Hace poco más de un mes, Noyb presentó 101 quejas contra varias empresas con sede en la UE/EEE porque siguen utilizando Google Analytics y Facebook Connect en sus sitios web, con lo que transfieren datos personales a Google y Facebook en los Estados Unidos. De acuerdo con el Sentencia del CJEU del 16 de julio de 2020La transferencia de datos es ilegal porque Google y Facebook están sujetos a las leyes de vigilancia de EE.UU. y deben revelar los datos de los usuarios europeos a los servicios de inteligencia de EE.UU.
Apenas hubo reacción por parte de las empresas afectadas - a pesar de la amenaza de una multa de 20 millones de euros
Si bien está políticamente claro que no habrá un nuevo "Escudo de Privacidad" o "Puerto Seguro" en un futuro próximo, muchas empresas parecen seguir escondiendo la cabeza en la arena
Incluso muchos abogados y "expertos" hacen caso omiso de las claras declaraciones del CJEU y afirman que todo está bien siempre que se introduzcan cláusulas contractuales estándar (CCE) con el destinatario de los datos, lo que constituye un completo error de apreciación de la situación, que puede costar muy caro a las empresas
El CJEU ha declarado claramente que las CCE no pueden utilizarse si el receptor en los EE.UU. está sujeto a las leyes de vigilancia de los EE.UU. (como la FISA 702). Las autoridades de protección de datos pueden imponer multas de hasta 20 millones de euros o el 4% del volumen de negocios anual por una violación de las normas de la GDPR sobre transferencia de datos. Esto se suma a las posibles reclamaciones por daños y perjuicios de los usuarios afectados.
Por consiguiente, las 101 denuncias presentadas por noyb tenían por objeto servir de llamada de atención: hay que respetar el fallo del más alto tribunal de la UE; tanto los exportadores de datos de la UE como los importadores de datos de los Estados Unidos tienen que inspeccionar las transferencias de datos críticos y, si es necesario, detenerlas. Si no lo hacen voluntariamente, el TJCE ha impuesto explícitamente a las autoridades europeas de protección de datos la obligación de prohibir esas transferencias de datos
Esto parece haber sido ignorado en gran medida por los operadores del sitio web contra los que Noyb presentó las 101 quejas. Hasta el 22.09.2020, sólo dos empresas y una universidad se han puesto en contacto con noyb, todas ellas con sede en Liechtenstein. Pudieron demostrar que habían eliminado de sus sitios web los elementos de código de Google Analytics o Facebook Connect. noyb retiró posteriormente las denuncias correspondientes ante la autoridad de protección de datos de Liechtenstein.
"Hasta ahora, sólo los operadores de sitios web de Liechtenstein nos han sorprendido positivamente. Reaccionaron rápida y correctamente y detuvieron las transferencias de datos que estaban violando la GDPR. Posteriormente hemos retirado las quejas. Lamentablemente, no hemos tenido noticias de los operadores de sitios web de otros Estados miembros. Cuanto más esperen estas empresas, más probable es que sean sancionadas por las autoridades de protección de datos". - Marco Blocher, abogado de protección de datos de Noyb.
Google y Facebook también mantienen su silencio
Además de los operadores del sitio web, las 101 denuncias también se dirigen contra los importadores de datos Google y Facebook en los EE.UU., que también pueden ser considerados responsables de las transferencias de datos en violación de la GDPR. Facebook no ha hecho hasta ahora ningún comentario de fondo sobre las 101 denuncias; Google sólo ha proporcionado palabras vacías, diciendo que se "compromete a garantizar que, en virtud de las SCC aplicables proporcionadas por Google, se mantengan las protecciones de la privacidad necesarias, independientemente de la ubicación de los datos". El gigante de Silicon Valley, sin embargo, no tiene ninguna respuesta sobre cómo se propone evitar estar sujeto a las leyes de vigilancia de los Estados Unidos.
"Hasta ahora, las grandes empresas de datos de los Estados Unidos están repitiendo como un mantra que están evaluando la situación y asegurando que los datos de los usuarios están protegidos sobre la base de los SCC. Estas frases vacías no cambian el hecho de que las leyes de vigilancia de los EE.UU. dan a autoridades como la NSA el derecho a acceder a grandes cantidades de datos que se transfieren a los EE.UU. Hasta ahora, no hay nada más que silencio sobre este conflicto entre los contratos con los clientes de la UE y las leyes de EE.UU.". - Marco Blocher
La Junta Europea de Protección de Datos ha creado un grupo de trabajo sobre las quejas de Noyb
Hay una evolución positiva a nivel de la UE. La Junta Europea de Protección de Datos ("EDPB", un órgano de la UE compuesto por representantes de las autoridades europeas de protección de datos) ha creado un grupo de trabajo especial para ocuparse de las 101 denuncias. Este grupo de tareas debe investigar los hechos que subyacen a las denuncias y garantizar una estrecha cooperación entre los miembros de la junta. El EDPB también "preparará recomendaciones para ayudar a los controladores y procesadores en su deber de identificar y aplicar las medidas suplementarias adecuadas para asegurar una protección adecuada al transferir datos a terceros países".
"Estamos muy contentos de que el EDPB haya tomado un papel activo en este asunto y se comprometa a trabajar para un tratamiento coherente de nuestras quejas. Esperamos que esta coordinación conduzca a que las quejas sean tratadas con igual eficacia y prontitud en todos los países de la UE y el EEE. Hasta ahora, nuestra experiencia demuestra que algunas autoridades de protección de datos son muy productivas, mientras que otras parecen deseosas de cortar de raíz cualquier procedimiento. Por lo tanto, un enfoque paneuropeo es, en cualquier caso, bienvenido. Las 101 quejas no son complejas en esencia y son casi idénticas. Si la autoridad del Estado miembro A logra tramitar una denuncia a su debido tiempo, la autoridad del Estado miembro B no tiene excusa para no hacerlo". - Marco Blocher
noyb sigue supervisando la situación de cada denuncia para asegurarse de que las decisiones del CJEU también protegen los derechos de cada ciudadano en su vida cotidiana.
