La realización de transferencias ilegales a Estados Unidos por parte del Parlamento Europeo deriva en una sanción impuesta por el EDPS.
Tras una reclamación presentada hace aproximadamente un año, el Parlamento Europeo ha sido sancionado por el EDPS por la realización de transferencias ilegales a Estados Unidos, entre otras infracciones. El uso de Google Analytics y Stripe (ambas compañías estadounidenses) por parte del Parlamento Europeo en su página web de pruebas Covid-19 no se llevaba a cabo conforme a la resolución del TJUE en el caso “Schrems II” sobre transferencias internacionales a terceros países. En la reclamación enviada en enero de 2021 por nyob se señalaban distintas presuntas infracciones, entre ellas banners de cookies engañosos, políticas de privacidad con redacción vaga e imprecisa y transferencias de datos ilegales a Estados Unidos. Si bien no se impuso multa por estos hechos, el Parlamento Europeo fue amonestado y se le actualizar su política de protección de datos y abordar las demás cuestiones planteadas en el plazo de un mes.
Las transferencias de datos personales de Europa a Estados Unidos están sujetas a condiciones muy estrictas y debe garantizar un nivel adecuado de protección.
Desde la decisión en el caso Schrems II, las transferencias de datos a terceros países y en concreto a Estados Unidos se han visto sometidas a un mayor escrutinio, debido a que en la mayoría de casos no se puede asegurar una adecuada protección de los datos. Este es el caso de la página web de pruebas Covid-19 ofrecida por el Parlamento Europeo. Conforme al EDPS, “el Parlamento no entregó ninguna documentación, evidencia u otra información relativa a las medidas contractuales, técnicas u organizativas que garantizasen un nivel de protección equivalente al de la Unión Europea a los datos transferidos a Estados Unidos en el contexto del uso de cookies en la página web”. Los datos almacenados incluían datos de salud, como síntomas y resultados de los test de Covid-19, lo cual se considera una categoría especial de datos personales y, por tanto, datos particularmente sensibles.
El EDPS concluyó que el Parlamento Europeo había infringido varios artículos del RGPD y emitió por ello un apercibimiento.
La instalación de cookies mediante un proveedor estadounidense sin las medidas apropiadas de protección es una infracción de la normativa europea, pues abre la puerta a posible vigilancia por parte de organismos públicos del tercer país. La reclamación de noyb también mencionaba que los banners eran engañosos y poco claros, pues no listaban todas las cookies utilizadas y había diferencias entre las distintas versiones de idiomas. Como resultado, el consentimiento no podía considerarse válido. El Parlamento Europeo eliminó las cookies de la página web durante la investigación.
En la reclamación de noyb se señalaban también diversos problemas de transparencia, dado que se indicaba que la política de privacidad no era clara e incluía referencias a bases legítimas erróneas. En consecuencia, la política de privacidad se modificó en el curso de la investigación, pero dichos cambios no mejoraron la situación de cumplimiento con la normativa, e incluso la empeoraron. El EDPS concluyó que el Parlamento Europeo infringía así la obligación de transparencia del RGPD. Además, se descubrió que el Parlamento no respondía de manera adecuada a los derechos de acceso ejercidos por los reclamantes. El EDPS determinó por todo ello que el Parlamento Europeo no cumplía con varios artículos del RGPD y le sancionó con un apercibimiento conforme al artículo 58(2)(b) del RGPD.
¿Realizas transferencias internacionales de datos a terceros países? Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDD, y también evaluaciones de impacto, evaluaciones de impacto de transferencias y subcontratación del Delegado de Protección de Datos. También ofrecemos servicios de cumplimiento con la CCPA. Infórmate aquí.
