Marimar Jiménez, de Cinco Días, me pidió ayer mi opinión sobre la decisión del Tribunal de Justicia de la Unión Europea de anular los acuerdos de safe harbor o «puerto seguro» que regulaban el intercambio de datos de ciudadanos de la Unión Europea y compañías norteamericanas, y hoy publica mi opinión en su noticia titulada «El tribunal de la UE pone en jaque la economía digital trasatlántica» (pdf).
Básicamente, lo que el TJUE viene a decir es algo que sabíamos ya desde que el gesto de sacrificio personal de Edward Snowden, nunca más acreditado merecedor del Premio Nobel de la Paz, nos proporcionó evidencias de que nuestros datos, los de todos los ciudadanos, estaban siendo saqueados y espiados sin ningún tipo de control por agencias gubernamentales norteamericanas. Lo que dice es, ni más ni menos, que los acuerdos de safe harbor estaban siendo objeto de un abuso constante, y que por tanto, los Estados Unidos no pueden ya ser considerados un safe harbor. Lo que implica es que cualquier ciudadano podrá acogerse a esto para denunciar que sus datos están siendo exportados a los Estados Unidos por alguna compañía, y que eso, dado que los acuerdos de safe harbor son ya efectivamente inválidos, va en contra de sus derechos porque no le permite tener control sobre ellos de acuerdo con las leyes de la Unión Europea.
Obviamente, la medida tendrá consecuencias: ante la dificultad de que la administración norteamericana, caracterizada por una brutal y descontrolada hipertrofia de agencias como la NSA, modere sus agresivas prácticas de vigilancia y monitorización, y sobre todo, ante la escasa o nula credibilidad que tendría cualquier anuncio al respecto, las compañías norteamericanas se verán obligadas a plantear que el tratamiento de los datos de sus usuarios se lleve a cabo sin salir de la Unión Europea, como de hecho ya había sido anunciado por alguna empresa como Twitter, que se adelantó a este posible desenlace con un anuncio el pasado abril. No es el fin del mundo para compañías que sin duda tienen los recursos adecuados para poner en marcha estos cambios, pero sin duda subraya el creciente desencuentro entre la forma de entender los derechos de los ciudadanos en Europa y en los Estados Unidos.
A continuación, el texto completo de las preguntas y respuestas que intercambié con Marimar:
P. ¿Qué consecuencias puede tener para Facebook, Google, Apple la decisión adoptada por Bruselas esta mañana? ¿Pone en peligro sus modelos de negocio?
R. Las consecuencias para las compañías norteamericanas son sumamente complejas, y notablemente heterogéneas: por un lado, están compañías como Google o Facebook, que hacen de la explotación de los datos del cliente su modelo de negocio, y que precisan de un procesamiento detallado de esos datos con el fin de poder comercializar una publicidad que tiene un precio más elevado cuanto más y mejor segmentada está. Para esas compañías, obligar a la localización de las transacciones en un entorno u otro tiene una complejidad notable, porque las obliga a establecer reglas de transacción que inciden en un coste mayor, en menores economías de escala en el procesamiento de datos o en el uso de sus data-centers, y en un nivel de supervisión y monitorización muy superior. Para Apple o Twitter, sin embargo, el coste es menor: Apple lleva tiempo preconizando unas prácticas de privacidad enormemente rígidas que favorecen precisamente que ese procesamiento de datos se reduzca a la mínima expresión y se haga de manera completamente respetuosa con el cliente («vendemos productos, no vendemos datos de nuestros clientes»), lo que hace que la compañía de la manzana esté, en esta batalla, claramente en el lado ganador o remando a favor de la corriente. Twitter, por su parte, ya fue plenamente consciente de la importancia de este tema y segregó sus operaciones para clientes norteamericanos y europeos, anunciando la localización del tratamiento de datos de los segundos en Irlanda y convirtiéndolos en teóricamente invulnerables frente a las peticiones del gobierno norteamericano y sus agencias de inteligencia. Otras compañías, como Microsoft, han demostrado estar del lado correcto tratando de denegar al gobierno el acceso a datos de clientes en países extranjeros, aunque se han encontrado con una pretensión de ese gobierno de convertirse en «justiciero universal» que posiblemente haya tenido incluso algo que ver en el desenlace de este caso.
P. El acuerdo que había entre la UE y EE UU hace que hubiera de facto una única legislación, pero esta sentencia crea una fragmentación (2 legislaciones) que dificultará el negocio de internet tal y como está concebido hoy?
R. Sin duda, la fragmentación generará una complejidad mayor, un entorno que precisará de una supervisión más compleja, y oportunidades para compañías que decidan operen en un lado u otro. La alternativa de obligar a las agencias de seguridad norteamericanas a tomar una posición menos maximalista o más garantista en el acceso a los datos parece poco posible y, tras las revelaciones de Edward Snowden, tendría un nivel de credibilidad mínimo. La otra posibilidad, obligar a las empresas norteamericanas a procesar sus datos en territorio europeo, puede resultar aparentemente más sencilla, pero no está exenta de costes y de problemas, además de disfrutar de una credibilidad igualmente escasa: los europeos, a estas alturas, desconfiamos casi tanto de la administración norteamericana y de su sistema de vigilancia hipertrofiado hasta el límite como de unas compañías que han demostrado ser inoperantes a la hora de proteger la información de sus usuarios. Por otro lado, y como nota positiva, esto podría crear oportunidades tanto a la hora de crear infraestructuras europeas – centros de datos, etc. – como puestos de trabajo.
P. ¿Están preparadas estas compañías para gestionar su negocio en suelo europeo? ¿Tienen suficientes centros de datos y equipos para ello?
R. Las infraestructuras de data-centers son en esencia globales: los datos se mueven siguiendo protocolos que van desde su duplicación rutinaria en varios servidores para evitar un posible desastre, hasta el «follow the Moon» utilizado para el ahorro de costes en función de las tarifas nocturnas. Imponer fronteras a esos protocolos incrementa la complejidad de la gestión, pero no hablamos de algo imposible, simplemente de una incomodidad. Más preocupante puede ser la gestión de los datos cuando se lleven a cabo operaciones que afecten a varios territorios, personas que viajan habitualmente o que mantienen cuentas en distintas jurisdicciones, pero se trata simplemente de un problema de gestión de la complejidad, no de un problema irresoluble.
P. ¿Afecta esta sentencia solo a las empresas tecnológicas o a cualquier empresa que transfiere datos personales a EE UU, como el Banco Santander, Telefónica, u otras europeas?
R. Afecta a todo intercambio de datos que tenga lugar entre los territorios afectados. En cualquier caso, hablamos de la interacción entre un territorio en el que claramente se ha demostrado que el gobierno se excedía en sus procedimientos de vigilancia y monitorización, y otro en el que, simplemente, no hemos tenido un héroe llamado Edward Snowden dispuesto a sacrificar su bienestar y su libertad para demostrarlo. Es muy posible que en Europa se estén cometiendo o se hayan cometido abusos en la vigilancia o en la monitorización de los ciudadanos tan flagrantes o más como los que han tenido lugar en suelo norteamericano, y simplemente no lo estamos contemplando porque en la supuestamente garantista Europa, eso es algo que no se puede decir. ¿Realmente está mejor protegido un ciudadano europeo que uno norteamericano en cuanto a la privacidad de sus datos? Recordemos que en los Estados Unidos existen procedimientos de transparencia de los registros públicos y de «vigilancia de los vigilantes» que muchos países europeos ni contemplan… el tiempo, y la disponibilidad de héroes como Snowden dirán si el maximalismo europeo que respira esta sentencia es real o simplemente una pose fruto de la hipocresía o de la ausencia de control.
This article is also available in English in my Medium page, “The not-so safe harbor«
Google tiene varios datacenters en la UE, así que no creo que le cueste mucho adaptarse. Mayor problema tienen otras muchas punto-com USA más pequeñas, que sus servidores están solo en USA.
Ahora bien, no creo que esta resolución nos proteja mucho. Recordemos que en los documentos de Snowden uno de los espías más masivos era Gran Bretaña, que pertenece a la UE.
En efecto si la cosa se resuelve guardando los datos en Europa, la cosa es bastante sencilla. ¿Quien nos protege de nuestros propios gobiernos, que es lo que en realidad nos preocupa? – Nadie
Las últimas revelaciones de Snowden si que son para poner los pelos de punta, y en la propia UE:
«Snowden revela un software usado por la inteligencia británica capaz de tomar el control absoluto de cualquier smartphone »
http://globbsecurity.com/snowden-software-espionaje-britanico-smartphones-36177/
Enrique, mi duda es: ¿no se puede escabullir una .com americana simplemente con una actualización de las cláusulas de servicio?
Aunque requiera aceptarlas o darse de baja en el servicio, si en las nuevas cláusulas hay un apartado en la que el usuario declina estos derechos, y que nadie se lee, ¿no les sirve para seguir con los datos en USA como hasta ahora?
Nuestros datos son regalados a la primera microempresa que solicita autorizaciones en el dispositivo móvil, las grandes empresas lo mismo, pero no solo regalamos nuestros datos, nuestras aficiones en las redes sociales, nuestra localizacion GPS, via móvil, es terrible, las granes redes sociales nos tienen localizados las 24 horas del dia, y si no lo sabes averigualo porque es asi.
Entrando al conflicto de Europa EEUU , en la guierra de informacion y datos de las personas fisicas, las grandes multinacionales y en especial las de las grandes redes sociales tienen fuertes acuerdos con EEUU.
Europa , Sabemos que es dificil, pero gracias por luchar por nosotros.
Parece que la gente no acaba de entender lo que es Internet: un camino, una red, un lugar transitado en el que todo el mundo puede verte. Si tienes algo que guardar, no lo sacas a la calle.
#004: Efectivamente. El consentimiento del cliente habilitaría a la empresa norteamericana para tratar sus datos. Pero tiene que ser un consentimiento informado. Es decir, el cliente debe saber que si la empresa americana es requerida por el gobierno norteamericano para permitir el acceso estos datos sin mandamiento judicial, tendrá que hacerlo por imperativo legal.
Por lo tanto, si el contrato es de fecha anterior al conocimiento de esta posibilidad por parte del cliente, la cláusula de consentimiento podría dejar de tener validez.
¿Es esta la respuesta de Alemania al caso Volkswagen?