Dábamos comienzo al mes de agosto con un análisis en nuestro Blog, de las consecuencias que la resolución del Tribunal de Justicia de la Unión Europea (TJUE) que anulaba el famoso “Privacy Shield” tenía en las transferencias internacionales de datos entre la Unión Europea (UE) y los Estados Unidos (EEUU) basadas en esta decisión de adecuación.
Con esta resolución, todos los medios se hicieron eco de la novedad, reviviendo así una situación similar a la ya surgida tras la anulación del Safe Harbor en octubre del año 2015. Una diferencia destacable en ese caso fue que, aquellos Responsables de “fichero” que hubiesen notificado a la Agencia Española de Protección de Datos (AEPD), algún fichero con transferencias de datos con destino a EEUU basadas en Safe Harbor, dispusieron de unos meses para responder al requerimiento de la autoridad de control, remitido con el fin de obtener información acerca de la continuidad de dichas transferencias internacionales de datos, sin “exigir” de forma inmediata a la publicación de la resolución la adecuación de estas transferencias internacionales de datos.
Sin embargo, ahora la AEPD no ha previsto o proporcionado periodo alguno para que los responsables y encargados del tratamiento afectados, encuentren alternativas al Privacy Shield, en base al que realizaban ciertas transferencias internacionales de datos, debiendo adaptarse de forma inmediata para que tales flujos transfronterizos sean conformes con la resolución del TJUE.
Precisamente, las transferencias internacionales de datos han vuelto a ser noticia, y en esta ocasión, en relación con el gigante tecnológico Facebook.
Que la licitud de la actividad de Facebook, en lo que al tratamiento de datos personales y privacidad de sus usuarios se refiere, es continuamente cuestionada, no es ninguna novedad. En esta ocasión, la entidad con matriz estadounidense se ha visto afectada entre las 101 reclamaciones sobre transferencias entre la UE y EEUU, presentadas por Noyb (Centro Europeo de Derechos Digitales). Aunque el nombre de Noyb pueda resultar menos conocido, sí que lo es el de Max Schrems, uno de sus cofundadores, abogado y activista de privacidad, que actúa como cara visible de esta organización sin ánimo de lucro, cuyo objetivo es lanzar casos judiciales estratégicos e iniciativas de medios, en apoyo del Reglamento Europeo de Protección de Datos (RGPD), y la privacidad de la información en general.
¿Cuál es el motivo de esta reclamación a Facebook? Tal y como comentábamos al inicio de esta publicación, la anulación del Privacy Shield o Escudo de Privacidad, ha supuesto un gran golpe para empresas como Facebook, y Noyb, que no da tregua a la red social, no ha hecho esperar su reclamación, al comprobar que la entidad continúa realizando transferencias internacionales de datos, antes basadas en el Privacy Shield, desde su sede en Irlanda, Facebook Ireland Limited, a la organización principal Facebook, Inc., con sede en California.
Gracias a la publicación en la página de Noyb de las comunicaciones intercambiadas entre Noyb, Facebook Ireland, y también la Comisión de Protección de Datos de Irlanda (en adelante DPC por sus siglas en inglés: Data Protection Commissioner), hemos podido revisar cuáles son los argumentos de cada una de las partes en esta ida y venida de comunicaciones (aquí las cartas intercambiadas entre Noyb y Facebook):
En su primera comunicación, Noyb solicita a Facebook, dirigiéndose a sus abogados, que de manera específica aclare cuáles son los destinatarios precisos y base legal, en la que se ampara para poder realizar la transferencia internacional de datos a EEUU, y proporcione una copia de las cláusulas contractuales tipo (SCC por sus siglas en inglés), o cualquier acuerdo complementario que Facebook pueda estar utilizando.
Ante esta solicitud, e indicando de manera inicial que, peticiones similares ya fueron formuladas y atendidas directamente por Facebook Ireland, su respuesta se basó en:
- Defender que las transferencias internacionales de datos son necesarias para proporcionar los servicios establecidos en los Términos de servicio de Facebook y para operar y proporcionar estos servicios a nivel mundial (considerándose entonces amparadas en el artículo 49.1.b) RGPD). A este respecto, se indica que si el cliente afectado, en este caso el propio Sr. Schrems, no desea que sus datos personales se transfieran a EEUU en el contexto de la prestación y funcionamiento del servicio de Facebook, puede eliminar su cuenta de forma permanente en cualquier momento.
- Aportar copia de extracto de las cláusulas contractuales estándar suscritas por Facebook Ireland y Facebook Inc., en relación con la transferencia de datos de usuarios situados en el Estado Económico Europeo (EEE). Se pueden consultar en las páginas 5 a 12 de este documento, ya mencionado y vinculado.
Lejos de considerar esta respuesta como suficiente, Noyb, insistente en sus demandas iniciales, y rebate a los representantes de Facebook Ireland al responder, entre otras cuestiones que:
- No se especifica la base legal precisa, la identidad de los destinatarios o las jurisdicciones a las que Facebook Ireland envía los datos personales de los usuarios de la plataforma.
- Las únicas bases legales identificadas para realizar las transferencias internacionales de datos identificadas son: las SCC y el artículo 49.1. b) RGPD, tal y como se hace constar en el apartado V. de su Política de Datos, donde Facebook Ireland responde a la pregunta, ¿cuáles son las bases jurídicas en las que nos basamos para tratar los datos?
A este respecto, y ante el argumento de que se trata de transferencias necesarias para proporcionar los servicios establecidos en los Términos de servicio de Facebook, Noyb solicita se explique cómo, puede ser «necesario» almacenar datos de forma permanente con Facebook lnc., por ejemplo cuando:
– Los mensajes se envían entre el usuario de la red social y sus amigos no estadounidenses.
– Las imágenes, vídeos y otras publicaciones se cargan y almacenan en facebook.com, más allá de la posible necesidad de que los amigos del usuario de EEUU carguen individualmente dicho contenido que se almacena en la UE.
– Los eventos los crea su cliente usuario de la red social, pero no se invita a ningún usuario de EEUU.
– Facebook recopila los datos de seguimiento del cliente en páginas de terceros.
De este modo, y en ausencia de una explicación clara por parte de Facebook Ireland, Noyb concluye que ha de interpretarse que tal transferencia internacional de datos no es en ningún caso necesaria para dar cumplimiento a un contrato existente entre el usuario y Facebook Ireland. A mayor abundamiento, Noyb defiende que, en la práctica, el artículo 49.1 b) del RGPD puede ser una base jurídica apropiada para transferencias de datos muy limitadas. Por ejemplo, cuando un usuario de la UE envía un mensaje a un usuario de los Estados Unidos, pero no podría utilizarse para subcontratar todo el procesamiento de datos a los Estados Unidos.
- El contenido de la “Política de datos” de Facebook declara, en definitiva, que los datos de los usuarios pueden ser transferidos a cualquier país del mundo, ya sea otro responsable o encargado del tratamiento, sin ningún tipo de limitación. En concreto, se puede ver en contenido de su apartado IX la siguiente información:
Compartimos información de forma global, tanto internamente con las empresas de Facebook como externamente con nuestros socios y las personas con las que te conectas y compartes contenido en todo el mundo, de conformidad con esta política. La información que controle Facebook Ireland se transferirá o transmitirá a los Estados Unidos o a otros países distintos de tu lugar de residencia, y se almacenará y procesará en estas ubicaciones, en relación con las finalidades descritas en esta política. Estas transferencias de datos son necesarias para proporcionar los servicios descritos en las Condiciones de Facebook y las Condiciones de Instagram, así como para funcionar de forma global y proporcionarte nuestros Productos. Utilizamos cláusulas contractuales tipo aprobadas por la Comisión Europea y seguimos las decisiones de adecuación de la Comisión Europea sobre determinados países, según sea aplicable, en lo referente a la transferencia de datos desde el EEE a los Estados Unidos y a otros países.
Ante esta redacción y términos para realizar los tratamientos de datos, Noyb asume que se podría estar incumpliendo lo dispuesto en la sentencia del TJUE en C-311/18 Schrems.
¿Qué tiene que decir la autoridad de control irlandesa sobre todo esto?
La DPC se puso en contacto con Facebook Ireland, para notificar el inicio de una investigación ex officio que tiene como objeto evaluar la validez y confianza en las cláusulas contractuales tipo, y junto con ello la existencia de un plazo de 21 días para remitir por escrito su respuesta a las cuestiones identificadas como objeto de la investigación. Una vez recibida y estudiada la respuesta de Facebook Ireland, la DPC tenía previsto redactar un proyecto de decisión, conforme a lo previsto en el art. 60.3 RGPD, remitiendo el mismo a las restantes autoridades de control interesadas.
Sin embargo, el curso previsto para este proceso se ha visto paralizado, toda vez que, hace escasos días, el Tribunal Superior Irlandés ha concedido a Facebook la posibilidad de presentar una revisión judicial contra la DPC (Caso No 2020/617 JR), suspendiendo así, por el momento, este nuevo procedimiento «ex officio» de la DPC en los flujos de datos entre la UE y los EEUU.
En definitiva, y a pesar de la insistencia y esfuerzos por parte de Noyb, por el momento Facebook ha logrado detener la investigación de la DPC sobre los flujos de datos entre la UE y Estados Unidos. En cualquier caso, resultará de gran interés poder contar con el criterio de la DPC, y cualquier otra autoridad de control interesada que se manifieste al respecto, en lo que se refiere a la validez o no de acudir al art. 49.1 b) RGPD para realizar transferencias internacionales de datos en un contexto similar al que ahora trata de defender Facebook Ireland.