La Carta de los Derechos Fundamentales de la Unión Europea y el Tratado de Funcionamiento de la Unión Europea consagran el derecho de toda persona a la protección de sus datos personales (i.e. nombre y apellidos, imagen, domicilio, email, teléfono, cuenta bancaria, dni…).
Para evitar que este nivel de protección se vea comprometido cuando los datos personales viajan de la Unión Europea a terceros países, el Derecho derivado de la Unión (en particular el famoso Reglamento Europeo de Protección de Datos) establece reglas claras en el caso de transferencias internacionales de datos personales.
Según estas reglas, si la Comisión Europea estima que un país tercero garantiza un nivel de protección adecuado, las transferencias de datos personales a ese país pueden llevarse a cabo sin necesidad de una autorización adicional.
La relación en materia de datos entre Estados Unidos y la Unión Europea ha sido históricamente lo más parecido a un culebrón de los que ocuparon las sobremesas de la mayor parte de los españoles hace ya unos años.
La realidad es que Estados Unidos tradicionalmente, en base a su normativa antiterrorista que permitía a las autoridades de seguridad nacional libertad a la hora de acceder a datos personales de los ciudadanos y tratarlos sin garantía jurídica alguna (como reflejaba muy bien la recomendable película Snowden), era un país que no garantizaba la protección de los datos personales con un nivel suficiente a los ojos de la Comisión Europea.
Sin embargo los intereses económicos de las grandes compañías norteamericanas (i.e. Facebook) hacían que fuera necesario encontrar una fórmula que permitiera ese flujo de datos transatlántico de conformidad con la normativa Europea y que les evitara cuantiosas sanciones, y por ello las autoridades de Estados Unidos y Europa a lo largo de los años lo trataron de solucionar con distintas herramientas (Fundamentalmente el Safe Harbor, 2000 y el Privacy Shield, 2016)
Max Schrems y su equipo entre otros se ocuparon de acabar con ellos (sentencias Schrems I y Schrems II) a través de distintas acciones legales hasta que la Comisión Europea aprobó el último intento, el marco establecido por la decisión de adecuación adoptada el 10 de julio de 2023, dirigido a solventar los últimos flecos que impedían que los Estados Unidos garantizaran un nivel de protección equivalente al de la Unión Europea.
Básicamente las medidas incluían por medio de un Decreto Presidencial de Estados Unidos el refuerzo de medidas varias de protección de la vida privada aplicables a las actividades de las agencias de inteligencia así como de un reglamento del Fiscal General que modificó las disposiciones que regulan la creación y el funcionamiento del Data Protection Review Court (una especie de Agencia Española de Protección de Datos cualificada).
Este último intento, que también ha sido cuestionado judicialmente, acaba de ser resuelto en la decisión del Tribunal General de la Unión Europea (asunto T-553/23 | Latombe/Comisión), que desestima el recurso que solicitaba la anulación de dicho nuevo marco de transferencia de datos personales entre la Unión Europea y los Estados Unidos marcando un hito significativo en la protección de datos y la cooperación internacional.
Esta decisión confirma por tanto que, desde la fecha de adopción de la decisión impugnada, los Estados Unidos garantizan un nivel adecuado de protección de los datos personales transferidos desde la Unión Europea a organizaciones establecidas en ese país.
Esta decisión del Tribunal se produce tras meses en los que Donald Trump y su gobierno han estado presionando fuertemente (i.e. aumento de aranceles) a los estados miembros y a la propia Unión Europea para relajar sus exigencias en materia de derechos fundamentales y proteger así a sus multinacionales tecnológicas.
Presión que ha tenido impacto en algunos asuntos como por ejemplo en la retirada por la Comisión Europea de la Directiva de responsabilidad en inteligencia artificial en febrero de este año y que venía a establecer certidumbre y claridad en materia de responsabilidad civil en el uso de inteligencias artificiales.
Nunca sabremos si la validación del nuevo marco jurídico de protección de datos de carácter personal entre Estados Unidos y Europa ha sido producto de presiones o no y en qué medida han influido en ello y por eso, con mayor motivo, y teniendo en cuenta además los retos que supone la inteligencia artificial en el tratamiento de los datos personales, los europeos debemos estar vigilantes y atentos al uso que reciban nuestros datos en la Unión Europea y también cuando viajen al otro lado del océano.
