Abriendo la Caja de Pandora: Las empresas no pueden decir cómo cumplen con el fallo de la CJEU

Sep 25, 2020

Abriendo la Caja de Pandora Las empresas no pueden decir cómo cumplen con el fallo de la CJEU

Tras el fallo del Tribunal en el caso C-311/18 ("Schrems II") sobre el Escudo de Protección de la Privacidad y las Cláusulas Contractuales Estándar, el equipo de noyb y algunos de nuestros miembros se pusieron en contacto con 33 empresas y servicios que utilizan a título personal para preguntarles cómo abordaban las transferencias internacionales de datos. Las respuestas que recibimos variaron en todo el espectro: de buenas, malas y chocantes. Hemos compilado un informe para el público que detalla estas respuestas.

  • Desplácese a través de las respuestas recogidas de las empresas en este informe de 45 páginas (PDF) que abarca desde Airbnb hasta Zoom
  • Vea el comunicado de prensa (PDF)

Después de que el CJEU dictaminara por segunda vez sobre las transferencias de datos entre la UE y los EE.UU. (tras el fin del "Safe Harbor" en 2015), nos preguntábamos si las empresas están ahora mejor equipadas para hacer frente a las normas de la GDPR sobre las transferencias internacionales de datos. Los usuarios tienen derecho a obtener información detallada sobre el lugar al que se enviaron sus datos. En consecuencia, entre julio y septiembre de 2020 se envió a cada empresa el siguiente texto:

"Estimado Señor/Señora,

Soy uno de sus clientes. De acuerdo con los artículos 12, 13, 14 y 15 de la Ley de Protección de Datos, hago las siguientes peticiones:

  • ¿Transfiere usted datos fuera de la UE? En caso afirmativo, ¿a qué países?
  • ¿En qué se basa la base jurídica de cada transferencia (por ejemplo, decisión de adecuación, SCC, BCR, derogaciones...)? Si ha utilizado los SCC o los BCR, por favor proporcione una copia de los SCC o los BCR utilizados para cada transferencia.
  • Si usted envía datos personales a los EE.UU., ¿alguno de sus socios cae bajo el 50 USC §1881a ("FISA 702") o proporciona datos al gobierno de los EE.UU. bajo el EO 12.333?
  • Si envía datos personales a los EE.UU., ¿qué medidas técnicas está tomando para que mis datos personales no se expongan a la interceptación del gobierno de los EE.UU. en tránsito?

Por favor, responda en una semana ya que el GDPR requiere que responda "sin demoras indebidas". Esta es una petición simple que no requiere un análisis extensivo. No parece necesario identificarse más allá de mi correo electrónico ya que no exijo una copia de mis datos personales. Si necesita más información, no dude en ponerse en contacto conmigo.

Saludos, Nombre"

Respuestas sorprendentes... o ninguna respuesta en absoluto. Las respuestas fueron en general sorprendentes. Algunas empresas como Airbnb, Netflix y WhatsApp no respondieron a nuestras solicitudes de información en absoluto, mientras que otras empresas simplemente nos redirigieron a sus políticas de privacidad, que carecían de una explicación más detallada

Otros proporcionaron información que no conduce realmente a una mayor certeza: Por ejemplo, Slack (un programa informático muy popular para la comunicación interna en las empresas) declaró que no proporcionaban "voluntariamente" a los gobiernos el acceso a los datos, lo que no responde a la pregunta de si están obligados a hacerlo en virtud de leyes de vigilancia como la FISA702.

A otras empresas les fue mejor con sus respuestas, como Microsoft, que respondió a todas las preguntas, o Virgin Media, que nos envió una copia de sus cláusulas contractuales estándar. Al mismo tiempo, Microsoft sigue afirmando que pueden transferir datos personales a los EE.UU. (enlace al blog de Microsoft), a pesar de ser una de las empresas explícitamente nombradas por los documentos revelados por Edward Snowden y numerando públicamente las solicitudes FISA702 del gobierno de EE.UU. que recibido y respondido.

En general, nos sorprendió la cantidad de empresas que no pudieron proporcionar poco más que una respuesta de calderilla. Parece que la mayoría de la industria aún no tiene un plan de cómo avanzar.

¿Le gustaría presentar una solicitud similar a las empresas y servicios con los que interactúa? Siéntase libre de usar una de nuestras plantillas en esta página aquí!