El abogado más odiado por las tecnológicas de EEUU: "Cometen ilegalidades con tu 'e-mail"

Meta amenaza con cerrar Facebook, Instagram y WhatsApp en Europa. Seguro que le suena aquel titular, que hace unas semanas dio la vuelta al mundo. En realidad, se trataba de una advertencia que la compañía de Mark Zuckerberg llevaba años publicando en sus informes a la Comisión de Bolsa y Valores (SEC, por sus siglas en inglés). No obstante, aquel aviso tenía su lógica pero, sobre todo, nombre y apellido: Max Schrems (Salzburgo, 1987). Es el abogado austriaco que ha tumbado los tratados transatlánticos para las transferencias de datos personales, una cuestión crucial para el futuro de las grandes tecnológicas estadounidenses. Tras dos años de espera, Bruselas y Washington han publicitado un principio de acuerdo, pero sin ningún contenido, y él tiene claro que solo están mareando la perdiz: "Es como si un barco no estuviera completamente construido y aun así te adentras en un óceano con él".

La trayectoria de Schrems comenzó en 2011, cuando era estudiante de derecho y acudió a pasar un semestre en la Universidad de Santa Clara (California). Un día, un profesor invitó a un abogado de Facebook especializado en privacidad para que diera una charla y, para sorpresa de aquel alumno, su conocimiento de las normas europeas era bastante limitado. Fue ahí cuando se dio cuenta de que esta regulación, en realidad, era papel mojado para las tecnológicas. Estas llevaban la información personal de los usuarios a sus servidores, alojados al otro lado del Atlántico, donde la ley permitía que esos documentos acabaran en manos de las agencias de Inteligencia.

TE PUEDE INTERESAR

No, Facebook no ha amenazado a Europa con cerrar: por qué pegar a Zuckerberg sale gratis

Mario Escribano

Primero, dedicó su trabajo de fin de carrera a este asunto, pero le supo a poco, así que decidió pasar de la teoría a la práctica y montó la organización Europa vs. Facebook —aunque también iba dirigido a otras grandes tecnológicas, como Microsoft o Apple— para poner en evidencia la costuras del acuerdo Puerto Seguro (Safe Harbour), que databa del año 2000. En 2015, el Tribunal de Justicia de la UE le dio la razón con una sentencia que fue bautizada como Schrems I. Al año siguiente llegó el Escudo de Privacidad (Privacy Shield), que tenía prácticamente las mismas lagunas y propició un nuevo fallo en el mismo sentido, Schrems II.

Aquello ocurrió en 2020 y, por ahora, estas transferencias siguen en un limbo. La Comisión Europea y Estados Unidos solo han lanzado un comunicado en el que aseguran que habían alcanzado acuerdos "sin precedentes", pero solo era una declaración de intenciones que tendrá que esperar meses para materializarse. La forma de proceder ha azuzado el escepticismo entre los expertos en la materia, donde muchos creen que un Schrems III solo es cuestión de tiempo. Entre ellos, el propio abogado, que atiende a El Confidencial por videoconferencia desde la oficina en Viena del Centro Europeo de Derechos Digitales, la organización que fundó para abordar casos judiciales relacionados con las tecnológicas y la privacidad. Aunque está cansado, no tiene dudas: si todo sigue igual, volverá a denunciar.

PREGUNTA. Tras dos años de negociación, por ahora solo se han publicado las líneas generales, ¿cómo valora lo que sabemos ahora mismo sobre el principio de acuerdo entre EEUU y la UE para la transferencia de datos?

RESPUESTA. Hasta ahora, solo tenemos una idea aproximada de lo que están planeando. El problema es que esas ideas llevan circulando dos años y parece que los abogados que se ocupan de esto son conscientes de que no es una solución real, pero los políticos acaban de decidir que lo van a hacer de todos modos. Es como si un barco no estuviera completamente construido y aun así te adentras en un óceano con él: ya sabes lo que le pasará. Tenemos principalmente un acuerdo político, pero no el contenido que hace que funcione, y eso es un poco preocupante.

P. ¿Tiene sentido hacer un anuncio de tal calibre sin publicar algo que lo respalde?

R. Supongo que es una pregunta que debe responder la Comisión Europea, pero mi respuesta sería que no. El problema es que ahora mismo hay mucha incertidumbre para los usuarios y también para las empresas, y eso sigue ahí. Probablemente, ahora vamos a esperar otros tres o cuatro años para llegar al mismo punto de nuevo. Es básicamente un sistema de demora, demora y más demora. Desde el punto de vista del Estado de derecho, es muy problemático, porque el Tribunal de Justicia ha dicho dos veces que no se puede hacer esto y la Comisión sigue emitiendo decisiones que sabe que van a ser invalidadas. Parece que cada político piensa que ese va a ser el problema del próximo comisario y no el suyo. Son un poco como los osos polares que están sobre un hielo que se derrite: saltan de un bloque al siguiente, pero todo se acabará diluyendo. A menos que realmente digas "no, necesitamos una solución adecuada o si no, no tenemos solución", la presión para encontrarla desaparece.

Esa es una parte, la otra es que está habiendo un tipo de conexión con lo que ocurre en Ucrania, por lo que tenemos que permanecer juntos y pretender que todos somos buenos. Entiendo la lógica política detrás de ella, pero así no funcionan los derechos fundamentales. Tenemos que asegurarnos de que tenemos un Estado de derecho adecuado dentro de la UE. La propia Comisión está persiguiendo a Polonia y Hungría por arruinar su sistema legal. No pueden argumentar eso y dos segundos después decir: "En Estados Unidos no hay tribunal donde puedas quejarte y todo eso está bien". Simplemente, no tiene ningún sentido.

P. Supongo que debe estar cansado de seguir con este asunto después de 10 años y ver que, básicamente, todo sigue en el mismo punto. Si fuera necesario, ¿está listo para acudir de nuevo a la Justicia?

R. Sí, auque para ser honesto, no tengo claro que quiera hacer esto otra vez. Si tienes una política que simplemente ignora a los tribunales una y otra vez, estás dejando que eso ocurra. No sabemos si habrá algún tipo de magia con la que hagan que sea realmente bueno, pero, si es como parece ser, supongo que volveremos a los tribunales bastante pronto. En el primer caso, tardamos cinco años porque fue a través de Irlanda. Probablemente, esta vez tomemos un papel más activo para asegurarnos de que vuelve a los tribunales en meses. Muchos políticos esperan que esto dure otro par de años para que, ya sabes, 'solo' vaya a ser ilegal, pero no descubierto, durante un tiempo. Trataremos de asegurarnos de que esto se decida rápidamente y que no vaya a haber un gran atraso.

P. Hace poco decía que el acuerdo era como poner cinta americana. ¿Qué se quiere tapar con ella?

R. En EEUU hay una ley de vigilancia que diferencia entre estadounidenses y no estadounidenses. Si eres un ciudadano de EEUU, entonces todo eso va en contra de los derechos fundamentales estadounidenses. En concreto, de la Cuarta Enmienda, que te da derecho a la privacidad. El problema es que la Constitución no se aplica a los extranjeros, así que básicamente dice que si no eres norteamericano, tienen absolutamente todo el derecho a violar tus derechos constitucionales porque, simplemente, no están a tu alcance.

El Congreso de EEUU tiene que cambiar esta ley para asegurar que las protecciones son las mismas seas extranjero o estadounidense, que es lo que hacemos aquí: tenemos derechos humanos que se aplican a todo el mundo de la misma manera. Si hay un chino en Berlín, está tan cubierto como un alemán en Berlín. Estados Unidos no hace eso y es algo que entra en conflicto con nuestro derecho a la privacidad. En Europa, una empresa tiene que garantizar el derecho a la privacidad en los EEUU. Es decir, no hay manera de cumplir con las dos leyes si una dice A y la otra B, siempre vas a violar una de ellas.

P. La solución parece clara, pero no se ha alcanzado en los últimos 20 años. ¿A qué cree que se debe?

R. Creo que el argumento que tiene que esgrimir Europa es: si quieres hacer un montón de dinero en nuestro mercado, nuestros ciudadanos merecen los mismos derechos que los tuyos. Ahora mismo, lo que tenemos es un país que dice: "Dadnos todos los datos del mundo. Alojamos todo lo que queramos, pero en realidad nadie más que nuestra propia gente tiene derechos aquí". Eso no puede funcionar. Es como si un banco te pidiera todo tu dinero y luego no te diera ningún derecho sobre él. A largo plazo, necesitamos que entre los países democráticos haya algunas garantías mínimas, para que no importa dónde vivas haya un flujo libre de datos.

Por lo general, decimos que hay un país A que gobierna de manera diferente a un país B, por lo que no se puede exportar esto o se puede enviar aquello allí, a menos que tengamos reglas similares, para las que tenemos todas estas organizaciones internacionales. Por ejemplo, Suiza tiene leyes de privacidad muy similares a las nuestras. El único país que se sale de la norma es Estados Unidos. Básicamente, dicen que quieren formar parte de todo este mercado internacional, pero no quieren jugar con ninguna de estas reglas internacionales.

P. El papel de las grandes tecnológicas es clave ahí.

R. Estas empresas tendrán que pensar si nuestros clientes en el extranjero van a confiar en ellas en el largo plazo y si les vale la pena ser una compañía estadounidense. Podrían decir "vamos a tener centros de datos en Europa y los separamos técnicamente", pero eso les cuesta dinero y, ahora mismo, no están dispuestas a ofrecer estas opciones porque suelen ser monopolios o duopolios. Si nadie más ofrece esa opción, entonces no la dan.

Mi solución ideal sería un acuerdo de no espionaje, un acuerdo en el que globalmente hubiera garantías de base y no necesitáramos tener ningún tipo de frontera, por así decirlo. Pero mientras, y creo que es importante recalcarlo, no es Europa la que hace estas fricciones. Son los Estados Unidos los que dicen que tenemos esa idea de lo nacional y lo internacional. Así que a menudo Estados Unidos intenta decir que somos nacionalistas y todo eso. En realidad, es todo lo contrario. El sistema europeo dice que si haces lo mismo que nosotros, somos amigos. Si no lo haces, no lo somos. Es muy abierto. El sistema americano es extremadamente nacionalista.

P. Entonces, ¿de qué valen las leyes europeas si todos usamos plataformas tecnológicas estadounidenses?

R. En cuanto a los reguladores, tenemos un problema fundamental en la UE: muchos de ellos no hacen cumplir la ley. Tenemos la privacidad en el papel, pero no la hacemos cumplir. Esa es la razón principal de que nuestro propósito sea hacer cumplir el Reglamento de Protección de Datos [GDPR, por sus siglas en inglés], pero hay algunos países como Irlanda, Luxemburgo o Países Bajos que tratan de atraer a las empresas con esa falta de leyes.

Además, si tuviéramos una regulación adecuada, podríamos tener más alternativas. Ahora mismo tenemos Android o iOS, pero eso es todo. Si tuviéramos más reglas que requirieran que haya sistemas abiertos en internet, habría miles de proveedores donde tener tu correo electrónico, de modo que puedas elegir si quieres tener Gmail u otra cosa. Creo que eso es lo que tenemos que hacer para conseguir más de un mercado competitivo, porque hoy en día, si eres un proveedor de correo electrónico local y no haces nada con los datos, tienes que cobrar un euro al mes. La gente solo piensa que puede conseguirlo gratis con otras compañías, aunque a menudo cometan ilegalidades con ellos.

P. Desde que se tumbó el anterior acuerdo, las grandes tecnológicas han seguido operando con normalidad en Europa y nadie parece estar preocupado por ello. ¿Qué riesgo ha conllevado todo esto?

R. En gran medida, tenemos un gran problema de incumplimiento del GDPR, que fue una norma que se decidió democráticamente. Por otro lado, EEUU debería detener esto después de las revelaciones de Snowden. Creo que la mayoría de las personas probablemente no piensan en todo eso o tienen una sensación estomacal de que algo no está bien o es de alguna forma extraño, pero no entienden cada detalle. Y creo que eso es normal. Yo visito edificios cada día, pero no pienso constantemente si son estructuralmente sólidos o si podrían caerse sobre mi cabeza. En una sociedad democrática asumimos que hay alguna institución, algún organismo, que comprueba que los edificios no se derrumben.

TE PUEDE INTERESAR

Tu nube está en el ordenador de Google: por qué pueden bloquear tu contenido en Drive

Mario Escribano

Creo que nuestra infraestructura digital tiene que estar regulada para que haya normas que los profesionales se encarguen de hacer cumplir para que el usuario medio pueda abrir su teléfono y no tenga que preocuparse, al igual que abre una puerta sin miedo. Gran parte de lo que la industria está haciendo se conoce como desplazamiento de la responsabilidad. Esto consiste en sostener que no son ellos los que tienen que proporcionar un producto que es legalmente sólido, sino que es el cliente el que tiene que protegerse. Básicamente, es decir que no somos nosotros los que estamos jodidos, sino que eres tú el que está jodido.

También los medios de comunicación suelen decir que la gente debe estar más preocupado por esto. Si un tren de alta velocidad se descarrila al poco de salir, no son los pasajeros quienes tienen que preocuparse más por la seguridad. Nadie diría que deberías haber pensado más en, ya sabes, que los trenes van a 300 kilómetros por hora.

P. En todo este tiempo, ¿ha recibido presiones de las tecnológicas afectadas?

R. La verdad es que no. A veces oigo que llaman a los periodistas en segundo plano para decirles que solo hago esto para ser famoso y cosas así. No es demasiado creíble que mi mayor objetivo sea estar en los medios de comunicación, así que la mayoría de la gente se da cuenta de que es 'bullshit'. Es lo único que he oído y no sé si hacen otras cosas pero, honestamente, decidí no preocuparme con ellos porque, si no, probablemente me vuelva loco.