Deep Dive: Cómo Facebook intenta ignorar al TJUE - a pesar de dos sentencias.

Dic 19, 2021

Inmersión profunda: Cómo ignorar las decisiones del TJUE en tres pasos. La Evaluación del Impacto de la Transferencia de Facebook explicada.

Para los fanáticos de la privacidad, que quieren saber más de lo que hemos resumido en nuestra 4ª lectura de Adviento, ofrecemos una inmersión más profunda en esta página sobre los cuatro elementos de la "Evaluación del Impacto de la Transferencia" (TIA) de Facebook.

Nuestro enfoque de estas divulgaciones. Para evitar costosas demandas "SLAPP", algunos elementos no están disponibles en algunas jurisdicciones y hemos decidido resumir los documentos en un vídeo en lugar de publicarlos directamente. Cuando el contenido del documento es más relevante, lo explicamos con más detalle y citamos elementos del mismo. Hay un vídeo por documento. Puede leer los detalles sobre el uso legal de este documento al final de la página.

Documento 1: Esquema del documento

El documento de síntesis se refiere básicamente a los otros tres documentos, que se comentan a continuación. Tiene 7 páginas y es algo interesante, ya que parece ser el "resumen" de los otros documentos y da una visión general. La parte clave del TIA es claramente la "Evaluación de la equivalencia", en la que Facebook ignora por completo las sentencias del TJUE y llega a la conclusión de que la legislación de la UE y la de Estados Unidos son "equivalentes". Los otros dos documentos sólo se presentan como recursos adicionales. La "Evaluación de los factores" describe principalmente que los datos se envían a EE.UU. y de qué datos se trata, así como el hecho de que existe un acceso por parte del gobierno de EE.UU. en virtud de la ley FISA 702. El "Registro de garantías" también contiene las supuestas "medidas complementarias", incluso cuando ninguna medida se refiere claramente a las leyes de vigilancia de EE.UU. o a la sentencia del TJUE. En definitiva, no es más que una lista de prácticas estándar del sector.

En resumen, el argumento de que la legislación de la UE y la de EE.UU. son "equivalentes" es la columna vertebral y el único pilar del enfoque de Facebook.

Documento 2: Evaluación de la equivalencia de las leyes estadounidenses

El"Equivalence Assessement" ("EA") es un documento de 58 páginas explícitamente avalado por los bufetes de abogados de Facebook Mason Hayes & Curran LLP y Perkins Coie LLP (párrafo 1.4 del EA). La mejor manera de resumir el documento es con las propias palabras de Facebook (página 7 del documento "Outline"):

Para llegar a este resultado, Facebook argumenta que el TJUE no disponía de todos los hechos relevantes para llegar a su conclusión, a pesar de que Facebook presentó unas 45.000 páginas en el procedimiento. Facebook argumenta además que el TJUE sólo rechazó la evaluación de la Comisión Europea en el "Escudo de Privacidad", pero no trató en detalle la evaluación de Facebook. Por lo tanto, en opinión de Facebook, el TJUE nunca se habría pronunciado sobre las transferencias de Facebook en el marco de los CCE. En realidad, esto es incorrecto, ya que el TJUE ha señalado en el apartado 168 de la sentencia que se basó en las preocupaciones del Tribunal Superior de Justicia de Irlanda y en el Escudo de Privacidad de la Comisión. Facebook y el gobierno de EE.UU. presentaron importantes alegaciones sobre estas cuestiones ante el TJUE. Sin embargo, el TJUE sostuvo claramente que la legislación estadounidense no sólo no es "equivalente", sino que infringe los artículos 7, 8 y 47 de la Carta de los Derechos Fundamentales.

Facebook también descarta el derecho de la UE al confundir principalmente las sentencias del Tribunal Europeo de Derechos Humanos (TEDH) de Estrasburgo (que forma parte del Consejo de Europa, con 47 Estados miembros, incluidos Turquía y Rusia) en virtud del bajo nivel de exigencia de los artículos 6 y 8 del Convenio Europeo de Derechos Humanos (CEDH) con las sentencias del Tribunal de Justicia de la Unión Europea (TJUE) y su nivel de exigencia mucho más elevado en virtud de la Carta de los Derechos Fundamentales de la Unión Europea (CDF).

En contra del planteamiento de la legislación de la UE, Facebook "magnifica" las protecciones de la legislación estadounidense, que ya ha presentado en innumerables ocasiones ante el Tribunal Superior de Irlanda y el Tribunal de Justicia en el litigio "Schrems II". Todos ellos fueron rechazados. Sin embargo, Facebook se basa en estos elementos una vez más para llegar a su conclusión de que la ley de EE.UU. proporcionaría protecciones a las personas no estadounidenses.

Esta combinación de rechazo total de la sentencia del TJUE, descontando la legislación de la UE y magnificando la de EE.UU. justifica de algún modo las transferencias ilegales de datos entre la UE y EE.UU.

Documento 3: Evaluación de los factores

En la "Evaluación delos factores", de 7 páginas, Facebook no argumenta realmente que ciertos factores limiten de algún modo el impacto de las transferencias de datos entre la UE y EE.UU..

En cambio, en la introducción se explica que, en el marco de la "Evaluación de la equivalencia", Facebook llega a la conclusión de que la legislación de la UE y la de Estados Unidos son equivalentes (en contra de las sentencias del TJUE). Por lo tanto, Facebook dice que la Evaluación de los Factores es más bien una descripción "caso por caso" de sus transferencias entre la UE y EE.UU., que realmente los factores que limitan la vigilancia.

Los factores limitados que apuntarían a una menor interferencia con los derechos fundamentales de la UE en opinión de Facebook son, por ejemplo, el número de solicitudes del gobierno estadounidense según el propio informe de transparencia de Facebook. Los otros "factores" se limitan a describir hechos como que el destinatario es Facebook Inc. o que Facebook Inc. está recibiendo de hecho solicitudes FISA del gobierno de EE.UU. (página 7 de la "Evaluación de los factores"):

No está claro cómo estos "factores" pueden ayudar a que una transferencia sea legal. De hecho, Facebook no parece basarse realmente en estos "factores" para justificar que la transferencia sería legal, sino que ha diseñado el documento como una mera descripción de los hechos. El argumento principal sigue siendo que el TJUE se equivoca y que la legislación de la UE y la de EE.UU. son de hecho equivalentes.

Documento 4: Registro de salvaguardias, incluidas las medidas complementarias

Finalmente, Facebook generó un documento de 14 páginas llamado"Registro de Salvaguardias", que es principalmente una larga tabla de "medidas", incluyendo "medidas organizativas" así como "medidas técnicas". En realidad, todas son políticas básicas, exigidas, por ejemplo, en virtud del artículo 32 del RGPD, como la "gestión de dispositivos móviles" o la existencia de una política interna sobre cómo reaccionar ante las solicitudes del gobierno.

Curiosamente, Facebook sólo emplea a 130 personas para responder a todas las solicitudes gubernamentales a nivel mundial. Esto significaría que una solicitud legal se revisa durante una media de unos 10-15 minutos. Como medida de protección contra las solicitudes gubernamentales falsas, Facebook destaca principalmente que verifica si la dirección de correo electrónico proviene de un nombre de dominio gubernamental. No está claro si Facebook revisa si una entidad gubernamental concreta tiene derecho a solicitar datos personales de los titulares de las cuentas.Ninguna de las medidas enumeradas parece tener relación directa con las leyes de vigilancia de EE.UU.

El único elemento que menciona la FISA 702 y la OE 12.333 destaca que Facebook emplea algoritmos y protocolos de cifrado estándar del sector en el tránsito, estos estándares son el cifrado TLS (como es habitual en cualquier sitio web) y el cifrado AES (como hace cualquier smartphone). Facebook reconoce que no todos los datos están encriptados, ya que menciona que sólo casi todo el tráfico de Facebook está encriptado TLS. De hecho, no hay ninguna medida que proteja de alguna manera contra una orden bajo FISA 702 PRISM / DOWNSTREAM (por lo que la vigilancia directamente en Facebook), pero sólo están conectados a "UPSTREAM" (por lo que la vigilancia a través de la red troncal de Internet). Como Facebook tiene todas las claves de cifrado y puede acceder a todos los datos en el claro, no hay manera de que TLS y AES es una protección relevante:

Facebook cierra el documento con medidas "proactivas", como hacer lobby y contribuir al desarrollo de la ley estadounidense y con tener más información para los usuarios en las preguntas frecuentes.

Preguntamos a Alan Butler de epic.org sobre el "Registro de Salvaguardias":

Base legal para la publicación. Como se señaló en nuestra primera lectura de Adviento, las cuatro lecturas de Adviento del noyb son en protesta por la eliminación ilegal del noyb por parte del CPD en un procedimiento pendiente. Todos los documentos se facilitaron a través del procedimiento de reclamación del Sr. Schrems, pendiente durante 8,5 años ante el CPD irlandés.

En un sistema esbozado por los abogados del Sr. Schrems y aceptado por el CPD, se permite al Sr. Schrems utilizar libremente los documentos del procedimiento, en los casos en que Facebook tiene la obligación legal de proporcionar estos documentos, lo que es claramente el caso aquí:

El artículo 5, apartado 1, letra a) del RGPD obliga a Facebook a ser transparente. El artículo 13, apartado 1, letra f), exige a Facebook que informe a los usuarios sobre cómo obtener una copia de las medidas que justifican una transferencia internacional, y el artículo 15, apartado 2, del RGPD establece específicamente el derecho a obtener una copia de las mismas. De hecho, los usuarios no pueden impugnar una transferencia de datos si no se les informa de las protecciones existentes. Las propias CEC prevén disposiciones similares, ya que otorgan a los usuarios el derecho a hacerlas valer (cláusulas 3, 8.9 y 14 de las CEC). Parece que cualquier empresa que utilice a Facebook como procesador o controlador conjunto también tendría que estar provista de la TIA.

Sin embargo, la posición de Facebook y del CPD irlandés es que el RGPD y los CEC no permiten a los usuarios obtener una copia de la EIT de Facebook, sino que sólo están disponibles para la autoridad de control pertinente (en este caso, sólo el CPD).

Los documentos ni siquiera contienen información comercial o técnicamente sensible y no están protegidos por ninguna ley pertinente.