Google sigue enviando datos de sitios web de la UE a Estados Unidos, a pesar de dos sentencias del Tribunal de Justicia. La Autoridad de Protección de Datos de Austria podría multar a Google con hasta 6.000 millones de euros.
El verano pasado, el Tribunal de Justicia de la Unión Europea (TJUE) dictaminó -ya por segunda vez- que las leyes de vigilancia de Estados Unidos hacen ilegal, en general, la transferencia de datos personales de la UE a ese país. Google sigue ignorando esta decisión y ahora argumenta ante el OSD austriaco (PDF) que puede seguir transfiriendo datos de millones de visitantes de sitios web de la UE a Estados Unidos, en flagrante contradicción con el RGPD. La autoridad austriaca de protección de datos (DSB) tiene ahora la posibilidad de multar a Google con hasta 6.000 millones de euros en virtud del RGPD.
quejas denoyb contra Google. Tras la llamada sentencia "Schrems II" del 16.07.2020, la organización de Max Schrems, noyb, presentó en agosto de 2020 101 denuncias contra sitios web de la UE que seguían pasando datos de cada visitante a Google y Facebook. Todas las denuncias se dirigen también contra las empresas matrices estadounidenses de Google y Facebook, por lo que las autoridades europeas de protección de datos formaron una "Task Force" en septiembre de 2020. La primera de estas quejas podría ser decidida pronto por la Autoridad de Protección de Datos (DPA) de Austria - y podría llevar a una multa masiva contra Google.
Google: "señales" y "vallas" contra la ley estadounidense. Google argumenta principalmente que utiliza "medidas suplementarias" que supuestamente ayudan contra la vigilancia de la NSA (ver páginas 23 a 26). Sin embargo, ninguna de las medidas es nueva, ni de alguna manera efectiva: Google argumenta incluso con carteles y vallas alrededor de los centros de datos y con una encriptación media HTTPS que no es más que un estándar mínimo incluso para los sitios web pequeños. Que estas medidas no tienen ningún impacto en las leyes de vigilancia de Estados Unidos ya es evidente en el propio "informe de transparencia" de Google: solo en 2019, más de 201.000 solicitudes bajo la ley de vigilancia estadounidense "FISA" fueron respondidas por Google. Faltan estadísticas más recientes.
"Google tiene que entregar todos los datos bajo la ley estadounidense. Es grotesco que argumenten tener vallas y carteles: las leyes de vigilancia de EEUU también son aplicables detrás de las vallas. El cifrado estándar tampoco ayuda, ya que Google está obligado a entregar también las claves de cifrado. Solo en 2019, dieron al gobierno estadounidense datos de extranjeros más de 201.000 veces." - Max Schrems, presidente de honor de noyb.eu
presentación denoyb . La autoridad austriaca de protección de datos ha pedido a noyb que responda a la opinión de Google. En la declaración de 36 páginas, noyb profundiza en la evidente violación del GDPR. Las alegaciones legales de noyb(alemán, traducción al inglés) se han presentado hoy.
"Google admite en gran medida sus violaciones del GDPR y las pruebas son abrumadoras. La autoridad recibe este caso en bandeja de plata." - Max Schrems, Presidente Honorario de noyb .eu
Posible sanción de más de 6.000 millones de euros Dado que la denuncia se dirige a Google LLC, que opera por separado de su filial europea (Google Ireland Ltd), cualquier autoridad de protección de datos de la UE puede imponer una sanción en virtud del RGPD. En este caso concreto, la Autoridad de Protección de Datos (APD) austriaca puede imponer el 4% del volumen de negocios global de Google LLC, una suma récord de algo más de 6 000 millones de euros.
"Es una oportunidad única de hacer algo por la protección de los derechos fundamentales y por el presupuesto de un país simultáneamente. En virtud del RGPD, existe incluso la obligación de que las autoridades emitan sanciones adecuadas y Google realmente cumple todas las condiciones para hacer pleno uso de la gama de sanciones." - Max Schrems, Presidente Honorario de noyb.eu
la presentación denoyb también señala los instrumentos legales para hacer cumplir cualquier fallo del OSD en toda la UE y embargar cualquier activo de Google LLC también con terceros (como los bancos internacionales).
Antecedentes: El TJUE ha dictaminado en dos casos (conocidos como"Schrems I" y"Schrems II") que los datos de la UE ya no pueden almacenarse en empresas estadounidenses si entran en el ámbito de aplicación de las leyes de vigilancia de Estados Unidos (concretamente el artículo 50 USC § 1881a, también conocido como "FISA"). Google cae indiscutiblemente bajo estas leyes estadounidenses y la sentencia del TJUE. Sin embargo, gran parte de la industria estadounidense sigue ignorando la clara jurisprudencia para evitar una costosa actualización de sus sistemas.