Hemos tenido un verano ‘movidito’ en lo que a la normativa de la privacidad se refiere. No solo el Comité Europeo de Protección de Datos (CEPD) se ha animado a publicar directrices acerca de la interpretación de cuestiones de enorme calado (como los conceptos de responsable, encargado y corresponsable del tratamiento, entre otros), sino que el Tribunal de Justicia de la Unión Europea (TJUE) se ha ‘despachado’ con una sentencia que, aunque previsible en lo esencial, ha zarandeado intensamente el cada vez más azaroso mundo de la privacidad. Nos referimos a la decisión del TJUE en el caso Schrems II, que invalida la Decisión 2016/1250 sobre la adecuación de la protección conferida por el Escudo de privacidad UE-EEUU (la “Sentencia”).

Con la misma incertidumbre con la que partieron de Cádiz las tres carabelas aquel agosto de 1492, así nos hallamos empresas y asesores desde hace más de un mes ya, tratando de llevar nuestras respectivas embarcaciones a ‘puerto seguro’, precisamente en las mismas Américas en las que acabarían desembarcando los hermanos Pinzón y Cristóbal Colón (aunque en distintas coordenadas).

Y es que la Sentencia ha vuelto a poner de manifiesto la necesidad imperiosa de contar con un estándar común de privacidad a nivel global, tan necesario como impensable en el tablero político actual, y (si me permiten seguir con los paralelismos náuticos) el ‘océano’ de distancia que hay entre EEUU (por no hablar de otras latitudes) y Europa en materia de protección de datos. El TJUE vuelve a señalar, con más nervio si cabe que al tiempo de anular el ya vetusto ‘Safe Harbor’ en 2016, que el problema fundamental está en «las limitaciones de la protección de datos personales que se derivan de la normativa interna de los Estados Unidos relativa al acceso y la utilización, por las autoridades estadounidenses, de los datos transferidos desde la Unión a ese país tercero.» Un argumento que, por razones de coherencia, ha ‘contaminado’ el resto de las ya limitadas salvaguardas que ofrece el Reglamento General de Protección de Datos (el “RGPD”), incluidas las cláusulas contractuales tipo, aprobadas por la misma Comisión Europea que autorizó el Privacy Shield y que ya no permiten garantizar que las transferencias de datos personales a países terceros sin nivel de adecuación cumplen las exigencias en materia de salvaguarda de los derechos fundamentales que exige el RGPD.

Aunque los Departamentos de Comercio y Justicia y la Oficina del Director de Inteligencia Nacional de EE. UU. se han apresurado a ‘rebatir’ los postulados de la sentencia a través de un White Paper «contextualizando» el alcance de esas limitaciones y señalando que la mayor parte de la información personal que se transfiere a EEUU no es de interés para sus servicios de inteligencia y que el gobierno de EE. UU. comparte parte de la información ‘revelada” a resultas de la aplicación de las ordenes FISA 702 por las empresas norteamericanas con los gobiernos de la UE en el marco de sus acciones de lucha contra el terrorismo, la proliferación de armas o los cada vez más frecuentes ciber ataques, lo cierto es que las compañías certificadas en el Escudo de Privacidad e incluso las que (previendo el ‘fatal desenlace’ de este mecanismo de certificación) incorporaron o han decidido incorporar a sus modelos contractuales las cláusulas contractuales tipo de la CE se encuentran en la necesidad, junto con aquellas que exportan los datos, de llevar a cabo un ejercicio de evaluación de la adecuación de las transferencias de datos que reciben desde suelo europeo que ya está trucado y que, en general, desembocará en la imposibilidad de proseguir con dichas transferencias.

No obstante, ni las 101 reclamaciones interpuestas por “noyb”, ni la amenaza de sanciones sobre las compañías exportadoras han logrado, de momento, detener el flujo de datos hacia los EEUU.

Por otra parte, en el terreno de las soluciones, medidas de protección como la criptografía asimétrica aplicadas al dato en origen no parecen al alcance de todos los bolsillos ni proporcionales a la trascendencia de algunas de las transferencias sujetas a estas restricciones. Ni siquiera la aprobación de nuevas cláusulas contractuales tipo (¿en diciembre?) será un ‘salvavidas’ seguro a la vista de la Sentencia. Tampoco ayuda que el CEPD se haya apresurado a aclarar que, al contrario de lo que sucedió con la anulación del Safe Harbor, no existe un plazo de ‘gracia’ o adaptación para ‘poner en orden’ las transferencias en marcha.

En este escenario, la postura de las autoridades de Reino Unido, a un paso de entrar en el nutrido grupo de países que no tienen reconocido nivel de adecuación en materia de protección de datos, que han aconsejado eso del ‘wait and see’ no parece algo descabellado.

No ocurre lo mismo para las transferencias que tengan como destino otros territorios sin nivel de adecuación, a las que, tras el correspondiente análisis de adecuación y aplicando medidas adicionales de salvaguarda cuando sea necesario, será posible dar continuidad.

En todo caso, llama la atención que, con el mundo debatiéndose entre pandemias, crisis económicas y de identidad sin precedentes y otros avatares, nuestro impertérrito TJUE nos haya colocado una nueva piedra en el camino. Pero bueno, así es esto de impartir justicia y, como diría Winston Churchill, «tú creas tu propio universo durante el camino». Toca innovar y resistir.