El EDPS sanciona al Parlamento por las transferencias de datos de la UE a EE.UU. a Google y Stripe

Ene 11, 2022

El SEPD sanciona al Parlamento Europeo por transferencias ilegales de datos entre la UE y los Estados Unidos, entre otras infracciones

El Supervisor Europeo de Protección de Datos (SEPD) emitió una decisión tras una reclamación presentada por noyb en la que confirmaba que el Parlamento Europeo había violado la ley de protección de datos en su sitio web de pruebas COVID. El SEPD destaca que el uso de Google Analytics y del proveedor de pagos Stripe (ambas empresas estadounidenses) infringió la sentencia"Schrems II" del Tribunal de Justicia (TJUE) sobre las transferencias de datos entre la UE y Estados Unidos. La sentencia es una de las primeras decisiones de aplicación de "Schrems II" sobre el terreno y puede mostrar el camino a otros cientos de casos pendientes ante los reguladores.

Reclamación presentada hace un año.En enero de 2021,noybpresentó una reclamación contra el Parlamento Europeo en nombre de seis diputados por un sitio web interno de pruebas de corona. Las cuestiones planteadas eran banners de cookies engañosos, avisos de protección de datos vagos y poco claros, y la transferencia ilegal de datos a los Estados Unidos. El SEPD investigó el asunto y emitió una amonestación al Parlamento por violación del "RGPD para las instituciones de la UE" (Reglamento (UE) 2018/1725 aplicable únicamente a las instituciones de la UE).

Transferencias ilegales de datos a Estados Unidos.en el llamado caso "Schrems II", el TJUE dejó claro que la transferencia de datos personales de la UE a los EE.UU. está sujeta a condiciones muy estrictas. Los sitios web deben abstenerse de transferir datos personales a los EE.UU. cuando no pueda garantizarse un nivel adecuado de protección de los datos personales. El SEPD confirmó que el sitio web efectivamente transfirió datos a los Estados Unidos sin garantizar un nivel adecuado de protección de los datos y destacó:"el Parlamento no proporcionó ninguna documentación, prueba u otra información sobre las medidas contractuales, técnicas u organizativas existentes para garantizar un nivel de protección esencialmente equivalente a los datos personales transferidos a los EE.UU. en el contexto del uso de cookies en el sitio web."

En agosto de 2020 noyb ha presentado 101 denuncias contra empresas de la UE que incluían funciones de Google y Facebook en sus sitios web. Tras la formación de un "grupo de trabajo" por parte de las autoridades de protección de datos pertinentes, noyb espera que pronto se dicten sentencias para los sitios web privados que sigan la decisión del SEPD.

"El SEPD dejó claro que incluso la colocación de una cookie por parte de un proveedor estadounidense viola las leyes de privacidad de la UE. No se establecieron protecciones adecuadas contra la vigilancia estadounidense, a pesar de que los políticos europeos son un objetivo conocido de la vigilancia. Esperamos más decisiones de este tipo sobre el uso de proveedores estadounidenses en los próximos meses, ya que otros casos también deben ser resueltos".Max Schrems, Presidente Honorario denoyb.eu

Banner de cookies confuso.La denuncia también planteaba que los banners de cookies del sitio eran poco claros y engañosos. Por ejemplo, no todas las cookies aparecían en los banners y había divergencias entre las versiones lingüísticas. En consecuencia, los usuarios no podían dar un consentimiento válido. Durante la investigación, el Parlamento eliminó todas las cookies de su sitio web. noyb está trabajando actualmente en reclamaciones similares sobre los banners de cookies, lo que se ve respaldado por esta decisión.

Información poco clara e irrelevante Además, la denuncia señalaba que la política de privacidad no era clara y transparente, ya que hacía referencia a las pruebas COVID del aeropuerto de Bruselas o a una base jurídica errónea. Durante la investigación, el Parlamento modificó su política, pero la empeoró en parte. noyb planteó las diferentes incoherencias de la nueva política de privacidad del PE. El SEPD estuvo de acuerdo en que la información facilitada por el Parlamento infringía la obligación de transparencia, que es un requisito jurídico básico de la legislación sobre protección de datos. Por último, el SEPD también sostuvo que el Parlamento no había respondido adecuadamente a la solicitud de acceso de los reclamantes.

No hay multa, sino una amonestación y una orden de cumplimiento.el SEPD emitió una amonestación contra el Parlamento por las diferentes violaciones del Reglamento de protección de datos aplicable a las instituciones de la UE. Al contrario de lo que ocurre con las autoridades nacionales de protección de datos con arreglo al RGPD, el SEPD sólo puede imponer una multa en circunstancias limitadas que no se cumplieron en este caso. Además, el SEPD dio al Parlamento un mes para actualizar su aviso de protección de datos y abordar las cuestiones restantes relativas a la transparencia