23 años de transferencias ilegales de datos por la inactividad de las APD y los nuevos acuerdos UE-EE.UU
En dos sentencias históricas de 2015 y 2020, el Tribunal de Justicia de la Unión Europea (TJUE) declaró ilegales las transferencias de datos entre la UE y Estados Unidos. Estas decisiones son retroactivas, lo que significa que no había base legal para dichas transferencias entre el año 2000 y 2023. No obstante, la mayoría de las empresas de la UE siguieron utilizando servicios como Google Analytics o herramientas de seguimiento de Meta que implican transferencias ilegales de datos a Estados Unidos. Un nuevo análisis de las 101 denuncias denoyb al respecto muestra ahora cómo una combinación de autoridades de protección de datos inactivas y nuevos acuerdos de la Comisión Europea han dado lugar a 23 años de violaciones de la privacidad.
23 años de transferencias ilegales. El más alto tribunal europeo envió un mensaje contundente a favor de una mejor privacidad de los datos, cuando invalidó los acuerdos de transferencia de datos "Safe Harbor" y "Privacy Shield" en 2015 y 2020, respectivamente. La consecuencia lógica de esta decisión fue que casi todas las transferencias entre la Unión Europea y Estados Unidos desde el año 2000 eran ilegales. Sin embargo, en realidad las empresas no dejaron de practicarlas. Esto fue posible en gran medida por la inacción de las autoridades europeas de protección de datos (APD), que en su mayoría no aplicaron las sentencias del TJUE. En combinación con los nuevos (y nulos) acuerdos, nos encontramos ante 23 años de transferencias ilegales de datos.
Marco Blocher, abogado especializado en protección de datos de noyb: "Estamos asistiendo a un cierto colapso del Estado de Derecho. El más alto tribunal europeo declaró ilegales las transferencias de datos de los últimos 23 años, pero las autoridades miraron en gran medida hacia otro lado."
Cogiendo polvo en un cajón. Para garantizar su cumplimiento, noyb había presentado 101 denuncias después de que el TJUE invalidara la decisión de adecuación "Privacy Shield" en 2020. Aunque esta sentencia eliminó la base jurídica para las transferencias de datos, muchos sitios web muy visitados siguieron enviando datos sobre sus visitantes a los servidores de Google y Meta en Estados Unidos. A pesar de las quejas explícitas y de que las continuas transferencias constituían una clara violación del GDPR, las autoridades competentes en materia de protección de datos todavía no han llegado a una decisión en más del 70 por ciento de las quejas de noybhasta hoy. el 18 de agosto se cumple el tercer aniversario de las denuncias.
Un juego de espera interminable. De hecho, la sentencia del TJUE ha garantizado una situación jurídica clara para que las APD tomen una decisión relativamente rápida en los casos de transferencias de datos. Sin embargo, el análisis más reciente de noybmuestra que 20 de las 32 autoridades afectadas (62,5%) no han emitido una decisión para una sola reclamación que se les haya presentado. Incluso las autoridades más activas tardaron mucho más de lo previsto por la ley. La primera de las 13 decisiones actuales procede del OSD de Austria. Tardó casi un año y medio en tomar una decisión sobre la denuncia de noyb, a pesar de la simpleza de los hechos y la clara situación jurídica del caso.
Marco Blocher, abogado de protección de datos de noyb: "Alrededor de dos tercios de todas las APD ante las que hemos presentado reclamaciones no han llegado a ninguna decisión en tres años. Algunas son incluso imposibles de contactar y no proporcionan información actualizada sobre el estado de las reclamaciones. Es absurdo que en algunos Estados miembros ni siquiera se ejecuten casos tan sencillos"
Un mal ejemplo. Lo que lo hace aún peor es que la Comisión Irlandesa de Protección de Datos (DPC) -por tanto, la autoridad supervisora de Google y Meta- es una de las 20 DPA que aún no han movido un dedo. Las seis denuncias de noyb presentadas ante la DPC siguen pendientes. Pero la autoridad no está sola en esto. Entre otras, ocurre lo mismo con la DPA belga, holandesa, griega, polaca, eslovaca y checa. El análisis completo figura en el enlace anterior.
Nadie se atreve a multar. Hasta la fecha, hay un total de 73 casos pendientes. noyb ganó nueve casos, ganó tres parcialmente y perdió uno. Pero incluso las noticias positivas son aleccionadoras. Solo en un caso la autoridad competente (en Suecia) impuso una multa por utilizar ilegalmente Google Analytics: El proveedor de telecomunicaciones Tele2 tuvo que pagar un millón de euros, y el minorista en línea CDON, 25.000 euros. Es decir, solo dos multas en 101 casos.
Marco Blocher, abogado especializado en protección de datos de noyb: "Solo la autoridad sueca emitió una multa, todas las demás autoridades no emitieron una multa por una violación obvia del GDPR"
La Comisión Europea superó a las APD. Para muchas de las denuncias restantes, tres años después de su presentación, todavía no está claro si las APD competentes llegarán a una decisión o simplemente intentarán dejar pasar el asunto. Mientras tanto, la Comisión Europea y Estados Unidos se han puesto manos a la obra. A mediados de julio de este año, acordaron un "nuevo" Marco Transatlántico de Privacidad de Datos ("TADPF") que es en gran medida una copia de su predecesor. Los ciudadanos de la UE siguen sin tener derechos constitucionales en Estados Unidos, lo que permite a agencias de inteligencia como la NSA utilizar sus datos con fines de vigilancia. Al mismo tiempo, el nuevo Marco ofrece a las APD la oportunidad de suspender los procedimientos activos para esperar a ver si el TJUE invalida la decisión de adecuación por tercera vez.
Marco Blocher, abogado especializado en protección de datos de noyb: "Básicamente llevamos 23 años de acuerdos de transferencia ilegal consecutivos o de no aplicación. Es increíble que a cualquier persona normal le caiga una multa si infringe la ley, pero cuando se trata del RGPD simplemente no hay ninguna consecuencia, ni siquiera después de dos sentencias del TJUE."
Todas las medidas posibles han quedado en nada. Después de que noyb presentara 101 reclamaciones, por un momento pareció que había esperanzas de una resolución oportuna. El EDPB incluso creó un "grupo de trabajo" informal para evitar la fragmentación de la práctica decisoria. Desgraciadamente, no condujo a un planteamiento uniforme para poner fin de una vez a las transferencias ilegales de datos. El problema subyacente de las empresas que no cumplen la legislación europea de protección de datos aún persiste. El informe final del grupo de trabajo sólo contiene declaraciones obvias de alto nivel.
¿A la tercera va la vencida? Al igual que "Safe Harbor" y "Privacy Shield", el nuevo "TADPF" será impugnado tarde o temprano ante el TJUE, que evaluará entonces su validez con arreglo a la legislación de la UE. Dado que persisten los problemas fundamentales de la legislación estadounidense en materia de vigilancia, es muy probable que corra la misma suerte que sus predecesoras y sea declarada nula con efecto retroactivo. La pelota estará entonces de nuevo en el tejado de las APD. Al final, tendrán que ejecutar la sentencia del TJUE. Dada su actuación hasta la fecha, el panorama es desolador. noyb está dispuesta a aprovechar todas las posibilidades legales para garantizar una decisión sobre las demandas pendientes y, si es necesario, presentar nuevas demandas para asegurarse de que se respeten las futuras sentencias del TJUE.