Una sentencia de EEUU que no tiene que ver con la privacidad resucita una pesadilla para Instagram o ChatGPT en la UE: "Esto no es sostenible"
El acuerdo que mantienen Washington y Bruselas para que las tecnológicas puedan transferir datos personales al otro lado del Atlántico pende de un hilo.
Puede ser un escenario de pesadilla para las grandes tecnológicas estadounidenses. Todo dependerá de lo que pase ahora. Una sentencia del Tribunal Supremo de EEUU que en principio no tiene que ver con el derecho de los ciudadanos a la privacidad y a la protección de datos puede desembocar en que muchas compañías norteamericanas tengan que reevaluar su presencia en el Viejo Continente. No será la primera vez.
El fundamento del negocio por el que muchas tecnológicas como Meta (propietaria de Facebook o Instagram), OpenAI (ChatGPT) o Google (Gmail, YouTube) funcionan es la recopilación y el tratamiento de decenas de gigas de datos personales. Sus usuarios obtienen un servicio gratuito. A cambio, muchas redes sociales y plataformas IA pueden ofrecer publicidad personalizada. Es la piedra filosofal del mundo digital.
Pero para que ese negocio funcione, las grandes tecnológicas, en su mayoría estadounidenses, recopilan los datos personales en los distintos mercados en los que operan... y los transfieren a EEUU, donde tienen su sede principal. El principio de la transferencia de datos abre un dilema: en la Unión Europea hay una regulación garantista con la privacidad de sus usuarios. Pero, ¿la hay fuera?
El Reglamento General de Protección de Datos (RGPD) que opera en la UE tiene un principio de reciprocidad. Bruselas alcanza acuerdos con aquellos países con los que puede tener la mínima certeza de que allí los datos personales de sus ciudadanos serán respetados, protegidos y almacenados con unas garantías asimilables a las que se dan en el Viejo Continente.
Pero en 2013 el analista de inteligencia Edward Snowden reveló que la Agencia de Seguridad Nacional (NSA) mantenía programas de vigilancia masiva. Eso llevó a que un activista austríaco llamado Max Schrems denunciara el acuerdo entre la UE y EEUU y el Tribunal de Justicia de la Unión Europea (TJUE) lo acabara anulando en 2015. Desde entonces, Washington y Bruselas han ido negociando y anunciando nuevos acuerdos.
El segundo se llamó Privacy Shield, y fue anulado de nuevo por el TJUE en 2020: en su sentencia, el tribunal comunitario advertía que la Ley de Vigilancia de la Inteligencia Extranjera y la Orden Ejecutiva 12333 de EEUU seguía permitiendo que los servicios de inteligencia estadounidenses recopilaran datos personales de extranjeros sin las limitaciones que exige la Unión Europea.
Finalmente el expresidente de EEUU, Joe Biden, alcanzó un acuerdo con la presidenta de la Comisión Europea, Ursula von der Leyen, que venía a sustituir los dos acuerdos previamente tumbados. Se podía esperar que a la tercera iba la vencida, pero una sentencia del Tribunal Supremo de EEUU acaba de darle argumentos legales a Max Schrems, el austríaco que, además, ya está moviendo ficha.
Una sentencia que no va sobre protección de datos, el detonante
Esta semana se ha conocido una sentencia del Tribunal Supremo estadounidense que recibe el título de Trump vs. Slaughter. Cuando comenzó su segundo mandato el año pasado, Donald Trump decidió despedir varios altos cargos de las agencias federales, supuestamente independientes de la acción gubernamental. Una comisionada de la FTC, el órgano que regula la competencia empresarial en EEUU (la CNMC de allí) recurrió.
Los juzgados inferiores al Supremo le dieron la razón a Rebecca Slaughter, el nombre de esta mujer. Acudió a la justicia al entender que el Gobierno de EEUU no podía despedir a altos cargos de una agencia federal sin motivo. Sin embargo, el Supremo, con mayoría republicana, ha acabado respaldando a Trump y validando su despido. Y eso, para muchos juristas, supone una cosa: la FTC ya no es independiente de la Casa Blanca.
El vigente acuerdo que permite que las tecnológicas transfieran datos desde la UE a EEUU exige que las agencias como la FTC (responsable de los tratamientos) sean "independientes". Ouch.
Por esa razón, Max Schrems, el activista austríaco que ya consiguió las sentencias Schrems (2015) y Schrems-II (2025) aspira a conseguir una eventual sentencia Schrems-III que dejará invalidado el marco jurídico por el que las grandes tecnológicas detrás de redes sociales como Instagram podrán seguir empleando tus datos personales y transfiriéndolos al otro lado del Atlántico.
El propio Schrems confirmaba este martes sus planes en plataformas como LinkedIn. La asociación que dirige, NOYB, ha enviado una carta a la Comisión Europea. Bruselas, de hecho, ya ha confirmado que están revisando su acuerdo con EEUU a preguntas de la prensa. "Esto para las empresas implicará desarrollar planes para buscar proveedores distintos a los de EEUU. Será arduo, pero también una gran oportunidad para la UE".
Schrems de hecho asegura que lo deseable sería tener "una relación jurídica estable y predecible entre la UE y EEUU, pero seamos honestos: lo más que tuvimos fue un castillo de naipes, eso no era sostenible con el clima internacional actual".
Años atrás, cuando la UE y EEUU estuvieron varios años sin alcanzar un acuerdo, algunas tecnológicas como Meta (Instagram) ya dieron la voz de alarma: si no se desbloqueaba tal acuerdo tendría que reevaluar su presencia en el mercado europeo. Ahora la UE tendrá que mover ficha (y si no lo hace, Schrems acudirá a los juzgados). Es pronto para sacar conclusiones, pero también es evidente: las fichas vuelven a la casilla de salida.
