Carlos B Fernández. En el análisis de los efectos que la digitalización está teniendo sobre nuestra sociedad y su ordenamiento jurídico, no es posible ignorar la opinión de las grandes empresas tecnológicas. Estas organizaciones nos han provisto de grandes infraestructuras de comunicaciones y nos ofrecen herramientas de trabajo, comunicación y ocio, ya imprescindibles en nuestro día a día. Pero, a la vez, con ello consiguen acceso a enormes volúmenes de datos personales que, por medio de algoritmos cada vez más apoyados en la Inteligencia Artificial, permiten el diseño de unas políticas comerciales cuyas implicaciones van mucho más allá de la obtención de un beneficio económico, pues el conocimiento de las personas y de las sociedades que proporcionan alcanzan niveles nunca anteriormente conocidos.
Son organizaciones de carácter global y con una capacidad de extraer y generar información universal e inmediata. Su capacidad guarda relación directa con su tamaño y omnipresencia. Representan mejor que ninguna otra empresa humana, la idea de aldea, pequeña pero multifacética, hiperconectada y dependiente de la tecnología que ofrecen. Y, por ello, son objeto de la sospecha y el escrutinio receloso de muchos.
Los escándalos por el uso indebido de los datos que gestionan, que en algunos momentos les han afectado, han impulsado el desarrollo, sobre todo en Europa, de estrictos marcos regulatorios. Y, en muchos casos, les han llevado a dotarse de sistemas internos de mejora de la gobernanza, a fin de velar por el respeto al derecho de los ciudadanos, en el desarrollo de herramientas que explotan los datos y, mas especialmente, de los sistemas de inteligencia artificial.
Por todo ello, hemos invitado a participar en esta celebración del número 50 de Diario La Ley Ciberderecho a represantes de dos de las empresas más relevantes a nivel global, Google y Microsoft, junto con otro de la empresa española más relevante en el secto, Telefónica. María Álvarez Caro, Gerente Políticas Públicas y Relaciones Gubernamentales Google; Gabriel López, Director de Asuntos Regulatorios de Microsoft Ibérica y Christoph Steck, Public Policy & Internet de Telefonica, excelentes ejemplos de los expertos que las grandes tecnológicas ponen al frente de sus proyectos para velar por el respeto de los derechos de sus usuarios, que nos permiten conocer su enfoque sobre estas políticas.
Datos, algoritmos y derechos de los ciudadanos parecen ser los tres ejes de la relación entre las empresas y los consumidores ¿cómo valora el estado actual de esa relación?
María Álvarez Caro: En la nueva era digital, los datos y los algoritmos juegan un papel clave para la innovación, para poder ofrecer productos y servicios adaptados a las necesidades de los consumidores. No cabe duda de que la innovación basada en el uso de los datos es lo que ha permitido que los consumidores disfruten, a día de hoy, de numerosos servicios que mejoran su calidad de vida y les aportan numerosos beneficios y, en definitiva, servicios a los que muy pocos renunciarían. A su vez, el derecho a la protección de datos de carácter personal es un derecho fundamental que las empresas que innovan deben respetar. El Reglamento 679/2016 (LA LEY 6637/2016) General de Protección de Datos aporta un marco jurídico que está siendo exportado a numerosas partes del mundo y que otorga esa protección, a la vez que aporta un equilibrio entre la innovación y la protección de datos de carácter personal, que se plasma en la incorporación de principios como el enfoque basado en el riesgo, la responsabilidad proactiva, la privacidad desde el diseño o la privacidad por defecto. A su vez, en el momento actual, donde los datos y algoritmos cobran gran protagonismo, resulta clave el fomento de la transparencia por parte de las organizaciones.
Gabriel López: Desde la entrada en vigor del Reglamento General de Protección de Datos (LA LEY 6637/2016) se determinó un nuevo equilibrio entre empresas y usuarios. Esta regulación estableció las bases normativas para una nueva relación de confianza entre empresas y usuarios en el sentido amplio de la palabra. En el caso de España, el legislador consideró necesario describir con mayor detalle y, en algunos casos, ampliar el catálogo de derechos digitales de los ciudadanos mediante la Ley Orgánica 3/2018 de 5 de diciembre (LA LEY 19303/2018), de Protección de Datos Personales y garantías de los derechos digitales.
Por otro lado, desde hace ya varios años, entre las entidades públicas, la industria y la sociedad en general se ha mantenido una conversación continua sobre la necesidad de establecer límites éticos y normativos al uso de tecnologías digitales, como la inteligencia artificial. Durante este periodo se han desarrollado innumerables estrategias nacionales para la transformación digital de la sociedad; de forma paralela, hemos experimentado un proceso acelerado de digitalización, el escenario que anticipábamos para el año 2023, se materializó en tan sólo unos meses durante el confinamiento generalizado en 2020. También hemos sido testigos y en algunos casos víctimas, de los efectos negativos que puede tener el despliegue no controlado de esta tecnología.
Este diálogo, por citar un caso, ha tenido como consecuencia la propuesta de Reglamento para la Inteligencia Artificial presentado por la Comisión Europea el pasado 21 de abril. Esta propuesta normativa de manera justa recoge muchas de las preocupaciones que se han manifestado por los expertos y reguladores, a la vez que busca establecer un equilibrio con base en el riesgo que puede presentar el uso de la inteligencia artificial en ciertas aplicaciones.
"El éxito del desarrollo de la economía digital dependerá de la confianza que tengan los usuarios de servicios digitales en las empresas que les prestan dichos servicios"
La relación entre empresas y usuarios es ciertamente más compleja. En adición a los puntos antes indicados, podríamos agregar temas relacionados con la ciberseguridad, la compartición de datos o Data Sharing, la protección de menores en entornos online, el desarrollo de habilidades digitales, en fin, una infinidad de temas que trastocan y reinventan aspectos muy relevantes de dicha relación. A pesar de ello, el hilo conductor de esta relación se mantiene y es la confianza. El éxito del desarrollo de la economía digital dependerá de la confianza que tengan los usuarios de servicios digitales en las empresas que les prestan dichos servicios. Si los usuarios perciben que sus datos son utilizados para prestarles mejores servicios y que su privacidad e intimidad no se ve vulnerada o que sus datos no son explotados de manera ilegítima, entonces se generarán mejores interacciones entre usuario y empresa que beneficiarán al ecosistema en general.
Christoph Steck: El estado de esta relación varía en función de la región del planeta en que nos encontremos. En Europa, estamos liderando el desarrollo de marcos regulatorios que guíen y aporten transparencia, certeza y seguridad a este vínculo entre empresas y usuarios, a través de la tecnología. No en vano se habla del “superpoder” regulatorio europeo y de su capacidad para exportar estándares normativos, como se observa en el caso del Reglamento General de Protección de Datos (LA LEY 6637/2016) que ha sentado precedente internacional. Avanzar en una digitalización que respete nuestros valores es una clara prioridad para Europa y es precisamente sobre estos ejes donde está enfocando su actividad: la propuesta de Reglamento para la Inteligencia Artificial recientemente publicada por la Comisión Europea, el European Data Act o la Carta de Derechos Digitales en la que está trabajando la presidencia portuguesa del Consejo de la Unión Europea para aumentar la confianza en la economía digital, son propuestas claramente interrelacionadas y que muestran la relevancia y el interés de Europa en los mismos.
A pesar de estos avances, la regulación de la tecnología es un reto muy relevante si tenemos en cuenta la velocidad a la que se están produciendo los cambios en la sociedad digital. El ritmo del progreso tecnológico rápidamente deja obsoletos los marcos regulatorios y de políticas públicas existentes. Sin embargo, este desfase no debería inspirar medidas ad hoc, incapaces de sobrevivir a un mundo digital que se reinventa a un ritmo vertiginoso y que pueden mermar la capacidad de innovar. Al contrario, más que nunca es necesario establecer marcos normativos horizontales, tecnológicamente neutros y a prueba de futuro que sean capaces de evolucionar y adaptarse a nuevos desarrollos tecnológicos. En paralelo, el establecimiento de un marco ético, con directrices claras y flexibles para el uso de tecnologías como la Inteligencia Artificial y los algoritmos, puede contribuir a crear un entorno digital más confiable, seguro, competitivo y duradero. Este proceso requiere una nueva gobernanza y un comportamiento responsable por parte de las empresas y las Administraciones públicas sobre el uso de la tecnología.
Por todo lo anterior, se necesita un enfoque regulatorio y una supervisión diferentes, basados en principios y en soluciones que fomenten la innovación, un level playing field y sean a prueba de futuro. Un ejemplo de estas soluciones innovadoras, son los sandboxes de Inteligencia Artificial que permiten la experimentación en entornos controlados y supervisados. Para poder ser competitivas, las empresas necesitan tener espacio para innovar y la regulación debe ser un acicate y no un obstáculo en el camino.
Adicionalmente, la IA puede suponer un apoyo relevante para los reguladores en las tareas de supervisión de los mercados, mejorando su labor de aplicación de los marcos legales y regulatorios establecidos: desde tareas de identificación de contenidos ilegales, a revisión de mercados, análisis de impacto y escenarios de medidas regulatorias, etc.
¿Qué efectos cree que ha tenido la pandemia en la forma de enfocar esa relación desde la empresa?
María Álvarez Caro: La pandemia ha puesto de manifiesto el rol clave que juega la tecnología en nuestras vidas y ha acelerado el proceso de digitalización. Lo hemos visto en la adopción masiva de la tecnología para la educación a distancia, el teletrabajo o al mantenimiento del contacto social en etapa de confinamiento, por ejemplo. La pandemia ha implicado, por un lado, que capas de la población que no hacían uso de la tecnología o hacían un uso muy limitado, hayan comenzado a hacer uso de la misma. Por otra parte, ha hecho que los consumidores sean más conscientes del poder de la tecnología y de su dependencia de la misma.
El reto para las empresas ha sido adaptarse a un cliente virtual, sin contacto físico y, por tanto, ganarse la confianza del consumidor en un mundo sin contacto físico. Por tanto, la relación empresa-cliente ha pasado a ser casi exclusivamente online, lo que ha conllevado que las empresas pongan cada vez más interés en el refuerzo de áreas como la ciberseguridad o la privacidad, entre otras. En lo que respecta al consumidor, este cada vez es más consciente de la importancia de contar con las capacidades digitales básicas para poder hacer un consumo que es, por definición, cada vez más online, y para el que necesita estar adecuadamente preparado.
Gabriel López: El primer efecto a resaltar es la necesidad de acelerar la digitalización de servicios públicos. La colaboración público-privada adquirió una relevancia especial para mantener diversas funciones y servicios disponibles para los ciudadanos. Uno de los primeros sectores en digitalizarse fue el educativo, donde la velocidad de digitalización fue prácticamente inmediata una vez decretado el estado de alarma y la población fue confinada. Los más 28.816 colegios en España requirieron equipo, conectividad y aplicaciones educativas para continuar la educación. Este caso en particular fue uno de los más inspiradores, ya que se unieron los ministerios, consejerías responsables, colegios, empresas y especialmente profesores y alumnos con un solo objetivo, mantener el sistema educativo español. Los profesores y los alumnos especialmente han sido la punta de lanza en esta transformación y son los que más han exigido, con razón, que los servicios que se prestan desde las empresas, cumplan no sólo con el marco regulatorio, sino con estándares éticos superiores para proteger a los alumnos.
Otro sector que claramente ha sufrido una transformación acelerada ha sido el sector sanitario. No es de extrañarse que no haya sido a la misma velocidad que el sector educativo, al fin y al cabo, los hospitales y equipos sanitarios estaban en la primera línea de defensa contra la pandemia. Uno de los principales retos que salieron a la superficie en el momento de gestionar los recursos finitos ante una situación totalmente desconocida, fue la necesidad de contar con sistema que centralizase información sobre los recursos disponibles. Asimismo, se identificó la necesidad de crear mecanismos eficaces de compartición de datos para la investigación y tratamiento del COVID-19. Un ejemplo en ese sentido ha sido la guía y plataforma ofrecida por Fundación 29 de Febrero para la creación de Open Data Sets para la investigación, que recientemente fue premiada por la Agencia Española de Protección de Datos.
En estos casos, las empresas han aportado y acompañado a los hospitales, institutos y pacientes para revolucionar la forma en que los servicios sanitarios habían sido ofrecidos hasta hace algunos años.
Otro aspecto importante es la transformación acelerada de la economía. Ahora es más claro que nunca que todos los negocios requieren de cierto nivel de digitalización. En 2020, de acuerdo con los datos del INE, 93,2% de la población de entre 16 a 74 años ha navegado por internet, lo que representa aproximadamente 35,5 millones de personas, de las cuales 53,8% ha participado en operaciones de comercio electrónico. Estas cifras evidencian que prácticamente la totalidad de la economía se ha digitalizado
La pandemia ha servido como catalizador de proyectos y, en muchos casos, para identificar los límites de la tecnología. Antes de la pandemia, creíamos que la Inteligencia Artificial sería la solución a cualquier problema de la vida cotidiana, pero la realidad nos ha dado un baño de humildad. Lo cierto es que la digitalización ha crecido de manera exponencial y los retos que se habían detectado incluso antes de la pandemia permanecen. Ello explica la necesidad se plantea a los gobiernos sobre regular dicho crecimiento. La dependencia tecnológica en mercados exteriores obliga a reflexionar sobre la necesidad de lograr autonomía que permita cubrir las necesidades estratégicas del país.
"El aprendizaje más relevante de la pandemia es el valor y la gran capacidad de la conectividad y las infraestructuras como pilar fundamental de la actividad, tanto económica como social"
Christoph Steck: El aprendizaje más relevante de la pandemia es el valor y la gran capacidad de la conectividad y las infraestructuras como pilar fundamental de la actividad, tanto económica como social. Y la labor de las empresas como Telefónica para garantizar un funcionamiento y calidad adecuada que permita seguir desarrollando esta actividad, ha sido y seguirá siendo fundamental. Pero no podemos quedarnos solo en el acceso a la vida digital. La relación que describíamos anteriormente tiene una fuerza tractora que es la confianza. En los últimos años, la confianza en el uso de la tecnología se ha deteriorado y este fenómeno se ha incrementado durante la pandemia del Covid-19.
Para recuperar la confianza digital, la tecnología debe guiarse por valores y principios, como la transparencia, la capacidad de elección y control de los usuarios y la no discriminación. No son los datos, los algoritmos o la Inteligencia Artificial los que determinan esta relación, sino el uso que hacemos de ellos. A modo de ejemplo, los datos son una fuerza para el bien común y pueden contribuir eficazmente a solucionar problemas que impactan gravemente a la sociedad, gracias a su capacidad de predicción y de toma de decisiones informadas. Pueden ayudar al diagnóstico precoz de enfermedades, a una gestión de recursos más eficiente o a un mejor abordaje de situaciones de emergencia. Para aprovechar este potencial, las personas necesitan sentirse cómodas con el uso de sus datos para poder decidir cómo y cuándo se utilizan en un entorno seguro. Las nuevas experiencias digitales deben aplicar un enfoque de "seguridad por diseño" a toda la cadena de valor de los servicios y dispositivos digitales. Esto implica diseñar el software y el hardware desde el principio para que sean seguros y aplicar actualizaciones de seguridad automatizadas como parte del proceso del ciclo de vida.
En un entorno, como el propuesto por la Comisión Europea, en donde los usos de mayor riesgo estarán regulados y sujetos a determinadas obligaciones, mientras el resto de usos no están sujetos a obligaciones especificas inherentes a la Inteligencia Artificial, los principios generales deben complementarse con la autorregulación de las empresas. La autorregulación de las empresas aporta un mayor nivel de confianza sobre el uso de la Inteligencia Artificial, aportando garantías sobre requisitos y supervisión de usos no regulados y proporcionando un marco que permite reaccionar de manera más ágil y eficiente. Asimismo, proporciona a las empresas una posibilidad de diferenciación frente a otras que no implementan mecanismos de autorregulación, a la vez que fomenta la innovación, por ejemplo, en mecanismos de prevención de riesgos, como palancas para crear una ventaja competitiva. Por tanto, las compañías e instituciones tienen que actuar de manera responsable y rendir cuentas en materia de derechos de los usuarios, así como habilitar mecanismos para remediar posibles impactos negativos sobre estos.
Una relación basada en la confianza será, en última instancia, el germen de un nuevo modelo de uso transparente, responsable y seguro de la tecnología del que se beneficien todas las partes implicadas.
¿Hacia dónde prevé que evolucione esa relación, ante el nuevo marco regulatorio europeo en materia de gobernanza del dato, la IA y la ePrivacy?
"En la relación empresa-consumidor cobrará cada vez más relevancia el elemento de la transparencia, entendida esta como información clara y precisa a facilitar al consumidor, en relación con los datos y el uso que de los mismos hacen las empresas y la lógica aplicada a las decisiones automatizadas"
María Álvarez Caro: A la luz del nuevo marco regulatorio y de las líneas prioritarias de la política regulatoria en Europa, en la relación empresa-consumidor, el elemento de la transparencia cobrará cada vez más relevancia, entendida esta como información clara y precisa a facilitar al consumidor, en relación con los datos y el uso que de los mismos hacen las empresas, la lógica aplicada a las decisiones automatizadas o en el uso de algoritmos, etc. A su vez, será más importante utilizar la tecnología precisamente para conseguir una mayor protección de la privacidad, es decir, innovar y utilizar la tecnología con la finalidad de garantizar la privacidad de los consumidores, desechando técnicas o mecanismos más invasivos desde el punto de vista de la privacidad, lo que está directamente relacionado con el principio de privacidad desde el diseño que recoge el Reglamento 679/2016 (LA LEY 6637/2016) General de Protección de Datos.
A su vez, en el marco regulatorio europeo en tramitación, como puede ser el futuro Reglamento de ePrivacy se observa un refuerzo del consentimiento como base legal para el tratamiento de datos de carácter personal. En alguna de las obligaciones y prohibiciones que La Ley de Mercados Digitales, en tramitación en Europa, contempla para las grandes plataformas tecnológicas, también se observa este refuerzo del consentimiento como base legal por excelencia para el tratamiento de datos de carácter personal. Esta tendencia no está exenta de retos, pues es importante recordar que el propio Reglamento General de Protección de datos (LA LEY 6637/2016) contempla seis bases legales para el tratamiento de datos de carácter personal, bases legales en plano de igualdad y no recogidas como excepciones al consentimiento. Por otra parte, cabe hacer mención al reto desde el punto de vista de experiencia de usuario, que puede verse afectada en caso de tener que recurrir en exceso al consentimiento.
Gabriel López: Queda mucho por hacer, hay diversas propuestas normativas a nivel nacional que tienen un impacto sobre el desarrollo de la economía de datos, normas que incluyen la citada Ley Orgánica 3/2018 de 5 de diciembre (LA LEY 19303/2018), la propuesta de Ley General de Telecomunicaciones, la propuesta de Carta de los Derechos Digitales, la propuesta de ley de seguridad para redes 5G, por citar algunas.
Por otro lado, a nivel europeo existen varios procesos legislativos que determinarán, en gran parte el funcionamiento del mercado único digital, por ejemplo, la propuesta de directiva sobre derechos de autor en el mercado único digital, la propuesta de Reglamento de Servicios Digitales, la propuesta de Reglamento de Mercados Digitales y muy recientemente (21 de abril) la propuesta de Reglamento para la Inteligencia Artificial.
Esta propuesta de Reglamento es uno de los primeros grandes pasos para regular el uso de esta tecnología y que tendrá efectos transformadores no sólo en Europa sino en el mundo.
El enfoque de la regulación está basado en el riesgo (algo parecido al Reglamento General de Protección de Datos (LA LEY 6637/2016)) con una orientación al análisis de acceso al mercado único. Por lo que se refiere a su alcance geográfico, se circunscribe a la comercialización de sistemas de inteligencia internacional en el mercado de la Unión Europea, sin embargo, se extiende a sistemas de Inteligencia Artificial en terceros países cuando los sistemas o productos se utilicen en la Unión Europea.
La regulación define cuatro niveles de riesgo para los sistemas de inteligencia artificial: inaceptable (prohibido), alto (regulado), limitado (obligaciones de transparencia), mínimo (aplica el marco jurídico existente).
Esta batería de medidas regulatorias es consecuencia, desde mi punto de vista, de dos fenómenos que están interconectados. Por un lado, la brecha digital, con dos polos que básicamente concentran la mayoría de la inversión en capital económico y humano, Estados Unidos y China. Por otro lado, este escenario ha generado una dependencia tecnológica hacia dichos países que ha sido puesto de relieve de manera clara por gobiernos y ciudadanos durante la pandemia. Sin duda, esta situación ha alimentado el diálogo de cara a una mayor autonomía estratégica de Europa frente a dichos polos.
"El apetito regulatorio se mantendrá hasta que no se establezca un nuevo equilibrio entre las distintas fuerzas del mercado que reduzca la concentración de recursos y tecnología, sin dejar de incentivar la innovación"
Por definición, la intervención de los reguladores es necesaria cuando se precisa una corrección en los mercados por el bien de la colectividad. En ese sentido considero que el apetito regulatorio se mantendrá hasta en tanto no se establezca un nuevo equilibrio entre las distintas fuerzas del mercado que reduzca la concentración de recursos y tecnología. Dentro de la ecuación será imprescindible mantener los incentivos suficientes para la innovación, Europa debe igualmente incentivar por diseño la innovación, de lo contrario, seguirá dependiendo de lugares donde sea más eficiente innovar.
Christoph Steck: Como decía anteriormente, la clave está en desarrollar una buena legislación que aporte seguridad jurídica, certeza, armonización y esté basada en los valores europeos, particularmente en la privacidad y la protección de los datos personales.
Los marcos regulatorios relacionados con la gobernanza de datos, la Inteligencia Artificial y la ePrivacy deben contar con unas bases comunes para generar coherencia y simplificación normativa. En este sentido el RGPD, que ha demostrado ser un “estándar de oro” incluso a escala global, debe ser el marco de referencia sobre el que dialoguen el resto de las propuestas regulatorias. Tan solo espero que estas propuestas normativas sean flexibles y con aspiración de perdurar en el tiempo.
Sin embargo, sabemos que uno de los grandes desafíos de la aplicación de RGPD es su armonización en todo el territorio de la Unión. El instrumento del one-stop-shop, precisamente estaba concebido con este espíritu. No obstante, desde 2018 hasta hoy, hemos observado un cumplimiento diferenciado por países, por ejemplo, en el ámbito de la imposición de multas, en el que ha habido una gran diversidad de interpretación de la norma, reflejada tanto en el número como en las cuantías impuestas. Por ello, es necesario alcanzar una mayor coordinación europea entre las autoridades regulatorias para evitar estar disparidades.
Todavía más crítico es que los marcos regulatorios sean horizontales, es decir, se debe evitar la proliferación de regulación por sectores y en las que aplican normas distintas, como es el caso del RGPD y el ePrivacy. Esta situación genera un trato desigual debido a la compañía y no del servicio o los derechos de privacidad o protección de datos que pretende salvaguardar. El lema que debería imperar es “mismos servicios, mismas reglas, mismos derechos y misma protección”. Pero, además, esta aproximación equivocada lleva a crear un puzle regulatorio muy complejo de aplicar y de hacer cumplir, dificultando, por ejemplo, el desarrollo de nubes de datos europeas basadas en el flujo transfronterizo de los datos. No podemos cometer los errores del pasado imponiendo barreras a nuevos modelos de negocio en un mercado único europeo.
En cuanto a la propuesta de regulación de Inteligencia Artificial, considero que el enfoque es el correcto. Establece obligaciones distintas en función del riesgo que presenta el uso de un sistema de IA determinado que van desde la prohibición completa, a test de conformidad, elaboración de informes de autoevaluación o niveles de transparencia. Otro elemento positivo de la propuesta es que incluye la posibilidad de establecer sandboxes regulatorios que, sin duda, facilitará la innovación en entornos controlados. Un análisis más profundo de la propuesta de Regulación nos permitirá plantear mejoras dirigidas garantizar una IA alineada con los valores europeos, que preserve los derechos de las personas y que permita a Europa desarrollar el potencial de la IA para máximo beneficio de la sociedad.
Por concluir, espero que las nuevas propuestas legislativas incorporen una visión más actualizada y acompasada con los tiempos que vivimos. Una nueva manera de regular implica tener en cuenta el dinamismo de la innovación tecnológica y desarrollar un marco normativo basado en las características de la economía digital, más cercano a los desarrollos del mercado, potenciando las posibilidades que ofrece la tecnología para la sociedad y la economía.
¿Cree que es necesario un marco estable para el intercambio de datos entre Europa y los Estados Unidos (y, por ende, también el Reino Unido)? En su caso ¿sobre qué bases?
María Álvarez Caro: Es necesario solucionar la incertidumbre e inseguridad jurídica generadas tras la sentencia del Tribunal de Justicia de la UE (TJUE), del 16 de julio de 2020 en el caso Schrems II, que invalidó el acuerdo Privacy Shield, vigente desde 2016, para las transferencias internacionales de datos personales entre la UE y EEUU. Miles de compañías de todos los sectores y tamaños están afectadas, teniendo un impacto económico considerable, en un momento ya crítico con la pandemia del Covid-19 y de recuperación económica.
Los flujos de datos entre la UE y EEUU tienen un valor aproximado de 1,3 billones de dólares al año. Además, los flujos de datos transatlánticos representan más de la mitad de todos los flujos de datos de la UE y casi la mitad de los de EE.UU. Es importante destacar que prácticamente todos los sectores implicados en el comercio transatlántico o en la habilitación de intercambios internacionales, se ven afectados por la anulación de Privacy Shield. Es por ello, que resulta clave que se adopte un acuerdo político en el corto plazo entre la UE y EEUU. En el caso de Reino Unido, tras su salida de la UE, a su vez es necesario adoptar seguridad jurídica para las transferencias internacionales de datos personales y, en este sentido, la Comisión Europea, prevé que una decisión de adecuación esté lista antes de finales de junio.
Gabriel López: La necesidad de un nuevo acuerdo para el intercambio de datos entre EE. UU. y la Unión Europea es absolutamente necesario por muchas razones. No sólo es necesario para dotar de seguridad jurídica a empresas americanas que operan en la Unión Europea, también en el sentido opuesto. EE. UU. es el principal socio comercial de la Unión Europea. A pesar de la pandemia, la balanza comercial con EEUU se ha mantenido positiva, de acuerdo a Eurostat, el superávit en 2020 fue de más de 150 mil millones de Euros.
Después de la famosa sentencia Schrems II, muchos expertos han considerado que la única solución de largo plazo al problema de acceso legítimo a datos almacenados en extranjero deberá pasar por un acuerdo político entre ambos bloques y creo que no se equivocan. Los gobiernos deben resolver este problema estableciendo los límites adecuados a sus funciones públicas de forma multilateral, ello no tiene y no debe afectar ni empañar la actividad empresarial.
Por otro lado, la industria ha tenido que adaptarse para utilizar los mecanismos que aún se mantienen vigentes. Tal es el caso de las Cláusulas Modelo de la Unión Europea, quedando pendiente la resolución sobre medidas suplementarias que deberá definir el Comité Europeo de Protección de Datos. Al respecto creo que es muy importante que la resolución que se adopte sea razonable de cara a los responsables y encargados del tratamiento que incluya la posibilidad de adoptar medidas permitan mantener el comercio trasatlántico.
Regresando a la necesidad de tener un nuevo acuerdo entre EE. UU. y la UE, creo que no hay mejor momento para ello, por un lado, porque la nueva administración americana se percibe más cercana a valores europeos. Esto se demuestra con el recientemente aprobado paquete de medidas de recuperación económica, que en términos generales tiene un carácter social, con inversiones prioritarias dirigidas al desarrollo del talento local y de la pequeña y mediana empresa. Por otro lado, los programas de recuperación de los Estados Miembros de la Unión Europea persiguen objetivos similares con criterios cimentados en la eficiencia de dichos programas.
Finalmente, y no menos importante, es el tema de la ciberseguridad y el nuevo orden mundial. Lo que más me ha preocupado durante la pandemia, desde el punto de vista tecnológico, ha sido la vulnerabilidad a ciberataques de los distintos sistemas de respuesta. En ese contexto, resulta igualmente prioritario fortalecer los lazos de la relación trasatlántica para fomentar la seguridad del ciberespacio en nuestra región. Para ello conviene trabajar en el ámbito de la OTAN con un sentido de urgencia mayor al que hemos visto en los últimos años, reafirmando la necesidad de la colaboración pública-privada en este entorno.
En fin, creo que la necesidad y oportunidad están presentes para trabajar de cara a un nuevo marco de confianza trasatlántico.
Christoph Steck: La Unión Europea y los Estados Unidos mantienen una relación estrecha e histórica basada en el fomento de valores fundamentales comunes como los derechos humanos, el Estado de Derecho, el sistema económico y la competencia justa. Según datos de la Cámara de Comercio de Estados Unidos, la relación transatlántica es también el mayor y más próspero mercado del mundo en términos económicos por lo que el intercambio de datos entre ambas regiones es necesario. El último Informe sobre la Economía Trasatlántica (2021) revela que existe un 55% más de flujo de datos a través de cables entre Estados Unidos y Europa que mediante las rutas transpacíficas y gran parte de estos flujos son datos personales.
"Aspiramos a conseguir marcos normativos interoperables, basados en la idea de que la protección del dato personal, como derecho fundamental en los sistemas democráticos, debe viajar con el dato"
Este ingente intercambio de datos impulsa, una vez más, el debate sempiterno entre privacidad y seguridad. Por tanto, resolver esta dicotomía debería ser una prioridad para ambas regiones. Una solución efectiva para las transferencias transatlánticas de datos es aquella que puede ofrecer seguridad jurídica a las empresas y una protección adecuada a los ciudadanos. Aunque parece poco probable que consigamos un marco global de protección de datos, aspiramos a conseguir marcos normativos interoperables, que permitan intercambiar datos, basados en la idea de que la protección del dato personal, como derecho fundamental del individuo en los sistemas democráticos, debe viajar con el dato. Sobre esta base de cooperación entre socios con valores e ideas afines, se pueden crear estándares globales comunes, como la UE ha logrado hacer con el RGPD. Dentro de estos socios afines en valores e ideas también debemos incluir al Reino Unido.
La decisión del TJUE, invalidando los mecanismos de transferencia de datos entre Europa y EEUU como procesos alineados con la RGPD, está requiriendo la adopción de medidas adicionales por parte de las empresas europeas que, hasta su implementación, dejan a las compañías en una situación legalmente compleja. Adicionalmente, las recomendaciones del Comité Europeo de Protección de datos (EDPB, por sus siglas en inglés) sobre las Cláusulas Contractuales Tipo (Standard Contractual Clauses), establecerían unas obligaciones que exceden los requisitos del propio Tribunal de Justicia de la UE y vacían de contenido los principios de responsabilidad (accountability) y evaluación basada en el riesgo del RGPD.
Es necesario fomentar el desarrollo de mecanismos de transferencia de datos que garanticen los derechos de los ciudadanos europeos de acuerdo con el RGPD a la vez que permitan a las empresas europeas ser competitivas y proporcionen seguridad jurídica. Claramente el establecimiento de acuerdos entre Europa y otras regiones, como EEUU, que garanticen el cumplimento del RGPD y proporcionen seguridad jurídica a las empresas participantes, es una iniciativa muy valorada por las empresas para facilitar el flujo transfronterizo de datos y el desarrollo de la actividad empresarial en una economía global de datos.
Es importante tener en cuenta la naturaleza global de internet en el desarrollo posterior de estos marcos de internacionales de transferencia de datos, para no limitar los esfuerzos al eje Estados Unidos-Europa. La suscripción de acuerdos internacionales con otros países, como Japón, Brasil, India o regiones como América Latina, Asia y África también es bienvenida siempre que prime el respeto por los derechos fundamentales de los usuarios que generan estos datos. No se trataría de crear entornos normativos de carácter nacional que actúen como silos, sino de cooperar a escala regional o internacional para alcanzar estándares más amplios. Debemos evitar la fragmentación normativa porque ello redundaría negativamente sobre la protección y garantía de los derechos de las personas. Estoy convencido que Europa juega un papel clave en el desarrollo de un sistema internacional interconectado que pone las personas, y sus datos, en el centro.