Existe una guerra global en internet con múltiples 'capas' (geopolíticas, comerciales, soberanas, etc.), y uno de sus capítulos más remarcables tiene que ver con la propiedad de los datos personales de los usuarios, que tan alegremente cedemos sin saber las implicaciones que eso conlleva. La Unión Europea despertó hace unos pocos años con su Reglamento General de Protección de Datos (RGPD) y ahora lucha por nuestro 'yo digital'. Poco a poco se están viendo los frutos de una de las batallas más apasionantes y silenciosas de la historia.

Todo arrancó con la denuncia de un joven activista austriaco, Max Schrems, que en 2014 demandó a Facebook por trasladar una gran parte de sus datos personales a EEUU, fuera de la jurisdicción europea. Y ganó. Desde ese momento, comenzó a surgir una especie de conciencia acerca de la importancia de los datos personales en la red y de la 'soberanía digital'.

¿Dónde están mis datos personales? ¿Qué puedo hacer para tener un control sobre ellos? ¿Quién nos ampara en internet? Las preguntas se iban acumulando mientras la capa social de internet (buscadores, servicios de mensajería, redes sociales, servicios de almacenamiento remoto) copaban prácticamente todo el espacio comercial virtual, en un idílico mundo 'sin fronteras' mediante se escapaban de sus propias responsabilidades. Eso puede estar a punto de cambiar.

Esta semana, un completo artículo de Carlos del Castillo en eldiario.es  apuntaba oportunamente que la Agencia Española de Protección de Datos (AEPD) estaba investigando a varias empresas que utilizan Google Analytics, una herramienta del popular buscador que ofrece información sobre el tráfico que uno genera en internet, tal como de dónde proviene o qué dispositivo se usa para llegar a un sitio web determinado.

Efectivamente, según ha podido confirmar Público por fuentes de la AEPD, esta Agencia española "ha recibido varias denuncias de la ONG Noyb [presidida por el propio Max Schrems] relacionadas con las cookies, particularmente las asociadas al servicio Google Analytics, que están siendo objeto de análisis en un grupo coordinado a nivel europeo". Hay hasta 101 denuncias de esta ONG presentadas en varios países de la UE.

"Estas denuncias se encuentran en este momento en fase de investigación por parte de la Agencia", afirma la AEPD en un comunicado. No es para menos, ya que otras agencias europeas de protección de datos, como la CNIL en Francia y su equivalente en Austria, ya han declarado ilegales las trasferencias de datos personales de ciudadanos europeos a EEUU. Y todo ello basado en lo que el 16 de junio de 2020 proclamaba el Tribunal de Justicia de la UE (TJUE): el acuerdo entre la UE y EEUU para la trasferencia de datos entre ambos continentes, el llamado "Safe Harbour" o "puerto seguro", quedaba "invalidado".

Desde Google confirman a este medio lo dicho al citado diario digital. "Google Analytics es un producto de procesador: cuando una organización lo utiliza para recopilar datos en sus sitios web o aplicaciones, controla esos datos en todo momento, y Google no usa estos datos más que para proteger y brindar el servicio", afirman en una nota. "Google Analytics no puede utilizarse para mostrar anuncios a partir de información sensible; por ejemplo, de salud, origen étnico, orientación sexual, etc.", explican en su blog corporativo, desde donde reclaman un "marco normativo" claro para realizar transferencias de datos, que llevan haciendo desde hace 15 años sin queja alguna, siempre según Google.

Mientras, en Meta (Facebook), se barajaba recientemente la posibilidad de abandonar Europa en un documento enviado al regulador de la Bolsa en EEUU (SEC) a causa de esta sentencia, una postura que enseguida matizó aunque señaló que, "como muchas otras empresas, organizaciones y servicios, [Meta] depende de las transferencias de datos entre la UE y Estados Unidos para poder operar". Es decir, los datos siguen viajando bajo el Atlántico.

Sigue pasando

"En la práctica se han estado transfiriendo datos, había una tolerancia porque se conocía que los datos personales eran replicados o directamente transmitidos fuera del territorio europeo", comenta a Público Sergio Carrasco, ingeniero y abogado especializado en tecnología, que añade que "la sentencia del TJUE de 2020 analizaba si las garantías en cuanto a protección de datos personales eran las mismas en la UE y en EEUU, y que al final supuso una orden de anulación de este tráfico".

"Las denuncias [de Noyb] fuerzan a Europa dar respuesta a esta situación basándose en sus propias normas y decisiones judiciales", añade este experto, "y se está empezando a destapar que esas trasferencias de datos se siguen realizando incluso sin respaldo de un acuerdo ni nada".

Tal y como afirma Carrasco, este tipo de servicios online (no sólo Google Analytics, sino de servicios en la 'nube', como Amazon AWS...) replican sus contenidos para facilitar el acceso, por velocidad o por seguridad. "Y para cumplir con la normativa europea deberían que dar 'aislados', es decir, que si se aplica estrictamente la normativa europea podríamos pasar a una red segmentada, algo contrario a la esencia de internet, que es la red global", reflexiona este experto.

Y esta situación no parece tener una solución fácil, ya que de hecho sigue existiendo ese tráfico trasatlántico. "Un nuevo acuerdo [entre Bruselas y Washington] parece casi imposible porque hay un problema de base, y es que EEUU debería adoptar una normativa de protección de datos comparable a la europea", opina Carrasco.

Tal y como apunta el reportaje de eldiario.es, existe un problema serio que destaca la CNIL francesa para declarar ilegal la trasferencia de datos a EEUU, y es el hecho de que los servicios de inteligencia estadounidenses pueden acceder a esos datos. Y ese problema es, precisamente, el que recoge la sentencia del TJUE de 2020: al dar permiso a sus agencias de investigación para acceder indiscriminadamente a esos datos, el escudo de privacidad no era suficiente para proteger la intimidad de los ciudadanos europeos.

Pero visto el panorama, la repetición (por tercera vez) de un acuerdo entre la UE y EEUU parece complicada. Y mientras tanto, seguimos utilizando nuestros servicios en la red... hasta que no podamos acceder a ellos, si pensamos en un escenario de aplicación estricta de las normas.

Quizá el salto a la llamada Web 3.0, en donde previsiblemente reinará la privacidad de los usuarios con la llegada del mundo "cripto", pueda solucionar este problema saltando por encima de él, aunque Carrasco matiza: "Yo no veo un gran cambio de paradigma, es cierto que hay herramientas de descentralización pero ahora vemos que siempre hay alguien detrás, hay unos pocos actores que concentran la mayor parte de la capacidad de decisión de las cadenas; es muy complicado volver a la descentralización real que había en los inicios de internet, y además hay un problema de eficiencia real en las cadenas de bloques, son mucho más lentas", concluye.