Échale la culpa a Snowden

Pensemos en un mundo en el que Facebook, Twitter o WhatsApp no estaban ni en la mente de sus creadores. Un tiempo en que los teléfonos sólo servían para llamadas de voz o mensajes de 140 caracteres, una época en la que Google llevaba sólo dos años en el mercado y aún prometía no hacer el mal. En ese tiempo, el año 2000, la UE aún recomendaba técnicas de anonimización para proteger la intimidad de los ciudadanos y creía que la directiva de Puerto Seguro era un pacto entre caballeros que mejoraba el desarrollo tecnológico permitiendo un intercambio de datos con EE UU más rápido que con cualquier otro país tercero.

Vinieron los atentados del 11 de septiembre y con ellos la interceptación indiscriminada de datos. Bajo la premisa de que cualquiera podría convertirse en terrorista, nadie quedaba libre del escrutinio. Así que se investigó a todos y la UE se plegó a las nuevas necesidades de información en aras de la seguridad global. Así estuvimos años, sospechando que la aplicación de la USA Patriot Act contaba con la colaboración de las grandes empresas de Internet. Y llegó Snowden y nos lo confirmó. Cuando nos desveló la extensión y la gravedad del espionaje la Comisión Europea por fin reaccionó. En 2013, cuestionó que la aplicación del puerto seguro protegiera de manera efectiva los datos de los europeos, no sólo de las empresas que los trataban sino de la propia Administración estadounidense. Las sentencias del Tribunal de Justicia de la UE que siguieron a esa comunicación han pavimentado el camino hacia una exigencia de control de los poderes de investigación del Estado (la anulación de la directiva de retención de datos) y un sometimiento de las tecnológicas de EE UU a la legalidad europea (sentencia Google de derecho al olvido).

La sentencia dictada ayer establece que los datos personales de los ciudadanos europeos almacenados por empresas americanas no tienen un nivel de protección similar al que se les otorga en la UE por la adhesión a la directiva de Puerto Seguro y, por tanto, las autoridades nacionales de Protección de Datos pueden suspender su aplicación si tienen sospechas de que las normas europeas no se cumplen. Resalta la sentencia, parafraseando a la Comisión, de que todas las entidades que estaban en el programa de la NSA que desveló Snowden estaban en la lista de puerto seguro.

A la vista de esta situación, el fallo considera obsoleta la directiva y establece un principio simple pero que puede dar en la línea de flotación de las más grandes empresas tecnológicas: da la posibilidad a las autoridades nacionales de protección de datos de suspender la aplicación del sistema de puerto seguro y, por tanto, la transferencia de datos si un ciudadano alega que las prácticas de ese país o empresa incumple el nivel de protección de datos europeo. La sentencia otorga jurisdicción sobre las empresas estadounidenses que tengan datos de europeos, lo que es tanto como someterlas al cumplimiento de la normativa europea; algo que ya adelantó en su sentencia en el caso del derecho al olvido.

Si los datos son el nuevo petróleo, muchas empresas o cumplen las normas europeas o van a tener que parar en el arcén.

Paloma Llaneza es abogada experta en protección de datos.