(2016-02-03) Protección de Datos: la gran batalla por el "petróleo del siglo XXI"
La UE renueva su marco legal para proteger la privacidad de los usuarios, mientras busca 'in extremis' un acuerdo con EEUU para que las tecnológicas americanas puedan utilizarlos. Las agencias de protección de datos europeas deciden hoy si empiezan a aplicar sanciones.
Desde las 00:01 horas de la noche del lunes, las agencias de protección de datos (APD) de la Unión Europea consideran abierta la veda para imponer multas a las empresas que transfieran a Estados Unidos los datos personales de sus clientes europeos basándose en el protocolo de Puerto Seguro. Esa es la fecha límite que las APD dieron a ambos Ejecutivos después de que el Tribunal de Justicia de la Unión Europea (TJUE) anulase en octubre de 2015 la decisión de la Comisión Europea que consideraba que EEUU es un lugar seguro al que enviar los datos privados de los clientes.
La sentencia generó un terremoto en el sector de las grandes empresas de la economía digital, especialmente en compañías como Facebook, Google o Twitter, que basan buena parte de su modelo de negocio en la gestión y explotación de la información que obtienen de sus usuarios. Estas empresas veían cómo, de un día para otro, desaparecía la base legal por la que enviaban esos datos a sus servidores en EEUU, donde era procesada y analizada.
En la Comisión Europea se apresuraron entonces a asegurar que las empresas afectadas podrían seguir transfiriendo datos mediante otras vías. Aquí incluyeron el uso de nuevos modelos de contrato o la revisión de los términos y condiciones de los actuales, pero todas las alternativas son mucho menos eficientes que las anteriores y, en la práctica, pueden encontrarse con el mismo problema legal con el que chocó el marco de Puerto Seguro: que el TJUE cree que la normativa estadounidense de protección de datos personales deja desprotegidos a los usuarios frente a intromisiones ilegítimas de la administración estadounidense.
Desde el mismo día de la sentencia, la Comisión Europea y el Gobierno de EEUU pusieron en marcha el engranaje de las negociaciones para acordar un nuevo marco legal que pueda ser aceptable para el criterio del TJUE. El problema es que para que esto ocurra, la legislación estadounidense debe endurecerse notablemente. La sentencia del 6 de octubre pasado aseguraba que el régimen anterior posibilitaba "injerencias por parte de las autoridades públicas estadounidenses en los derechos fundamentales de las personas" y dejaba a los ciudadanos europeos sin "tutela judicial efectiva" ante posibles abusos en el uso o acceso a su información.
Las negociaciones no han cesado desde entonces, incluido un último sprint este fin de semana y durante el día de ayer, pero al cierre de esta edición, ni la Comisión Europea ni el Gobierno de EEUU habían anunciado ningún tipo de acuerdo.
¿Y ahora qué?
Hoy se reunirán las agencias de protección de datos de la UE y decidirán qué pasos tomar: si alargar la tregua que ofrecieron el pasado mes de octubre y esperar un poco más antes de poner multas o empezar a sancionar a aquellas empresas que sigan transfiriendo datos amparándose en el marco legal de Puerto Seguro.
Según la normativa europea actual, cada agencia de protección de datos fija la cuantía de sus sanciones, que en el caso español pueden ascender a 601.012,1 euros.
Tras el acuerdo político al que llegaron el Parlamento Europeo y el Consejo de la UE el pasado mes de diciembre, todo esto va a cambiar. Aunque aún falta la adopción formal por parte de ambas instituciones, una vez que los dosieres llegan a esta fase del proceso legislativo no suelen modificarse.
La nueva normativa supone una de cal y otra de arena para las empresas. Por un lado, habrá un endurecimiento de las sanciones para aquellas empresas que vulneren la normativa europea -con multas de hasta el 4%de la facturación global-, que tendrán que ofrecer a los usuarios el derecho de borrar sus datos o llevárselos a otro proveedor y, en el caso de las grandes, contratar a un responsable de protección de datos. Pero por el otro, se facilitan ciertos trámites administrativos, además de la uniformidad legal -un solo reglamento para los 28 países- las empresas dispondrán de una ventanilla única de facto: una vez que se obtiene la autorización en un país esta vale también para el resto.