Abriendo la caja de Pandora Las empresas no pueden decir cómo cumplen la sentencia del TJUE
Tras la sentencia del Tribunal en el asunto C-311/18 ("Schrems II") sobre el Escudo de Privacidad y las Cláusulas Contractuales Tipo, el equipo de noyb y algunos de nuestros miembros se pusieron en contacto con 33 empresas y servicios que utilizan a título personal para preguntarles cómo enfocaban las transferencias internacionales de datos. Las respuestas que recibimos fueron muy variadas: desde buenas, hasta malas, pasando por chocantes. Ahora hemos elaborado un informe para el público que detalla estas respuestas.
- Consulte las respuestas recogidas de las empresas en este informe de 45 páginas(PDF), que abarca desde Airbnb hasta Zoom
- Consulta el comunicado de prensa(PDF)
Después de que el TJUE se pronunciara por segunda vez sobre las transferencias de datos entre la UE y los Estados Unidos (tras el fin de "Safe Harbor" en 2015), nos preguntamos si las empresas están ahora mejor preparadas para hacer frente a las normas del RGPD sobre las transferencias internacionales de datos. Los usuarios tienen derecho a obtener información detallada sobre el destino de sus datos. Por ello, entre julio y septiembre de 2020 se envió a cada empresa el siguiente texto
"Estimado señor/señora,
Soy uno de sus clientes. De conformidad con los artículos 12, 13, 14 y 15 del RGPD, hago las siguientes peticiones:
- ¿Transfieren ustedes datos fuera de la UE? En caso afirmativo, ¿a qué países?
- ¿Cuál es la base jurídica invocada para cada transferencia (por ejemplo, decisión de adecuación, CCE, RCE, excepciones...)? Si ha utilizado CCE o BCR, facilite una copia de los CCE o BCR utilizados para cada transferencia.
- Si envía datos personales a EE.UU., ¿alguno de sus socios está incluido en el 50 USC §1881a ("FISA 702") o proporciona datos al gobierno de EE.UU. en virtud de la EO 12.333?
- Si envían datos personales a EE.UU., ¿qué medidas técnicas adoptan para que mis datos personales no queden expuestos a la interceptación del gobierno de EE.UU. en tránsito?
Le rogamos que responda en el plazo de una semana, ya que el RGPD exige que responda "sin demora indebida". Se trata de una solicitud sencilla que no requiere un análisis exhaustivo. No parece necesaria una mayor identificación más allá de mi correo electrónico, ya que no solicito una copia de mis datos personales. Si necesita más información, no dude en ponerse en contacto conmigo.
Saludos, Nombre"
Respuestas sorprendentes - o ninguna respuesta. Las respuestas fueron en general sorprendentes. Algunas empresas como Airbnb, Netflix y WhatsApp no respondieron en absoluto a nuestras solicitudes de información, mientras que otras se limitaron a redirigirnos a sus políticas de privacidad, que carecían de una explicación más detallada
Otras proporcionaron información que realmente no conduce a una mayor certeza: Porejemplo, Slack (un software muy popular para la comunicación interna en las empresas) declaró que no proporcionaba "voluntariamente" a los gobiernos el acceso a los datos, lo que no responde a la pregunta de si están obligados a hacerlo en virtud de leyes de vigilancia como la FISA702.
Otras empresas obtuvieron mejores respuestas, como Microsoft, que respondió a todas las preguntas formuladas, o Virgin Media, que nos envió una copia de sus cláusulas contractuales estándar. Al mismo tiempo, Microsoft sigue afirmando que puede transferir datos personales a EE.UU.(enlace al blog de Microsoft), a pesar de ser una de las empresas explícitamente nombradas por los documentos revelados por Edward Snowden y de numerar públicamente las solicitudes FISA702 del gobierno estadounidense que recibido y respondió.
En general, nos sorprendió la cantidad de empresas que fueron incapaces de proporcionar poco más que una respuesta repetitiva. Parece que la mayor parte de la industria todavía no tiene un plan sobre cómo avanzar.
¿Le gustaría enviar una petición similar a las empresas y servicios con los que interactúa? No dude en utilizar una de nuestras plantillas en esta página aquí!