La RAE, Freepik o eDreams, entre las decenas de entidades denunciadas por permitir las transferencias de datos de sus usuarios a EEUU después de que una sentencia del TJUE las invalidara

Hace un mes el Tribunal de Justicia de la Unión Europea, el TJUE, sentenció que el acceso y uso de los datos personales en Estados Unidos "no está regulado" conforme a las exigencias de Europa, por lo que tumbaba el Privacy Shield —Escudo de la Privacidad, en inglés—. Este era el ostentoso nombre por el que se conocía al marco regulatorio que permitía el trasvase de datos entre la UE y Estados Unidos.

El fallo no invalidaba todas las transferencias de datos entre Europa con estados no europeos: solo aquellas que enviaban los datos al país norteamericano.

Además del Privacy Shield ya invalidado entre la UE y Estados Unidos, la Unión tiene mecanismos para preservar garantías de privacidad cuando se transfieran los datos de usuarios a países fuera del continente. Estos mecanismos son en realidad unas herramientas jurídicas conocidas como cláusulas contractuales estándares, SCC por sus siglas en inglés.

Tras conocerse el fallo del TJUE, Google aclaró en sus términos de privacidad para Analytics —una herramienta con la que las páginas webs miden sus audiencias— que "debido a la reciente decisión del TJUE invalidando el Privacy Shield, Google pasará a depender de las SCC (...), ya que según la sentencia siguen siendo un mecanismo legal válido para transferir datos".

Facebook, por ejemplo, también incide en su página web que sus transferencias de datos se realizan ya basándose en los citados SCC.

Leer más: El GDPR decepciona 2 años después de su implantación y la UE se prepara para reforzar sus controles a las grandes tecnológicas tras la crisis del coronavirus

Sin embargo, noyb, la plataforma de activistas por la privacidad liderada por el austriaco Max Schrems, no lo entendía así. noyb fue la organización que denunció ante el TJUE el acuerdo de transferencias de datos con Estados Unidos, el Privacy Shield. Y tras conocerse el fallo, advertían: las empresas norteamericanas solo podrían utilizar los SCC "si no hay leyes en conflicto".

Por esta razón, noyb acaba de anunciar este martes 101 denuncias a varias compañías que operan en Europa por mantener en los códigos de sus páginas o servicios herramientas como Analytics, de Google, o de Facebook. noyb entiende que se está haciendo una transferencia de datos de usuarios a Estados Unidos ilícita, ya que ni Google ni Facebook deberían poder usar las SCC.

En un comunicado, la organización de activistas detalla que han presentado 101 reclamaciones que afectarían a empresas en 30 países miembros de la Unión Europea y del Espacio Económico Europeo. Para elegir a qué compañías demandarían, noyb ha hecho una selección basándose en el dominio de cada web (.es para las páginas españolas, por ejemplo), la presencia de los instrumentos de Google y Facebook en sus códigos y el tráfico.

Max Schrems, el activista austriaco y presidente honorífico de noyb, asegura que su organización ha hecho "una búsqueda rápida" del código de los instrumentos de Google y Facebook "en las principales páginas de cada país miembro de la UE". "Estos códigos envían datos sobre los usuarios a Google o Facebook. Ambas empresas admiten que transfieren dichos datos a Estados Unidos y que en su procesamiento tienen la obligación legal de cedérselos a agencias estadounidenses como la NSA", denuncia.

Leer más: Clearview AI, la compañía de reconocimiento facial que ha robado millones de rostros de internet, acaba de ser denunciada por protección de datos en Europa

"Ni Google Analytics ni Facebook Connect son esenciales para ejecutar estas páginas web. Estos servicios podían haber sido reemplazados o, al menos, desactivados provisionalmente".

"El Tribunal fue explícito al dictaminar que no se pueden utilizar las SCC cuando los destinos de las transferencias en EEUU están sujetos a leyes de vigilancia masiva", lamenta Schrems. "Los destinos en EEUU, al importar estos datos, deberían advertir a los emisores de estas leyes. No se está haciendo, así que estas compañías estadounidenses tendrán que responder de cualquier daño financiero que provoquen".

Las empresas afectadas en España

El GDPR, el reglamento europeo de protección de datos, contempla que es la autoridad de control competente de cada país la responsable de velar por el cumplimiento de esta regulación. En el caso de España, este organismo de control es la Agencia Española de Protección de Datos, la AEDP.

Así, de entre las 101 reclamaciones que noyb ha presentado por toda Europa, al menos 5 se han presentado a la AEPD y afectan a compañías que o son españolas, u operan en España.

En concreto, noyb ha presentado reclamaciones contra la Real Academia Española, contra una web llamada País de los Juegos, contra Airbnb, contra la agencia y comparador de viajes eDreams y contra la startup malagueña Freepik, que hace unos meses era vendida al grupo de inversión sueco EQT.

Según se desprende de las reclamaciones presentadas ante la AEPD, Freepik y Airbnb tienen incrustado el código HTML de la herramienta de Facebook, Facebook Connect; mientras que País de los Juegos, la RAE y eDreams tienen incrustado el código de Google Analytics.

Todas las reclamaciones van fechadas a lunes 17 de agosto, y en todas se hace la petición de una multa disuasoria porque el reclamante —noyb— puede ser solo uno "de los miles" de usuarios afectados por transferencias de datos a Estados Unidos, y ya ha pasado más de un mesdesde que se conoció el fallo del TJUE.

Puedes consultar la lista completa de reclamaciones que acaba de publicar noyb pinchando aquí.