El mes pasado se renovó una sección del marco que permite la vigilancia estadounidense en el extranjero, lo que significa que los europeos siguen estando expuestos a ser espiados.
PUBLICIDADEl Presidente de Estados Unidos, Joe Biden, renovó en abril una sección del marco de vigilancia estadounidense, prorrogando por dos años la autorización para vigilar y recopilar datos sin orden judicial de no estadounidenses en todo el mundo, incluidos los europeos.
La renovada sección 702 de la Ley de Vigilancia de Inteligencia Extranjera (FISA) de 1978, se introdujo por primera vez en 2008 para adaptarse a "la evolución de la tecnología" y dirigirse a individuos fuera de Estados Unidos, según un informe de la Oficina del Director de Inteligencia Nacional.
La Sección 702 proporcionó la base legal para el programa de vigilancia masiva internacional PRISM de la NSA, cuya existencia fue filtrada por el denunciante Edward Snowdenen 2013.
Los programas aprobados por la FISA, como PRISM, que sigue operativo, exigen a empresas tecnológicas estadounidenses como Microsoft, Amazon y Google que den a las cuentas de los no estadounidenses investigados. No es necesaria la orden de un juez.
Los europeos pueden pensar que el Reglamento General de Protección de Datos (RGPD) les protege de la legislación estadounidense, pero la "ley de privacidad y seguridad más dura del mundo" es actualmente discutible frente a los programas autorizados por la FISA, afirman los activistas.
"Los datos de los europeos están básicamente a disposición de los servicios de vigilancia estadounidenses si deciden tenerlos, y esa es la realidad de lo que está ocurriendo ahora mismo", dijo a 'Euronews Next' el abogado austriaco y activista de la privacidad Max Schrems.
La privacidad de los datos como derecho humano
La privacidad de los datos es un derecho humano fundamental en la UE. RGPD impone restricciones estrictas a los datos personales, prohibiendo compartirlos con países que no tengan un nivel de protección equivalente, una disposición que está en vigor desde la Directiva de Protección de Datos de 1995, predecesora del RGPD.
En 2000, la UE decidió que Suiza ofrecía un "nivel adecuado" de protección de datos, decisión que se renovó a principios de este año. Esto significa que los datos de los ciudadanos europeos pueden transferirse de forma segura y sin problemas desde dentro del bloque a entidades del país alpino.
Estados Unidos también recibió el estatus de "esencialmente equivalente" en 2000, pero esa decisión fue invalidada en 2015 por el Tribunal de Justicia de la Unión Europea (TJUE) después de que Schrems recusara al comisario de protección de datos de la UE.
En 2016, la Comisión Europea decidió restablecer el estatus de Estados Unidos, pero en 2020, el máximo tribunal europeo volvió a fallar a favor de Schrems, que prestó su nombre a las dos anulaciones.
Schrems asegura que una "decisión política" llevó a la Comisión a otorgar de nuevo a las leyes estadounidenses de privacidad de datos, que según él son inexistentes, un estatus equivalente al GDPR el 25 de marzo de 2022.
"El Tribunal Supremo de la Unión Europea dice 'no puedes hacer eso, es ilegal, incluso inconstitucional', y la Comisión simplemente emite (el acuerdo) una y otra y otra vez", dijo Schrems.
Según el activista, el día en que Ursula von der Leyen y Joe Biden anunciaron el nuevo Marco Transatlántico de Privacidad de Datos, la Comisión y EE.UU. también dijeron que iban a "trabajar juntos para apoyar la seguridad energética de Europa en los próximos inviernos y reducir de forma sostenible la dependencia energética de Europa respecto a Rusia".
El portavoz de la Comisión Europea, Christian Wigand, dejó muy claro que no existe ninguna relación entre ambos acontecimientos.
En su lugar, declaró a 'Euronews Next' que las conversaciones estaban motivadas por "el punto de referencia" establecido por el Tribunal de Justicia Europeo en 2020: si los países no tienen un estatus equivalente al de la UE, pueden adoptar "medidas adicionales para compensar".
Una decisión con "enormes consecuencias"
Estados Unidosrecuperó oficialmente su estatus de "adecuación" en julio de 2023, después de que el gobierno estadounidense emitiera una orden ejecutiva (una ley que puede ser aprobada y anulada por un presidente) para limitar la recopilación de datos de la UE a niveles "necesarios y proporcionados". Para la Comisión, el Marco cuenta con medidas para "abordar todas las preocupaciones planteadas por el Tribunal de Justicia Europeo".
La organización sin ánimo de lucro NOYB, de Schrems, que defiende los derechos digitales europeos, sostiene que los dos países nunca se han puesto de acuerdo sobre la definición de la palabra "proporcionado" y que el nuevo acuerdo es igual que los dos anteriores.
Según Kenneth Propp, miembro asociado del think tank estadounidense The Atlantic Council, Estados Unidos "nunca va a aceptar una definición de necesidad y proporcionalidad que se establezca de acuerdo con la legislación de la UE".
Sin embargo, "Estados Unidos ha introducido algunos cambios significativos" con la orden ejecutiva y la creación de un nuevo sistema de recurso judicial para los europeos.
"Hay una interesante diferencia de opinión al respecto dependiendo del lado del océano en el que te encuentres. Si estás en Washington, la gente del gobierno estadounidense dirá 'el gobierno estadounidense se esforzó mucho por hacer cosas dentro del ámbito de sus leyes que satisficieran a los europeos'", dijo el experto en flujos de datos transatlánticos.
"Si preguntas a la gente de Bruselas, dirán: 'Esto es algo mejor, pero aún está lejos de lo que creemos que es la norma'. En última instancia, esta será una cuestión para el Tribunal de Justicia", añadió.
NOYB ya ha hecho un llamamiento a todos los afectados por el nuevo acuerdo para que "presenten un recurso ante las autoridades de protección de datos o los tribunales", pero advierte de que una decisión del TJUE "probablemente se producirá en 2024 o 2025".
Si el tribunal juzga inválido el acuerdo actual, como ha hecho con los dos anteriores, EE.UU. y la UE podrían encontrarse en una "situación difícil", según Propp.
"La voluntad del gobierno estadounidense de dedicar considerables recursos a negociar y renegociar este acuerdo, no creo que sea ilimitada", dijo.
La falta de acuerdo no impedirá a los países llevar a cabo una vigilancia masiva, según el experto, pero si las empresas con sede en EE.UU. y la UE no pueden transferir datos con fines comerciales, podría haber "enormes consecuencias económicas".
"¿Cómo podrán las empresas llevar a cabo sus negocios si no hay acuerdo entre EE.UU. y Europa? No tendrán el nivel de seguridad jurídica que necesitan, y esa no es una situación sostenible a largo plazo", dijo Propp.