Europa contra Facebook: ¿adiós al acuerdo EEUU-UE de transferencia de datos?

"Estoy horrorizada. Vengo de un país que era comunista y recuerdo similitudes. No estoy en Facebook, pero si lo estuviera, estaría muy nerviosa". La comisaria europea de Justicia, Vera Jourová, no se anda con rodeos respecto al escándalo de las filtraciones de los datos de 50 millones de usuarios de Facebook que fueron utilizados con fines políticos.

La política checa, que cerró su perfil en Facebook para participar en los discursos de "odio" que se difunden las redes sociales, no ha ocultado su espanto por las consecuencias democráticas que tiene esta filtración. "Esto no tiene precedente y va más allá de lo que se permite en la UE", recalca la comisaria. Es cierto que en la Unión Europea, la protección de datos está considerada como un derecho, pero: ¿Cuáles son las potenciales consecuencias legales de la filtración? ¿Está en riesgo el 'Escudo de privacidad' que regula la transferencia de datos personales entre la UE y EEUU?

TE PUEDE INTERESAR

WhatsApp e Instagram no se libran: así envían tus datos a Facebook para espiarte

Guillermo Cid

“Este caso posiblemente represente una violación bastante atroz” de los principios que sustentan el 'Escudo de privacidad', explica a El Confidencial el analista de Bruegel J.Scott Marcus. Facebook es una de las empresas que participan dentro de este marco, que se basa en buena medida en la confianza en que las empresas actuarán de buena fe. Éstas se "auto-certifican" ante el Departamento de Comercio, que es el encargada de vigilar que respetan los estrictos estándares europeos de protección de datos. Ahora, la Comisión Federal de Comercio tiene que investigar la filtración.

Pero, ¿qué es el 'Escudo de Privacidad'? Cada vez que usted compra un billete de avión, un juguete en Amazon o pide un Uber, facilita a las empresas una serie de datos personales que pueden acabar al otro lado del Atlántico, si por ejemplo la empresa es una sucursal o un socio comercial de una sociedad norteamericana. La UE, a través del escudo de privacidad, exige que estos datos sean procesados con arreglo a un conjunto de normas y salvaguardias europeas en materia de protección de datos. Para recibir datos europeos, las empresas americanas tienen que afiliarse a ese sistema en el Departamento de Comercio de EEUU y cumplir con las obligaciones marcadas.

El escándalo estalló poco antes de que Jourová cogiera un vuelo con destino a Washington, donde se ha reunido con el secretario de Comercio de EEUU, Wilbur Ross, el fiscal general Jeff Sessions y representantes de las autoridades de protección de datos. El mensaje de la UE es claro: esto es muy serio y esperan que actúen en consecuencia.

"Facebook se comprometió a informar a los usuarios sobre 'los tipos de datos personales recopilados', 'los fines para los que recopila y usa información personal sobre ellos', 'el tipo o identidad de terceros a los que revela información personal' y 'los fines para los que lo hace'", recalca el experto.

La filtración a Cambridge Analytica, utilizada con fines políticos, incumple estos requisitos. Y, aunque se produjo en 2014, dos años antes de la entrada en vigor del 'Escudo de privacidad', pone en cuestión el celo de Facebook (y, potencialmente, otras empresas) a la hora de cumplir con sus exigencias.

Si la Comisión Federal de Comercio reacciona y penaliza a Facebook, la UE lo considerará como una muestra de que el sistema funciona

Todos los ojos están puestos ahora en Washington. Si la Comisión Federal de Comercio reacciona, mantiene a Bruselas informada y, llegado el caso, penaliza a Facebook, la Unión Europea lo considerará como una muestra de que el sistema funciona. "El fallo de una compañía no significa que el sistema sea incorrecto", recalca Jourová. No obstante, el veredicto "puede llevar meses, o más de un año, no será para la próxima semana", explica la comisaria.

En paralelo, las autoridades de protección de datos del Reino Unido (ICO), país donde se procesaron los datos de los usuarios afectados que se encuentran en la UE, investigarán lo sucedido. Y han pactado con sus socios comunitarios que les mantendrán al tanto. "Apoyamos completamente su investigación. Los miembros del Grupo de Trabajo del Artículo 29 trabajaremos juntos en este proceso", asegura Andrea Jelinek, la presidenta de este grupo, que reúne a las autoridades nacionales de protección de datos de cada Estado miembro.

En la reunión que mantuvieron esta semana en Bruselas, se constató que era “demasiado pronto” como para establecer un vínculo directo entre el escándalo y el 'Escudo de privacidad', explican fuentes cercanas al encuentro. Esperarán a ver los resultados de la investigación británica, para coordinarse entre ellos. Pero no se descarta aún que pueda tener repercusiones. Y no sería la primera vez.

Su predecesor, el acuerdo conocido como “Puerto Seguro”, fue tumbado por el Tribunal de Justicia de la Unión Europea en 2015 tras la larga batalla legal contra Facebook que emprendió un estudiante austríaco de Derecho, Max Schrems. La justicia europea dio la razón a Schrems: EEUU no garantizaba una protección adecuada de los datos personales de los europeos que eran transferidos a su territorio. Schrems actuó tras las revelaciones realizadas por el exagente de la CIA Edward Snowden sobre los métodos de espionaje aplicados en EEUU. Y no descarta volver a actuar.

La revelación sobre Cambridge Analytica abre la puerta a que los afectados por la filtración y manipulación de los datos acudan también a la justicia. Algo que supondría abrir la caja de Pandora, con consecuencias difíciles de prever. Ni a EEUU, ni a la UE, ni a las compañías que operan entre ambos bloques les interesa tumbar el 'Escudo de privacidad', por lo que éste solo se agrietará si las investigaciones hacen salir a la luz más infracciones que afecten a personas que vivan en la Unión.

Si finalmente se consigue capear el temporal, Jourová confía en que el próximo endurecimiento de las normas de privacidad en la UE ayude a disuadir a las empresas de hacer un mal uso de los datos. El 25 de mayo entra en vigor Reglamento general de protección de datos, que impondrá un único conjunto de normas a todas las empresas que operan en la Unión Europea, con independencia de dónde tengan su sede, también si es al otro lado del Atlántico.

El reglamento no solo armoniza y endurece la protección, sino que también incluye sanciones que pueden llegar hasta el 4% de la facturación anual global o un máximo de 20 millones de euros. Pero antes tendrá que lograr que los países se pongan la pilas, ya que solo Alemania y Austria estarán preparados para aplicar las nuevas normas en mayo. Y si las capitales no reaccionan, poco puede hacer Bruselas.