Por Rachael Lee Coleman
[email protected]
Un panel asesor de la Unión Europea determinó que un consorcio bancario internacional violó las leyes de protección de datos cuando cumplió con una orden administrativa de EE.UU. de darle acceso a la administración Bush a millones de registros de transacciones financieras privadas.
Sus conclusiones – y similares resultados de la Comisión de Privacidad Belga – presagian un inminente incremento de las obligaciones de las instituciones financieras europeas y proyectan una nueva luz sobre los desafíos que las compañías internacionales enfrentan cuando son obligadas a obedecer requisitos gubernamentales conflictivos.
Inmediametamente después de los ataques terroristas del 11 de septiembre de 2001, el gobierno lanzó un programa secreto de rastreo del financiamiento terrorista para revisar las transacciones financieras internacionales de posibles terroristas registradas por una cooperativa bancaria global conocida como SWIFT, o Sociedad para la Telecomunicación Financiera Interbancaria Mundial. La Oficina de Control de Activos Extranjeros (por sus siglas en inglés, OFAC) del Departamento del Tesoro de EE.UU. obtuvo los registros de la propia SWIFT, un consorcio con sede en Bélgica con operaciones en los Estados Unidos, utilizando 64 citaciones administrativas amplias, en lugar de citaciones judiciales para transacciones individuales.
Las revelaciones de que la Agencia Central de Inteligencia dirigía un programa encubierto provocaron un escándalo entre los legisladores de EE.UU. y europeos cuando fueron difundidas en junio. Dos semanas después, tanto la Comisión Europea como el Parlamento Europeo manifestaron su fuerte desaprobación de “cualquier operación secreta en territorio de la UE”, pidieron a los países miembros de la UE que establecieran si SWIFT y sus 2.200 instituciones financieras miembro violaron las leyes de privacidad allí. Hasta ahora, dos informes concluyeron que SWIFT debería haber notificado a las autoridades correspondientes y sus clientes antes de darle acceso a la información al Departamento del Tesoro de EE.UU.
“El tema SWIFT es muy serio por el volumen de información transferida y el conflicto inherente entre los pedidos de información de EE.UU. y las leyes de privacidad de la UE”, dijo Brian L. Hengesbaugh, socio de la firma de abogados de Chicago Baker & McKenzie, especializado en obligaciones de privacidad global. “Estos informes tendrán un efecto amplio sobre muchas instituciones financieras. Los bancos van a sentir durante algún tiempo que corren muchos más riesgo de acciones de control en Europa”.
“Incumplimiento serio”
Para el momento en que el gobierno de EE.UU. solicitó los registros de SWIFT en 2001, todos los 25 miembros de la UE habían implementado leyes nacionales de protección de la información requeridas por la Directiva de Protección de Datos de la UE de 1995, la que explícitamente indica qué deben hacer las compañías europeas “incluyendo las instituciones financieras” para proteger la información privada de sus clientes. La Comisión Europea también creó el Grupo de Trabajo Artículo 29, un panel independiente de funcionarios de privacidad de la información de esos países, para monitorear el cumplimiento de la directiva. Aunque el panel no puede aplicar sanciones por las violaciones, sus decisiones tienen peso sobre las autoridades europeas.
En su informe de 29 páginas publicado el 22 de noviembre, el comité concluyó que tanto SWIFT como las instituciones financieras miembros de la misma “tienen responsabilidad conjunta por procesar datos personales” en violación de la directiva. “Incluso en la lucha contra el terrorismo y el crimen”, indicó, “los derechos fundamentales deben ser garantizados”.
El informe aclaró que SWIFT, que durante mucho tiempo se consideró a sí misma un “procesador de información” con pocas responsabilidades, en realidad queda dentro de la definición de la directiva de “controlador de datos”, en parte, porque su administración tiene el poder de tomar decisiones críticas”, tales como cumplir con pedidos de EE.UU. o negociar condiciones con los funcionarios del Departamento del Tesoro de EE.UU. sin notificar a sus clientes.
“Esto fue demasiado para SWIFT porque hizo que pasaran de ser un procesador con pocas obligaciones para ser un controlador con muchas responsabilidades”dijo Hengesbaugh. “SWIFT no consideró que tenía algo que ver con todo eso. Ahora comprendemos mejor esas definiciones”.
El Grupo de Trabajo concluyó que SWIFT no solamente omitió asegurar que la información que compartía con EE.UU. sería mantenida en secreto como en la UE, sino que fue negligente en notificar a los sujetos de la información que se le había dado acceso al gobierno de EE.UU. a sus registros privados. Bajo la directiva de la UE y sus correspondientes leyes nacionales, las compañías tienen prohibido transferir información personal a países, tales como EE.UU., que no ofrecen “protección adecuada de la privacidad” sin el consentimiento de los sujetos de la información.
La transferencia oculta, sistemática, masiva y durante largo tiempo de información personal hecha por SWIFT al Departamento del Tesoro de EE.UU. en forma “confidencial” y “no transparente, sin las bases legales efectivas”o “el control independiente de parte de las autoridades de protección de información personal” representan una “seria violación” de la directiva, indicó el panel.
Además estableció que las instituciones financieras de la UE están obligadas legalmente a informar a sus clientes que las autoridades de EE.UU. tienen acceso a su información personal y a “asegurar que SWIFT cumpla totalmente con la ley”.
Las instituciones financieras que no “se esfuerzan en obtener tal notificación” se colocan en peligro de “riesgos sustanciales legales y de clientes”, indicó el informe.
Eso significa que las instituciones financieras deberán tomar medidas de precaución adicionales para cumplir con las leyes de privacidad de los países en que cuales operan físicamente, utilizar servidores u otros equipos, o hacer negocios con residentes.
“Resarción” inmediata
El Grupo de Trabajo ordenó a SWIFT y a las instituciones financieras a cumplir con sus obligaciones legales bajos las leyes europeas y a “tomar medidas inmediatamente para cumplir sus obligaciones legales bajo las leyes europeas” y “tomar medidas inmediatas para remediar el estado actual ilegal de los temas”. También urgió a las autoridades de protección de datos a que sancionen a aquellos que no cumplan.
El panel no especificó qué sanciones deberían aplicarse, pero Hengesbaugh dijo que las autoridades de supervisión “posiblemente apliquen multas” – particularmente en España, donde las autoridades han establecido sanciones por encima del €1 millón por violaciones a la privacidad – cerrando de esta manera el flujo de datos de SWIFT. “Eso sería una interrupción bastante importante por el volumen total de transferencias mundiales”, dijo. Las autoridades de protección de datos generalmente tratan de trabajar con las compañías.
Dos meses antes, la Comisión de Privacidad belga dijo que SWIFT le debería haber notificado a ella, a la Comisión Europea y al gobierno belga para encontrar una solución legal a los pedidos, agregando que la decisión de SWIFT de entregar secretamente la información a los Estados Unidos fue “un gran error de cálculo”.
“SWIFT se encuentra en una situación de conflicto entre las leyes de EE.UU. y las europeas”, indicó la comisión. “Aunque SWIFT realizó esfuerzos considerables para dar ciertas garantías a través de sus negociaciones con el Departamento del Tesoro de EE.UU, SWIFT cometió serios errores de juicio al cumplir con las solicitudes de EE.UU.”.
Funcionarios del Departamento del Tesoro se rehusaron comentar sobre los informes.
SWIFT, sin embargo dijo que “rechaza enfáticamente” las opiniones de ambos paneles y sostiene que “actuó responsablemente dentro de las leyes aplicables cumpliendo con los pedidos estadounidenses. El consorcio, que procesa alrededor de 12 millones de mensajes cada día, procesó 2.500 millones de mensajes en 2005, incluyendo 1.600 millones para Europa y 467 millones para América.
“Estamos claramente decepcionados con la opinión del Grupo de Trabajo, tenemos que seguir adelante”, dijo el Director Ejecutivo de SWIFT Leonard H. Schrank. “Está claro, sin embargo, que solo el diálogo entre la UE y EE.UU. dará la certeza legal que las compañías internacionalmente activas requieren”.
Qué significa
Las “fuertes reacciones” de las autoridades europeas frente a SWIFT y la “hostilidad abierta” sobre la información generada en la UE y compartida con el gobierno de EE.UU. indican que “ellos van a considerar seriamente cualquier uso compartido de información con Estados Unidos”, dijo Hengesbaugh.
Como resultado de ello, las instituciones financieras que operan o hacen negocios con clientes tendrán que reevaluar cómo obtienen y almacenan la información del cliente, si pueden proteger la información almacenada en bases de datos globales antilavado de dinero y qué informaciones pueden dar al gobierno de EE.UU. sobre los clientes europeos sin violar las leyes de la UE sobre protección de datos.
Por ejemplo, los grandes bancos de EE.UU. con bases de datos globales tendrán que considerar qué información del cliente pueden incluir cuando reportan actividades sospechosas de clientes corporativos que realizan negocios con la institución en más de un país. La información obtenida en la UE está sujeta a las leyes de privacidad del país en el que fue obtenida, incluso si la información es almacenada en bases de datos en los EE.UU., y no puede ser compartida nuevamente con el gobierno de EE.UU. sin el permiso del cliente.
Por el contrario, “puede resultar lógico para aquellos bancos que les den información sobre clientes de EE.UU. y entregarlos a los reguladores europeos para verificar la información sobre los clientes allí”, dijo Hengesbaugh. “Ellos solamente podrían imponer algunas restricciones contractuales sobre el gobierno estadounidense”. Solo unos pocos países – Luxemburgo, Austria e Italia – aplican leyes de privacidad a entidades corporativas.
“Atrapada en el medio”
SWIFT no es la primera y probablemente no sea la última entidad atrapada entre regulaciones de privacidad en conflicto.
Las aerolíneas enfrentaron problemas similares de cumplimiento con la directiva de la UE cuando el gobierno de EE.UU. comenzó a requerirles la entrega de la información de los pasajeros en los vuelos hacia y desde el país norteamericano.
Primero, la Ley de Aviación y Seguridad en el Transporte, adoptada en noviembre de 2001, obligó a las aerolíneas a entregar al gobierno estadounidense la información detallada de los pasajeros y los miembros de la tripularción en los vuelos desde y hacia los EE.UU. Seis meses más tarde, la Ley de Mejora de la Seguridad de Fronteras y Visas de Ingreso de 2002 les obligó a transmitir esa información para todos los vuelos hacia y desde el país.
El Grupo de Trabajo estableció en octubre de 2002 que la información procesada de los pasajeros en la UE estaba protegida por la Directiva sobre Protección de Datos y sus correspondientes leyes nacionales. Sin embargo, también reconoció que esas compañías estaban obligadas a cumplir tanto las reglas de los EE.UU. “respaldadas por severas sanciones” que las obligan a enviar la información personal, como por las reglas de la UE que las obligan a proteger la información.
Las aerolíneas quedaron atrapadas en el medio de esas obligaciones contradictorias hasta que funcionarios de EE.UU. y la UE llegaron a acuerdos en 2004 y nuevamente en octubre de este año, permitiendo al Departamento de Seguridad Interior acceder a la información de los pasajeros directamente de las aerolíneas.
Los gobiernos, dijo Hengesbaugh, probablemente trabajarán para lograr acuerdos similares con relación a la información SWIFT.
Privacidad vs. seguridad nacional
Aún así, equilibrar los derechos de privacidad con las necesidades de seguridad nacional no es una tarea fácil.
Los funcionarios estadounidenses alegan que el programa de vigilancia secreta les ayudó a capturar a al menos dos agentes de al Qaeda desde 2002. A pesar de esos éxitos reconocidos, la administración Bush, que presentó su solicitud ante SWIFT con la autoridad otorgada por la Ley de Poderes Económicos Internacionales de 1977, ha sido muy criticada por revisar los registros financieros privados sin supervisión del Congreso.
“Si vamos a monitorear las transacciones financieras para rastrear el financiamiento terrorista, necesitamos hacerlo con las protecciones adecuadas en vigencia”, dijo Victor Comras, ex funcionario del Departamento de Estado y diplomático estadounidense designado por el Consejo de Seguridad de las Naciones Unidas para evaluar los esfuerzos globales contra el financiamiento del terrorismo. “La vigilancia es necesaria para tener la seguridad de que las cosas son hechas adecuadamente de acuerdo con nuestra leyes. Todavía hay que trabajar para demostrar que el programa es beneficioso y que tiene las salvaguardas necesarias para proteger la privacidad”.
Sin esa clase de seguridad, las autoridades europeas no autorizan que las compañías transfieran información sobre sus ciudadanos a un país, como los Estados Unidos, que carece de leyes de privacidad generales.
“En un nivel fundamental, estamos todos en el mismo bote en términos de necesitar combatir al terrorismo”, dijo Hengesbaugh.
Pero, Comras agregó, “si tratamos de hacer mucho solos y no involucramos a otros [países], nos estamos separando nosotros mismos de la cooperación vital y estamos obstaculizando nuestra capacidad para seguir al dinero.
