Una serie de quejas contra Google y Facebook han conducido a investigaciones por parte del Centro Europeo de Derechos Digitales (NOYB) con motivo de transferencias de datos que podrían estar infringiendo el RGPD.
Las quejas se presentaron contra Google y Facebook en muchos países europeos por un presunto incumplimiento del RGPD. Como resultado, el Centro Europeo de Derechos Digitales (NOYB) ha iniciado unas investigaciones frente a las acusaciones contra los gigantes tecnológicos, en las que se alega que estos no están respetando los derechos digitales señalados en la Carta de los Derechos Fundamentales de la Unión Europea. NOYB afirma que, a pesar de las sentencias previas del TJUE en dicho sentido, Google y Facebook no han cesado en el uso y tratamiento de datos europeos en los servidores estadounidenses, que por extensión están sujetos a los protocolos de vigilancia nacionales.
Las investigaciones comenzaron después de que se presentasen quejas contra Google y Facebook en más de 30 países de la UE y el EEE.
Se presentaron quejas tanto contra Google y Facebook como contra otras 101 compañías europeas que todavía reenvían datos de cada visitante a Google y Facebook. Sentencias anteriores requirieron a Google y Facebook que dejasen de utilizar las funcionalidades de Google Analytics y Facebook Connect cuando se tratase de datos de ciudadanos europeos. Sin embargo, algunas empresas de pequeños países de la UE no eran conscientes de que adherirse a los términos y condiciones a través del acuerdo contraído con estas compañías era inconstitucional y colisionaba por tanto con la Carta de los Derechos Fundamentales de la Unión Europea. Así por tanto, estas empresas no proporcionaron información específica sobre el hecho de que los datos se tratarán en Estados Unidos, y tampoco se solicitó el consentimiento del usuario final.
La responsabilidad queda en cada Autoridad de Control para decidir si se toman o no acciones para lidiar con este asunto, conforme al RGPD.
El reto reside en que el RGPD establece que será la Autoridad de Control de cada Estado Miembro la que decida si proceder con la tramitación de estas quejas en sus respectivos territorios. El rango de medidas puede abarcar desde requerimientos de prohibición hasta elevadas multas. Debido a la poca información disponible al respecto, NOYB ha puesto gratuitamente a disposición de todos los Estados Miembro unas orientaciones legales en relación a este asunto, y anima a actuar de forma más diligente en lo que respecta a la aplicación de dichos protocolos. Mientras sigan utilizando sus actuales protocolos de datos que claramente infringen las sentencias de los Tribunales Europeos, las investigaciones sobre estas empresas continuarán, así como la recepción de quejas al respecto. Se espera que se tomen más medidas en el futuro, especialmente en lo que concierne a la movilización de algunas Autoridades de Control, como el Centro de Protección de Datos de Irlanda, que actualmente se encuentra inactivo.
Algunas leyes de Estados Unidos desafían el RGPD y las transferencias internacionales de datos.
Algunos programas de vigilancia que permiten el acceso por parte de autoridades públicas estadounidenses a datos personales transferidos desde la Unión Europea resultan en importantes limitaciones a la protección de datos personales que no satisfacen los requisitos del RGPD. Leyes como FISA 702 o EO 12.333 imponen a las empresas la obligación de proporcionar los datos de ciudadanos europeos al gobierno estadounidense. Esto es especialmente problemático, pues el hecho de que tales empresas estén obligadas supone un conflicto directo en relación a los derechos de privacidad de los ciudadanos europeos.
La Autoridad de Control de Irlanda ya ha requerido a Facebook que cese el envío de datos a Estados Unidos.
El Wall Street Journal ha informado recientemente de que la Autoridad de Control de Irlanda ha enviado a Facebook una orden preliminar para que suspenda todas las transferencias de datos de clientes europeos a Estados Unidos. Este requerimiento fue remitido el mes pasado como el primer paso significativo por parte de la Autoridad de Control de Irlanda para aplicar la sentencia que el TJUE emitió en julio en relación al caso Schrems II, la cual limita cómo Facebook y otros gigantes tecnológicos pueden enviar información personal de ciudadanos europeos a Estados Unidos. Facebook necesitaría rediseñar su servicio para aislar los datos de los interesados europeos, o, de forma alternativa, dejar de ofrecer el servicio para ellos, al menos de manera temporal para cumplir con la orden de la Autoridad de Control irlandesa. Si no actúa en consecuencia, la empresa podría enfrentarse a una multa que podría alcanzar los 2.8 billones de dólares (el 4% del beneficio anual). La Autoridad de Control irlandesa ha concedido a Facebook un período de gracia hasta mediados de septiembre para responder a la orden, y ha informado a Facebook de su intención de enviar un nuevo borrador de la misma a las otras 26 autoridades de control en otros países europeos para una aprobación conjunta bajo el mecanismo de cooperación.
¿Realizas transferencias internacionales de datos? ¿Tienes dudas sobre cómo te afecta la sentencia Schrems II? Podemos ayudarte. Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDD, y también evaluaciones de impacto, evaluaciones de la ética de la IA y subcontratación del Delegado de Protección de Datos, así como implementación de la CCPA. Infórmate aquí.