Esta semana, la justicia europea pasa revista a los planes de las empresas de Silicon Valley en Europa. Este miércoles fue el turno de Apple que sale victoriosa, de momento, porque el Tribunal General de la UE puede reclamar las famosas ayudas de Estado en Irlanda. El golpe en esta ocasión es para el negocio de datos, gana Bruselas
Entrevista con Borja Adsuara
Hoy es el turno de Facebook donde el Tribunal de Justicia de la Unión Europea ha dictaminado que el famoso Privacy Shield es "inválido". "Estoy muy contento con el juicio. A primera vista parece que el Tribunal nos ha seguido en todos los aspectos", detalla Max Schrems en la página web de Nyob.
"Está claro que Estados Unidos tendrá que cambiar seriamente sus leyes de vigilancia, si las empresas estadounidenses quieren seguir desempeñando un papel en el mercado de la UE", añade.
Max Schrems, un joven austríaco experto en leyes y privacidad, lleva batallando con Facebook y los problemas de seguridad y vigilancia de datos de la red social desde hace varios años y hoy es el día en el que Europa se ha de pronunciar sobre el negocio de Mark Zuckerberg.
No obstante, esta decisión no provoca un vacío legal, ya que los datos esenciales se podrán seguir transfiriendo.
Subcontratación a terceros
El caso examinado hoy se refiere principalmente a la "subcontratación" voluntaria del procesamiento de datos personales a los Estados Unidos.
Lo explica Borja Adsuara
“Muchas empresas en la UE aún pueden tener que revisar sus prácticas de outsourcing si tienen datos personales procesados por proveedores estadounidenses”, detalla Schrems a través de NOYB, el Centro Europeo de Derechos Digitales es una organización sin fines de lucro.
El outsourcing es una modalidad de administración que consiste en delegar ciertas tareas específicas, que no forman parte del negocio principal a terceros. Noyb asegura que a través de esta práctica, los datos personales de los usuarios europeos de Facebook “se almacenan en EEUU porque es más barato o práctico”.
En este punto, Noyb destaca que “no existe una excepción en el RGPD para la transferencia de estos datos a Estados Unidos” y añade que “el TJUE puede declarar que estos instrumentos no son válidos o no se pueden usar en ciertas situaciones”.
En esta denuncia, Schrems aseguraba que “no es posible compartir datos de otras personas con un proveedor de estadounidense directamente”. Eso sí, salvo “que haya obtenido su consentimiento libre, específico, informado e inequívoco para hacerlo”.
“Es posible que después de este caso, estas empresas tengan que reorganizar todos los flujos de datos para sus clientes, por ejemplo, asegurando que los datos alojados o las copias de seguridad se conserven en Europa o en cualquier otro país que brinde mejores protecciones de privacidad, en lugar de ser transferidos a los Estados Unidos”, apuntan desde Noyb.
Luz verde al "flujo de datos necesarios"
En muchos casos, los usuarios de la europeos tienen un contrato con una subsidiaria de la UE de una empresa estadounidense, como Google Irlanda, Facebook Irlanda, Microsoft Luxemburgo o Amazon Luxemburgo.
Sin embargo, si el TJUE da la razón a Screms y se posiciona del lado del Abogado General de la UE, “las empresas europeas no podrán seguir externalizando los datos personales de ciudadanos de la UE a Estados Unidos” y así abaratar costes.
“Los procesadores de datos estadounidenses más utilizados también están sujetos a las leyes de vigilancia de los Estados Unidos, como FISA 702, que requieren que revelen datos personales al gobierno de los EEUU sin las protecciones adecuadas. La transferencia de datos a los procesadores bajo tales obligaciones probablemente viola el RGPD”, denuncia Nyob.