‘Safe Harbor’ y la Unión Europea: ¿héroe o villano?
La semana pasada, nuestro compañero @InakiErauskin nos presentaba en su post el caso de la empresa Amazon, planteando si, desde un prisma económico y social, dicha empresa podría ser considerada como una heroína, debido al crecimiento que genera en el entorno en el que está establecida, o como una villana, debido a las actividades que realiza y las consecuencias de las mismas.
Como probablemente tod@s nuestr@s lector@s ya conocen, Amazon, junto con el resto de grandes empresas que dominan el ecosistema de Internet, fundamentan una gran parte de su negocio en la explotación de lo que se denomina comúnmente como ‘Big Data’. El análisis de datos masivos ha atraído una enorme atención en la prensa popular debido a las contribuciones que se están derivando del mismo en una amplia gama de disciplinas académicas y actividades comerciales (pincha aquí para leer el último informe de la OCDE sobre las posibilidades que ofrece el “Big data” para la generación de riqueza en nuestras sociedades – en inglés). Aunque todavía no existe un consenso sobre qué constituye exactamente el análisis de datos masivos, son tres los perfiles profesionales que cada vez más se están convirtiendo en fundamentales, no sólo para la ciencia sino también para las actividades de empresas y de organizaciones públicas: (i) ciencias de la computación, que permitan la captura, organización y transformación de los datos; (ii) estadística y creación de modelos de aprendizaje (machine learning) que permitan convertir los datos en conocimiento de manera automática; y (iii) sistemas distribuidos capaces de proporcionar la infraestructura computacional suficiente para poder llevar a cabo el análisis de datos. Amazon, al igual que el resto de las grandes empresas de Internet, cuentan con miles de personas con estos perfiles.
El mismo día de haberse publicado el post de Iñaki, la justicia europea tomaba una decisión que puede sentar un precedente sobre el futuro de Internet, y puede tener unas consecuencias que aún no somos capaces de determinar. El pasado martes, el tribunal de justicia de la Unión Europea (UE) decidía anular el conocido ‘Safe Harbor’ (o puerto seguro). La legislación sobre el ‘Safe Harbor’ se remonta a 1998, cuando los Estados Unidos (EEUU) y la UE acordaron un marco que permitiera a las empresas firmantes de EEUU, la transferencia de datos europeos, siempre y cuando garantizasen un nivel de protección adecuado y se respetasen los derechos fundamentales europeos tales como el derecho a la privacidad. Naturalmente, el nivel de datos potencialmente transferibles en 1998 era bastante diferente al de hoy en día. Mientras que en 1998 la mayor parte de dichos datos los disponían las administraciones públicas, hoy en día éstos tienen su base en Internet, y como ya hemos expuesto, son muchas las compañías que basan su modelo de negocio en la transferencia, manejo y utilización de dichos datos.
Las normativa incluida en el ‘Safe Harbor’ ya estaba siendo examinada por la Comisión Europea desde 2013, a raíz de las revelaciones de Snowden, en las que se exponía cómo el aparato de vigilancia de las agencias de inteligencia norteamericanas se nutría de forma masiva de datos provenientes de los servicios ofrecidos por las empresas comerciales de Internet. Con ello, la UE parece adoptar una posición definitiva sobre el impacto que tiene la privacidad en la vigilancia masiva a sus ciudadanos.
En principal cambio que el tribunal de justicia de la UE ha introducido al anular el ‘Safe Harbor’ es que cada país podrá establecer su propia regulación en materia de protección de datos respecto a su transferencia a empresas norteamericanas. De esta manera, los países podrían optar por suspender la transferencia de datos a EEUU, obligando a las empresas estadounidenses a tratar los datos dentro de aquel país miembro cuyos datos quieran explotar. Esta decisión puede tener consecuencias económicas no solo para los grandes grupos de Internet, sino también para la generación (o destrucción) de empleo a nivel global y para la introducción de nuevas normativas que traten de regular lo que se puede y lo que no se puede hacer en Internet. El tribunal de justicia de la UE no ha permitido un período transitorio de adaptación al nuevo contexto, lo que puede acelerar ciertas decisiones por parte de las grandes empresas de Internet. Éstas podrían adoptar una fuerte encriptación de forma rápida. En caso contrario, tendrían que reestructurar sus operaciones de procesamiento de datos europeos, construyendo por ejemplo centros de datos europeos, aunque dichos cambios conllevan un tiempo y gasto significativos. Además, hay que tener en cuenta que las empresas más grandes pueden tener recursos suficientes para adaptarse rápidamente, pero las start-ups de los desarrolladores pueden tener más dificultades. Tampoco es desdeñable el impacto inmediato que esta decisión va a tener en los bufetes de abogados de todo el mundo.
Cada vez son más las voces que piden modificar la legislación actual por una regulación a las grandes empresas de Internet en la que se les obligue a cotizar en el país de origen de los datos de sus usuarios. De esta manera, las grandes empresas de Internet tendrían más complicado evadir fiscalmente, utilizando por ejemplo a Irlanda como sede para la gestión de los datos y transferencias online de usuarios de cualquier nacionalidad Europea. El tiempo será testigo. ‘Winter is coming’, y parece que para los grandes de Internet también.
Puedes seguirme en Twitter: @jonmizabala