OSD austriaco: las transferencias de datos entre la UE y EE.UU. a Google Analytics son ilegales

Ene 13, 2022

DSB austriaco: El uso de Google Analytics viola la decisión "Schrems II" del TJUE.

En una decisión innovadora, la Autoridad Austriaca de Protección de Datos ("Datenschutzbehörde" o "DSB") ha decidido en un caso modelo de noyb que el uso continuo de Google Analytics viola el GDPR. Esta es la primera decisión sobre las 101 reclamaciones modelo presentadas por noyb a raíz de la llamada decisión "Schrems II". En 2020, el Tribunal de Justicia (TJUE) decidió que el uso de proveedores estadounidenses viola el RGPD, ya que las leyes de vigilancia de Estados Unidos exigen que proveedores estadounidenses como Google o Facebook faciliten datos personales a las autoridades estadounidenses. Se esperan decisiones similares en otros Estados miembros de la UE, ya que los reguladores han cooperado en estos casos en un "grupo de trabajo" del OEPD. Parece que la decisión del OSD austriaco es la primera que se emite.

la sentencia del TJUE de 2020 llega al mundo real. En julio de 2020, el TJUE ha emitido su innovadora sentencia "Schrems II", en la que sostiene que una transferencia a proveedores estadounidenses que se rigen por la FISA 702 y la OE 12.333 viola las normas sobre transferencias internacionales de datos del RGPD. En consecuencia, el TJUE anuló el acuerdo de transferencia "Privacy Shield", después de anular el acuerdo anterior "Safe Harbor" en 2015. Aunque este hecho provocó una gran conmoción en la industria tecnológica, los proveedores estadounidenses y los exportadores de datos de la UE han ignorado en gran medida el caso. Al igual que Microsoft, Facebook o Amazon, Google se ha apoyado en las llamadas "cláusulas contractuales tipo" para continuar con las transferencias de datos y calmar a sus socios comerciales europeos.

Max Schrems, presidente honorario de noyb.eu: "En lugar de adaptar realmente los servicios para que cumplan con el GDPR, las empresas estadounidenses han intentado simplemente añadir algún texto a sus políticas de privacidad y hacer caso omiso del Tribunal de Justicia. Muchas empresas de la UE han seguido el ejemplo en lugar de optar por las opciones legales."

Los SCC y los "TOM" no son suficientes. Aunque Google ha presentado alegaciones afirmando que ha aplicado "medidas técnicas y organizativas" ("TOMs"), que incluían ideas como tener vallas alrededor de los centros de datos, revisar las solicitudes o tener un cifrado de base, el OSD ha rechazado estas medidas por considerarlas absolutamente inútiles cuando se trata de la vigilancia de EE.UU. (páginas 38 y 39 de la decisión):

"En lo que respecta alas medidas contractuales y organizativas expuestas, no es evidente hasta qué punto [la medida] es eficaz en el sentido de las consideraciones anteriores"

"En lo que respecta a las medidas técnicas, tampoco es reconocible(...) hasta qué punto [la medida] impediría o limitaría realmente el acceso de las agencias de inteligencia estadounidenses teniendo en cuenta la legislación de Estados Unidos."

Max Schrems: "Setrata de una decisión muy detallada y sólida. La conclusión es: Las empresas ya no pueden utilizar los servicios en la nube estadounidenses en Europa. Haceya un año y medio que el Tribunal de Justicia lo confirmó por segunda vez, así que ya es más que hora de que se aplique también la ley."

Decisión relevante para casi todos los sitios web de la UE. Google Analytics es el programa de estadísticas más común. Aunque hay muchas alternativas que se alojan en Europa o pueden autoalojarse, muchos sitios web confían en Google y, por tanto, remiten los datos de sus usuarios a la multinacional estadounidense. El hecho de que las autoridades de protección de datos puedan ahora declarar gradualmente ilegales los servicios estadounidenses, ejerce una presión adicional sobre las empresas de la UE y los proveedores estadounidenses para que opten por opciones seguras y legales, como el alojamiento fuera de Estados Unidos. El Supervisor Europeo de Protección de Datos (SEPD) tomó una decisión similar sobre las transferencias entre la UE y Estados Unidos una semana antes.

Max Schrems:"Esperamos que ahora caigan gradualmente decisiones similares en la mayoría de los Estados miembros de la UE. Hemos presentado 101 denuncias en casi todos los Estados miembros y las autoridades han coordinado la respuesta". El Supervisor Europeo de Protección de Datos también emitió una decisión similar la semana pasada"

Solución a largo plazo. A largo plazo, parece que hay dos opciones: O bien Estados Unidos adapta las protecciones básicas para los extranjeros para apoyar a su industria tecnológica, o los proveedores estadounidenses tendrán que alojar los datos extranjeros fuera de Estados Unidos.

Max Schrems: "A largo plazo, obien necesitamos protecciones adecuadas en EE.UU., o acabaremos teniendo productos separados para EE.UU. y la UE. Personalmente, preferiría una mejor protección en Estados Unidos, pero esto depende del legislador estadounidense, no de nadie en Europa"."

¿Google LLC no entra en las normas de transferencia? El OSD ha rechazado las reclamaciones contra Google LLC como receptor de datos, al considerar que las normas sobre transferencia de datos sólo se aplican a las entidades de la UE y no a los receptores estadounidenses. Sin embargo, el OSD dijo que investigará más a fondo a Google LLC en relación con posibles violaciones de los artículos 5, 28 y 29 del RGPD, ya que parece cuestionable que Google pudiera proporcionar datos personales al gobierno de EE.UU. sin una orden explícita del exportador de datos de la UE. El OSD emitirá una decisión separada sobre este asunto.

Max Schrems:"Para nosotros es crucial que los proveedores estadounidenses no puedan trasladar el problema a los clientes de la UE. Por ello, hemos presentado el caso también contra el receptor estadounidense. El OSD ha rechazado en parte este planteamiento. Revisaremos si recurrimos este elemento de la decisión"

No hay sanción (todavía). La decisión no trata de una posible sanción, ya que se considera un procedimiento de ejecución "público", en el que no se escucha al denunciante. No hay información sobre si se emitió una sanción o si el OSD tiene previsto emitir también una sanción. El RGPD prevé sanciones de hasta 20 millones de euros o el 4% del volumen de negocios global en estos casos.

Max Schrems:"Suponemos que también hay una sanción para el exportador de datos de la UE, pero hasta ahora solo hemos recibido una decisión parcial que no aborda esta cuestión"

Más aplicación por parte de las APD alemanas. Dado que el exportador de datos austriaco se ha fusionado con una empresa alemana, el OSD austriaco sólo era competente para las infracciones en el pasado. El OSD dijo que planteará la prohibición de futuras transferencias de datos a la autoridad competente de la nueva sede del exportador de datos en Alemania.

Antecedentes y análisis jurídico. noyb también ha publicado un análisis jurídico más profundo en GDPRhub.eu.