Uso de Google Analytics y Facebook Connect por sitios web de la UE debido a quejas de protección de datos según Schrems II – TechCrunch


Un mes después de que la Corte Suprema Europea dictaminara que un acuerdo insignia de transferencia de datos entre la UE y los EE. UU. No era seguro, el grupo europeo de campañas de protección de datos noyb presentó quejas contra 101 sitios web con operadores regionales que se determinó que eran datos. EE. UU. envían a EE. UU. a través de Google Analytics y / o integraciones de Facebook Connect.

Las empresas enumeradas en la reclamación incluyen empresas de comercio electrónico, editoriales y emisoras, empresas de telecomunicaciones e ISP, bancos y universidades, incluidos Airbnb Irlanda, Allied Irish Banks, Danske Bank, Fastweb, MTV Internet, Sky Alemania , Takeaway.com y Tele2, por nombrar algunos.

“Un análisis rápido del código fuente HTML de los principales sitios web de la UE muestra que muchas empresas todavía utilizan Google Analytics o Facebook Connect un mes después de una sentencia importante del Tribunal de Justicia de la Unión Europea (TJCE ) – aunque ambas empresas se rigen claramente por las leyes de vigilancia de EE. UU. como FISA 702 ", por lo que el grupo aign escribe en su sitio web:

" Ni Facebook ni Google parecen tener una base legal para la transferencia de datos. Google sigue afirmando que se basa en el "Escudo de la privacidad" un mes después de su invalidación, mientras que Facebook sigue utilizando los "SCC" [Standard Contractual Clauses]a pesar de que el Tribunal ha determinado que las leyes de vigilancia de EE. UU. Socavan la esencia de la UE. Violar los derechos fundamentales. "

Nos hemos puesto en contacto con Facebook y Google con preguntas sobre sus bases legales para dichas transferencias, y actualizaremos este informe con cada respuesta.

Los observadores de privacidad sabrán que el fundador de noyb, Max Schrems, fue él. fue responsable de la impugnación legal original que puso fin a un anterior acuerdo de datos UE-EE. UU., Safe Harbor, en 2015. Su queja actualizada resultó en la eliminación del escudo de privacidad UE-EE. UU. el mes pasado, a pesar de que en realidad se enfocó en el uso de Facebook de un mecanismo de transferencia de datos (SCC) separado que solicitaba a su controlador de datos, el DPC de Irlanda, que activara y suspendiera el uso de esta herramienta.

El regulador optó por acudir a los tribunales y planteó importantes preocupaciones sobre la legalidad de transferencia de datos UE-EE. UU. v acuerdos, lo que llevó al Tribunal de Justicia a concluir que la Comisión no debería haberle concedido a los EE. UU. lo que se conoce como un "acuerdo de adecuación", que sacó la alfombra debajo del escudo de privacidad.

La decisión significa que EE.UU. ahora se considera un "tercer país" según la ley de protección de datos, sin precauciones especiales para el procesamiento de la información de los usuarios de la UE.

Además, la decisión del tribunal dejó en claro que los guardias de datos de la UE tienen la responsabilidad de intervenir cuando sospechen que existen riesgos para los datos de la población de la UE si se envían a un tercer país a través de SCC ser transmitido.

Los custodios de datos europeos advirtieron rápidamente que no habría un período de gracia para las empresas que todavía confían ilegalmente en el Escudo de privacidad, es decir, cualquier persona mencionada en la queja anterior que todavía se refiera a los datos que ya no existen. El mecanismo en su política de privacidad ni siquiera tendrá una hoja proverbial para ocultar sus problemas legales.

La afirmación de Noyb con esta última serie de quejas es que ninguno de los 101 sitios web anteriores tiene una base legal válida para continuar transfiriendo datos de visitantes a los EE. UU. A través de las integraciones integradas de Google Analytics y / o Facebook Connect.

“Hicimos una búsqueda rápida de código de Facebook y Google en los principales sitios web de todos los Estados miembros de la UE. Estos fragmentos de código envían datos sobre cada visitante a Google o Facebook. Ambas empresas admiten que transfieren datos de europeos a EE. UU. Para su procesamiento, donde estas empresas están legalmente obligadas a poner estos datos a disposición de las autoridades estadounidenses como la NSA. Ni Google Analytics ni Facebook Connect son esenciales para el funcionamiento de estos sitios web y representan servicios que ahora podrían ser reemplazados o al menos desactivados ”, dijo Schrems, presidente honorario de noyb.eu, en un comunicado.

Desde Schrems II del TJUE De hecho, el Departamento de Comercio de Estados Unidos y la Comisión Europea han enterrado la cabeza en la arena desde que se demolió el puerto seguro, una señal de que quieren intentar improvisar otro paquete de datos para reemplazar el Escudo de Privacidad desaparecido (que reemplazó al (des) Safe Harbor hecho pedazos. Entonces, um …).

Pero sin una reforma fundamental de la ley de vigilancia de EE. UU., Cada tercio de los legisladores respectivos pensarán en el cisma legal de las prioridades de seguridad nacional de EE. UU. Frente a la UE. Los derechos de protección de datos están condenados al fracaso.

Cuanto más cínico digan entre ustedes que las maniobras administrativas de alto nivel sobre este tema, de hecho, simplemente se supone que ganarán más tiempo, para que los datos sigan fluyendo y continúen "los negocios como de costumbre".

Pero ahora existe un riesgo legal significativo al tratar de fingir que no existe una ley de vigilancia estadounidense.

Aquí nuevamente Schrems sobre la sentencia del TJCE del mes pasado, que sugiere que Facebook y Google podrían estar dentro del alcance de la responsabilidad legal si no advierten de manera proactiva a los clientes de la UE sobre su responsabilidad de datos: “El Tribunal de Justicia ha señalado expresamente que No puede usar los SCC si el destinatario en los Estados Unidos está sujeto a estas leyes de vigilancia masiva. Parece que las empresas estadounidenses todavía están intentando convencer a sus clientes de la UE de lo contrario. Eso es más que turbio. Como parte de las SCC, el importador de datos de EE. UU. Tendría que informar al remitente de datos de la UE sobre estas leyes y advertirle. Si no se hace, estas corporaciones estadounidenses serán responsables de los daños económicos. “

Y como se indica en el comunicado de prensa de Noyb, el régimen penal del RGPD puede representar hasta un 4% de las ventas globales para el remitente de la UE ] y destinatarios de datos personales de EE. UU. Así que, de nuevo, hola Facebook, hola Google …

The Crowdfunded Campaign Group se ha comprometido a aumentar aún más la presión sobre los reguladores y procesadores de datos de la UE para que revisen todos los acuerdos de transferencia de datos de EE. UU. Y " para adaptarse "a la clara sentencia del Tribunal Supremo de la UE", como se le llama.

Otros tipos de acciones legales también se basan en el marco del Reglamento general de protección de datos (GDPR) en Europa, y atraen principalmente recursos financieros, por ejemplo, dos acciones colectivas contra Oracle y el uso de cookies de seguimiento Salesforce a principios de este mes. (Como dijimos cuando el RGPD entró en vigor en 2018, las demandas están por llegar).

Ahora, con dos claras huelgas del TJCE sobre la ley de vigilancia de EE. UU. Contra la protección de datos de la UE, parece que la rentabilidad de los gigantes tecnológicos de EE. UU. con la esperanza de fingir que todo está bien con respecto al procesamiento de datos.

noyb también utiliza su dinero donde le place y ofrece a las empresas de la UE directrices y modelos de consulta gratuitos con los que pueden lograr sus objetivos Los datos son importantes en un sistema legal oportuno.

"Aunque entendemos que algunas cosas toman algún tiempo para reorganizarse, es inaceptable que algunos jugadores simplemente ignoren el mejor campo de juego en Europa", agregó Schrems en comentarios adicionales sobre la flotilla reciente. de quejas. “Esto también es injusto para los competidores que se adhieren a estas reglas. Tomaremos medidas incrementales contra los controladores y procesadores que violen el GDPR y contra las autoridades que no hagan cumplir la decisión del Tribunal, como la Autoridad de Protección de Datos de Irlanda, que permanece inactiva. “

Nos hemos comunicado con la Comisión de Protección de Datos de Irlanda para preguntar qué medidas tomará a la luz de las recientes quejas de Noyb, algunas de las cuales se dirigen a sitios web que parecen ser operados por una entidad legal residente en Irlanda.

La queja original de 2013 de Schrem contra el uso de SCC de Facebook también terminó en Irlanda, donde el gigante tecnológico, y muchos otros, están ubicando su EU EQ. La solicitud de Schrem de que el DPC solicite a Facebook que suspenda el uso de SCC aún no se ha cumplido siete años y cinco quejas después. Con la creciente acumulación de quejas transfronterizas de GDPR contra gigantes tecnológicos como Facebook y Google, el regulador sigue enfrentándose a acusaciones de inacción.

El DPC de Irlanda aún tiene que tomar una decisión final sobre una de estas importantes quejas de GDPR. Sin embargo, la presión legal sobre ellos y todos los reguladores de la UE para hacer cumplir y hacer cumplir la ley del bloque solo aumentará incluso cuando se presenten demandas colectivas para tratar de hacer lo que los reguladores no han hecho.

A principios de este verano, la Comisión, en una revisión de los dos primeros años de funcionamiento del mecanismo, reconoció una falta de aplicación "enérgica" consistente del GDPR.

"La Autoridad Europea de Protección de Datos [EDPB] y las Autoridades de Protección de Datos deben intensificar su trabajo para crear una verdadera cultura europea común: proporcionar directrices más coherentes y prácticas y trabajar en una aplicación sólida pero coherente", dijo Věra Jourová, Vicepresidenta de la Comisión. por valores y transparencia, y dio a la Comisión su primera evaluación pública sobre si el RGPD está funcionando.

Nosotros & # 39; También nos comunicamos con la CNIL francesa para preguntarle qué medidas tomará frente a las quejas de Noyb.

Tras la sentencia de julio, el regulador francés dijo que estaba realizando "un análisis en profundidad por lisis", junto con la EDPB, con el fin de "sacar conclusiones lo antes posible sobre las consecuencias de la sentencia para las transferencias de datos de la Unión Europea a los Estados Unidos Estados para dibujar ”.

Desde entonces, se han publicado las directrices de la EDPB: Colorear lo obvio: las transferencias basadas en el Escudo de privacidad son "ilegales". Y aunque la decisión del TJCE no invalida el uso de SCC, solo dio luz verde muy calificada para su uso posterior.

Como informamos el mes pasado, la capacidad de usar SCC para transferir datos a los EE. UU. Depende de que un controlador de datos pueda ofrecer una garantía legal de que "la ley de EE. UU. Influencia en el nivel de protección adecuado ”para los datos transferidos.

"La posibilidad de transferir o no datos personales basados ​​en SCC depende del resultado de su evaluación, teniendo en cuenta las circunstancias de las transferencias y las medidas adicionales que podría tomar", agregó la EDPB.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *