A partir del 11 de septiembre de 2001, los Estados Unidos (EE. UU.) tomaron una política mucho más seria y agresiva respecto del control del terrorismo; del mismo modo, la Unión Europea (UE), también tomó consciencia, sobre todo desde que se produjesen atentados o intentos similares dentro de sus fronteras. Es por ello que la cooperación judicial y policial entre los EE. UU. y la UE ha ido estrechándose a lo largo de los años, a efectos de conseguir una lucha conjunta en esta materia por medio de la cooperación y la integración de esfuerzos. En este contexto, los EE. UU. iniciaron un Programa de Seguimiento de la financiación del Terrorismo (TFTP, de las siglas en inglés: Terrorism Finance Tracking Program), en el marco del cual requirió todos los datos bancarios almacenados en su territorio a SWIFT (Society for Worldwide Interbank Finantial Telecommunications), organización mundial de comunicaciones interbancarias, con sede en Europa. La cuestión es que, esta empresa, por cuestiones organizativas, guardaba una copia de los datos de las transacciones realizadas en Europa en una de sus sedes en los EE. UU., por lo que, en 2006 salió a la luz este acceso a datos bancarios europeos por parte del Gobierno estadounidense. Evidentemente, el acceso a los datos de SWIFT generó una gran controversia en Europa, así como una gran incertidumbre sobre el tratamiento y la protección de los datos de los ciudadanos europeos; el gobierno de los EE. UU. trató de calmar los ánimos mediante la publicación de un memorandum en el que se explicaba que los datos solo se utilizaban a efectos de lucha contra el terrorismo y su financiación, así como aceptar que un representante de la UE llevase a cabo una supervisión del funcionamiento del TFTP a estos efectos. Sin embargo, como consecuencia del debate generado en Europa y de la reestructuración del funcionamiento de SWIFT, los datos sobre las transacciones europeas pasan a almacenarse solamente en Europa, por lo que se hace necesario un tratado internacional entre la UE y los EE. UU. para que este país pueda tener acceso a los datos requeridos.

Acuerdo SWIFT 2009

El Acuerdo SWIFT se negocia durante el año 2009, con lo que se encontraba con el problema de que, si se realizaba una vez entrado en vigor el Tratado de Lisboa, se requeriría la aprobación del Parlamento Europeo (PE), como sucede con la mayoría de los acuerdos internacionales (vid. artículo 218 del Tratado de Funcionamiento de la UE), institución que había sido muy crítico con la situación y los términos del posible acuerdo. De hecho, en previsión de esta entrada en vigor, el PE emitió un informe, el 17 de septiembre de 2009, en que se emitía un informe negativo sobre el Acuerdo, imponiéndole una serie de requisitos, que se hacían pensando en una mejor protección de los datos personales; estos eran: la utilización solo para la lucha contra el terrorismo, la motivación de las solicitudes de datos sobre un caso específico y sujeta a autorización judicial, la otorgación de derechos de defensa y tutela judicial y un mecanismo de reciprocidad. Al mismo tiempo el PE sugería que la duración del acuerdo no debería de exceder de un año, de cara a que se renegociase este de conformidad con el Tratado de Lisboa durante el año 2010.

Sin embargo, haciendo caso omiso de este documento, el Consejo concluye el Acuerdo SWIFT el 30 de noviembre de ese mismo año, es decir, un día antes de la entrada en vigor del Tratado de Lisboa, para intentar evitar los requisitos del mismo. Este acuerdo con carácter de interino, entraría en vigor en febrero de 2010. Sin embargo, esto no impide que, antes de la entrada en vigor del acuerdo, el PE someta a su aprobación el acuerdo, por lo que, en febrero de 2010, el PE rechaza el texto interino, sosteniéndose en que no ha sido informado en todo momento del proceso negociador, tal y como prevé el Tratado de Lisboa, y que, además, la transferencia masiva de datos bancarios es contraria a los Derechos fundamentales, la normas europeas de protección de datos y al espíritu de la UE en estas materias. Este fue un acto de fuerza del PE, que sufrió enormes presiones incluso por parte del gobierno de los EE. UU., y al que se le presentaba este acuerdo interino como un texto ya concluido e irrevocable, sometido a su aprobación como mera formalidad.

Acuerdo SWIFT 2010

Por la situación jurídica que esto causó, con extraordinaria premura, la Comisión presenta el 24 de marzo de ese mismo año una propuesta de nuevo mandato para la negociación de este acuerdo, que sería aprobada por el Consejo en mayo, comprometiéndose a informar al Parlamento con precisión; al aprobar el acto el PE, muestra su satisfacción ante cambio de ánimo de ambas instituciones, si bien insiste en señalar que la transferencia masiva no es adecuada conforme al Derecho de la UE.

Tras el proceso negociador, el 8 de julio el proyecto de acuerdo recibe la aprobación definitiva por parte del PE, asumiendo que hay razones de necesidad para aprobar este acuerdo como una solución a corto plazo, si bien aspira a un cambio de mecanismo a medio o largo plazo. Además, el nuevo acuerdo sí incorporaba algunas de las sugerencias del PE, presentándose como un acuerdo más garantista. Con todo, algunas voces se han alzado en contra de este por considerar que violenta el artículo 8 de la Carta de Derechos Fundamentales de la UE y el 16 del Tratado de Funcionamiento de la UE (TFUE), que, además, no aparece como base jurídica del acuerdo.

Procedimiento

A la hora de que las autoridades estadounidenses soliciten datos bancarios, esta solicitud dirigida a SWIFT deberá estar motivada sobre pruebas que indiquen que los datos solicitados son relevantes de cara a una investigación, así como indicar los datos deseados. Sin embargo, dado el funcionamiento de SWIFT, por mucho que se identifiquen los datos requeridos, la compañía no puede discriminar qué datos envía, dado que estos están organizados por categorías, por lo que la transferencia que se hará será masiva.

Además, la solicitud tendrá que ser remitida a autoridades europeas, concretamente a EUROPOL, que tendrá que ver si esta se ajusta a los términos del acuerdo y dar su aprobación, solo tras la cual será posible que SWIFT entregue los datos solicitados. Sin embargo, el acuerdo no prevé la denegación de la solicitud por parte de EUROPOL, por lo que no queda muy claro hasta que punto esta es o no posible.

Salvaguarda de los datos

Estos datos solo podrán ser utilizados para la lucha contra el terrorismo y su financiación. Además, el gobierno de los EE. UU. se compromete a dar un trato meticuloso en cuanto a la seguridad de los mismos, para evitar que estos se pierdan o se utilicen para otro uso, así como evitar las copias de los mismos, que están prohibidas conforme al acuerdo. Uno de los problemas es que estos datos, además de contener nombre, identificación y domicilio, contienen datos considerados de "sensibles"; esto es, información sobre la filiación política, profesión religiosa, pertenencia a sindicatos, etc. El que los EE. UU. sigan pudiendo tener acceso a este tipo de datos, sin duda es un problema de cara a la protección de los Derechos fundamentales, puesto que el derecho a reservarse esa información aparece como una garantía en las tradiciones constitucionales europeas, así como en la mencionada Carta de Derechos Fundamentales.

Por último, el control de los datos deberá estar sometido a supervisión por parte de organismos independientes; de este modo, la Comisión europea tendrá derecho al nombramiento de un supervisor. Parece que, en este sentido, ha habido un retroceso respecto al Acuerdo de 2009, dado que en aquel aparecía previsto el control por parte de las autoridades de los Estados-miembros; sin embargo, ahora este control parece limitado a las autoridades europeas y, el propio tratado prevé una limitación de esto.

Protección de los derechos de los afectados

Los datos recabados no podrán acumularse innecesariamente, para lo cual se prevé un control anual en el que se descarten todos los datos que no se necesiten. Sin embargo, los datos recogido antes de 2007, tienen una acumulación de hasta 5 años, lo que a los ojos de la UE es demasiado tiempo; pero estos datos han quedado fuera del ámbito de aplicación del tratado. Por otra parte, se reconoce a los titulares de esos datos el derecho de información así como de rectificarlos, anularlos, etc. en caso de que haya inexactitudes o que el tratamiento de estos datos supere los términos del acuerdo. Además, se permite que estos acudan a sus autoridades nacionales para hacer proteger sus mencionados derechos. Por último, se les reconoce la posibilidad de reparación del daño causado por el mal tratamiento de estos datos, si bien no se especifica el cómo, por lo que esto queda al albur de las normas administrativas y judiciales de cada Estado Miembro.

Es curioso señalar que, si bien se hacen todos estos reconocimientos, finalmente el artículo 13 del Acuerdo indica que el este no crea ningún "derecho o beneficio a ninguna persona o entidad, pública o privada". No sé sabe qué alcance puede tener este artículo, si bien la primera impresión es que los "derechos" reconocidos no tendrían verdadera vinculatoriedad para los Estados frente a los particulares, lo que dificultaría enormemente o, más bien, impediría la adecuada protección de estos derechos.

Transferencia a terceros estados

Se prevé que los datos puedan ser transferidos a terceros Estados en caso de que esto sea necesario para la lucha contra el terrorismo o su financiación. Sin embargo, ello queda supeditado a la autorización por parte del Estado miembro afectado; salvo que haya alguna causa de necesidad o fuerza mayor en relación a la lucha contra el terrorismo o su financiación, lo que permitiría actuar antes de la autorización.

Desde un punto de vista netamente jurídico, la doctrina coincide en que el acuerdo SWIFT-2010 es técnicamente de mayor calidad que el de 2009, dado que utiliza los mismos o similares mecanismos pero simplificados y mejorados. Además, el espíritu general del tratado está más basado en la cooperación; es decir, pasa de considerar la transferencia de datos como un servicio que la UE hace a los EE. UU., para considerarlo como una cooperación entre ambos países, lo que supone un avance de las relaciones internacionales para la UE.

Sin embargo se han levantado voces críticas sobre el grado de protección de los Derechos fundamentales, especialmente en lo que se refiere a la posible violación de los artículos 6 y 7 de la Carta de Derechos Fundamentales. Concretamente las agencias europeas de protección de datos, tanto la de la UE como las nacionales, han tenido una voz beligerante al respecto e incluso han iniciado investigaciones concretas sobre la incidencia en su país. En España, la Agencia Española de Protección de Datos realizó algunas investigaciones al respecto, tal y como hizo público en varias notas de prensa.

CREMONA, M., "Justice and Home Affairs in a Globalised World: Ambitions and Reality in the tale of the EU-US SWIFT Agreement", Institute for European integration Research (Working Paper No. 4/2011)

GOEDE, M., "The SWIFT affair and the Global Politics of European Security", Journal of Common Market Studies, 2012, vol. 50 214.

MONAR, J., "The rejection of the EU-US SWIFT interim agreement by the European parliament: a historic vote and its implications" European foreign affairs review, 2010, vol. 15, no 2, p. 143-151.

PFISTERER, V., "The Second SWIFT Agreement Between the European Union and the United States of America - An Overview", German Law Journal, Vol. 11, nº 10, pp. 1173-1189

SANTOS VARA, J., "El Acuerdo SWIFT con Estados Unidos: génesis, alcance y consecuencias", MARTÍN Y PÉREZ DE NANCLARES, J. (Coord.), La dimensión exterior del Espacio de Libertad, Seguridad y Justicia de la Unión Europea, (Madrid: IUSTEL, 2012), pp. 355-380

SANTOS VARA, J., "La transferencia de datos de mensajería financiera de la Unión Europea a los Estados Unidos", Cuaderno de la Cátedra de Seguridad Salmantina, nº 7, 2012, pp 1-25 (texto completo disponible en el Repositorio de la Universidad de Salamanca)

Texto completo del acuerdo