Max Schrems: "Después de cinco años del GDPR todavía vemos cómo las autoridades no están haciendo bien su trabajo"

Unos podrían llamarlo el héroe sin capa de los derechos digitales. Otros, el gran dolor de cabeza de los reguladores. En lo que todos concuerdan es en que Max Schrems, el abogado y activista austríaco de 36 años, tiene un rol relevante en la historia reciente de la legislación sobre protección de datos.

Dos hitos marcaron el temprano interés de Schrems por los derechos digitales. El primero, fue su época de estudios en un instituto de Florida. “Había cámaras por todas partes, todo se anotaba en el ordenador, si llegabas más de dos minutos tarde alguien llamaba. Era un poco raro desde una perspectiva europea, porque normalmente somos un poco más relajados”, narra durante una entrevista con CSO. El segundo hito fue uno que marcó al mundo entero: el 11-S, atentado terrorista que generó una nueva visión en Estados Unidos sobre la privacidad y la vigilancia. 

Mientras aún terminaba su carrera de Derecho, Schrems y un par de amigos comenzaron a investigar cómo Facebook recopilaba y utilizaba información personal de sus usuarios, lo que lo llevó a fundar la organización Europa vs Facebook en 2011 y presentar una demanda colectiva en contra de la red social y otras compañías (como Microsoft, Skype y Apple) por violaciones a la ley de protección de datos de la Unión Europea al traspasar datos de sus usuarios a la Agencia de Seguridad Nacional de los Estados Unidos a través del programa de vigilancia PRISM, filtrado por Edward Snowden. En 2015, el Tribunal de Justicia de la UE en Luxemburgo le dio la razón e invalidó el tratado trasatlántico de protección de datos llamado Safe Harbor. 

"Tenemos nuestras victorias, pero deberían ser diez veces más si el sistema funcionara"

Tras la histórica victoria de Schrems, Estados Unidos y la UE acordaron un segundo tratado para la transferencia de datos llamado Privacy Shield, que entró en vigor en 2016 y que en 2021 fue nuevamente invalidado producto de una acción legal liderada por el activista austríaco. Para entonces, Schrems ya había profesionalizado sus andanzas con la fundación, en 2017, del Centro Europeo para los Derechos Digitales, mejor conocido como Noyb (non of your business o ‘no es asunto tuyo’, por sus siglas en inglés), desde el cual coordina las más de 800 denuncias en el marco del Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés) que tiene activas en todo el mundo. De éstas, 13 se dirigieron a la Agencia Española de Protección de Datos y 11 siguen pendientes.

Con un tercer tratado de traspaso de datos entre el Viejo Continente y Estados Unidos recientemente aprobado, Schrems apunta a un desinterés de las autoridades en los derechos digitales en esta entrevista para CSO.

Dos acciones legales que lideraste invalidaron normativas sobre la transferencia de datos de ciudadanos europeos a Estados Unidos, algo en lo que se sigue trabajando a día de hoy. ¿Cómo valoraste entonces esa victoria legal?   

Para ser sincero, como adoptamos un enfoque jurídico muy conservador y académico, no me sorprendió demasiado, porque argumentamos lo que el tribunal ya había dicho, no sobrepasamos los límites. Así que el resultado para nosotros fue bastante lógico. Lo que me sorprendió más fue la reacción y que básicamente se ignorara al tribunal. En primer lugar, la industria no ha reaccionado realmente, pero también la Comisión Europea se ha limitado a decir ‘oh, escribiremos el mismo acuerdo en otra ocasión, le daremos un nuevo nombre y lo presentaremos de nuevo’. Para mí, esto es lo más interesante: aunque ganes en el Tribunal Supremo o en la Unión Europea, a menudo los cambios sobre el terreno no se producen realmente. 

Se ha aprobado un tercer acuerdo para la transferencia de datos entre la UE y Estados Unidos. ¿Cómo valoran la nueva propuesta desde Noyb? ¿Cuáles son sus carencias?   

En gran medida es el mismo texto. Vemos que, otra vez, durante un año y medio, los negociadores no pudieron encontrar una solución entre la UE y EE.UU. Y entonces Von der Leyen y Biden se reunieron, tomaron un café y de repente resolvieron todos los problemas. Y se ve que es principalmente político, que básicamente EE.UU. quiere tener esta adecuación y tirarán cualquier cosa en la arena política para conseguirlo. Eso es, desde la perspectiva de un abogado, un poco problemático, que fundamentalmente la ley no provea y la política lo haga de todos modos. Y por eso creo que la tercera vez también tenemos que hablar un poco sobre el tejido constitucional de la UE porque, si el ejecutivo simplemente aprueba lo mismo una y otra vez, esperando que el poder judicial se canse de decirle cuál es la ley, eso no es realmente respetuoso con el Estado de derecho. Es especialmente interesante porque los comisarios europeos suelen hablarle a todo el mundo del Estado de derecho y de lo importante que es, pero parece que una vez que se centran en estos temas o una vez que están en el extremo receptor, tampoco están tan interesados en ello.  

¿Cuáles crees que son los elementos clave que debería tener un acuerdo como éste y que ahora mismo no se está teniendo en cuenta? 

A largo plazo lo que necesitamos es lo que llaman Acuerdo de No Espionaje, al menos entre países democráticos. Lo interesante es que en realidad estamos de acuerdo en los fundamentos del derecho a la privacidad a ambos lados del Atlántico. Lo que hacen los estadounidenses también sería una violación de la Cuarta Enmienda de la Constitución de EE.UU., sería inconstitucional si se hiciera sobre personas estadounidenses. Lo interesante es que estamos de acuerdo en el nivel de protección contra el gobierno en gran medida, pero no tanto en el sector privado. EE.UU. es mucho más abierto a que el sector privado te espíe, pero cuando se trata de la vigilancia de los gobiernos, en realidad tenemos puntos de vista bastante similares.

"EE.UU. es mucho más abierto a que el sector privado te espíe, pero cuando se trata de la vigilancia de los gobiernos tenemos puntos de vista bastante similares"

No vamos a conseguir que Rusia o China estén de acuerdo con esto, pero creo que entre los países democráticos tendríamos que llegar a garantías básicas para decir que la vigilancia es legítima, pero sólo cuando hay una causa probable y un juez que examine las razones y diga si está bien o no, y eso también puede hacerse de forma muy rápida. Lo interesante del nuevo acuerdo es que incluye un pasaje al respecto, en el que se dice que Estados Unidos sólo concede estos nuevos derechos, que son casi inexistentes, si la Unión Europea concede derechos similares a los estadounidenses, y eso podría ser un punto de partida para llegar gradualmente a un nivel superior. Ahora mismo no es realista, por cuestiones políticas.

Dado tu papel clave en todo este asunto, ¿crees que la UE te considera un aliado o un obstáculo para la conclusión de acuerdos? 

Depende de a quién preguntes en la UE. Algunos Estados miembros, pero sobre todo el Parlamento Europeo, critican mucho la situación actual. El problema es que los dirigentes de la Comisión no son muy firmes en estos temas. Antes era Viviane Reding, luego [Vera] Jourová, que al menos siguieron con el tema. Ahora tenemos a [Didier] Reynders como Comisario de Justicia, y en el fondo no lo entiende. Una vez cené con él durante dos o tres horas, ese tipo no tiene ningún interés en estos temas, no le importan lo más mínimo. Y en la Comisión Europea, el departamento que está a cargo de estas transferencias de datos tiene al comisario y a dos personas que trabajan a puerta cerrada, y mi entendimiento es que estas personas entienden los problemas, pero también saben políticamente que no deberían entender los problemas demasiado. 

Dices que es una cuestión política, pero ¿crees que también están cediendo a la presión del lobby tecnológico? 

No del lobby tecnológico, en gran medida del Gobierno estadounidense. En realidad, el lobby tecnológico lo tiene muy difícil en este proceso, porque no se les ve como alguien que interese demasiado. Pero lo que sigue siendo muy fuerte es todo el debate trasatlántico, de la OTAN, del tipo ‘somos grandes amigos’. Viniendo de un país neutral pienso que tenemos muchos puntos de vista similares, pero no tenemos por qué estar de acuerdo en todo. Pero en Bruselas hay una opinión muy, muy fuerte de que Estados Unidos es el hermano mayor y que no hay que molestar al hermano mayor. Al menos eso es lo que yo personalmente saco de estas discusiones. Siempre es un poco el elefante en la habitación, el no preguntar demasiado sobre Estados Unidos.

¿Cuál ha sido la mayor victoria legal de Noyb este último año? 

Creo que lo más interesante fue la discusión con Meta, en la que básicamente nos dijeron que habían conseguido un bypass para el consentimiento, algo que presentamos el primer día que entró en vigor el GDPR y en el que tardaron cinco años para tomar una decisión. Y eso también fue confirmado más tarde por un tribunal de justicia en otro caso, por lo que fue para nosotros una parte realmente interesante. Llegó demasiado tarde, porque si hubiera llegado un año antes habríamos visto más movimiento por parte de la industria estadounidense, más intentos de resolver el problema. 

"El regulador irlandés emite unas seis decisiones al año, que es el número que la AEPD emite al día con el mismo presupuesto"

En este momento lo que se ve es que, después de cinco años del GDPR, todavía vemos cómo las autoridades no están haciendo bien su trabajo, que es diferente por país. Solemos nombrar como un ejemplo positivo a España, donde la autoridad [Agencia Española de Protección de Datos o AEPD] al menos emite seis o siete decisiones al día, por lo que las empresas saben que, si no cumplen, hay multas. Hay que pensar que la AEDP tiene más o menos el mismo presupuesto que el regulador irlandés de protección de datos, que se encarga de Google, Facebook y Meta, y los irlandeses emiten unas cinco o seis decisiones al año, que es el número de decisiones que los españoles emiten al día. Es realmente interesante porque las autoridades de toda Europa reciben ahora mismo unos 300 millones de euros al año en presupuestos y siempre dicen que necesitan más y más y más, pero ¿cuál es el impacto? ¿Cuáles son las consecuencias? ¿Cuál es la aplicación de la ley? ¿Cuál es la eficacia de estas autoridades?

Para nosotros es un poco alarmante que después de cinco años todavía tengamos que luchar para que nos escuchen en un procedimiento, para que nos den los documentos. El 90% de nuestro tiempo se pierde en discusiones de ese tipo, para conseguir los documentos, para ser oídos, para que se haga algo, ni siquiera en el contenido del caso. Ese es honestamente nuestro problema, que la legislatura básicamente dijo que debía haber privacidad, que debía haber una aplicación adecuada, pero no hubo un cambio de cultura con las autoridades. Éstas siguieron como antes. No sé qué hacen en todo el día y tienen muy poco personal que sepa cómo hacer cumplir la ley. Están sentados en un pequeño escritorio en su pequeña habitación y prefieren no hacer demasiado. Esto se debe en parte a la capacidad y en parte a la política. Sabemos que en muchos Estados miembros los jefes de las APD [Agencias de Protección de Datos] son nombrados deliberadamente con alguien que realmente no hace nada, porque eso protege a su industria. Hay muchos de estos elementos que son bastante preocupantes y problemáticos. Así que tenemos nuestras victorias, pero probablemente deberían ser diez veces más si el sistema funcionara. 

¿Cuál es el futuro de Noyb? ¿Tienen en la mira a las herramientas de IA generativa?  

Básicamente hacemos cosas que existen en el teléfono de la gente. Creo que gran parte de la IA aún no ha llegado al mercado, está más en fase experimental y superficial. Cuando se convierta en un tema de actualidad, también lo será para nosotros. Lo que veo ahora mismo con la IA es que, según el GDPR, los datos tienen que ser exactos. El resultado tiene que ser correcto. Así que, si la IA genera el riesgo de crédito de una persona, ese resultado tiene que ser científicamente correcto. Y en este momento gran parte de la información es muy mala.

El segundo gran tema es que este verano la Unión Europea ha aprobado la reparación colectiva [legal redress], de modo que se pueden emprender acciones colectivas, y eso va a ser muy interesante en este ámbito porque si hay cien millones de personas cuyos datos se enviaron al extranjero ilegalmente, entonces todas estas personas pueden tener una reclamación monetaria y eso entra en esferas muy diferentes de lo que hacen las autoridades de protección de datos. El sistema es bastante interesante porque se necesita una ONG para gestionarlo, que seríamos nosotros, pero a la ONG no se le permite ganar dinero con ello. Así que debería ser mucho más razonable que las demandas colectivas americanas, que son un poco locas.