Brussels, tenemos un problema. Desde la STJUE ‘Schrems II’ y más allá

En una reciente decisión de 12 de enero de 2022, la Autoridad Austríaca de Protección de Datos [‘Datenschutzbehörde’ (DSB)], ha reconocido que el uso continuado de Google Analytics vulnera el Reglamento General de Protección de Datos-RGPD (Reglamento (UE) 2016/679).

El 16 de Julio de 2020, la Gran Sala del Tribunal de Justicia de la Unión Europea, invalidó en su Sentencia ‘Schrems II’ la Decisión de adecuación denominada Privacy Shield (Escudo de Privacidad), en virtud de la cual se llevaban a cabo las transferencias de datos personales desde la UE (o Espacio Económico Europeo -EEE- que añade a los 27 Estados miembros de la UE, Islandia, Liechtenstein y Noruega) a los EE.UU.     

Uno de los argumentos determinantes de este pronunciamiento provenía de la consideración de que las normativas FISA 702 y EO 12.333, adoptadas por las autoridades norteamericanas, vulneraban los estándares de la protección de datos personales reconocidos en el RGPD. La primera de ellas (Foreign Intelligence Surveillance Act), permite al Gobierno norteamericano recoger, tratar y difundir el contenido de comunicaciones electrónicas de proveedores de internet alojados en los Estados Unidos. La Executive Order (EO) especifica, al margen de FISA, las circunstancias en las que las agencias de inteligencia norteamericanas pueden acceder a datos de una persona en el extranjero si esta se comunica con una persona en territorio norteamericano o a la inversa. 

Al no proporcionar los EE.UU. un nivel de protección de los datos personales de los ciudadanos europeos “esencialmente equivalente” al otorgado por la UE, el Tribunal de Justicia anuló el marco jurídico para la transferencia de datos personales entre la UE y los EE.UU. por segunda vez, tras invalidar previamente la Decisión de adecuación denominad Safe Harbour   (Puerto Seguro) en 2015.

Tras la Sentencia ‘Schrems II’, las transferencias de datos personales a los EE.UU. continuaron realizándose por parte de empresas como Microsoft, Facebook o Google sobre la base de Cláusulas Contractuales Tipo (SCC) adoptadas por la Comisión Europea, previstas tanto en la Directiva 95/46/CE como en el RGPD como instrumento idóneo para llevar a cabo transferencias internacionales de datos personales. Estas Cláusulas Contractuales Tipo, constituyen cláusulas estandarizadas para realizar la transferencia de datos personales de ciudadanos de la Unión a un tercer país fuera del Espacio Económico Europeo, pero no conllevan la realización por la Comisión Europea de las exhaustivas comprobaciones acerca de las garantías ofrecidas por el tercer país que requiere la adopción de una Decisión de adecuación.

La Sentencia del TJUE julio de 2020 ‘Schrems II’  especificó que, por su naturaleza, las SCC “no pueden ofrecer garantías que vayan más allá de la obligación contractual de asegurar el cumplimiento del nivel de protección requerido por la Unión (…)”, y dependiendo de la situación en un concreto tercer país, puede ser necesario que el responsable del tratamiento “adopte medidas adicionales que garanticen el cumplimiento con este nivel de protección” (para. 133). En consecuencia, siguiendo las recomendaciones de la entonces Autoridad Europea de Protección de Datos (AEPD) Google complementó las SCC mediante la adopción de medidas técnicas y organizativas (Technical and Organizational Measures-TOMs).

En su decisión de 12 de enero de 2022 [Original Decision (German, PDF)] Standarderledigung Bescheid (noyb.eu)  (vínculo facilitado por noyb.eu), respondiendo a la reclamación  planteada por la Asociación sin ánimo de lucro NOYB, la Autoridad Austríaca de Protección de Datos ha declarado inválidas estas medidas complementarias (al menos en su versión a fecha de agosto de 2020), por estimar que no evitan el control de los datos provenientes de la UE por parte de las autoridades norteamericanas.

Así, en opinión de la autoridad independiente de control austríaca, no existen evidencias de que las TOMs adoptadas por Google Analytics resulten efectivas para prevenir ni limitar el acceso por las agencias de inteligencia norteamericanas, en aplicación de la normativa FISA 702 y EO 12.333, a los datos personales de los ciudadanos europeos (pg. 39).

Una decisión que ‘corta las barbas’ de Google Analytics para ejemplo de otras webs que operan en territorio de la UE, muchas de ellas apoyándose en el uso de datos de Google, viniendo a reforzar la presión ya ejercida sobre dichas compañías tecnológicas por el Supervisor Europeo de Protección de Datos (EDPS).

En efecto, en su resolución de 5 de enero de 2022, el EDPS responde a la reclamación planteada por un grupo de miembros del Parlamento Europeo contra la información transferida a los EE.UU a través de las cookies alojadas en una de las páginas web del propio Parlamento Europeo (EDPS Decision) Microsoft Word – case 2020-1013 EDPS Decision.docx (noyb.eu) (vínculo facilitado por NOYB).

Un pronunciamiento del Supervisor Europeo donde resulta especialmente inquietante la constatación de que el Parlamento Europeo “no aporta documentación, pruebas ni otra información” relativa a la adopción de medidas contractuales, técnicas u organizativas dirigidas a asegurar un nivel de protección “esencialmente equivalente” al otorgado por la UE respecto de los datos transferidos a los EE.UU mediante el uso de cookies en su página web (p. 14).

De este modo, a juicio del EDPS, el Parlamento Europeo ha sido incapaz de proteger la información (las cookies) transmitidas, almacenadas, relacionadas, procesadas y recopiladas de los equipos terminales de los usuarios, infringiendo el art. 37 RGPD, además de los arts. 26(1) y 29(1) RGPD, como consecuencia del incumplimiento de sus responsabilidades como responsable del tratamiento y de utilizar un encargado del tratamiento que ofrezca garantías suficientes para aplicar las medidas técnicas y organizativas adecuadas, y, en última instancia, vulnerando el principio de transparencia, responsabilidad y derecho a la información de los interesados debido a la inexactitud del aviso de protección de datos y del banner de cookies en el sitio web (arts. 4(1)a); 14(4)(2) y 15 RGPD).

Atendiendo a estas dos recientes resoluciones nos podemos preguntar no solo si la Sentencia Schrems II contribuyó a garantizar la protección “esencialmente equivalente” de los datos personales en las transferencias internacionales de datos a los EE.UU, sino también si las Instituciones Europeas están aplicando con rigor los estándares de protección de los datos personales vigentes en la UE, recogiendo el guante lanzado por el TJUE en la Sentencia ‘Schrems II’.

La opción de la Comisión Europea de sustituir las Decisiones de adecuación por las Cláusulas contractuales tipo (SCC) para llevar a cabo las transferencias internacionales de datos personales a los EE.UU., y la necesidad de completar estas últimas a través de medidas técnicas u organizativas ‘ad hoc’ que garanticen el nivel de protección “esencialmente equivalente” de los datos personales en el tercer país, no parecen ofrecer un elevado nivel de seguridad al tratamiento de los datos personales de los ciudadanos europeos. 

Así lo ha reconocido la autoridad francesa de protección de datos (CNIL-Commission Nationale de l’Informatique et de les Libertés) quien, resolviendo la reclamación planteada por la Asociación sin ánimo de lucro NOYB con fecha de 10 de febrero de 2022, ha considerado también contrarias al RGPD las transferencias de Google Analytics desde Francia, obligando a Google a cumplir con los estándares de protección de datos vigentes en el Espacio Económico Europeo.

Las resoluciones de las autoridades de protección de datos de Austria y Francia constituyen los primeros, pero no los últimos, pronunciamientos de las autoridades de control nacionales, en tanto que la Asociación NOYB ha presentado reclamación contra Google Analytics en todos los Estados integrantes del Espacio Económico Europeo, de manera que estas medidas técnicas u organizativas de carácter complementario a las SCC, serán examinadas individualmente por las Autoridades independientes de control de los Estados miembros, sin que se haya hecho uso en este contencioso de los mecanismos de coherencia previstos en el RGPD, y, en particular, de la previsión relativa al Comité Europeo de Protección de Datos (CEPD) en su art. 64.2, según la cual:

“2. Cualquier autoridad de control, el presidente del Comité o la Comisión podrán solicitar que cualquier asunto de aplicación general o que surta efecto en más de un Estado miembro sea examinado por el Comité a efectos de dictamen (…)”.

Los ciudadanos europeos tenemos motivos para inquietarnos ante la ausencia de un control centralizado a nivel europeo que aplique parámetros uniformes al enjuiciamiento de las condiciones en las que tienen lugar las transferencias internacionales de nuestros datos personales, ya sea en relación con el asunto Google Analytics o cualquier otro que pudiera plantearse en el futuro con repercusión en la aplicación uniforme del RGPD en el Espacio Económico Europeo. De ahí que parezca razonable que las autoridades nacionales de control, el CEPD y la Comisión Europea, reflexionen sobre las posibles consecuencias jurídicas y políticas que podrían derivarse para la UE de la hipotética resolución del asunto Google Analytics por una autoridad de control nacional en sentido contrario al actualmente sentado por las autoridades de control austríaca y francesa.

Cita recomendada:  Susana Ruiz Tarrías, “Brussels, tenemos un problema. Desde la STJUE ‘Schrems II’ y más allá”, IberICONnect, 17 de marzo de 2022. Disponible en: https://www.ibericonnect.blog/2022/03/brussels-tenemos-un-problema-desde-la-stjue-schrems-ii-y-mas-alla/