Transferencias de datos personales UE-Rusia desde el comienzo de la invasión de Ucrania

Desde la barra Análisis Transferencias de datos personales UE-Rusia desde el comienzo de...
- Advertisment -

El pasado 12 de julio, el EDPB publicó un comunicado acerca de las transferencias de datos personales desde la Unión Europea a la Federación Rusa. Su postura no ha dejado indiferente a nadie que lo haya leído, por su debilidad y por ponerse de perfil ante una tesitura histórica.

El EDPB es el Comité Europeo de Protección de Datos (European Data Protection Board, por sus siglas en inglés). Es el regulador comunitario de protección de datos personales. Entre sus competencias están el velar por la aplicación del Reglamento Europeo de Protección de Datos, coordinar la labor de las autoridades nacionales, proponer guías de actuación y supervisar los proyectos legislativos digitales de la Unión. A pesar de que la aplicación efectiva y la labor coercitiva corresponde a los Estados Miembros de la UE y sus reguladores nacionales, su postura ante acontecimientos que afecten al mercado digital europeo tiene gran importancia y alcance mundial.

Entre sus últimas actuaciones se incluyen: la coordinación de la actividad de los reguladores europeos en la multa a Facebook por sacar los datos personales de los europeos de la UE sin una razón válida, y la supervisión del proyecto legislativo de la UE sobre el Espacio Digital Europeo de Salud, entre otras.

En febrero de este año la guerra a gran escala volvió a Europa por la invasión ilegal e injustificada del régimen ruso a Ucrania. Esta guerra se ha comenzado a librar sobre el terreno con el bombardeo de la población civil y la conquista de ciudades. Pero también en los medios digitales a través de la guerra híbrida del Kremlin, la desinformación y las sanciones económicas y comerciales.

Foto AP/Felipe Dana

El régimen de Putin ha estado muy activo geopolíticamente en estas esferas. Pueden citarse ejemplos que al lector bien informado le vendrán rápido a la memoria: la divulgación de noticias falsas y desinformación con el objetivo de desestabilizar procesos electorales occidentales (Brexit, las elecciones norteamericanas de 2016, el golpe de estado fallido en Cataluña de 2017), ataques informáticos a gran escala a países terceros, así como censura interna.

Como respuesta a estas acciones, y especialmente la invasión a gran escala de Ucrania, las democracias libres han impuesto sanciones económicas y comerciales al régimen ruso. Estas sanciones han tenido consecuencias materiales, pero tambien inmateriales y en servicios digitales, financieros… Muchos ciudadanos y empresas se han visto afectadas. McDonalds se ha ido de Rusia, (siendo rápidamente sustituido por un impostor local), así como muchas otras empresas multinacionales.

La nueva cadena de comida rápida Govor en Rusia se ha convertido en un símbolo de las sanciones

También los medios internacionales de comunicación y los negocios digitales norteamericanos se han visto afectados (Facebook, Whatsapp, Google, Youtube, Twitch…). Muchos de estos medios digitales, así como medios de comunicación y periodistas se han visto afectados por las amenazas de penas de prisión a todo aquel que difunda noticias que se alejen de la propaganda del régimen, o por las prohibiciones directas de acceso y la censura en internet.

Huelga decir que el espacio digital juega un papel importantísimo en esta guerra. Como muestra, un botón: una de las primeras acciones que lleva a cabo el Kremlin al ordenar el ataque a una ciudad es interceptar sus telecomunicaciones y espacio digital. El objetivo es que ninguna noticia de lo que ocurra sobre el terreno salga de Ucrania. Es muy importante que estas noticias se conozcan para que la democracia ucraniana siga teniendo ayuda internacional y se conozcan las barbaries de los ataques rusos.

En el ataque a la ciudad ucraniana de Mariupol el pasado mes de mayo, un enclave fue muy importante: la acería Azovstal. En ella se refugiaron civiles de los bombardeos rusos y se convirtió en un enclave económico y militar muy importante. Los soldados ucranianos pudieron seguir comunicándose con el mundo gracias a la conexión de internet vía satélite que la empresa de Elon Musk, Starlink, les proporcionó.

Es por esto que una postura firme por parte de las instituciones de la Unión Europea es clave en el conflicto. Cualquier posible avance en el mundo digital por parte del régimen de Putin es clave en la guerra y pone en riesgo la democracia europea.

La Unión Europea ha cortado relaciones de todo tipo con la Federación Rusa a raíz de la guerra. Desde reducir la dependencia energética de Rusia, pasando por sanciones económicas, comerciales, y personales sobre los dirigentes del régimen. Sin embargo, una de las relaciones que se mantienen son las transferencias de datos personales en los negocios digitales entre la Unión y Rusia. A nivel cuantitativo no son fuertes, máxime desde la retirada de los gigantes digitales americanos. Sin embargo, tiene un gran simbolismo y un potencial de abuso muy grande por parte del Kremlin. Algunos ejemplos de estas transferencias de datos personales a Rusia son las que aplicaciones digitales de reciente popularidad como FaceApp.

El EDPB reconoce en el comunicado que, desde el 24 de febrero de 2022, la Federación Rusa se encuentra en estado de guerra con Ucrania, de facto. Como consecuencia, Rusia ha sido excluida del Consejo de Europa en marzo de 2022.

Como parte de esta retirada, las convenciones y tratados internacionales en materia de derechos humanos del CE han pasado a ser inaplicables en Rusia. Jurídicamente se le ofreció al Kremlin un opt-out, que elige a la carta qué Convenios continuan en aplicación de los ya firmados por ella, incluido el Convenio 108+ en materia de derechos digitales y de protección de datos personales. En la práctica, es un alejamiento total del acervo internacional y doctrina europea en materia de derechos humanos. Lejos de lamentar esta circunstancia, el régimen de Putin lo vio como una oportunidad, entre otras medidas, para reinstaurar la pena de muerte en el país.

En este punto es conveniente recordar que las transferencias de datos personales desde territorio de la UE a cualquier estado tercero deben seguir el Capítulo V del RGPD. La Federación Rusa no tiene una decisión de adecuación adoptada por la Comisión Europea. Su sistema legal y de libertades no puede estar más alejado actualmente del europeo. Otros instrumentos como las Cláusulas Contractuales Estándar (SCCs) obligan a una Evaluación de impacto (TIA) a las empresas que la usen a partir del caso Schrems II. Las TIAs son evaluaciones de impacto de la transferencia de datos personales. Aunque el acrónimo recuerde a los aficionados al cómic español otra institución muy diferente, con Mortadelo y Filemón como miembros ilustres). Estas TIAs no resisten una mirada cercana al entramado legal ruso por sus sistemáticas violaciones de derechos humanos. Quedarían las derogaciones del Capítulo V del RGPD, sólo aplicables en casos muy excepcionales y de difícil y criticable uso para los exportadores a Rusia en estas fechas.

En la línea de Schrems II, y para aligerar la carga que las TIAs suponen para los exportadores de datos personales (estas cargas son las mismas para Meta en su servicio Facebook, que para una PYME que usa Google Analytics en su página web), el EDPB y varias autoridades nacionales de protección de datos han publicado guías sobre los sistemas jurídicos de diferentes países relevantes. Entre ellas la más importante es la reciente del EDPB, que no se cita ni una sola vez en el comunicado sobre Rusia, a pesar de haberla encargado a un prestigioso instituto de investigación en ciencias sociales.

El EDPB se defiende argumentando que la invasión de Ucrania ha supuesto un antes y un después. Argumenta el organismo que el sistema jurídico de la Federación Rusa, previsible hasta ahora aunque con grandes reservas, ha saltado por los aires. Sin embargo, sabemos que la Federación Rusa nunca ha sido una democracia plena asimilable a los estándares internacionales. Menos aún desde la deriva totalitaria del régimen de Putin marcada por la invasión de Crimea en 2014.

Se menciona en este comunicado los “close economic and historic ties with Russia” de algunos Estados miembros de la UE. Esta unión cercana tiene como consecuencia la presencia de multitud de transferencias de datos personales, derivadas de los servicios compartidos y la actividad económica. Resulta difícil defender este argumento. ¿Se refiere el EDPB a anteriores transferencias históricas de datos personales entre los países de Centroeuropa y Europa del Este y territorio ruso?¿Los registros de la Stasi en la República Democrática Alemana en los años 80 del siglo XX y su comunicación a la URSS?¿Las personas deportadas por los regímenes comunistas en los años 70 a Siberia? Máxime cuando esta cercana unión económica e histórica nunca ha sido un argumento, ni para el TJUE ni para el propio EDPB, para justificar transferencias de datos personales a otros países como EEUU o Latinoamérica.

Resulta llamativa la cautela del regulador europeo, cuando existen pruebas del esfuerzo activo de Rusia por la localización de datos. Incluso ya antes de la invasión de Ucrania en 2022. Su autoridad nacional de protección de datos, la Roskomnadzor, multó a Apple y a Zoom por no almacenar los datos personales de los ciudadanos rusos. Ante tal ejercicio de proteccionismo digital, resulta llamativo que se corresponda con libertad y libre comercio. Máxime cuando la intención del Kremlin es abusar de esos datos personales para sus propios fines políticos y de seguridad nacional.

Ciertamente los reguladores europeos no tienen entre sus competencias la de prohibir estas transferencias. Ni siquiera han desaconsejado hasta hora la reducción de los flujos de datos a otros terceros países. A lo más que se ha llegado tras el caso Schrems II ha sido recomendar encarecidamente a los reguladores nacionales que aplicasen el resultado de la sentencia y exijan a los exportadores una base jurídica apropiada para las transferencias. No obstante, otros organismos europeos tienen un papel político más activo, y éste se puede y debe exigir a los reguladores digitales. Vienen por el camino la creación de otros reguladores para el mundo digital (AI, moderación de contenidos, mercado digital). El EDPB debe marcar el camino para ellos y luchar por los valores europeos.

En el actual contexto de guerra de facto entre Ucrania y la Federación Rusa, derivada de la invasión militar injustificada e ilegal del régimen de Putin, se debe esperar más de los reguladores comunitarios. Tenemos sanciones en el Viejo Continente en ámbitos tan amplios como las exportaciones de bienes primarios, la entrada de personas en el territorio de la Unión, los servicios digitales y el mercado energético. No se debe permitir que el mercadod digital sea un Lejano Oeste sin ley. El regulador europeo debe actuar dentro de sus competencias para ofrecer guías claras a los reguladores nacionales que prohíban las transferencias de datos personales a la Federación Rusa, salvo en aplicación estricta de las derogaciones del capítulo V del RGPD. El discurso del “deeply concern” y “closely monitoring” ya no es una opción. Todos los organismos reguladores europeos tienen una responsabilidad en la política exterior de la Unión.

Javier López Guzmán
Abogado y candidato al doctorado. Analista jurídico en la firma de consultoría Sopra Steria en Bruselas (Bélgica). Su investigación doctoral trata sobre la intersección entre la propiedad intelectual y el derecho de la privacidad. Con especial dedicación a la relación entre la protección jurídica a la innovación y el derecho digital de nueva generación, el ejercicio de los derechos relacionados con la protección de datos personales en el marco del Reglamento General de Protección de Datos de la Unión Europea. Anterior experiencia como investigador predoctoral en la Universidad Libre de Bruselas (VUB) y como funcionario interino en el Secretariado General de la Comisión Europea.

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí

Time limit is exhausted. Please reload CAPTCHA.

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

LO ÚLTIMO

Must read

De La Haya a Mexico y otros acontereces dignos de mención

Adhesion de la CE al sistema de La HayaSupongo...
- Advertisement -

Quizá también te gusteRELACIONADOS
Recomendados para ti