El Tribunal Superior de Viena (Oberlandesgericht Wien) ha dictado hoy un fallo según el cual Facebook debe pagar al Sr. Schrems 500 euros en concepto de daños emocionales y concederle pleno acceso a todos los datos que Facebook posee sobre él. Sin embargo, el gigante de Internet no necesita obtener el consentimiento de los usuarios para utilizar sus datos en virtud de la ley de protección de datos de la UE (GDPR). En su lugar, Facebook puede simplemente concederse a sí mismo el derecho a utilizar todos los datos en sus términos y condiciones.
- Fallo (Original en alemán, Partes relevantes de la página 22)
- Juicio (Traducción automática inglesa, partes relevantes de la página 22)
¿El "bypass de consentimiento" de Facebook es legal? El GDPR permite diferentes bases para el procesamiento de datos personales: Por ejemplo, el consentimiento o un contrato. Los contratos de derecho civil no necesitan cumplir con los estrictos requisitos de "consentimiento" bajo la GDPR. Esto significaría que la empresa no tiene que dar a los usuarios una elección libre y obtener un consentimiento separado e inequívoco. Aparte del sistema de consentimiento, los usuarios tampoco podrían retirar su acuerdo cuando cambien de opinión.
Siguiendo esa idea, Facebook simplemente copió el consentimiento previo en sus términos y condiciones de derecho civil la noche del 25.5.2018, cuando la GDPR entró en vigor. La compañía ahora afirma tener un "contrato" para procesar los datos de los usuarios. Este nuevo contrato reemplaza así el consentimiento que se usaba antes de que la GDPR entrara en vigor. El objetivo era claramente eludir los requisitos más estrictos de protección de datos exigidos por los legisladores de la Unión Europea: Los usuarios de Facebook tienen ahora menos derechos bajo la GDPR que antes bajo la antigua ley de protección de datos porque, según el Tribunal Regional Superior de Viena, han firmado un contrato para recibir publicidad personalizada.
Sin embargo, en una encuesta representativa de 1.000 usuarios de Facebook, sólo el 1,6% de los usuarios reconoció tal "contrato". La mayoría asumió el "consentimiento", al igual que el demandante. La Junta Europea de Protección de Datos (EDPB) tampoco permite explícitamente "contratos de uso de datos" en lugar de consentimiento.
Schrems:"La Corte Austriaca permite a Facebook pasar por alto los nuevos requerimientos de la GDPR. Facebook acaba de copiar el 'consentimiento' en otro documento en la noche en que la GDPR entró en vigor y argumenta que esto sería un contrato, no un consentimiento. Esto tendría como consecuencia que los europeos serían despojados de sus nuevas protecciones. Facebook está claramente abusando de la ley y esto no puede ser tolerado"
Facebook tiene que pagar 500 euros y dar acceso total a los datos. Por otro lado, Facebook perdió su apelación sobre el derecho de acceso. Los tribunales austriacos han sostenido en dos instancias, que Facebook no concede a los usuarios el pleno acceso a todos los datos relevantes en sus diversas "herramientas" de acceso. El Tribunal también sostuvo que los usuarios tienen derecho a que se les diga qué otras partes han suministrado datos a Facebook o si Facebook ha suministrado datos y a quién. Como Facebook ha dejado constantemente al Sr. Schrems en la oscuridad acerca de estos detalles, están obligados a pagar al menos la cantidad simbólica de 500 euros que el Sr. Schrems ha pedido en concepto de daños emocionales.
Schrems:"Está claro que Facebook no proporciona la información relevante. Estoy feliz de ver que la Corte también ha permitido daños y perjuicios para estos casos, donde las empresas niegan sistemáticamente a los usuarios su derecho a saber qué datos tiene una empresa sobre ellos"
Apelación a la Corte Suprema de Austria y potencialmente referencia a la CJEU: El Tribunal Superior de Viena ha permitido una apelación al Tribunal Supremo de Austria. El Sr. Schrems presentará dicha apelación a su abogada Katharina Raabe-Stuppnig. Es probable que el Tribunal Supremo austriaco pueda remitir estas cuestiones al Tribunal de Justicia Europeo (CJEU). Esta Corte más alta de la UE tendría la última palabra si el desvío del GDPR de Facebook es legal.
Schrems:"Parece que la Corte no ha profundizado en muchos de los problemas que este caso está planteando. Claramente trataremos de llevar este caso hasta las más altas cortes. Podría haber una referencia a la CJEU sobre las cuestiones fundamentales en la primavera de 2021. Si se permite a la industria sólo añadir una línea a sus términos, para pasar por alto los requisitos de consentimiento de la GDPR, podemos destrozar grandes partes de la GDPR"
