victoria de noyb: Primera multa importante (1 millón de euros) por usar Google Analytics
A raíz de las 101 denuncias de noyb sobre transferencias ilegales de datos entre la UE y EE.UU., la autoridad sueca de protección de datos (IMY) dictó resoluciones contra cuatro empresas e impuso una multa de 12 millones de coronas suecas (1 millón de euros) al proveedor de telecomunicaciones Tele2 y de 300.000 coronas al minorista en línea CDON por utilizar Google Analytics en su página web. Aunque muchas otras autoridades europeas (por ejemplo, Austria, Francia e Italia) ya han constatado que el uso de Google Analytics infringe el RGPD, esta es la primera sanción económica impuesta a empresas por utilizar Google Analytics, a pesar de las sentencias del TJUE sobre las transferencias de datos entre la UE y EE.UU.
- Comunicado de prensa de la DPA sueca (EN)
- Decisión contra CDON (EN autotraducción)
- Decisión contra Coop (EN autotraducción)
- Decisión contra Dagens Industri (EN autotraducción)
- Decisión contra Tele2 (EN autotraducción)
El TJUE declaró ilegales (en la mayoría de los casos) las transferencias UE-EE.UU. En 2020 el TJUE ha dictaminado que las transferencias de datos entre la UE y EE.UU. son ilegales en su mayor parte, dadas las amplias posibilidades de vigilancia del Gobierno estadounidense. Sin embargo, muchas empresas de la UE siguen utilizando los servicios de Google, Meta, Microsoft, Amazon y similares. Sin embargo, muchas empresas siguen haciendo caso omiso de estas sentencias y se amparan en reclamaciones sobre "medidas complementarias" y las denominadas cláusulas contractuales tipo ("CCT"). noyb ha presentado 101 reclamaciones en 2020 contra usuarios de los servicios de Google y Facebook en prácticamente todos los Estados miembros de la UE.
Decisiones anteriores en otros Estados miembros de la UE. Desde entonces, otras autoridades europeas de protección de datos ya han constatado que el uso continuado de Google Analytics infringe la legislación de la UE (véanse, por ejemplo, las decisiones de Austria, Francia e Italia). La jurisprudencia era, pues, clara, pero muchas empresas siguen resistiéndose a cumplir la ley.
Primera sanción económica. El IMY sueco es ahora la primera autoridad de protección de datos que no sólo ha constatado la ilegalidad de las transferencias y ordenado su cese, sino que también ha impuesto una multa (importante) a dos empresas: Tele 2 (una empresa sueca de telecomunicaciones) y CDON (un minorista en línea sueco). Otras dos empresas (Coop y Dagens Industri) se libraron de la sanción.
Las "medidas suplementarias" de Google no son suficientes. El IMY también destaca que las llamadas "medidas suplementarias" no fueron suficientes. Hasta ahora, Google había remitido en gran medida a los usuarios empresariales de la UE a estas medidas para superar supuestamente las deficiencias de la legislación estadounidense. Esto ha sido ahora (de nuevo) rechazado por un regulador de la UE.
Marco Blocher: "Por fin, una APD ha impuesto una multa significativa por el uso continuado de una herramienta que transfiere datos personales a Estados Unidos infringiendo el RGPD, y ha prohibido seguir utilizando esa herramienta. Este es un cambio agradable en comparación con otras APD que simplemente sostienen que ha habido una violación, pero no crean ningún incentivo para cumplir en el futuro. Esperamos que otras APD sigan el ejemplo de la APD sueca y pongan fin a las transferencias ilegales de datos."
Próximo acuerdo. La UE y EE.UU. han anunciado un nuevo acuerdo para la primavera de 2022. De momento no está ultimado, pero se dice que se publicará este mes. Dado que el nuevo acuerdo es estructuralmente igual a los dos anteriores, es muy probable que el TJUE vuelva a anularlo.