Protección de datos

César Suárez

César Suarez

Algunos países europeos enfrentan una dificultad mayor en la búsqueda de una solución legal para mitigar o compensar los efectos de la legislación de Estados Unidos que permite a sus autoridades requerir, bajo ciertas condiciones, los datos personales de terceros recopilados por empresas estadounidenses, incluso aquéllos que puedan colectar en el extranjero.

Como se sabe, el país del norte cuenta, desde marzo de 2018, con una artillería legal provista por la llamada Cloud Act (Clarifying Lawful Overseas Use of Data Act) que lo habilita para obligar a sus compañías a proporcionar los datos almacenados en sus servidores en caso de requerimiento judicial.

En un principio, el eje de la discusión respecto de la compatibilidad entre el Cloud Act y otras reglamentaciones, o la eventual transgresión de derechos de las personas en jurisdicciones distintas de la de los EE.UU., estuvo enmarcada en las posiciones establecidas por ONG y órganos privados, académicos y usuarios en general. Hasta ahora, definiciones oficiales no se habían presentado.

Con la entrada en vigencia de esta Cloud Act, la Asamblea Nacional de Francia se motivó a requerir un pronunciamiento de su Ejecutivo, enrostrándole, hace ya más de un año, que esta nueva legislación americana deja en muy mal pie al famoso Reglamento Europeo de Protección de Datos (GDPR) de 2016 –entró a regir íntegramente el 25 de mayo del 2018–. Además, en la presentación del diputado Jean-Christophe Lagarde, se hace notar que todo ello podrá ocurrir incluso si el usuario no es informado de la solicitud realizada en su contra, lo que se colisiona frontalmente con la legislación europea.

Pues bien, el pasado 30 de julio se publicó en el Diario Oficial de la Asamblea Nacional de Francia la respuesta de la Secretaría de Estado en lo Digital, dependiente del Primer Ministro, a esta consulta o interpelación –presentado el 12 de junio de 2018– por los efectos de la legislación americana. Después de un año de formulado el cuestionamiento desde la Asamblea, se podía atender a una respuesta más completa en argumentos jurídicos, particularmente si lo que se cuestionaba desde el Parlamento es lo que consideran una transgresión o “injerencia digital” indebida de parte de otro Estado y con afectación directa respecto de los internautas franceses y la eventual vulneración de sus derechos. Sin embargo, la contestación tiene un resultado sentado en la praxis o una resignación fáctica que no es habitual o reconocible ni en el ámbito jurídico galo ni en las autoridades europeas en general.

En dicho texto se contiene esta posición del Ejecutivo francés que parte por reconocer ciertos riesgos jurídicos desde que, efectivamente, se presenta el hecho de una recopilación de datos que pueden pertenecer a empresas o ciudadanos franceses, que se alojan fuera de los Estados Unidos, los que se pueden colectar por autoridades americanas fuera de lo que implica un marco más controlado de los procedimientos de cooperación transfronterizos.

Sin embargo y a pesar de la constatación anterior, luego asume que los usuarios de Internet franceses hace mucho tiempo que han optado por confiar sus datos a empresas estadounidenses, como las redes sociales u otro tipo de sitios, y que también utilizan servidores con sede en los Estados Unidos. Como resultado de lo anterior, señala la autoridad que el riesgo de acceso por parte de las autoridades estadounidenses a los datos de los usuarios de Internet franceses “no es nuevo”. Tal cual. Pragmático, por decirlo de algún modo benevolente.

Luego refuerza su aserto reconociendo esta vez el predominio de proveedores y operadores que no son europeos y que, en ese contexto, existiría un carácter vinculante con otras legislaciones, con un alcance extraterritorial, de lo que, en el fondo, notifica que se debe tener conciencia.

De esta forma, no queda otra alternativa en la respuesta que la de señalar que “el Gobierno se ha fijado el objetivo de garantizar mejor los datos de las empresas y los ciudadanos franceses”. Y luego agregar, en la misma línea, que se “Ha puesto en marcha trabajos para sensibilizar a las empresas y a los ciudadanos sobre la importancia de los regímenes legales de protección de datos y datos que se les aplican”.

Se deja, en todo caso, espacio para que producto de la modernización de su legislación y, en particular, de la Ley No. 68-678 del 26 julio de 1968, se genere una adecuada protección de las comunicaciones a personas naturales o jurídicas extranjeras respecto de la información de índole comercial, aludiendo expresamente a “los documentos e información económica, comercial, industrial, financiera o técnica”, con el fin de garantizar una protección efectiva de la información sensible contra los nuevos riesgos de la ciberseguridad y la extraterritorialidad.

Así, el gobierno francés, que ha ejercido históricamente un liderazgo indiscutido en la protección de derechos fundamentales de las personas, ha dejado pasar una buena oportunidad de realzar derechos consagrados en la celebrada RGPD, que ha sido ejemplar para muchos países, entre ellos el nuestro. Ello, más allá de no tratarse de un pronunciamiento contenido en texto legal o reglamentario, sino simplemente como posición establecida en respuesta a una consulta de la Asamblea. Reconocer que se está consciente de los problemas que suscita la Cloud Act, pero resignándose a que no puede obligar a sus ciudadanos a renunciar a crear una cuenta en Google, Amazon, Twitter o Facebook, las que, de ese modo, ipso facto aceptarían que su información ya se encuentre disponible a la autoridad estadounidense, es a lo menos desalentador. Claro está que, respecto del problema de la información de carácter comercial, anuncia que sí existirá una especial preocupación.

Cesar Suarez Sanchez es Abogado, Master en Derecho y Management de negocios internacionales en HEC Paris y Postgraduado de la Universidad del Desarrollo en Asesoría de empresas. Ha ejercido tanto en el sector público como en el ámbito privado y tanto en Chile como en el extranjero.