Schrems II, cinc anys després

La sentència que va trigar tres hores a canviar les regles

El 16 de juliol de 2020, cap a les deu i quart del matí hora de Luxemburg, el Tribunal de Justícia de la Unió Europea (TJUE) va fer pública la sentència de l'assumpte C-311/18. En les tres hores següents, el règim jurídic que sostenia la transferència diària de dades personals d'Europa als Estats Units —l'anomenat Privacy Shield en la seva denominació oficial— va deixar d'existir. Quan els responsables de protecció de dades europeus van acabar de dinar aquell dia, el marc sota el qual les seves empreses i administracions operaven ja no servia.

La sentència es coneix avui com a Schrems II, per Maximilian Schrems, l'activista austríac la denúncia del qual contra Facebook Ireland la va disparar. La denúncia, en concret, s'ocupava de les transferències entre Facebook Irlanda i Facebook Estats Units. La sentència, en general, va molt més enllà: dicta com i sota quines condicions pot passar als Estats Units qualsevol dada personal recollida en territori europeu.

Gairebé sis anys després, el marc de reemplaçament existeix —l'EU-US Data Privacy Framework, adoptat el juliol de 2023— i està, també, sota pressió jurídica. Una nova ronda Schrems es prepara. Mentrestant, la petita i mitjana empresa europea segueix fent servir serveis cloud nord-americans per a tasques quotidianes, en la seva major part sense saber que la qüestió jurídica sobre la qual descansen aquests serveis segueix oberta.

Què deia exactament Schrems II

La sentència se sosté sobre tres peces. La primera és la Carta dels Drets Fonamentals de la Unió Europea, en particular els seus articles 7 (vida privada i familiar), 8 (protecció de dades personals) i 47 (tutela judicial efectiva). La segona és el Reglament General de Protecció de Dades —el RGPD que molts europeus només recorden pels avisos de galetes—, específicament el seu capítol V, articles 44 a 50 (art. 44 a 50), sobre transferències internacionals. La tercera és la legislació nord-americana d'intel·ligència: la secció 702 de la Foreign Intelligence Surveillance Act, FISA 702 en argot jurídic, i l'Ordre Executiva presidencial 12333.

El tribunal va procedir per contrast. La Carta de Drets Fonamentals exigeix que les dades personals dels ciutadans europeus gaudeixin, quan surten de la Unió, d'un nivell de protecció essencialment equivalent al garantit pel RGPD. La pregunta era, en conseqüència, si els Estats Units ofereixen aquest nivell essencialment equivalent.

La resposta va ser negativa, i no per matisos. FISA 702 permet al govern nord-americà recollir comunicacions de no nord-americans ubicats fora del territori nacional sense autorització judicial individual prèvia, sense notificació a l'afectat, i sense un recurs efectiu comparable a l'europeu. L'Ordre Executiva 12333 amplia aquesta capacitat de manera anàloga fora del territori nacional. El tribunal va concloure que el ciutadà europeu, davant del sistema jurídic nord-americà, no disposa de la protecció essencialment equivalent que la Carta exigeix. L'equivalència, per tant, no existeix.

D'aquí la conseqüència directa: la Decisió 2016/1250 de la Comissió Europea, que havia validat el Privacy Shield com a marc adequat per a les transferències, va ser declarada invàlida. Tota transferència emparada únicament en aquest marc va quedar sense base jurídica des d'aquell mateix instant.

El que sí que va sobreviure (i sota quines condicions)

Schrems II no va eliminar tots els instruments. Les Clàusules Contractuals Tipus —els SCC en argot internacional, per les seves sigles angleses Standard Contractual Clauses— van sobreviure. Són contractes model aprovats per la Comissió Europea: un exportador europeu i un importador del país de destinació els signen comprometent-se a tractar les dades segons l'estàndard europeu. L'empresa que va pensar haver resolt el problema el dia 17 de juliol de 2020 va signar SCC amb el seu proveïdor i es va donar per satisfeta.

La incomoditat va arribar en llegir la sentència a poc a poc. El tribunal va deixar clar que les SCC segueixen sent vàlides, però la seva validesa depèn d'una condició que convé subratllar: que l'importador de la dada pugui complir-les a la pràctica. Si la legislació nacional del país de destí li impedeix complir les clàusules —perquè, per exemple, una ordre sota FISA 702 l'obliga a lliurar les dades sense notificar-ho a la seva contrapart europea—, les clàusules no protegeixen en realitat. I llavors, diu el tribunal, l'exportador europeu ha de suspendre la transferència.

Això va introduir un nou objecte en la pràctica europea de protecció de dades: la Transfer Impact Assessment, o anàlisi d'impacte de la transferència, coneguda per les seves sigles angleses TIA. Cada vegada que una empresa europea vol traslladar dades als Estats Units a l'empara de SCC, ha d'avaluar formalment si el destinatari pot complir les clàusules atesa la legislació que se li aplica. El Comitè Europeu de Protecció de Dades (EDPB) va publicar orientacions detallades sobre com conduir la TIA. La pràctica honesta sol donar el mateix resultat: si l'importador és una filial nord-americana d'un gran del cloud, la resposta sincera a la TIA és que les clàusules no es poden complir tal com estan escrites.

El Privacy Framework i el Schrems III pendent

El 10 de juliol de 2023, la Comissió Europea va adoptar una nova Decisió d'Adequació: la 2023/1795. Substitueix el difunt Privacy Shield i opera sota el nom EU-US Data Privacy Framework. Els Estats Units van modificar prèviament el seu règim intern mitjançant l'Ordre Executiva 14086, que limita l'abast de la intel·ligència de senyals al «necessari i proporcionat» —terminologia familiar per al lector europeu, no tant per a la pràctica administrativa nord-americana— i crea un òrgan de revisió anomenat Data Protection Review Court (DPRC). La Comissió va considerar que aquestes modificacions bastaven per restablir el nivell essencialment equivalent.

L'organització noyb, fundada per Schrems, va interposar una denúncia el 7 de setembre de 2023 contra la nova Decisió. Els arguments són els esperables: el DPRC no és un tribunal independent en el sentit de l'article 47 (art. 47) de la Carta; els conceptes «necessari i proporcionat» no tradueixen mecànicament els estàndards europeus; i, finalment, una protecció que descansa sobre una Ordre Executiva pot ser revocada per l'Ordre Executiva següent. Una sentència del TJUE sobre la nova Decisió —la que molts ja anomenen, amb certa resignació, Schrems III— s'espera per als pròxims anys. El resultat no es pot anticipar. L'estructura de l'argument, en qualsevol cas, recorda molt la de 2020.

El que la PIME europea no escolta

Mentre la gran sala del TJUE delibera, el despatx d'advocats de mida mitjana segueix intercanviant correspondència amb els seus clients a través de Microsoft 365 allotjat en regions europees però propietat d'una empresa nord-americana subjecta a FISA 702. La consulta mèdica privada sincronitza agendes a través de Google Workspace. L'assessor fiscal envia declaracions signades mitjançant DocuSign. El psicòleg factura des d'un full de càlcul a Notion. El bufet laboralista arxiva expedients a Dropbox. I pràcticament tots ells, a més, atenen els seus clients per WhatsApp. Tot això pot operar emparat, segons els proveïdors, en la Decisió d'Adequació 2023/1795. El dia que aquesta Decisió caigui en Schrems III, totes aquestes relacions queden a la intempèrie en el mateix segon.

La qüestió no és retòrica. Entre 2022 i 2024, diverses autoritats europees van resoldre expedients contra responsables del tractament per fer servir Google Analytics sense instrument adequat de transferència, en aplicació literal del raonament del TJUE fins i tot abans que el Privacy Framework entrés en vigor. L'autoritat francesa, la CNIL, va ser la primera a formalitzar el criteri el 2022; les autoritats austríaca, italiana i d'altres van seguir poc després. L'incompliment, sota l'actual disseny operatiu de la PIME europea, es documenta en temps real davant de qui sàpiga mirar.

La TIA com a instrument, no com a ritual

Una part considerable de les TIA que circulen per despatxos europeus són, llegides amb atenció, exercicis formals. Llisten els instruments contractuals, enumeren les certificacions del proveïdor, citen les garanties tècniques, marquen la casella. Poques es pregunten seriosament si una ordre FISA 702 obligaria el proveïdor a lliurar les dades. Encara menys es pregunten què passaria amb aquesta transferència sota una hipotètica revisió del Privacy Framework. L'article 5 (art. 5) del RGPD exigeix al responsable del tractament ser capaç de demostrar el compliment. Una TIA que no es fa seriosament no demostra res; el que demostra és la voluntat de complir sobre el paper mentre es fa el contrari a la pràctica.

La versió sincera de la TIA arranca amb una pregunta senzilla: què passaria si demà li arribés a aquest proveïdor una ordre FISA 702 sobre aquestes dades concretes? Si la resposta honesta és «hauria de lliurar-les sense avisar-nos», les clàusules contractuals no resolen el problema. El que sí que ho resol, en els casos en què la pregunta importa de debò, és no haver posat la dada en mans d'aquell proveïdor.

El canvi polític com a risc estructural

Hi ha una capa addicional, política, que convé nomenar sense dramatisme. La Decisió d'Adequació 2023/1795 descansa, en últim terme, sobre l'Ordre Executiva 14086, signada pel president Biden l'octubre de 2022. Una Ordre Executiva la signa un president i la pot revocar, modificar o buidar de contingut el següent. La protecció de les dades europees als Estats Units depèn, així, d'una decisió administrativa que ni el Congrés americà garanteix ni el sistema jurídic americà protegeix amb la solidesa amb què protegeix altres matèries internes. Des del gener de 2025 una nova administració regeix els Estats Units, i la pregunta sobre la continuïtat pràctica de l'EO 14086 ha deixat de ser una hipòtesi per tornar-se contemporània. Qualsevol escenari en què l'administració decideixi retirar o atenuar l'Ordre deixaria la Decisió Europea sense la peça sobre la qual es va construir.

No és un argument conspiratiu. És la lectura sòbria del disseny jurídic. Els marcs de protecció de dades transatlàntics han caigut ja dues vegades: el Safe Harbor el 2015 (sentència Schrems I), el Privacy Shield el 2020 (Schrems II). El tercer descansa sobre una peça més fràgil que els seus dos predecessors. Una empresa europea que aposta avui el seu tractament de dades a aquesta peça està prenent una decisió de gestió del risc, no de pur compliment normatiu.

Per al lector professional

Les preguntes operatives que convé formular-se abans de triar un servei cloud per a dades professionals —amb el rigor amb què un inspector de protecció de dades les plantejaria— són les següents:

1. On s'emmagatzemen físicament les dades? Una regió europea no és resposta suficient si l'operador és nord-americà.
2. Qui opera el servei, en quina jurisdicció està incorporat, i a quines ordres legals pot ser sotmès?
3. Quin instrument de transferència s'invoca: Decisió d'Adequació 2023/1795, SCC amb TIA, derogació de l'article 49 (art. 49) del RGPD? És defensable aquesta elecció davant d'una inspecció?
4. Si la Decisió d'Adequació caigués demà, quin pla operatiu existeix per mantenir l'activitat?
5. Existeix una alternativa europea o autohostatjada per a aquesta funció, i quin cost real tindria migrar?

No totes les funcions del despatx quotidià requereixen la mateixa resposta. Un full de càlcul per a comptabilitat interna probablement no eleva la pregunta a aquest nivell. L'expedient penal d'un client, l'historial clínic, la nòmina dels empleats, sí. La proporcionalitat és legítima; la inèrcia col·lectiva amb què la PIME europea ha romàs en proveïdors nord-americans per a tot —fins i tot per al més sensible— no ho és.

---

Schrems II fa sis anys aquest juliol. La sentència no ha canviat els hàbits quotidians de la majoria d'empreses europees. Ha canviat, això sí, el mapa de riscos als quals aquestes empreses estan exposades. Quan una decisió administrativa nord-americana s'interposa entre el reglament europeu i l'operativa real d'una PIME, convé almenys saber que la decisió hi és, i que és fràgil. Els qui hàgim triat una arquitectura sense operador pel mig —el fil que recorre Cuadernos Lacre— preferiríem no haver d'escriure aquesta classe d'anàlisi cada vegada que un Schrems s'asseu a presentar un recurs. Però seguirem fent-los.