Ha vuelto a suceder. Una violación más del derecho básico a la privacidad. Otro escándalo público. Otro golpe a la confianza de los ciudadanos en la seguridad de sus datos personales. Y también una prueba más de que necesitamos un cambio fundamental si deseamos que los ciudadanos dejen de preocuparse ante la posibilidad de ser vigilados cada vez que visitan un sitio web o escriben un mensaje electrónico.
El sistema PRISM permite a las agencias de seguridad nacional de Estados Unidos acceder a los datos personales de los ciudadanos de la UE. Si bien el alcance del programa está aún por determinar, lo que no deja lugar a duda es la grave situación de desventaja en la que sitúa a los ciudadanos de la UE en comparación con los de EE UU. Mediante PRISM, las autoridades de seguridad nacional de Estados Unidos pueden vigilar a los ciudadanos de la UE de una forma que probablemente sería inconstitucional si los vigilados fueran los nacionales de EE UU. Además, los ciudadanos de la UE ni siquiera tienen la posibilidad de dirigirse a los tribunales norteamericanos para interponer un recurso u obtener una reparación.
Nos hallamos ante una advertencia, un aviso para todos los que han estado bloqueando la reforma de las normas de protección de datos propuesta por la Comisión Europea, pasando por alto la gran preocupación que todo ataque al derecho a la privacidad suscita entre los consumidores. Una amplia mayoría de los ciudadanos sospecha desde hace mucho tiempo que los datos que les conciernen y se hallan en poder de las empresas pueden ser utilizados (incluso con fines ilícitos) a sus espaldas. Esta pérdida de confianza es extraordinariamente dañina, pues además de minar la confianza de los ciudadanos en el Estado de derecho, menoscaba el crecimiento económico, ya que amplios sectores de nuestra economía dependen de que los ciudadanos faciliten sus datos a las empresas. Quienes hacen oídos sordos a las inquietudes de los ciudadanos están arriesgando mucho más de lo que probablemente imaginan.
La Comisión Europea ha hecho frente a esa inquietud. Europa es uno de los pocos lugares del mundo que cuentan ya con firmes normas de protección de datos a las que se añade ahora una nueva propuesta de reforma dirigida a reforzar esas normas y a introducir reglas inequívocas para la circulación de la información fuera de Europa. La aplicación de esta reforma es nuestra única vía para recuperar la confianza de los ciudadanos en el tratamiento de sus datos personales. Es preciso otorgar a las personas un mayor control sobre sus datos, un mayor “derecho al olvido” y el derecho a la “portabilidad” de sus datos. Deben saber que su silencio no equivale a su consentimiento para el tratamiento de sus datos. Deben tener la garantía de que, cuando se haya violado su privacidad, no van a ser los últimos en enterarse a través de filtraciones en los medios de comunicación.
El escándalo PRISM ha causado tanto revuelo en Europa porque ha tocado un nervio sensible. Los europeos otorgan un enorme valor a su privacidad y exigen normas que contribuyan a impedir la violación de sus derechos tanto por las empresas como por las autoridades con funciones coercitivas, en Europa y fuera de ella. Los instrumentos que nos permitirán hacer frente a estas situaciones están a nuestro alcance, en la propuesta de la Comisión. Es hora ya de que los Gobiernos y los miembros del Parlamento Europeo demuestren su compromiso con la protección de los datos de los ciudadanos. Es hora de que empiecen a colaborar con la Comisión de forma serena y constructiva para asegurar la rápida adopción de las propuestas.
El proyecto legislativo de la UE se compone de cuatro elementos esenciales para un sistema riguroso de protección de datos; todos y cada uno de esos elementos deben mantenerse. El primero consiste en una clara disposición acerca del ámbito de aplicación territorial de las normas: debe quedar absolutamente claro que las empresas no europeas han de acatar plenamente las normas de protección de datos de la UE en su oferta y venta de productos y servicios a consumidores en la UE. En otras palabras: quienes deseen jugar en nuestro campo deben seguir nuestras reglas. En segundo lugar, necesitamos una definición amplia de “datos personales” que no solo incluya el contenido de los mensajes electrónicos y las llamadas telefónicas, por ejemplo, sino también los elementos relacionados con el tráfico, como la información sobre el origen y el destino de los datos o la duración de las comunicaciones telefónicas.
En tercer lugar, no debemos limitar nuestras normas a las empresas que recogen datos de los ciudadanos, sino incluir a aquellas que procesan esa información, como los proveedores de servicios en la nube, porque —como bien ha puesto de manifiesto el escándalo PRISM— también ofrecen una vía de acceso a los datos para quienes los buscan. La UE debe establecer normas claras sobre las obligaciones y la responsabilidad de esos operadores.
Por último, debemos dotarnos de salvaguardas contra toda transferencia internacional de datos sin limitaciones. Es preciso implantar normas que aseguren que los datos de los ciudadanos de la UE solo se transfieran a autoridades con funciones coercitivas en situaciones claramente definidas, excepcionales y sujetas a supervisión judicial.
El escándalo PRISM ha encendido un debate sobre las libertades civiles, en general, y sobre la privacidad, en particular. Los políticos de Europa y del mundo entero deben demostrar que han escuchado a los ciudadanos; la confianza se gana, no se regala. Y la reforma de las normas de protección de datos de la UE es el instrumento adecuado para ganar la confianza de los ciudadanos. Es un logro a nuestro alcance, pero para ello es preciso dejar de aplazar las decisiones. Ha llegado la hora de actuar.
Viviane Reding es comisaria de Justicia y vicepresidenta de la UE.