La UE vol evitar que les dades dels ciutadans europeus surtin a l’exterior

La Unió Europea (UE) vol reforçar la legislació que eviti que les dades de les empreses i els consumidors europeus surtin de les seves fronteres, al mateix temps que es compleix escrupolosament la vigent llei RGPD de protecció de dades. I també que se sigui més estricte en la prohibició de publicar continguts maliciosos, injuriosos o que vagin contra la lliure competència.

A mitjans de desembre passat, la Comissió Europea ja va fer dues propostes de llei, la Digital Markets Act (DMA) i la Digital Services Act (DSA), per aconseguir-ho. Però en el Consell de Competitivitat de la setmana passada en què es van discutir aquestes propostes, els estats membres van considerar que no n’hi havia prou per aconseguir els objectius que el futur reglament europeu es proposava assolir. Va decidir que calia reforçar i ser molt més precís i específic en l’articulat de les lleis perquè no quedi tot en paper mullat.

El greu problema que té la UE és el –ja immens i encara creixent– poder de les grans companyies tecnològiques dels Estats Units, les anomenades GAFAM (Google, Amazon, Facebook, Apple i Microsoft) i, en especial, els serveis d’allotjament i tractament de dades en el núvol que porten a terme Amazon Web Services (AWS), Google Cloud i Microsoft Azure i que són utilitzats massivament per empreses grans i petites i per molts operadors de telecomunicacions.

El problema és molt més greu del que sembla, perquè no n’hi ha prou que aquestes companyies nord-americanes tractin les nostres dades dins de territori europeu i vetllin perquè no en surtin. Emparant-se en la Cloud Act i la Foreign Intelligence Act (FISA), el govern dels Estats Units pot obligar les seves empreses a proporcionar-li qualsevol informació que resideixi en els seus bancs de dades, sigui dins o fora del seu país. Per tant, la Unió Europea no pot fer-hi gran cosa si es vulneren les seves lleis de protecció de dades per part d’empreses de fora de les seves fronteres.

Iniciatives per estats

Justament el 17 de maig passat, França va presentar la seva “Estratègia nacional del cloud”, que, en essència, vol obligar els organismes de l’administració pública i les empreses privades a fer servir “plataformes segures”, en especial quan es tracti dades personals i privades. Ja es va crear un bon rebombori quan es va saber que Microsoft gestionaria les dades de salut dels ciutadans francesos. La intenció és que l’estat francès, mitjançant l’organisme corresponent, creï un “segell de seguretat” i el concedeixi a les empreses que es comprometin a evitar que les dades surtin de la UE.

Aquest segell es pot atorgar a un grup d’empreses, sempre que una d’elles sigui comunitària i tingui poder de gestió per fer complir el compromís de privadesa. La privadesa de les dades preocupa cada cop més, tant a França com també a Alemanya i a Holanda. Per aquest motiu, en el Consell de Competitivitat del 19 de maig passat aquests tres països van ser els que van proposar més esmenes per reforçar les propostes de la Comissió sobre la DMA i la DSA i assegurar que es compleixin millor l’esperit i la lletra de la llei. També es vol que l’organisme regulador d’un estat de la UE pugui intervenir en els assumptes d’un altre estat si considera que aquest estat no fa prou per resoldre’ls, com sembla que ha passat en algun cas amb Irlanda.

De tota manera, el tema va per llarg: per a mitjans de juny es preveu que la presidència de torn de Portugal faci una proposta, que es tornarà a discutir i, si s’escau, aprovar. Després, caldria que el Parlament l’aprovés, amb la qual cosa si tot va bé la directiva podria estar a punt durant la primera meitat de l’any que ve, coincidint amb la presidència de torn de França. La tramitació al Parlament també és complexa: per exemple, la cambra va tombar la setmana passada, a instàncies sobretot d’Alemanya, l’acord comercial entre la Xina i la UE signat provisionalment per Cap d’Any. Ara que no té la ratificació del Parlament, no se sap com acabarà.

Dimecres passat, el comissari europeu de Justícia, Didier Reynders, va assegurar que s’han reforçat les eines de transferència de dades dins de la UE per assegurar la privacitat de la informació a tot el món dels consumidors i empreses europeus. S’han incorporat en les eines “alguns elements de transparència i traçabilitat” perquè compleixin totalment el reglament general de protecció de dades de la UE, segons Reynders.

Reynders va explicar en roda de premsa que les companyies que hagin d’enviar dades fora de la UE podrien evitar les mirades indiscretes de governs de països estrangers xifrant les dades o enviant-les de manera anònima. En tot cas, va afegir, és responsabilitat de les companyies aplicar només les clàusules contractuals estàndard (SCC) o bé prendre mesures addicionals.

Les noves SCC seran més senzilles d’aplicar per les empreses i tindran la forma d’un document que, un cop aprovat per la Comissió Europea, no requerirà cap altre tràmit per part de les autoritats. El Tribunal Europeu de Justícia va dir el juliol passat als reguladors que els SCC s’havien de suspendre perquè no es podia assegurar la privacitat de les dades. I també va invalidar pel mateix motiu l’acord de fa quatre anys entre la UE i els Estats Units.

El més senzill seria que Europa fos totalment sobirana en el tractament i la tramesa de les dades i no hagués de dependre d’altres països, especialment de les grans tecnològiques dels Estats Units. Però això sembla cada cop més difícil d’aconseguir, perquè cada dia que passa estan acaparant més quota de mercat i els seus pressupostos d’inversió estan a anys llum dels de companyies del mateix negoci amb seu a Europa.

Des de fa uns mesos, la UE està posant a punt un núvol sobirà, Gaia-X, que aspira a competir amb els de les tecnològiques nord-americanes, si més no pel que fa a l’allotjament de dades. Respecte a oferir serveis empresarials i de programari tan competitius com els que ofereixen AWS, Google i Azure, no està gens clar que pugui ser aviat.

“Hem de vigilar que s’apliquin les regles de la competència perquè l’objectiu es sempre el mateix: limitar l’abús del poder i garantir que el mercat estigui al servei de tots els consumidors”, va dir dijous la vicepresidenta de la Comissió Europea, Margrethe Vestager, en una entrevista al diari francès Le Figaro. “L’única cosa que demanem a cada empresa és que accepti ser qüestionada; si no, hi ha el risc que vagi pel seu compte i abusi del seu poder”. El tema és realment complex, una paraula que malauradament s’aplica sense tant fonament en moltes altres instàncies polítiques.