Desde que en julio de 2020 la conocida como Sentencia Schrems II invalidara Privacy Shield, esto es, el mecanismo en virtud del cual compañías europeas y estadounidenses podían transferir volúmenes de datos a uno y otro lado del Atlántico para su procesamiento y almacenamiento, existía una gran incertidumbre entre las multinacionales. Schrems II –toma el nombre de Max Schrems, el activista austríaco que ganó el caso ante el Tribunal de Justicia de la UE (TJUE)- limita la capacidad de exportar datos personales, so pena de sanciones, suspensiones e indemnizaciones. Sin embargo, la semana pasada, el presidente estadounidense Joe Biden firmó una orden ejecutiva para tratar de resolver esta problemática.

Bautizada como Privacy Shield 2.0, este orden ejecutiva no es la panacea y plantea algunas dudas. El diablo se encuentra en los detalles y el propio Schrems ya ha advertido que la misma definición de "proporcionalidad" a la hora de que sea legal la vulneración de la privacidad enciende las luces de alarma. Tanto es así, que el activista ya ha deslizado que la UE hará la vista gorda para que EEUU continúe con su espionaje a la ciudadanía europea. En el caso de Reino Unido, que tras el Brexit va por libre, ya ha llegado a un acuerdo con la Casa Blanca.

NOYB, la organización al frente de la cual se encuentra Schrems con el objetivo de velar por la privacidad, ya ha hecho público su malestar por esta norma ejecutiva. Según explica la organización, "la vigilancia masiva continúa a través de dos tipos de proporcionalidad". Desde su punto de vista, "la UE y EEUU acordaron copiar las palabras "necesario" y "proporcionado" en la orden ejecutiva, pero no acordaron que tuvieran el mismo significado jurídico". De haberlo hecho, añade, "EEUU tendría que limitar fundamentalmente sus sistemas de vigilancia masiva para cumplir con lo que la UE entiende por vigilancia ‘proporcionada’". No es el caso, lo que genera mucho escepticismo.

Una de las novedades que incorpora la norma es la creación de un Tribunal de Revisión de Protección de Datos que gestionará las quejas de la ciudadanía de la Unión Europea (UE) que considere que su privacidad está siendo vulnerada, algo a lo que con el original Privacy Shield no tenían derecho, siendo éste uno de los motivos por los que la justicia europea lo tumbó. Este Tribunal estará compuesto por empleados ajenos a la Administración, aunque antes de que lleguen a ellos, las quejas o denuncias habrán de pasar por la Oficina del Director de Inteligencia Nacional que las revisará.

Este Tribunal tampoco convence a NOYB, que denuncia que no es tal, al menos en el sentido jurídico normal del artículo 47 de la Carta o de la Constitución de los Estados Unidos. Es, en realidad, un órgano dentro del poder ejecutivo, una suerte de versión mejorada del anterior sistema de Defensor del Pueblo, que en sus sentencias rechazó el TJUE.

Tal y como describe NOYB, desde la óptica europea el mecanismo que pretende articular Biden es surrealista, porque ante una denuncia de una persona europea que sienta vulnerada su privacidad, el Gobierno de EEUU recibirá la denuncia pero ni confirmará ni negará si ha espiado a esa persona y, en todo caso, se le comunicará que la violación ha sido subsanada, sin más.

La indefensión de la ciudadanía es tal, según denuncia esta organización, que las compañías estadounidenses no tienen por qué cumplir con el GDPR, por lo que pueden seguir recopilando los datos personales  de europeos y procesarlos a su antojo. Esta situación no sólo es una clara vulneración de derechos, sino que genera una competencia desleal frente a las compañías europeas, que ya se enfrentan a cuantiosas multas por violar la privacidad.