ßUn grupo de académicos pertenecientes a la Asociación de Constitucionalistas de España hemos tenido la oportunidad de participar como amici curiae en el writ of certiorari (o recurso de revisión) que se ha presentado ante el Tribunal Supremo norteamericano en el caso EE.UU. c. Microsoft, el cual versa sobre la legalidad de la orden de registro dictada en virtud de la Stored Communications Act (SCA) por la que la Fiscalía norteamericana pretendía acceder a ciertos correos electrónicos de una ciudadana irlandesa que estaban almacenados en Irlanda. Microsoft impugnó esta orden aduciendo que esta Ley no podía extender sus efectos extraterritorialmente si los datos están almacenados en otro país, cuando además existen cauces legales que establecen específicamente procedimientos para requerir este tipo de pruebas en investigaciones penales transfronterizas (en concreto, los Tratados de Asistencia Legal Mutua). Las pretensiones de Microsoft fueron desestimadas por el tribunal de distrito, pero el Tribunal de Apelación del Segundo Circuito de Estados Unidos revisó la sentencia dando la razón a la compañía. El Departamento de Justicia de Estados Unidos solicitó la revisión de esta sentencia por el Tribunal Supremo. Un proceso que está llamado a ser una referencia y que, como explica Greg Stohr, enfrenta a las autoridades públicas con la industria tecnológica, que se ha posicionado junto a Microsoft y que, por el momento, han dejado de atender a este tipo de órdenes paralizando importantes investigaciones penales. Una relevancia que se evidencia también en las numerosas entidades que han intervenido como amici curiae en este proceso (ver aquí). En concreto, el grupo de académicos españoles suscribimos el informe presentado por Privacy Internacional, al que también se sumaron otras organizaciones sobre derechos humanos y derechos digitales (ver aquí).
Según se ha dicho, el objeto del caso no afronta de forma directa cuestiones sustantivas en relación con la intimidad y los derechos a la protección de datos, o los problemas y deficiencias que puede presentar la legislación norteamericana y especialmente la SCA. Se trata, más bien, de un problema de eficacia extraterritorial de las normas y de los límites a las actuaciones de los poderes públicos de un Estado cuando se encuentra con un fenómeno global que traspasa fronteras. Y es aquí donde a mi entender nace el interés de este proceso: ante la inexistencia de unos estándares comunes de protección de los derechos que pueden verse afectados en el mundo digital (en este caso la protección de datos y la propia intimidad) surge la necesidad de que se establezcan mecanismos de cooperación internacional, de tal suerte que cualquier intento de intervención “nacionalista” rompe los difíciles equilibrios que sustentan la complejidad digital.
Y esto es precisamente lo que ocurrió con la orden de la fiscalía norteamericana. Como se explica en el informe presentado, la mayoría de los países democráticos han desarrollado normativas en relación con la protección de datos y la protección de la privacidad, de conformidad con las diferentes cartas y tratados que protegen los derechos humanos. En tal sentido, cada Estado se ha reconocido como soberano en la regulación de los datos almacenados en sus fronteras, estableciendo sus propios criterios y estándares de protección referidos a la conservación, custodia y transferencia de los mismos. Ahora bien, al mismo tiempo, se ha hecho imprescindible que se suscriban acuerdos internacionales para facilitar las transferencias de datos entre Estados y entre empresas sin los cuales se verían ciertamente perjudicadas la cooperación y el comercio internacionales. En concreto, los EE.UU. y la UE han suscrito tres acuerdos que ofrecen el marco jurídico para las solicitudes de datos en el Atlántico: uno sobre el intercambio de datos financieros (Acuerdo sobre el programa de seguimiento de finanzas de grupos terroristas); otro sobre intercambio de pasajeros y registros aéreos; y un tercer “acuerdo paraguas” que regula con carácter general la posibilidad de compartir datos entre EE.UU. y EU. Asimismo, hay otros acuerdos multilaterales como el Convenio de Budapest sobre Cibercrimen. Más allá, también existen los “tratados de asistencia legal mutua” (así, se han suscrito tratados de este género entre Irlanda y EE.UU. y entre la UE y los EE.UU.), los cuales establecen procedimientos para la entrega de pruebas en investigaciones penales entre Estados. En los mismos se contempla que tales solicitudes deben tramitarse a través de canales oficiales y no amparan que un gobierno pueda dirigirse directamente a los prestadores de servicios.
Y es que, sólo a través de estos procedimientos -los cuales prevén las oportunas garantías a los efectos de respetar los diferentes estándares normativos-, sería legal conforme al Derecho europeo que una empresa cediera determinados datos personales a un Gobierno extranjero. De hecho, como se explica en el mencionado informe, si Microsoft hubiera cumplido con la orden de la fiscalía norteamericana habría vulnerado las normas de protección de datos irlandesas. Debe además tenerse en cuenta que a juicio de la Comisión Europea los EE.UU. no ofrecen una adecuada protección a los datos personales y, por ende, se exigen cautelas adicionales cuando se quieran transferir datos a este país.
De manera que reconocer eficacia extraterritorial a la SCA tal y como pretende el Departamento de Justicia norteamericano pone en una delicada situación jurídica a Microsoft pero, más en general, puede plantear conflictos similares con muchos otros países. Es por ello que, existiendo procedimientos garantistas de cooperación internacional, dar una lectura extensiva a esta ley norteamericana que desborda las propias previsiones de la misma, en una clara visión nacionalista, pone en riesgo los equilibrios interestatales para lograr la necesaria armonía en la regulación de Internet y para salvaguardar los derechos fundamentales de los ciudadanos en el espacio digital.
Germán M. Teruel Lozano
Profesor de la Universidad de Murcia
@germanteruel