A finales del siglo XIX se acuñó el término Far West para definir el periodo histórico en el que Estados Unidos expandía sus fronteras hacia el océano Pacífico, que por entonces era un territorio inhóspito y deshabitado, con el objetivo de buscar nuevas oportunidades. Aquel era un territorio lejano en el que solo se adentraban intrépidos y emprendedores ávidos de progreso y éxito. Más o menos lo mismo que pasa hoy con las empresas asentadas en Europa que, por diversos motivos - generalmente porque cuentan con herramientas tecnológicas desarrolladas por empresas estadounidenses - transfieren datos desde el Espacio Económico Europeo (EEE) hacia el oeste de nuestras fronteras, lo que podríamos llamar “el nuevo Far West de los datos”.
Como es de sobra conocido, para que una empresa que trata datos de residentes en Europa pueda transferir esos datos a empresas fuera del EEE, bien comunicándolos activamente o bien permitiendo el acceso en remoto, es necesario garantizar que el nivel de protección de los datos personales en el país de destino es al menos igual de garantista que el exigido por nuestro Reglamento General de Protección de Datos. Las garantías sobre este nivel de protección pueden alcanzarse a través de varios mecanismos o instrumentos jurídicos, siendo el primero de ellos, la existencia de una decisión de adecuación aprobada por la Comisión Europea, que es una suerte de declaración por la que la Comisión acepta que un determinado país, territorio u organización cuenta con una regulación en materia de protección de datos que garantiza que los datos de los europeos no se verán menoscabados aunque sean tratados fuera del territorio europeo.
Pues bien, las transferencias internacionales de datos a Estados Unidos han estado tradicionalmente amparadas por una decisión de la Comisión que consistía, no tanto en declarar adecuado el nivel de protección en todo Estados Unidos, sino en acuerdos entre Europa y EE.UU. Mediante estos acuerdos se establecía un mecanismo de autocertificación, controlado por el Departamento de Comercio de Estados Unidos, por el que se regulaban determinadas obligaciones mínimas en materia de protección de datos que fueran acordes a la legislación europea, que las empresas estadounidenses voluntariamente optaban por cumplir, de forma que existía una presunción de que aquellas empresas adscritas a estos esquemas, daban debido cumplimiento a los datos personales con un nivel similar de protección al de Europa.
Esos mecanismos, llamados Safe Harbour y Privacy Shield han sido cancelados en sendas ocasiones por el Tribunal de Justicia de la Unión Europea, en lo que se han bautizado como sentencias “Schrems I” y “Scherms II”, por entender que el nivel de adecuación que se había aceptado, en la práctica no era tal, y el derecho de los europeos a la protección de datos se veía menoscabado. Estas sentencias dejaron a las empresas europeas igual de desamparadas que si estuvieran en el Far West hace un par de siglos.
Por supuesto existe vida más allá de las decisiones de adecuación, y las transferencias internacionales de datos a Estados Unidos pueden seguir realizándose, pero con un trabajo ímprobo por parte de los exportadores de datos, que los importadores no siempre entienden. Se debe analizar, caso por caso, la existencia de garantías adicionales para los tratamientos concretos que quieran realizarse desde Estados Unidos, suponiendo esto una carga burocrática excesiva para la gran mayoría de las empresas que no tienen ni tiempo ni recursos para hacer este estudio, lastrando con ello la seguridad jurídica y aumentando el miedo a posibles sanciones por parte de las autoridades de control.
Ante este panorama EE.UU. y Europa han impulsado un nuevo marco que ampare estas transferencias y llegaron a un acuerdo en marzo del pasado año que derivó en la aprobación, en octubre del mismo año, de la Orden Ejecutiva 14086 que supone la introducción de algunos cambios en la normativa y operativa estadounidense para acercarse al paradigma europeo. A la vista de dichos cambios, en diciembre de 2022 la Comisión dictó un borrador de Decisión de Adecuación que muchos pensaban que sería definitivamente aprobado esta primavera. Sin embargo, este borrador ha sido analizado tanto por el Comité Europeo de Protección de Datos (EDPB), como por la Comisión de Libertades Civiles, Justicia y Asuntos del Interior del Parlamento Europeo (LIBE) que han emitido sus resoluciones desaconsejando a la Comisión la aprobación de la Decisión. Estas decisiones no son vinculantes, así que seguimos a la espera de conocer la decisión final de la Comisión.
Por el momento, el anunciado marco regulador de las transferencias internacionales de datos a Estados Unidos empieza a recordarnos un poco al baile de la polka: izquierda izquierda, derecha derecha, delante detrás, un dos tres. Mucho movimiento para quedarnos en el mismo sitio: el Far West.