Schrems II, bost urte geroago Cuadernos Lacre · Analisia · 2026ko maiatzaren 18a https://solo2.net/eu/koadernoak/articulos/schrems-ii-bost-urte-geroago.html Datu pertsonalen nazioarteko transferentzien zuzenbidea aldatu zuen sententzia. Bost urte geroago, Europako eguneroko bulegoaren zati handi batek ezer gertatu ez balitz bezala funtzionatzen jarraitzen du. --- Arauak aldatzeko hiru ordu behar izan zituen sententzia 2020ko uztailaren 16an, goizeko hamarrak eta laurden aldera Luxemburgeko ordutegian, Europar Batasuneko Justizia Auzitegiak C-311/18 auziaren sententzia argitaratu zuen. Hurrengo hiru orduetan, Europatik Ameriketako Estatu Batuetara egunero datu pertsonalak transferitzeko erregimen juridikoa —Privacy Shield deitua, Babes Ezkutua bere izendapen ofizialean— existitzeari utzi zion. Europako datuen babeserako arduradunek egun horretan bazkaldu zutenerako, beren enpresa eta administrazioek lan egiten zuten esparruak ez zuen gehiago balio. Sententzia Schrems II bezala ezagutzen da gaur egun, Maximilian Schrems aktibista austriarraren omenez, hark Facebook Irelanden aurka jarritako salaketak eragin baitzuen. Salaketa, zehazki, Facebook Irlanda eta Facebook AEBen arteko transferentziez arduratzen zen. Sententzia, orokorrean, askoz harago doa: Europako lurraldean jasotako edozein datu pertsonal AEBetara nola eta zer baldintzatan igaro daitekeen diktatzen du. Ia sei urte geroago, ordezko esparrua existitzen da —2023ko uztailean onartutako EU-US Data Privacy Framework-a— eta presio juridikoaren pean dago, baita ere. Schrems txanda berri bat prestatzen ari da. Bitartean, Europako enpresa txiki eta ertainek AEBetako cloud zerbitzuak erabiltzen jarraitzen dute eguneroko zereginetarako, gehienetan zerbitzu horien oinarrian dagoen auzi juridikoa oraindik irekita dagoela jakin gabe. Zer esaten zuen zehazki Schrems II-k Sententzia hiru piezaren gainean dago. Lehena Europar Batasuneko Oinarrizko Eskubideen Gutuna da, bereziki 7. artikulua (bizitza pribatua eta familiarra), 8.a (datu pertsonalen babesa) eta 47.a (tutela judizial eraginkorra). Bigarrena Datuen Babeserako Erregelamendu Orokorra da —europar askok cookie-en abisuengatik bakarrik gogoratzen duten RGPD hori—, zehazki V. kapitulua, 44.etik 50.era bitarteko artikuluak, nazioarteko transferentziei buruzkoak. Hirugarrena AEBetako inteligentzia-legedia da: Foreign Intelligence Surveillance Act-en 702. atala, FISA 702 jerga juridikoan, eta presidentetzako 12333 Agindu Exekutiboa. Auzitegiak kontraste bidez jokatu zuen. Oinarrizko Eskubideen Gutunak eskatzen du Europako herritarren datu pertsonalek, Batasunetik ateratzen direnean, RGPD-k bermatzen duenaren funtsean baliokidea den babes-maila izatea. Galdera zen, ondorioz, AEBek funtsean baliokidea den maila hori eskaintzen ote duten. Erantzuna negatiboa izan zen, eta ez ñabardurengatik. FISA 702-k baimena ematen dio AEBetako gobernuari nazio-lurraldetik kanpo dauden ez-amerikarren komunikazioak jasotzeko, prabiozko banakako baimen judizialik gabe, kaltetuari jakinarazi gabe eta Europakoaren pareko helegite eraginkorrik gabe. 12333 Agindu Exekutiboak gaitasun hori era analogoan zabaltzen du nazio-lurraldetik kanpo. Auzitegiak ondorioztatu zuen Europako herritarrak, AEBetako sistema juridikoaren aurrean, ez duela Gutunak eskatzen duen funtsean baliokidea den babesa. Baliokidetasuna, beraz, ez da existitzen. Hortik dator zuzeneko ondorioa: Europako Batzordearen 2016/1250 Erabakia, Privacy Shield transferentzietarako esparru egokitzat balioztatu zuena, baliozkotasunik gabe utzi zen. Esparru horretan soilik oinarritutako transferentzia guztiak oinarri juridikorik gabe geratu ziren une horretatik bertatik. Bizirik iraun zuena (eta zer baldintzatan) Schrems II-k ez zituen tresna guztiak ezabatu. Kontratu-Klausula Estandarrek —SCC jerga internazionalean, Standard Contractual Clauses ingelesezko siglengatik— bizirik iraun zuten. Europako Batzordeak onartutako kontratu-ereduak dira: esportatzaile europar batek eta helmugako herrialdeko inportatzaile batek sinatzen dituzte, datuak europar estandarraren arabera tratatzeko konpromisoa hartuz. 2020ko uztailaren 17an arazoa konpondu zuela pentsatu zuen enpresak SCC-ak sinatu zituen bere hornitzailearekin eta konforme geratu zen. Ezerosotasuna sententzia astiro irakurtzean iritsi zen. Auzitegiak argi utzi zuen SCC-ek baliozkoak izaten jarraitzen dutela, baina haien baliozkotasuna azpimarratu beharreko baldintza baten mende dagoela: datuaren inportatzaileak praktikan bete ahal izatea. Helmugako herrialdeko legedi nazionalak klausulak betetzea eragozten badio —adibidez, FISA 702 peko agindu batek datuak entregatzera behartzen duelako bere kontraparte europarrari jakinarazi gabe—, klausulek ez dute benetan babesten. Eta orduan, dio auzitegiak, esportatzaile europarrak transferentzia eten behar du. Honek objektu berri bat sartu zuen Europako datu-babesaren praktikan: Transfer Impact Assessment, edo transferentziaren gaineko inpaktuaren analisia, TIA akronimo ingelesagatik ezaguna. Europako enpresa batek datuak AEBetara eraman nahi dituen bakoitzean SCC-en babesean, formalki ebaluatu behar du hartzaileak klausulak bete ditzakeen, aplikatzen zaion legedia ikusita. Datuen Babeserako Europako Batzordeak (EDPB) jarraibide zehatzak argitaratu zituen TIA-k nola egin jakiteko. Praktika zintzoak emaitza bera eman ohi du: inportatzailea cloud-eko handi baten AEBetako sukurtsala bada, TIA-ri emandako erantzun zintzoa da klausulak ezin direla bete idatzita dauden bezala. Privacy Framework-a eta falta den Schrems III 2023ko uztailaren 10ean, Europako Batzordeak Egokitasun Erabaki berri bat onartu zuen: 2023/1795. Privacy Shield hil berria ordezkatzen du eta EU-US Data Privacy Framework izenpean funtzionatzen du. AEBek prabiozki aldatu zuten beren barne-erregimena 14086 Agindu Exekutiboaren bidez; horrek seinaleen inteligentziaren irismena «beharrezkoa eta proportzionala» denera mugatzen du —terminologia ezaguna irakurle europarrarentzat, ez hainbeste AEBetako administrazio-praktikarako— eta Data Protection Review Court (DPRC) izeneko berrikuspen-organo bat sortzen du. Batzordeak uste izan zuen aldaketa horiek nahikoak zirela funtsezko maila baliokidea berrezartzeko. Schrems-ek sortutako noyb erakundeak salaketa aurkeztu zuen 2023ko irailaren 7an Erabaki berriaren aurka. Argumentuak esperotakoak dira: DPRC ez da auzitegi independente bat Gutunaren 47. artikuluaren zentzuan; «beharrezkoa eta proportzionala» kontzeptuek ez dituzte estandar europarrak mekanikoki itzultzen; eta, azkenik, Agindu Exekutibo baten gainean dagoen babes bat hurrengo Agindu Exekutiboak baliogabetu dezake. TJUE-ren sententzia bat Erabaki berriari buruz —askok, etsipen puntu batekin, Schrems III deitzen dutena— hurrengo urteetarako espero da. Emaitza ezin da aurreikusi. Argumentuaren egiturak, nolanahi ere, 2020koaren antza handia du. Europako ETEak entzuten ez duena TJUE-ren areto handia deliberatzen ari den bitartean, tamaina ertaineko abokatu-bulegoak bere bezeroekin korrespondentzia trukatzen jarraitzen du Microsoft 365 bidez, Europako eskualdeetan ostatatuta baina FISA 702-ren mende dagoen AEBetako enpresa baten jabetzakoa dena. Kontsulta mediko pribatuak Google Workspace bidez sinkronizatzen ditu agendak. Zerga-aholkulariak DocuSign bidez bidaltzen ditu sinatutako deklarazioak. Psikologoak Notion-eko kalkulu-orri batetik fakturatzen du. Lan-arloko abokatu-bulegoak Dropbox-en artxibatzen ditu espedienteak. Eta ia guztiek, gainera, WhatsApp bidez artatzen dituzte bezeroak. Hori guztia 2023/1795 Egokitasun Erabakiaren babesean funtziona dezake, hornitzaileen arabera. Erabaki hori Schrems III-n erortzen den egunean, harreman horiek guztiak babesik gabe geratzen dira segundo berean. Kontua ez da retorikoa. 2022 eta 2024 artean, Europako hainbat agintarik espedienteak ebatzi zituzten tratamenduaren arduradunen aurka Google Analytics transferentzia-tresna egokirik gabe erabiltzeagatik, TJUE-ren arrazoibidea hitzez hitz aplikatuz Privacy Framework-a indarrean sartu aurretik ere. Frantziako agintaritza, CNIL, izan zen irizpidea 2022an formalizatzen lehena; Austriako, Italiako eta beste batzuetako agintariek jarraitu zuten handik gutxira. Betetze-eza, Europako ETEaren egungo diseinu operatiboaren pean, denbora errealean dokumentatzen da begiratzen dakienaren aurrean. TIA tresna gisa, ez erritual gisa Europako bulegoetatik dabiltzan TIA asko, arretaz irakurrita, ariketa formalak dira. Tresna kontraktualak zerrendatzen dituzte, hornitzailearen ziurtagiriak zenbatzen dituzte, berme teknikoak aipatzen dituzte, laukitxoa markatzen dute. Gutxik galdetzen diote beren buruari serio FISA 702 agindu batek hornitzailea datuak entregatzera behartuko oukeen. Are gutxiagok galdetzen dute zer gertatuko litzatekeen transferentzia horrekin Privacy Framework-aren balizko berrikuspen baten pean. RGPD-ren 5. artikuluak betetzea frogatzeko gai izatea eskatzen dio tratamenduaren arduradunari. Serio egiten ez den TIA batek ez du ezer frogatzen; frogatzen duena da paperean betetzeko nahia, praktikan kontrakoa egiten den bitartean. TIA-ren bertsio zintzoa galdera soil batekin hasten da: zer gertatuko litzateke bihar hornitzaile honi datu zehatz hauen gaineko FISA 702 agindu bat iritsiko balitzaio? Erantzun zintzoa «guri abisatu gabe entregatu beharko lituzke» bada, klausula kontraktualek ez dute arazoa konpontzen. Arazoa konpontzen duena, galderak benetan garrantzia duen kasuetan, datua hornitzaile horren eskuetan ez izatea da. Aldaketa politikoa arrisku estruktural gisa Badago beste geruza bat, politikoa, dramatismorik gabe izendatzea komeni dena. 2023/1795 Egokitasun Erabakia, azken finean, 14086 Agindu Exekutiboaren gainean dago, Biden presidenteak 2022ko urrian sinatua. Agindu Exekutibo bat presidente batek sinatzen du eta hurrengoak baliogabetu, aldatu edo edukiz hustu dezake. Europako datuen babesa AEBetan, beraz, administrazio-erabaki baten mende dago, ez baitute ez Ameriketako Kongresuak bermatzen, ezta Ameriketako sistema juridikoak babesten ere beste barne-gai batzuk babesten dituen sendotasunarekin. 2025eko urtarriletik administrazio berri bat dago AEBetan, eta EO 14086-ren jarraipen praktikoari buruzko galdera ez da jada hipotesi bat, garaikidea baizik. Administrazioak Agindua erretiratzea edo leuntzea erabakitzen duen edozein agertokik piezarik gabe utziko luke Europako Erabakia. Ez da argumentu konspiratzailea. Diseinu juridikoaren irakurketa soila da. Transatlantiko datu-babeserako esparruak bi aldiz erori dira jada: Safe Harbor 2015ean (Schrems I sententzia), Privacy Shield 2020an (Schrems II). Hirugarrena bere bi aurrekoak baino pieza hauskorrago baten gainean dago. Gaur egun bere datuen tratamendua pieza horren mende jartzen duen Europako enpresa bat arriskua kudeatzeko erabaki bat hartzen ari da, ez araudia betetzeko erabaki soil bat. Irakurle profesionalarentzat Datu profesionaletarako cloud zerbitzu bat aukeratu aurretik geure buruari egin beharreko galdera operatiboak —datuen babeserako ikuskatzaile batek egingo lituzkeen zorroztasunarekin— honako hauek dira: 1. Non gordetzen dira fisikoki datuak? Europako eskualde bat ez da nahikoa erantzuna operadorea AEBetakoa bada. 2. Nork kudeatzen du zerbitzua, zein jurisdikziotan dago inkorporatuta eta zein agindu legal jaso ditzake? 3. Zer transferentzia-tresna inbokatu da: 2023/1795 Egokitasun Erabakia, SCC-ak TIA-rekin, RGPD-ren 49. artikuluko salbuespena? Defendagarria al da aukera hori ikuskapen baten aurrean? 4. Egokitasun Erabakia bihar eroriko balitz, zer plan operatibo dago jarduerari eusteko? 5. Bada aldaera europarrik edo auto-ostataturik funtzio horretarako, eta zer kostu erreal izango luke migratzeak? Eguneroko bulegoko funtzio guztiek ez dute erantzun bera eskatzen. Barne-kontabilitaterako kalkulu-orri batek ziurrenik ez du galdera maila honetara igotzen. Bezero baten espediente penalak, historial klinikoak, langileen nominak, bai. Proportzionaltasuna legitimoa da; Europako ETEak AEBetako hornitzaileekin denetarako —baita sentikorrena denerako ere— geratzeko izan duen inertzia kolektiboa ez da. --- Schrems II-k sei urte beteko ditu uztail honetan. Sententziak ez ditu aldatu Europako enpresa gehienen eguneroko ohiturak. Aldatu du, ordea, enpresa horiek jasan ditzaketen arriskuen mapa. AEBetako administrazio-erabaki bat Europako erregalentuaren eta ETE baten benetako operatibaren artean jartzen denean, komeni da jakitea, gutxienez, erabakia hor dagoela eta hauskorra dela. Bitartekaririk gabeko arkitektura bat aukeratu dugunok —Cuadernos Lacre-ren haria dena— nahiko genuke mota honetako analisiak idatzi beharrik ez izatea Schrems bat helegite bat aurkeztera esertzen den bakoitzean. Baina egiten jarraituko dugu. Iturriak eta irakurgai gehiago - Europar Batasuneko Justizia Auzitegia — 2020ko uztailaren 16ko sententzia, C-311/18 auzia, Data Protection Commissioner Facebook Ireland Ltd. eta Maximillian Schrems-en aurka. - 2016/679 Erregelamendua (EB), V. kapitulua, 44.etik 50.era bitarteko artikuluak — datu pertsonalen nazioarteko transferentziak. - Batzordearen 2023/1795 (EB) Betearazpen Erabakia, 2023ko uztailaren 10ekoa, EU-US Data Privacy Framework-aren esparruan datu pertsonalen babes-maila egokiari buruzkoa. - Datuen Babeserako Europako Batzordea — 01/2020 Gomendioak, EBko datu pertsonalen babes-maila betetzen dela bermatzeko transferentzia-tresnen osagarri diren neurriei buruzkoak, 2021eko ekainaren 18an onartuak. - noyb.eu — 2023ko irailaren 7an 2023/1795 (EB) Erabakiaren aurka Europako datu-babeserako agintarien aurrean jarritako salaketa. - Foreign Intelligence Surveillance Act, 702. atala (50 U.S.C. § 1881a-n kodifikatua), eta AEBetako inteligentzia-jarduerei buruzko 12333 Agindu Exekutiboa nazio-lurraldetik kanpo. --- Cuadernos Lacre · Menzuri Gestión S.L.ren argitalpena · R.Eugeniok idatzia · Solo2 taldeak editatua. https://solo2.net/eu/koadernoak/