Hoy, noyb ha presentado denuncias GDPR contra TikTok, AliExpress, SHEIN, Temu, WeChat y Xiaomi por transferencias ilegales de datos a China. Mientras que cuatro de ellas admiten abiertamente que envían datos personales de europeos a China, las otras dos afirman que transfieren datos a "terceros países" no revelados. Como ninguna de las empresas respondió adecuadamente a las solicitudes de acceso de los denunciantes, hemos de suponer que esto incluye a China. Pero la legislación de la UE es clara: las transferencias de datos fuera de la UE sólo están permitidas si el país de destino no menoscaba la protección de los datos. Dado que China es un Estado de vigilancia autoritario, las empresas no pueden proteger de forma realista los datos de los usuarios de la UE del acceso del gobierno chino. Tras los problemas de acceso del gobierno estadounidense, el auge de las aplicaciones chinas abre un nuevo frente para la legislación de protección de datos de la UE.
- Denuncia contra TikTok en Grecia
- Denuncia contra Xiaomi en Grecia
- Denuncia contra SHEIN en Italia
- Denuncia contra AliExpress en Bélgica
- Denuncia contra WeChat en Holanda
- Denuncia contra Temu en Austria
Antecedentes: las transferencias de datos fuera de la UE sólo son una excepción. En principio, las empresas no pueden transferir los datos de los europeos fuera de la UE. Si, por la razón que sea, necesitan hacerlo, las empresas pueden acogerse a una serie de excepciones ("derogations"). Sin embargo, si las empresas sólo externalizan datos por comodidad, deben cumplir requisitos estrictos para garantizar la seguridad de los datos personales. En países como China, las empresas suelen basarse en las "cláusulas contractuales tipo" (CCT). Las SCC son un contrato en el que el receptor chino se compromete a seguir las protecciones de la UE, incluso en China. Para que esto se permita, las empresas deben realizar una evaluación de impacto para verificar que los datos de los europeos están seguros en el país de destino y que las CEC no entran en conflicto con las leyes nacionales que exigen el acceso a los datos. Dado que China es un Estado autoritario de vigilancia, no existe una decisión de adecuación y ninguna empresa puede ofrecer tal garantía. Las leyes chinas de protección de datos no limitan en modo alguno el acceso de las autoridades.
Kleanthi Sardeli, abogada especializada en protección de datos de noyb: "Dado que China es un Estado autoritario de vigilancia, está meridianamente claro que China no ofrece el mismo nivel de protección de datos que la UE. La transferencia de datos personales de europeos es claramente ilegal, y debe cesar inmediatamente."
Alto riesgo de acceso a los datos por parte de las autoridades. Los informes de transparencia de Xiaomi confirman en la práctica este riesgo de que las autoridades chinas soliciten y obtengan acceso (ilimitado) a los datos personales. Según estos documentos, las autoridades solicitan acceso a datos personales a muy gran escala, mientras que en el mismo periodo de tiempo, las autoridades de la UE/EEE solo tuvieron un puñado de solicitudes. Además, Xiaomi casi siempre cumple (o tiene que cumplir) las peticiones de estas autoridades chinas. Además, a los usuarios extranjeros les resulta casi imposible ejercer sus derechos en virtud de la legislación china sobre protección de datos. El país no cuenta con una autoridad de protección de datos dedicada e independiente ni con otro tribunal para plantear cuestiones de vigilancia gubernamental, y el alcance y la aplicación de las leyes no están claros.
No se responde a las solicitudes de acceso de los usuarios. Por eso es tan importante averiguar qué hacen las empresas tecnológicas chinas con los datos personales de los europeos. Por ello, los denunciantes presentaron solicitudes de acceso en virtud del artículo 15 del RGPD a las empresas mencionadas para saber si sus datos se enviaban a China o a otros países fuera de la UE. Lamentablemente, ninguna de las empresas facilitó la información legalmente exigida sobre las transferencias de datos. Aún sabemos que, según su política de privacidad, AliExpress, SHEIN, TikTok y Xiaomi transfieren datos a China. Temu y WeChat mencionan transferencias a terceros países. Según la estructura corporativa de Temu y WeChat, lo más probable es que esto incluya a China.
Kleanthi Sardeli, abogada especializada en protección de datos de noyb: "Las empresas chinas no tienen más remedio que acceder a las peticiones gubernamentales de acceso a los datos. Esto significa que los datos de los usuarios europeos corren peligro mientras se envíen al extranjero. Las autoridades competentes deben actuar rápidamente para proteger los derechos fundamentales de las personas afectadas."
Denuncias presentadas en cinco países. noyb ha presentado ya 6 denuncias en relación con el RGPD en 5 países europeos y solicita a las autoridades de protección de datos que ordenen inmediatamente la suspensión de las transferencias de datos a China en virtud del artículo 58, apartado 2, letra j), ya que este país no ofrece un nivel de protección de datos esencialmente equivalente en virtud de los artículos 44 y 46 del RGPD. noyb también pide a las empresas que ajusten su tratamiento al RGPD. Por último noyb pide a las APD que impongan una multa administrativa para evitar infracciones similares en el futuro. Dicha multa puede alcanzar hasta el 4% de los ingresos globales, lo que puede ascender, por ejemplo, a 147 millones de euros (ingresos anuales de 3.680 millones de euros) en el caso de AliExpress o a 1 350 millones de euros (ingresos anuales de 33 840 millones de euros) en el caso de Temu.
