2022 ha sido un año caliente en la protección de datos hasta ahora, con las autoridades de supervisión fallando en contra de Google Analytics a diestro y siniestro. Hemos hecho todo lo posible por ponerle al día de todos los acontecimientos actuales, pero incluso para nosotros es difícil seguirles la pista. He aquí un resumen del largo asunto de la transferencia de datos desde Schrems II en 2020 hasta hoy. Con ello se pretende proporcionar una mejor comprensión de dónde estamos ahora y tal vez vislumbrar un poco hacia dónde nos dirigimos.
- Cronología
- Las transferencias de datos en pocas palabras
- Schrems II y Privacy Shield
- Las 101 denuncias de Noyb y el grupo de trabajo de la AEPD
- Austria, Francia e Italia prohíben Google Analytics
- El SEPD reprende al Parlamento Europeo
- Irlanda (DPC) ordena a Meta suspender las transferencias de datos
- La Cámara de Adquisiciones de Baden-Württemberg
- La decisión de la APD danesa
- Las negociaciones sobre el acuerdo de transferencia de datos
- Actualizaciones
- Reflexiones finales
¡Vamos al grano!
Cronología
- Julio de 2020: el TJUE emite la decisión prejudicial Schrems II
- Agosto de 2020: noyb presenta las 101 denuncias
- Septiembre de 2020: el Consejo Europeo de Protección de Datos crea un grupo de trabajo
- Diciembre de 2021: decisión de la APD austriaca
- Enero de 2022: decisión del Supervisor Europeo de Protección de Datos
- Febrero de 2022: decisión de la APD francesa
- Junio de 2022: decisión de la APD italiana
- Julio de 2022: la APD irlandesa anuncia un proyecto de decisión por la que se suspenden las transferencias de datos de Meta Ireland
- Julio de 2022: la autoridad alemana de contratación pública considera ilegal la transferencia de datos a Estados Unidos
- Julio de 2022: decisión de la APD danesa
Las transferencias de datos en pocas palabras
Antes de sumergirnos en la decisión Schrems II, necesitamos algo de contexto. Según el RGPD, las transferencias de datos fuera del EEE solo son posibles cuando los datos personales están adecuadamente protegidos. Esta protección puede garantizarse de dos maneras:
- Transfiriendo datos a un tercer país cubierto por una "decisión de adecuación". Se trata de una decisión de la Comisión Europea: la Comisión evalúa las normas de protección de datos en un tercer país y básicamente da luz verde a las transferencias de datos a ese país. Las decisiones de adecuación son el mecanismo más fácil y sencillo para transferir datos, pero sólo se han adoptado en un número limitado de países.
- Mediante cláusulas contractuales tipo (CCT) ideadas por la Comisión Europea, que deben incorporarse a un acuerdo jurídicamente vinculante con el encargado del tratamiento. Al transferir datos basándose en las CSC, las empresas deben evaluar si las cláusulas funcionan realmente en el tercer país. En otras palabras, el exportador de datos no puede limitarse a incorporar las cláusulas SCC en el acuerdo de tratamiento de datos y darlo por zanjado, sino que debe asegurarse de que las cláusulas SCC ofrecen una protección adecuada en la práctica y aplicar salvaguardias adicionales cuando sea necesario.
Schrems II y Privacy Shield
EE.UU. disponía de una "decisión de adecuación" basada en un acuerdo de transferencia de datos conocido como Escudo de Privacidad. Sin embargo, en Schrems II, el Tribunal de Justicia dictaminó que el Escudo de la privacidad no garantizaba una protección suficiente de los datos personales e invalidó la decisión de adecuación.
Esto dejó a las empresas con los CEC como único mecanismo válido de transferencia de datos a EE.UU. Sin embargo, el Tribunal subrayó que se necesitan salvaguardias adicionales para las transferencias de datos a EE.UU. cuando se confía en los CEC: sin tales salvaguardias, las transferencias basadas en los CEC son ilegales. Proporcionar estas salvaguardias para una transferencia de datos a EE.UU. no es tarea fácil, ya que muchas empresas estadounidenses (incluidas Google y Meta) se consideran "proveedores de comunicaciones electrónicas" en virtud de la legislación estadounidense sobre vigilancia. Esto significa que deben acceder a cualquier solicitud de datos por parte de la NSA.
Por desgracia, poco puede hacer una empresa para garantizar una protección de datos adecuada en este escenario. Además, los gigantes tecnológicos como Google, AWS y otros similares suelen basarse en contratos estándar de "lo tomas o lo dejas" para sus negocios, lo que deja a sus clientes sin margen para negociar cláusulas de salvaguarda adicionales.
En este difícil escenario, algunas empresas han adoptado un enfoque basado en el riesgo: básicamente argumentan que sus transferencias son seguras porque es poco probable que los datos que exportan sean realmente objeto de una orden FISA, aunque teóricamente pueda ser posible. Como hemos visto, algunas autoridades de protección de datos han empezado a rechazar este enfoque.
Las 101 denuncias de Noyb y el grupo de trabajo de la AEPD
En el verano de 2020, justo después de la sentencia Schrems II, noyb presentó 101 denuncias ante diversas autoridades de control europeas. Noyb es una ONG de privacidad presidida por Max Schrems (sí, el de Schrems II). Las 101 denuncias se centran en las transferencias de datos y no se dirigen directamente contra Facebook o Google: se dirigen contra sitios web de medios de comunicación en línea o empresas comerciales que utilizan Meta o Google como procesadores de datos.
Todas las denuncias tienen un contenido similar y representan una estrategia para empujar a las APD europeas (las autoridades de protección de datos de cada país) hacia una aplicación más rigurosa del RGPD en lo que respecta a las transferencias de datos.
En pocas palabras, los sitios web utilizan a las empresas europeas Google Ireland/Meta Platforms Ireland como procesadores de datos, que a su vez dependen de sus empresas matrices en Estados Unidos para procesar los datos (es decir, son subprocesadores en la jerga legal). Noyb considera que las transferencias de datos entre Google Ireland/Meta Platforms Ireland y sus empresas matrices son ilegales en virtud del GDPR y sostiene que no se debería permitir a las empresas confiar en servicios que requieren tales transferencias (como Google Analytics).
En septiembre de 2020, la Junta Europea de Protección de Datos (JEPD) anunció la creación de un grupo de trabajo para gestionar las 101 reclamaciones de noyb. Pocos detalles sobre los trabajos del grupo de trabajo se han hecho públicos, pero sí sabemos que las APD trabajaron para encontrar un enfoque coherente para gestionar las reclamaciones. Nunca se insistirá lo suficiente en la importancia de este punto: las recientes decisiones que han sido noticia reflejan un enfoque coordinado, lo que hace aún más probable que otros supervisores sigan su ejemplo.
Austria, Francia e Italia prohíben Google Analytics
La primera decisión sobre las 101 denuncias llegó en diciembre de 2021 de la DPA austriaca (DSB). En 2022, dos de los supervisores más influyentes y respetados de Europa, la CNIL francesa y el Garante italiano, confirmaron otras dos denuncias.
Las similitudes entre las decisiones reflejan claramente un enfoque común de la aplicación del capítulo V del RGPD:
- Se rechazó explícitamente el enfoque basado en el riesgo para las transferencias de datos.
- Las salvaguardias adicionales aplicadas por Google se consideraron insuficientes. Esto incluye el cifrado (no de extremo a extremo) de los datos almacenados, ya que las claves de descifrado estaban en manos de Google y podían ser solicitadas por las agencias estadounidenses en virtud de una orden FISA junto con los datos a los que iban dirigidos.
- La opción de anonimización de IP de Google Analytics se consideró una forma de seudonimización más que de anonimización completa. Esto significa que la dirección IP de los usuarios del sitio sigue considerándose datos personales incluso cuando Google la "anonimiza".
- No se impusieron multas. Las APD pretenden sobre todo aclarar que las normas sobre transferencia de datos se aplicarán más estrictamente en el futuro. En la actualidad, no pretenden sancionar a las empresas siempre que se tomen en serio las observaciones del supervisor y den de baja rápidamente a Google Analytics tras la presentación de la reclamación.
El SEPD reprende al Parlamento Europeo
En enero de 2022, el Supervisor Europeo de Protección de Datos amonestó al Parlamento Europeo por incorporar cookies de Google Analytics y Stripe (una empresa de pagos) en un sitio web sin informar a los usuarios ni recabar su consentimiento.
Se trataba de un sitio web interno de pruebas de coronavirus para los diputados del Parlamento Europeo. El Parlamento externalizó el desarrollo del sitio, y los desarrolladores copiaron parte del código de otro sitio web que habían desarrollado, incluidas funcionalidades analíticas innecesarias.
La decisión del SEPD sólo se refirió brevemente a las transferencias de datos, señalando la falta total de salvaguardias a este respecto. Sin embargo, no llamó tanto la atención como las 101 reclamaciones.
Irlanda (DPC) ordena a Meta suspender las transferencias de datos
En julio de 2022, la DPA irlandesa (DPC) anunció un proyecto de decisión por el que ordenaba a Meta Irlanda suspend er las transferencias para sus servicios de Facebook e Instagram. El borrador es el resultado de una larga investigación del DPC. El borrador no está disponible públicamente, pero la cuestión central de la decisión es la transferencia de datos personales basada en los CSC.
El caso Meta está lejos de haber terminado. La decisión forma parte de un complejo procedimiento en el que interviene el CPD, y otras APD europeas pueden plantear objeciones, lo que retrasaría aún más el proceso. Sin embargo, el anuncio no deja de ser significativo.
Muchas empresas estadounidenses (entre ellas Meta y Google) tienen su establecimiento europeo o empresas derivadas en Irlanda, y la DPA irlandesa es algo laxa a la hora de vigilarlas. Una orden de suspender las transferencias de un supervisor notoriamente blando podría significar una próxima era de aplicación más estricta de las normas de transferencia del RGPD, que puede afectar a innumerables servicios y empresas, incluidos Google y Google Analytics.
La Cámara de Adquisiciones de Baden-Württemberg
En julio de 2022 se resolvió otro caso interesante. Se trataba de un procedimiento de contratación pública para un software de gestión digital. La empresa ganadora recurriría a AWS Europe (Amazon Web Service EMEA SARL) como procesadores. Aunque los datos estaban totalmente localizados en la UE, la empresa matriz estadounidense AWS Inc. podía acceder a los datos personales para "mantener y prestar el servicio" y "cumplir la ley o una orden válida y vinculante de un organismo gubernamental".
La Sala de Adquisiciones consideró que esta revelación constituía una transferencia de datos con arreglo al RGPD. La Sala también consideró que la transferencia de datos era ilegal, ya que se consideró que faltaban las salvaguardias adicionales establecidas y que los SCC por sí solos no garantizaban una protección suficiente.
La decisión en sí no es nada clara. La autoridad decisoria no es una autoridad de protección de datos, ni suele participar en la interpretación del RGPD. Apenas se abordan puntos muy importantes de las decisiones, dejando que el lector deduzca el razonamiento. Dicho esto, esta decisión podría ser una señal de que una postura dura en las transferencias de datos está empezando a ganar tracción fuera de los estrechos límites de la ley de protección de datos en sentido estricto, y ganando impulso en el panorama jurídico más amplio.
La decisión de la APD danesa
El último capítulo de la historia hasta ahora es una decisión de la APD danesa (Datatilsynet). En julio de 2022, el supervisor prohibió al municipio de Helsingør utilizar Google Workspace en las escuelas. Aunque la DPA destacó varios problemas de privacidad, las transferencias de datos fueron el foco principal de la decisión.
Las operaciones de tratamiento implicaban tanto a la empresa matriz Google LLC como a la empresa Google Cloud EMEA Ltd, con sede en Irlanda. En este caso, el municipio utilizaba una configuración de localización de datos disponible en Google Workspace. Como resultado, todos los datos fueron almacenados en servidores europeos por Google Cloud EMEA, y Google LLC sólo participó en la asistencia técnica. Sin embargo, para que Google LLC prestara asistencia, Google Cloud EMEA transfería datos en virtud de CCE, incluidos datos personales accesibles en texto claro. La APD consideró que esta transferencia carecía de las garantías adecuadas y la prohibió.
La DPA advirtió de que las mismas conclusiones se aplicarían probablemente a otros municipios que utilizaran Google Workspace. El supervisor está tramitando estos casos en el momento de escribir estas líneas, y es probable que se produzcan decisiones similares.
Cabe destacar que el caso no afectaba a Google Analytics y que la DPA danesa no intervino en absoluto en las 101 denuncias. La decisión podría ser una señal de que el enfoque de línea dura que comenzó con las 101 denuncias está ganando terreno también en otros casos. Si así fuera, esto sería mucho más importante que "prohibir Google Analytics".
Las negociaciones sobre el acuerdo de transferencia de datos
Actualmente, la Comisión Europea y Estados Unidos están negociando un nuevo acuerdo para la transferencia de datos. Es probable que dicho acuerdo sea impugnado ante el Tribunal de Justicia.
Sin ningún documento legal disponible, es difícil predecir el resultado de una posible sentencia "Schrems III". Pero sabemos que Estados Unidos no está trabajando en una reforma legislativa de la vigilancia estatal; de hecho, en el momento de escribir estas líneas se ha propuesto en el Congreso el primer proyecto de ley federal sobre privacidad, y el borrador no limita los poderes de vigilancia de la NSA en virtud de la FISA. Es difícil saber si un intento de reforma de la vigilancia estatal satisfará al Tribunal de Justicia de la UE sin cambios en la legislación.
Actualizaciones
En octubre de 2022, el Presidente de Estados Unidos, Joe Biden, firmó una orden ejecutiva sobre las actividades de las agencias de vigilancia, como paso hacia un nuevo marco de transferencia de datos entre la UE y Estados Unidos (el Marco Transatlántico de Privacidad de Datos).
Dos meses después, la Comisión de la UE publicó su proyecto de decisión de adecuación para Estados Unidos. La aprobación del proyecto por los Estados miembros es bastante probable, a pesar del dictamen negativo del Parlamento de la UE.
Noyb anunció que impugnará la próxima decisión de adecuación ante el Tribunal de Justicia, por lo que cabe esperar que "Schrems III" sea el bautismo de fuego del nuevo marco, y es difícil saber cómo se desarrollará.
Una parte del sector esperaba que el trabajo político en torno al nuevo marco de transferencia de datos detuviera la aplicación de Schrems II, o al menos la ralentizara. Pero definitivamente no ha sido así.
Mientras tanto, la DPA danesa publicó un comunicado de prensa que adopta esencialmente la misma postura dura sobre las transferencias de datos que sus homólogos austríacos, franceses e italianos. Las DPA finlandesa y noruega también se pronunciaron en contra de Google Analytics (aunque la decisión noruega es aún preliminar).
Por último, la APD irlandesa impuso a Meta una multa récord de 1.200 millones de euros por transferencias de datos y le ordenó poner fin a todas las transferencias de datos personales a Estados Unidos para sus plataformas sociales de Facebook. Como resultado, Meta se enfrenta ahora al riesgo de un apagón de Facebook en toda Europa. Se trata de una decisión muy importante, en la que ha intervenido directamente la Oficina Europea de Protección de Datos (OEPD), y por supuesto la hemos debatido en profundidad.
Reflexiones finales
El sistema de aplicación del RGPD es un mecanismo complejo en el que intervienen varios actores: los supervisores nacionales, el OEPD, los tribunales nacionales de los Estados miembros y el Tribunal de Justicia de la UE. Predecir la futura dirección de la aplicación del RGPD no es tarea fácil, pero todos los indicios parecen apuntar en una dirección. Es probable que se acerque una era de aplicación estricta de las normas sobre transferencia de datos, y es hora de prepararse para ir por delante.
Las recientes decisiones de los miembros de la UE (Francia, Austria e Italia) forman parte de un planteamiento coordinado. Por esta razón, esperamos que más miembros de la UE sigan su ejemplo.
Las organizaciones deben adaptarse y estar preparadas para dirigir sus negocios en este entorno empresarial cambiante. Deben averiguar qué datos necesitan realmente para tomar decisiones y recopilarlos de forma ética. Es posible, y se sorprenderá de cuántos datos se recopilan por recopilar datos.
Creemos que no se trata sólo de cumplir la ley. Va más allá. Creemos en la creación de una web independiente que sea amigable para los visitantes del sitio web. Por eso hemos creado Simple Analytics sin mecanismos de seguimiento ni la posibilidad de recopilar datos personales, pero ofreciéndole la información que necesita. Si está de acuerdo con esto, no dude en probarlo.