptos clave como el de acceso o el de individuo europeo. Tampoco se aseguran todas las garantías en el ámbito comercial; como el límite en la conservación de los datos”, señalaba Mar España, directora de la Agencia Española de Protección de datos.

Pero sin duda, la principal preocupación de este lobby se centra en dos cuestiones muy ligadas al ámbito de actuación del Gobierno estadounidense: la independencia de la figura del ombudsman (Defensor del Pueblo) y las excepciones a la aplicación de los principios del Private Shield en beneficio del interés general.

En el primer caso, el cargo de Defensor del Pueblo recaería en la figura de algún miembro del Departamento de Estado estadounidense, dependiente directamente de la secretaría de John Kerry. Esta persona será la encargada de atender las peticiones de los ciudadanos y supervisar el acceso y tratamiento de los datos en caso de que así se requiera.

“Es un gran paso que EEUU haya accedido a utilizar esta figura de garantía legal. Sin embargo, no estamos seguros de que vaya a ser completamente independiente, ya que jurídicamente a esta figura se le exige la independencia funcional y administrativa. Su acción tampoco es completamente libre, ya que debe rendir cuentas al inspector general y no tiene acceso directo a todos los datos”, añadía.

Por su parte, el secretario europeo Francisco Fonseca opina que “es un gran logro” que el derecho americano haya incorporado esta figura y que ahora los ciudadanos europeos podrán acudir directamente a alguien ante cualquier sospecha de “espionaje” al otro lado del charco.

Respecto a las excepciones en la aplicación de los principios, el grupo del Art. 29 exige unas garantías más claras sobre “en qué circunstancias, sobre qué datos y bajo qué condiciones” se producirían estas filtraciones de datos en beneficio del interés general.

“Los servicios de inteligencia de Estados Unidos no determinan en qué supuestos se producirían estas actuaciones, lo que puede derivar en una vigilancia masiva y arbitraria. El borrador sólo recoge que la recolección de datos deberá ser `lo más ajustada posible y sólo bajo ciertas condiciones técnicas u operativas’, no se entiende con claridad. Los usos previsto son amplios y ambiguos y pueden dar problemas en la práctica”, reivindicaba Mar España durante su intervención.

Desde las instituciones europeas aseguran que el Private Shield está concebido como “un animal vivo” que evolucionará según las circunstancias al ser revisado anualmente por la Comisión, donde se podrá debatir su modificación y hasta su suspensión.