4ª lectura de Adviento: La "evaluación del impacto de la transferencia" de Facebook ignora por completo las sentencias del Tribunal de Justicia
En la última "Lectura de Adviento" en protesta por la eliminación de noyb de un procedimiento por parte de la CPD irlandesa, hablaremos del descarte por parte de Facebook de las sentencias del Tribunal de Justicia de la Unión Europea (TJUE) sobre las transferencias de datos entre la UE y Estados Unidos, en una "Evaluación del impacto de las transferencias" de 86 páginas supuestamente "confidencial". Desde 2013, la cuestión de la cooperación de Facebook con las agencias gubernamentales estadounidenses en materia de vigilancia masiva está pendiente ante la Comisión de Protección de Datos irlandesa ("DPC"). Ni siquiera se vislumbra una primera decisión de la DPC irlandesa: 8,5 años después de la denuncia inicial y 1,5 años después de la segunda aclaración del TJUE. Schrems:"Facebook ignora por completo al Tribunal de Justicia, a pesar de dos sentencias explícitas"
- POLITICO informó sobre el documento: "El máximo tribunal europeo dice que Washington juega rápido con los datos europeos. Facebook no está de acuerdo"
- Inmersión profunda: Descripción detallada y lectura de los cuatro documentos (45 minutos)
"TIA": La ignorancia de Facebook del TJUE en tres pasos. Tras las claras sentencias de "Schrems I" y "Schrems II", Facebook habría tenido que detener inmediatamente las transferencias de datos de la UE a los EE.UU., ya que fueron declaradas ilegales dos veces. Hoy (1,5 años después), Facebook no ha tomado ninguna medida para limitar sus transferencias de datos. En lugar de ello, ha elaborado una "Evaluación del impacto de las transferencias" ("EIT") de 86 páginas en virtud de la cláusula 14 de las recién introducidas Cláusulas Contractuales Tipo ("CCT"), llegando al sorprendente resultado de que la sentencia del TJUE no se aplicaría a Facebook y las transferencias podrían continuar como hasta ahora. Según los documentos que hemos recibido, Facebook no ha tomado ninguna medida nueva o relevante a raíz de la sentencia del TJUE de 16.6.2020.
Max Schrems, Presidente de noyb.eu: "Facebook lleva 8,5 años ignorando la legislación de la UE. Los documentos recién publicados muestran que simplemente consideran que el Tribunal de Justicia se equivoca y que Facebook tiene razón. Es una ignorancia increíble del estado de derecho, apoyada por la falta de acción de aplicación por parte del CPD irlandés. No es de extrañar que Facebook quiera mantener la confidencialidad de este documento. Sin embargo, también demuestra que Facebook no tiene una defensa legal seria al seguir enviando datos de europeos a Estados Unidos."
Cuatro documentos. noyb hace transparente el contenido de los cuatro documentos relevantes. El "Overview Document" aclara que Facebook da tres pasos para llegar a la conclusión de que puede seguir transfiriendo datos a Estados Unidos, a pesar de dos sentencias del TJUE: En primer lugar, contradice directamente dos sentencias del Tribunal de Justicia, que sostienen que las leyes de vigilancia de Estados Unidos violan los derechos fundamentales de la UE. En cambio, la "Evaluación de la equivalencia" de Facebook considera que las leyes de la UE y de Estados Unidos son de hecho equivalentes. En segundo lugar, la "Evaluación de los factores" de Facebook afirma que el riesgo para los usuarios es mínimo, lo que también contradice directamente al Tribunal de Justicia. En un tercer paso, el "Registro de Salvaguardias" de Facebook menciona varias medidas en vigor que contrarrestarían cualquier violación de la legislación de la UE. De hecho, ninguna de estas medidas es realmente relevante para la vigilancia de la Sección 702 de la FISA. Se trata de una lista de las normas mínimas de seguridad de la industria (en virtud del artículo 32 del RGPD) que están en vigor independientemente de las leyes de vigilancia de Estados Unidos.
Aunque las voluminosas 86 páginas intentan dar la impresión de un análisis sofisticado, el elemento central de la evaluación de Facebook se resume en la conclusión de la TIA de Facebook:
En otras palabras: Facebook se limita a decir que la legislación estadounidense es "equivalente" a la de la UE, a pesar de que dos sentencias del Tribunal de Justicia afirman lo contrario.
Inmersión profunda:noyb ha realizado cuatro vídeos en los que se leen resúmenes de los cuatro documentos como parte de una "inmersión profunda" en estos documentos, que también explica el contenido de los mismos con más detalle. Haga clic aquí para ver la inmersión profunda. Dado el riesgo de que Facebook y el CPD irlandés utilicen litigios frívolos para tomar represalias contra noyb a través de una "demanda SLAPP", hemos decidido leer y describir los documentos en detalle, lo que permitirá a todo el mundo obtener una buena comprensión de los documentos, al tiempo que se minimiza el riesgo de demandas frívolas por parte de Facebook o del CPD.
No hay decisión por parte del CPD irlandés a pesar del deber legal. La denuncia subyacente está pendiente desde 2013 y fue objeto de cinco procedimientos irlandeses y dos del Tribunal de Justicia, con un coste superior a los 10 millones de euros. Puede encontrar una visión general sobre el caso en el siguiente gráfico. En 2020 el TJUE ha vuelto a sostener explícitamente que el CPD "está obligado a suspender o prohibir una transferencia de datos" (apartado 121). Igualmente, en el último acuerdo entre el CPD y el Sr. Schrems se prometió una decisión rápida el 12.1.2021. 8,5 años después de la reclamación inicial todavía no hay ninguna decisión a la vista, a pesar de que el CPD ha "acogido con satisfacción" repetidamente las aclaraciones que se han hecho en los tribunales. Incluso cuando se emitiera una primera decisión del CPD, ésta estaría sujeta a múltiples niveles de apelación en Irlanda. Sin embargo, los documentos muestran que Facebook no tiene, de hecho, ninguna base legal creíble para transferir los datos de los europeos a los Estados Unidos - arriesgándose a multas masivas y a una reorganización de todo el negocio.
¿Actualización del SCC de la Comisión Europea abusada por Facebook? La base de la "evaluación del impacto de la transferencia" de Facebook es la cláusula 14 de las nuevas "cláusulas contractuales tipo" adoptadas por la Comisión Europea. Este nuevo conjunto de normas es aplicable porque el CPD no ha tomado una decisión sobre el caso en un plazo razonable. Hasta hoy, Facebook cambiaba constantemente de un fundamento jurídico para las transferencias de datos a otro (primero "Safe Harbor", luego "Privacy Shield" y las antiguas CEC y ahora las nuevas CEC). Además de estos múltiples motivos de transferencia, Facebook también ha planteado recientemente la "necesidad contractual" y el "consentimiento" para todas las transferencias de datos en virtud del artículo 49.1 del RGPD. Hasta ahora, no parece que el CPD haya investigado en absoluto estos nuevos argumentos.
Schrems:" El CPDirlandés es extremadamente lento y no controla estos procedimientos. Facebook pasa constantemente a otro argumento, mientras que el CPD ni siquiera ha decidido sobre la decisión de 2013. Facebook está dominando este procedimiento, en lugar del CPD"
Posible "demanda SLAPP" por parte del CPD y Facebook. Dadas las numerosas amenazas a pesar de una clara base legal para estas publicaciones, noyb espera ahora "demandas SLAPP" sin fundamento (ver un gran resumen de John Oliver, lamentablemente sólo en YouTube ) por parte del CPD y/o Facebook Ireland Limited. No es improbable que Facebook o el DPC intenten llevar un caso a Irlanda o al Reino Unido, ya que estos sistemas legales son extremadamente caros y son jurisdicciones perfectas para arruinar a una ONG. Por lo tanto, hemos geobloqueado los documentos pertinentes en estas jurisdicciones.