¿Habemus Privacy Shield?

Tal y como se especulaba, el plazo que fijó el Grupo de Trabajo del Artículo 29 (GT29), a través de su Declaración de fecha 16 de octubre de 2015, no se cumplió.

Recordemos que, en dicha Declaración, el GT29 anunció (con mayor o menor claridad) que si para finales de enero de 2016, los Estados Miembros y las instituciones europeas no llegaban a una solución adecuada con los Estados Unidos de América (EEUU), para “sustituir” el marco de Safe Harbor que había sido anulado por el Tribunal de Justicia de la Unión Europea (asunto C-362-14), las autoridades nacionales de protección de datos de la Unión Europea (UE) adoptarían “todas las acciones necesarias y apropiadas”, y que estas podrían incluir acciones coordinadas de aplicación/ejecución (de la normativa).

Al buen entendedor, pocas palabras… O no, porque mucho se especuló sobre la naturaleza de las acciones coordinadas a que se refirió el GT29 en esta sonada declaración, sin que la generalidad llegásemos a una conclusión definitiva sobre qué pasaría si el plazo se cumplía y nos hallábamos sin un “Safe Harbor 2.0”.

El día llegó y, como todos sabemos, sobre la mesa no había ningún Safe Harbor 2.0.

Lo que a continuación sucedió (al menos, hasta el pasado 3 de febrero), es el motivo de la pregunta que encabeza estas reflexiones:

El 1 de febrero, Věra Jourová compareció ante la Comisión de Libertades Civiles, Justicia y Asuntos del Interior del Parlamento Europeo (LIBE), para informar a los parlamentarios sobre el avance de las conversaciones con EEUU, en relación con un “nuevo marco para los flujos trasatlánticos de datos”. En el mismo acto, Jourová informó que al día siguiente (2 de febrero), “el Colegio discutiría el estado actual de las negociaciones con los EEUU”.

Se nos recordó que una decisión relativa a la protección adecuada de los datos personales por parte de un país tercero (“adequacy decision” o decisión de adecuación) es un acto unilateral, y que para alcanzarlo (en este caso) es necesario contar con compromisos importantes por parte de los EEUU.

En este contexto y a mi juicio, las siguientes palabras de Věra Jourová merecen ser citadas de forma literal (la traducción es nuestra):

“Hemos subrayado a nuestros socios estadounidenses que cualquier nueva decisión de adecuación debe ser capaz de resistir una nueva acción legal. Esto es importante para el nivel de protección de los derechos fundamentales, pero también para garantizar seguridad jurídica a las empresas.

“Las negociaciones están todavía en curso, incluso en el plano político. Ha habido debates muy intensos este fin de semana. El Colegio discutirá el asunto mañana, así que no estoy todavía en condiciones de entrar en detalles.”

Hasta este punto, parecía claro que no había mucho más que informar, pues los puntos clave que la Comisaria Jourová resumió al LIBE ya eran más o menos por todos conocidos; pero en medio de su discurso, algo salió a relucir:

“[…] necesitamos compromisos por parte de los EEUU que sean formales y vinculantes. Como esto no será un acuerdo internacional, sino un intercambio de cartas, necesitamos firmas al más alto nivel político y la publicación de los compromisos en el Registro Federal.”

Importante precisión ésta que resaltamos, pues Věra Jourová estaba informando al LIBE que el nuevo Safe Harbor (recordad que aún no sabíamos que lo nuevo se llamaría “escudo”) se conformaría (una vez más) a partir del intercambio de cartas, y a saber qué otras comunicaciones; es decir, algo similar a la conformación de la Decisión 2000/520/CE, que contaba con un total de 7 anexos, conformados por cartas, principios, aclaraciones y preguntas más frecuentes (FAQs).

La Comisaria se despidió del LIBE con estas palabras:

“Voy a hablar con la secretaria de Comercio Penny Pritzker esta tarde, para discutir los temas que quedan pendientes.

“Estamos cerca, pero se necesita un esfuerzo adicional.

“Cuento con su apoyo para la conclusión de las negociaciones con los EEUU, tan pronto como sea posible.

“Y os puedo asegurar que la Comisión les informará completamente sobre los próximos pasos.

No tardó mucho Věra Jourová en informar algo (aunque no al LIBE), pues al día siguiente sonaron las trompetas debido a que “Privacy Shield” había nacido.

Bueno… nacer, nacer, lo que se dice nacer, NO; pero a través de un Comunicado de Prensa inmediatamente disponible en varios idiomas, se nos informó cómo habría de llamarse el nuevo acuerdo para la transferencia de datos personales entre la UE y los EEUU, y se trasladaron algunos de sus elementos:

Obligaciones rigurosas para las empresas que trabajan con los datos personales de los europeos y estricta aplicación.
Salvaguardias y obligaciones en materia de transparencia claras para el acceso de la administración estadounidense.
Protección eficaz de los derechos de los ciudadanos de la UE con varias posibilidades de recurso.

A más inri, en el Comunicado de referencia se indica:

“El nuevo mecanismo impondrá obligaciones más estrictas a las empresas de los Estados Unidos por lo que se refiere a la protección de los datos personales de los europeos y obligará a un mayor nivel de seguimiento y de ejecución al Departamento de Comercio de los Estados Unidos y a la Comisión Federal de Comercio (FTC), incluso mediante una mayor cooperación con las autoridades europeas de protección de datos. El nuevo mecanismo incluye compromisos asumidos por los Estados Unidos que garantizan que las posibilidades de acceso, contempladas por la legislación estadounidense, de las autoridades nacionales a los datos personales transferidos en virtud de este mecanismo estarán sujetas a unas limitaciones, condiciones y supervisión claras que impidan el acceso generalizado.”

Además, se nos hizo saber que a partir del nuevo acuerdo/mecanismo, existirá un Defensor del Pueblo específico (Ombudsperson, en la versión en inglés).

Y tras estas pinceladas, se aclararon los próximos pasos: “El Colegio ha encargado hoy al vicepresidente Ansip y a la Comisaria Jourová que preparen un proyecto de «decisión sobre el carácter adecuado de la protección» en las próximas semanas, que pueda ser adoptada por el Colegio, previo dictamen del Grupo de Trabajo del artículo 29 y previa consulta de un comité compuesto por representantes de los Estados miembros. Mientras tanto, del lado estadounidense se realizarán los preparativos necesarios para establecer el nuevo marco y las modalidades de seguimiento y nombrar al nuevo Defensor del Pueblo.”

En caso de que os interese conocer la forma en que en el otro lado del Atlántico anunciaron “el acuerdo” alcanzado entre la UE y los EEUU, pueden ver el texto y vídeo de la declaración que la Secretaria de Comercio, Penny Pritzker, efectúo el mismo día 2 de febrero, aquí.

Entonces… ¿Habemus Privacy Shield?

La respuesta clara es que no; y que tras el vencimiento del plazo al que nos hemos referido al inicio de estas líneas, lo que hemos presenciado es un movimiento para comprar tiempo frente a las autoridades de protección de datos de los 28 Estados miembros, tanto en lo individual como en lo colectivo (GT29), pues nos han dejado claro que ni siquiera existe un borrador de la “adequacy decision”, y que el mecanismo de adopción al que estaría sujeta dicha decisión aún no se ha puesto en marcha en realidad.

Y no olvidemos una cosa: a falta de adopción y entrada en vigor del nuevo Reglamento General de Protección de Datos, la decisión que debiera dar verdadero paso al “Privacy Shield”, deberá ser tramitada conforme a lo dispuesto por el artículo 25.6 de la (aún vigente) Directiva 95/46/CE.

Como acto tercero de este resumen, y que en nuestra opinión pone los puntos sobre las íes al estado actual de las cosas, no podemos dejar de mencionar las palabras que Isabelle Falque-Pierrotin dirigió a los periodistas, como presidente en turno del GT29 (nuevamente, la traducción es nuestra):

“No podemos simplemente aceptar palabras.”

“Es difícil arribar a una conclusión cuando estás frente a la voluntad política, pero no a documentos reales.”

“El formato legal del acuerdo todavía no está claro para nosotros [el GT29]”

Y así llegó el 4 de febrero, día en que el GT29 emitió su propia declaración, en la que clarifica que no será sino hasta el momento en que conozca todos los documentos relativos al nuevo acuerdo, que podrá efectuar una evaluación completa de todas las transferencias hacia los EEUU. En la misma declaración, urge a la Comisión Europea para que facilite dichos documentos a más tardar a finales de este mes de febrero (un nuevo plazo), y aclara que mientras todo siga igual (como es en realidad el caso), responsables y encargados deberán seguir echando mano de las Reglas Corporativas Vinculantes o de las Cláusulas Contractuales Tipo, si desean efectuar transferencias de datos hacia los EEUU.

Visto todo lo anterior, nos parece que (con diplomacia de por medio) la presidente del GT29 ha dicho claramente, a quien quiera escucharla: No nos han aportado nada, salvo una declaración de buenas intenciones… que es lo que, a día de hoy, 5 de febrero de 2016, viene a ser el novísimo “Privacy Shield”.

Otrosí:

El 3 de febrero, el Departamento de Comercio de los EEUU (@CommerceGov) coordinó a través de Twitter una sesión de preguntas y respuestas sobre #PrivacyShield. En dicha sesión, Carlo Piltz (@CarloPiltz) preguntó: