Nuevo litigio entre Schrems y Facebook

Nuevo litigio entre Schrems y Facebook

Facebook se enfrenta a un nuevo litigio contra el abogado Max Schrems tras un conjunto de preguntas remitidas por parte del Tribunal Supremo de Austria al TJUE. 

 

El abogado y activista austriaco Max Schrems protagoniza de nuevo los titulares tras aceptar el Tribunal Supremo de Austria su solicitud para remitir ciertas cuestiones clave sobre Facebook al TJUE. En este caso, la acusación central de Schrems se construye sobre el argumento de que Facebook viola los derechos de los usuarios bajo el RGPD en relación al consentimiento, y el hecho de que la empresa emplea el consentimiento como un contrato que les permite reproducir publicidad dirigida. Según algunos informes recientes, esta larga batalla entre Facebook y Max Schrems cuestiona las bases legales de Facebook para tratar los datos de sus usuarios europeos. 

Facebook ha estado tratando datos de sus usuarios bajo el RGPD sobre la base de contrato en lugar de consentimiento.  

 

Desde que el RGPD comenzó a aplicarse en 2018, Facebook ha mantenido la postura de que sus usuarios están sujetos a un contrato para recibir publicidad personalizada, en lugar de recabar consentimiento para tratar los datos con dicha finalidad. El RGPD establece los requisitos necesarios para un consentimiento válido, y este movimiento de Facebook se percibió como un intento de operar de manera paralela a estas normas y evitar la necesidad de obtener el consentimiento libre e informado de sus usuarios.  

 

Max Schrems afirmó que “Facebook ha intentado despojar a sus usuarios de muchos derechos que el RGPD les garantiza simplemente ‘reinterpretando’ el consentimiento como un contrato civil”. 

 

También se acusó a Facebook de no adherirse al principio de minimización de datos del RGPD. 

 

Se acusó a Facebook de recoger más datos de los necesarios, especialmente mediante el botón “Like”, presente en diversas páginas web, entre ellas Facebook.com. En consecuencia, se remitieron al TJUE cuestiones de esta naturaleza así como otras relacionadas al tratamiento de datos de categoría sensible por parte de Facebook (por ejemplo, afiliación política u orientación sexual) con finalidades de publicidad dirigida. Schrems considera que estas preguntas son cruciales: “Podría quedar prohibido para Facebook emplear los datos con finalidades de publicidad, incluso cuando cuenta con consentimiento válido. De la misma manera, podría tener que filtrar datos de categoría sensible como opiniones políticas o la orientación sexual“.

 

Max Schrems recibió 500 € como compensación por los daños derivados de las técnicas de obstrucción que Facebook empleó contra él.  

 

Facebook fue acusado de crear una “caza de los huevos de Pascua” cuando Max Schrems le solicitó acceso completo a sus datos. Conforme al Tribunal, Max Schrems no recibió sus datos primarios y tampoco información muy básica sobre el tratamiento, como la base legal sobre la que se tratan sus datos. Como resultado, se le ofreció una compensación simbólica de 500€ por los daños causados por las técnicas de obstrucción de información de Facebook. Ahora se han remitido varias cuestiones esenciales al TJUE por parte del Tribunal Superior de Justicia de Austria, en relación al presunto no cumplimiento del gigante tecnológico con el RGPD. 

 

¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD, la LSSI y la directiva ePrivacy? Nuestros servicios integrales abarcan tanto Evaluaciones de Impacto de Protección de Datos como Evaluaciones de la Ética de la IA, junto con la implementación del RGPD y la LOPDGDD y subcontratación del Delegado de Protección de Datos. Podemos ayudarte. Infórmate aquí.

nuevas Cláusulas Contractuales Tipo

Se adoptan nuevas Cláusulas Contractuales Tipo para las transferencias internacionales de datos

Las nuevas Cláusulas Contractuales Tipo adoptadas por la Comisión Europea la semana pasada introducen mayores garantías legales y de privacidad para las transferencias internacionales de datos. 

 

Desde que el TJUE emitió el pasado julio su decisión sobre la transferencia de datos fuera de la UE por medio de Cláusulas Contractuales Tipo en el caso Schrems II, estas han sido uno de los principales temas de conversación en este campo. Numerosas empresas emplean SCCs para la transferencia de datos con diversas finalidades, incluidas, entre otras, el almacenamiento de datos, las finanzas y el marketing. Fue el pasado miércoles cuando la Comisión Europea anunció que adoptaría nuevas Cláusulas Contractuales Tipo el viernes 4 de junio. El Comisario Europeo de Justicia Didier Reynders dijo que estas nuevas SCCs “incorporan algunos elementos de  transparencia y rendición de cuentas en absoluto cumplimiento con el RGPD”, y añade que el objetivo es evitar un “Schrems III”. 

 

La Comisión Europea ha adoptado dos conjuntos de Cláusulas Contractuales Tipo que reflejan los nuevos requisitos bajo el RGPD. 

 

Las nuevas SCCs adoptadas por la Comisión Europea para la transferencia de datos a terceros países incorporan detalles de la sentencia del TJUE en el caso Schrems II y ofrecen una mayor practicidad legal para los negocios europeos. Las nuevas SCCs pretenden ayudar a las pequeños y medianas empresas a realizar transferencias de datos en cumplimiento con los requisitos de seguridad. Ofrecen a las compañías una plantilla que es fácil de implementar y permite el libre movimiento de datos entre las fronteras, sin barreras legales. 

 

La Comisión Europea también ha adoptado otro conjunto de Cláusulas Contractuales Tipo para las relaciones entre responsables y encargados dentro de la Unión Europea, conforme al Artículo 28 RGPD.  

 

Las nuevas SCCs son más prácticas y flexibles para cubrir un amplio rango de posibles transferencias.

 

Las nuevas Cláusulas Contractuales Tipo incluyen una perspectiva de los diferentes pasos que las empresas tendrán que implementar conforme con la sentencia del caso Schrems II y lo complementan con ejemplos de posibles medidas complementarias que pueden ser necesarias para asegurar absoluto cumplimiento. Estas medidas complementarias pretenden reforzar la protección de datos en las transferencias de datos a terceros países que no se consideran con un nivel adecuado de protección, e incluyen cifrado y pseudonimización de los datos, que pueden evitar que los mismos se atribuyan a un sujeto específico sin emplear detalles adicionales. Las nuevas SCCs adoptadas por la Comisión Europea cubren un amplio rango de escenarios, todos en una única herramienta práctica.  

 

Se establece un período de transición de 18 meses para los responsables y encargados que estén utilizando las anteriores SCCs. 

Desde la sentencia del TJUE el pasado verano, muchas empresas han estado empleando Cláusulas Contractuales Tipo para facilitar sus transferencias de datos a terceros países. Tras la anulación del EU-US Privacy Shield el pasado julio, el tribunal confirmó la validez de las Cláusulas Contractuales Tipo para la transferencia de datos fuera de la UE. Sin embargo, se señaló también que en muchos casos las SCCs no ofrecían en sí mismas suficiente protección para los datos personales. Estas, ahora antiguas, SCCs se encuentran actualmente en uso por la mayoría de empresas que efectúan transferencias de datos a terceros países. La Comisión Europea ha confirmado que estas SCCs pueden seguir en uso durante los próximos 18 meses, período durante el cual las organizaciones tendrán que efectuar la transición a las nuevas SCCs adoptadas el pasado viernes. 

¿Realizas transferencias internacionales de datos a terceros países?  Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDD, y también evaluaciones de impactoevaluaciones de impacto de transferencias y subcontratación del Delegado de Protección de Datos. También ofrecemos servicios de cumplimiento con la CCPAInfórmate aquí.

Facebook pierde la partida

Facebook pierde la partida y el tribunal falla a favor de la autoridad de control de Irlanda

Facebook pierde la partida y el tribunal falla a favor de la decisión de la autoridad de control de Irlanda para investigar y suspender las transferencias de datos de Facebook a Estados Unidos. 

 

Tras la sentencia del caso Schrems II del pasado julio, la autoridad de control de Irlanda (Data Protection Commission, “DPC”) inició una investigación sobre Facebook Ireland Ltd y suspendió sus flujos de datos entre Europa y Estados Unidos. Facebook se opuso a la decisión y en consecuencia la recurrió, afirmando que tanto la misma como los procedimientos después adoptados eran susceptibles de revisión judicial. Parece que esta larga batalla legal sobre el derecho de Facebook Ireland para continuar realizando transferencias a Estados Unidos está llegando a su fin. Se espera que esta resolución que reafirma la suspensión de los flujos de datos de Facebook Ireland entre Europa y Estados Unidos tenga importantes efectos en las operaciones de Facebook.  

 

Esta decisión es la culminación de una batalla legal que ha durado ocho años desde que se inició en 2013 mediante una queja presentada por Max Schrems.

 

Facebook Ireland es la filial de la empresa estadounidense que proporciona las redes sociales de Facebook e Instagram en Europa. La administración y la sede central se encuentran en Dublín. En junio de 2013, Mr Maximilian Schrems presentó una queja frente a la autoridad de control de Irlanda en relación a la transferencia de datos personales a Estados Unidos efectuada por Facebook Ireland, alegando que infringía el derecho nacional y el derecho comunitario, y en octubre de 2013 el DPC informó de que se investigaría la materia “rápidamente con toda la debida diligencia y velocidad”. En mayo de 2016 la DPC remitió a Facebook Ireland y a Mr Schrems su borrador de decisión donde establecía que las Cláusulas Contractuales Tipo no podían aplicarse en relación a la transferencia de datos personales de ciudadanos europeos a Estados Unidos. En julio de 2020, el TJUE emitió su fallo por el cual se indicaba que, conforme al RGPD, los residentes europeos cuyos datos personales se transfieran a un tercer país mediante Cláusulas Contractuales Tipo deben recibir el mismo nivel de protección garantizado por la Unión Europea y el RGPD. Dado que las autoridades estadounidenses no quedan obligadas por las Cláusulas Contractuales Tipo, los datos que allí se transfieran podrían no protegerse de manera suficiente y adecuada. Como resultado, la autoridad de control de Irlanda lanzó una investigación y tomó la medida preliminar de suspender las transferencias de datos de Facebook a Estados Unidos, la cual después Facebook impugnó.  

 

Facebook recurrió la decisión de la autoridad de control de Irlanda y alegó que deberían haber esperado a las recomendaciones del CEPD. 

 

Facebook recurrió la decisión preliminar, al igual que la investigación, y alegó que la autoridad de control de Irlanda debería haber esperado a las recomendaciones del Comité Europeo de Protección de Datos antes de iniciar la investigación y ordenar la suspensión de las transferencias de datos. La compañía afirmó que, como miembro del CEPD, la autoridad de control de Irlanda habría recibido orientaciones inminentes por parte del CEPD y en consecuencia no debería haber actuado antes de ello. Esta guía fue publicada en noviembre de 2020 y el 14 de mayo de 2021, el Alto Tribunal recogió en su fallo que Facebook Ireland “no ha establecido ninguna base para impugnar la decisión o los procedimientos de investigación de la DPC.” El juez rechazó las argumentaciones de Facebook sobre la actuación de la autoridad de control de Irlanda fuera del marco de sus funciones en relación a la manera en que se estaba llevando el caso. Sin embargo, el juez David Barnaville apuntó que la autoridad de control de Irlanda debería haber respondido a ciertas cuestiones planteadas por Facebook en octubre de 2020 por medio de correspondencia. 

Facebook no gana la batalla, pues la decisión del tribunal otorga a la autoridad de control de Irlanda el derecho a abrir una segunda investigación contra Facebook bajo voluntad propia.  

 

Esta larga batalla llega a su fin, con el resultado inevitable de la suspensión de las transferencias de datos a Estados Unidos realizadas por Facebook. Una segunda investigación bajo voluntad propia se ha iniciado y está en proceso de manera simultánea a la queja original presentada en 2013 y que condujo a la decisión del TJUE sobre el caso Schrems II. En relación al recurso de Facebook sobre la decisión de la autoridad de control de Irlanda, el Alto Tribunal, en su documento de 127 páginas donde efectúa la revisión judicial del caso, rechaza los argumentos de Facebook. Así, ocho años después de la queja inicial, es ahora firme que la autoridad de control de Irlanda tendrá que actuar para parar las transferencias de datos de Facebook entre Europa y Estados Unidos. Esta decisión tendrá probablemente un fuerte impacto en las operaciones y actividades de Facebook. A pesar de ello, la empresa insiste en que defenderán su cumplimiento frente a la autoridad de control de Irlanda. 

 

¿Realizas transferencias internacionales de datos a terceros países? Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDD, y también evaluaciones de impactoevaluaciones de transferencias de datos y subcontratación del Delegado de Protección de DatosInfórmate aquí.

Novedades sobre las SCCs

Novedades sobre las SCCs y el Privacy Shield, ¿qué podemos esperar?

Las novedades sobre las SCCs y el Privacy Shield son en ambos casos de suma importancia para los flujos de datos transatlánticos, aunque por ahora el foco se sitúa únicamente en las SCCs. 

 

Casi un año después de la sentencia del TJUE sobre el caso “Schrems II”, un nuevo EU-US Privacy Shield podría aun estar lejos. Sin embargo, con las Cláusulas Contractuales Tipo (SCCs) ratificadas como instrumento válido para las transferencias internacionales de datos y su amplio uso a tales efectos, parece que podríamos esperar pronto un nuevo conjunto de SCCs. Conforme a este artículo de la IAPP, unas nuevas SCCs podrían aprobarse en cuestión de semanas.. Bruno Gencarelli, Responsable de Flujos de Datos Internacionales y Protección, afirmó que “Es una cuestión de semanas que adoptemos unas nuevas SCCs modernizadas que estén alineadas con el RGPD y mejor adaptadas a la realidad de la economía digital de hoy en día”.  

 

Se espera que las nuevas Cláusulas Contractuales Tipo estén disponibles pronto, y hasta entonces la Comisión Europea valora el feedback recibido sobre el borrador de las mismas. 

 

A raíz de la sentencia sobre el caso Schrems II, las SCCs fueron ratificadas pero con algunas advertencias. Desde entonces, se han estado empleando para facilitar y cubrir los flujos de datos entre Europa y Estados Unidos, sin embargo no sin algunos incidentes. Mientras que los profesionales de privacidad siguen esperando información más concluyente sobre los flujos de datos a terceros países, se han dado ahora algunos desarrollos de relevancia. Durante el Evento sobre Privacidad Global de la IAPP que tuvo lugar online, Bruno Gencarelli informó de que las Cláusulas Contractuales Tipo se actualizarán pronto. Basándose en el feedback recibido por la Comisión Europea, Gencarelli, ha indicado que el borrador sobre las SCCs ha sido un “enorme éxito” y ha añadido que la Comisión está valorando dicho feedback con mucha seriedad. El proceso que se encuentra en marcha pretende modernizar las SCCs para que se adapten mejor al tamaño y complejidad del contexto actual. 

 

Cristina Contero Almagro, socia de Aphaia, indica que “se trata de una actualización muy esperada que ayudará a unificar el criterio dispar que las autoridades de control europea han estado aplicando tras la sentencia en el caso Schrems II, como hemos visto recientemente con el ejemplo de la autoridad de control de Baviera y la de Francia”.

Se intensifica la negociación sobre el reemplazo del Privacy Shield, pero los avances en este sentido aún están lejos de materializarse.

 

Mientras que existe voluntad por ambas partes para alcanzar un acuerdo sobre un reemplazo del Privacy Shield, se trata de alcanzar un equilibrio entre la privacidad y la seguridad nacional, lo que lo convierte en una situación delicada y compleja. Desde Schrems II, las SCCs están resultando útiles pero no siempre son suficientes. Si bien ambas partes pretenden crear un reemplazo duradero para el Privacy Shield que pueda hacer frente a los desafíos legales y el escrutinio político, se está negociando para encontrar una solución que satisfaga las necesidades de las dos partes en relación a la privacidad y la seguridad nacional. 

 

¿Realizas transferencias internacionales de datos a terceros países? Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDD, y también evaluaciones de impactoevaluaciones de transferencias de datos y subcontratación del Delegado de Protección de DatosInfórmate aquí.