El jueves, la autoridad irlandesa de protección de datos (DPC) anunció que podría detener las transferencias de datos entre Meta Platforms Ireland y su matriz estadounidense, cerrando de hecho Facebook en Europa.
Lea aquí la declaración completa de Politico.eu, que fue el primero en informar.
<blockquote>
At 7 de Julio de 2022 12:37 PM CET by Vincent Manancourt.
Los europeos corren el riesgo de ver cómo los servicios de redes sociales Facebook e Instagram cierran este verano, ya que el regulador de privacidad de Irlanda redobló su orden de detener los flujos de datos de la firma a Estados Unidos.
La Comisión de Protección de Datos irlandesa informó el jueves a sus homólogos europeos de que impedirá a Meta, propietaria de Facebook, enviar datos de usuarios de Europa a Estados Unidos. El proyecto de decisión del regulador irlandés reprime el último recurso legal de Meta para transferir grandes cantidades de datos a Estados Unidos, tras años de duras batallas judiciales entre el gigante tecnológico estadounidense y los activistas europeos de la privacidad.
El Tribunal de Justicia de la Unión Europea anuló en 2020 un pacto entre la UE y Estados Unidos sobre flujos de datos llamado Privacy Shield (Escudo de privacidad) por temor a las prácticas de vigilancia estadounidenses. En su sentencia, también dificultó el uso de otra herramienta legal que Meta y muchas otras empresas estadounidenses utilizan para transferir datos personales a Estados Unidos, las llamadas cláusulas contractuales tipo (CCT). La decisión adoptada esta semana en Irlanda obliga a Facebook a dejar de recurrir también a las cláusulas contractuales tipo.
Meta ha advertido en repetidas ocasiones que una decisión de este tipo supondría el cierre de muchos de sus servicios en Europa, incluidos Facebook e Instagram.
"Si no se adopta un nuevo marco transatlántico de transferencia de datos y no podemos seguir recurriendo a las SCC o a otros medios alternativos de transferencia de datos de Europa a Estados Unidos, es probable que no podamos ofrecer varios de nuestros productos y servicios más importantes, como Facebook e Instagram, en Europa", declaró Meta en marzo de este año en una declaración a la Comisión del Mercado de Valores de Estados Unidos.
Es probable que la orden de bloqueo irlandesa, si la confirma el grupo de reguladores nacionales europeos de protección de datos, provoque un escalofrío también en la comunidad empresarial en general, que se ha estado rascando la cabeza sobre cómo seguir enviando datos de Europa a EE.UU. tras la sentencia del máximo tribunal de la UE en 2020.
La UE y EE.UU. están negociando un nuevo texto sobre transferencia de datos que permitiría a empresas como Meta seguir enviando datos a través del Atlántico con independencia de la orden irlandesa. Bruselas y Washington alcanzaron en marzo un acuerdo preliminar a nivel político, pero las negociaciones sobre la letra pequeña legal se han estancado y es improbable que se llegue a un acuerdo definitivo antes de finales de año.
Un portavoz del CPD irlandés confirmó que el proyecto de decisión se había enviado a otros reguladores europeos de la privacidad, que ahora disponen de un mes para dar su opinión, pero no quiso comentar los detalles de la decisión.
"Este proyecto de decisión, que está sujeto a la revisión de las autoridades europeas de protección de datos, se refiere a un conflicto entre la legislación de la UE y la de EE.UU. que está en proceso de resolución", dijo un portavoz de Meta. "Acogemos con satisfacción el acuerdo entre la UE y EE.UU. para un nuevo marco jurídico que permitirá la transferencia continua de datos a través de las fronteras, y esperamos que este marco nos permita mantener a las familias, las comunidades y las economías conectadas."
Ver fuente en politico.eu.
</blockquote>El Comité de Protección de Datos redactó una decisión para poner fin a las transferencias de datos de Meta para Facebook y la presentó al Consejo Europeo de Protección de Datos Las agencias de protección de datos de otros Estados miembros de la UE tienen un mes para añadir sus opiniones y objeciones antes de que siga adelante, pero es probable que el proceso lleve más tiempo. La medida podría suponer el mayor trastorno del gigante de las redes sociales en toda su historia. El CPD no reveló el contenido del borrador.
A principios de año, Facebook declaró que si no puede transferir datos al extranjero, podría afectar a la disponibilidad de sus productos. Este escenario parece ahora cerca de convertirse en realidad.
(Actualización: la EDPB se implicó directamente en el caso. Al final, se impuso a Meta una multa récord de 1.200 millones de euros y se le ordenó suspender las transferencias de datos estadounidenses para Facebook. Los términos de la orden de suspensión están pendientes y el riesgo de un apagón de Facebook es más real que nunca. Escribimos sobre esta decisión en profundidad)
- Facebook y Schrems. Una larga historia
- Medidas enérgicas contra Google Analytics
- Escudo de privacidad 2.0
- Implicaciones de la prohibición de Facebook
- Reflexiones finales
Facebook y Schrems. Una larga historia
El proyecto de decisión es el resultado de una larga y compleja batalla legal entre Max Schrems y Facebook. Hace nueve años, el activista de la privacidad Max Schrems presentó una denuncia sobre las transferencias de datos de Facebook ante el CPD, alegando preocupaciones por la privacidad a raíz de las revelaciones de Snowden. El caso acabó en el Tribunal de Justicia de la UE en dos ocasiones, y el Tribunal invalidó dos marcos de transferencias de datos UE-EE.UU. en los casos emblemáticos Schrems I y II.
Schrems II complicó las transferencias de datos a Estados Unidos, ya que el Tribunal subrayó la necesidad de aplicar salvaguardias efectivas contra la vigilancia estadounidense, algo difícil y a menudo imposible para las empresas europeas.
De acuerdo con la legislación estadounidense sobre vigilancia, Facebook es un "proveedor de servicios de comunicaciones electrónicas" y, por tanto, está obligado a compartir datos con los servicios de inteligencia estadounidenses si así se le solicita. Esto significa que las agencias estadounidenses pueden acceder a los datos personales de los ciudadanos de la UE.
El mandato del GDPR es simple: proteger la privacidad de los datos europeos. Esto no puede garantizarse cuando los datos personales se envían desde la UE a los servidores de Facebook en Estados Unidos.
Medidas enérgicas contra Google Analytics
La sentencia Schrems II no dio lugar a una respuesta de las autoridades de protección de datos hasta principios de este año, cuando la DSB (Austria) respondió prohibiendo el uso de Google Analytics. La CNIL (Francia) no tardó en seguirle, y Garante (Italia) también prohibió Google Analytics la semana pasada. Es probable que más Estados miembros de la UE sigan su ejemplo en los próximos meses.
(Actualización: Finlandia y Noruega se pronunciaron en contra de Google Analytics, aunque las conclusiones de la autoridad noruega son aún preliminares. Además, Dinamarca ha adoptado básicamente la misma postura en un comunicado de prensa.
Escudo de privacidad 2.0
Un portavoz de Facebook señaló que el asunto está en vías de solución, refiriéndose a un nuevo acuerdo entre EE.UU. y la UE que permitirá seguir transfiriendo datos. El llamado Escudo de la privacidad 2.0. Sin embargo, el acuerdo dista mucho de estar ultimado. Tanto la UE(aquí) como EE.UU.(aquí) anunciaron un nuevo acuerdo sobre un nuevo marco para la transferencia transatlántica de datos, pero no se ha facilitado ningún documento legal.
Max Schrems (sí, el de las sentencias) señaló:
"El texto final necesitará más tiempo; una vez que llegue, lo analizaremos en profundidad, junto con nuestros expertos jurídicos estadounidenses. Si no se ajusta a la legislación de la UE, es probable que nosotros u otro grupo lo impugnemos". Al final, el Tribunal de Justicia decidirá por tercera vez. Esperamos que esto vuelva al Tribunal a los pocos meses de una decisión final".
Actualización: el nuevo marco para la transferencia de datos entre la UE y EE.UU. está en camino. El Presidente de EE.UU., Joe Biden, firmó una orden ejecutiva en octubre de 2022 y la Comisión Europea publicó un [proyecto de decisión de adecuación] para EE.UU. dos meses después. Juntos, estos dos actos pretenden ser la base del Marco Transatlántico de Privacidad de Datos.
El nuevo marco sigue siendo problemático en algunos aspectos y seguramente se enfrentará a desafíos en los tribunales. También se encontró con la oposición del Parlamento de la UE. Estamos ante otra sentencia Schrems y es difícil saber cómo se desarrollará.
Implicaciones de la prohibición de Facebook
Un conflicto no resuelto sobre la transferencia transatlántica de datos podría tener importantes repercusiones para (casi) todos los europeos. Parece poco realista que Facebook no esté disponible para los ciudadanos de la UE, pero es muy posible que esto se haga realidad.
En febrero, la jefa del CPD, Helen Dixon, dijo a Reuters que una decisión no afectaría inmediatamente a WhatsApp, ya que tiene un controlador de datos diferente.
Suena duro, pero por fin, el GDPR está mostrando sus dientes. La privacidad es un derecho humano y debe tratarse como tal. Google y Facebook se han convertido en las mayores empresas monopolísticas del mundo monetizando nuestros datos. Este modelo está mostrando grietas a medida que más y más consumidores exigen privacidad.
Reflexiones finales
Hemos creado Simple Analytics porque nos preocupa la privacidad. Nuestra "lucha" es principalmente con Google, ya que Simple Analytics es una alternativa a Google Analytics que da prioridad a la privacidad, pero va más allá. Creemos en una web independiente que sea amable con los visitantes de los sitios web.
Para crear una web más abierta, debemos adoptar una mentalidad diferente. Debemos encontrar la manera de dejar de depender de las mayores empresas publicitarias del mundo. Tenemos que encontrar la manera de independizarnos de esas bestias devoradoras de datos.
Para cambiar esto, necesitamos alternativas que nos lo permitan. Y sí, somos parciales porque construimos una alternativa a Google Analytics que da prioridad a la privacidad. Pero si este mensaje resuena contigo, deberías echar un vistazo a todas estas alternativas basadas en la UE para productos digitales y comprobarlo por ti mismo.