La autoridad de protección de datos austriaca entiende que el uso de herramientas de Google o Meta por parte de compañías del país es ilegal. La razón: las soluciones de estos 2 gigantes tecnológicos funcionan transfiriendo datos personales de usuarios al otro lado del Atlántico, a EEUU. Y desde verano de 2020, esas transferencias a EEUU son ilegales.

En julio de ese año una sentencia del Tribunal de Justicia de la Unión Europea (TJUE) tumbó el acuerdo de adecuación con el que la Comisión Europea consideraba a EEUU como "puerto seguro" para los datos personales de los ciudadanos comunitarios. Era la segunda vez —la primera vez fue en 2015— que dicho acuerdo era derribado por la justicia.

La sentencia del TJUE terminaba así un proceso legal iniciado por una plataforma austríaca llamada Noyb, presidida por el activista en defensa de la privacidad Max Schrems. Conocido aquel fallo judicial, Noyb interpuso más de un centenar reclamaciones contra empresas de todo el continente por favorecer estas transferencias que acababan de ser declaradas ilegales.

Durante años, las agencias de protección de datos nacionales —la AEPD española o la CNIL francesa, por ejemplo— no han sido contundentes, como sí lo ha sido ahora Austria. El motivo: el enorme agujero que podría provocar en muchos negocios digitales, pequeños, medianos y grandes, la desaparición de la noche a la mañana de herramientas tan extendidas como Google Analytics o Meta Pixel.

El Comité Europeo de Protección de Datos comparte su preocupación ante el posible acuerdo de transferencia de datos entre la UE y EEUU

Sin ir más lejos, la propia Agencia Española de Protección de Datos archivó a finales del año pasado dos causas similares, también interpuesta por Noyb, contra entidades como la RAE o la propia Google.

La esperanza era que mientras se dirimían esas causas, Bruselas y Washington tuviesen tiempo de llegar a un nuevo acuerdo para amparar esas transferencias de datos transatlánticas. Sin embargo, a marzo de 2023, todavía no hay decisión de adecuación. La Comisión Europea tiene sobre la mesa una oferta de Washington y todavía tiene que pronunciarse.

Aunque el Comité Europeo de Protección de Datos —el EDPB, el organismo que aglutina a las agencias antes citadas de toda la Unión— o el Parlamento Europeo ya han recomendado a Bruselas que rechace volver a considerar a Washington como puerto seguro de los datos personales de ciudadanos europeos hasta que no se obtengan mayores garantías.

Esas recomendaciones no son vinculantes, con lo que la Comisión Europea podría anunciar su nueva decisión de adecuación en las próximas semanas. Mientras eso sucede, Austria complica las cosas para los negocios digitales que siguen usando estos servicios tecnológicos.

Da por ilegal, aunque todavía no castiga económicamente

La agencia de protección de datos austriaca, la DSB, ha confirmado este mes de marzo que el uso de herramientas de Facebook para trazar perfiles publicitarios en la web —como Meta Pixel— deben inutilizarse en tanto que sus consecuentes transferencias de datos continúan siendo ilegales. Es el resultado de una reclamación —de más de 100— que interpuso tras conocerse la sentencia del TJUE.

Para Max Schrems, la decisión de la DSB austriaca es otro ejemplo de cómo la sentencia del TJUE "impacta en el mundo real". "Facebook ha pretendido que sus usuarios comerciales puedan seguir usando su tecnología, a pesar de dos sentencias judiciales que decían lo contrario. Ahora, un regulador explica a uno de sus clientes que el uso de esas herramientas es ilegal".

La DSB ya se pronunció sobre Google Analytics en enero. A pesar de ello, muchos negocios europeos seguían utilizando tecnología de Facebook —ahora Meta—. Noyb enfatiza que la decisión del organismo austriaco de declarar Google Analytics "ilegal" también aplica a "Facebook Login" o a "Meta Pixel".

"Si estas herramientas son utilizadas, los datos serán inevitablemente transferidos a EEUU, donde están expuestos a un riesgo: el de ser intervenidos por los servicios de inteligencia. Por lo tanto, los operadores de páginas web europeas deben evitar incluir cualquier herramienta de Meta", continúa la plataforma de activistas austriacos.

Esta decisión de la DSB es "relevante para prácticamente todas las páginas web de la Unión Europea". "Muchas páginas usan la tecnología de rastreo de Facebook para rastrear usuarios y remitirles publicidad personalizada. Cuando las páginas incluyen esta tecnología, también están enviando los datos de sus usuarios a multinacionales en EEUU".

Por el momento, la única alternativa es dejar de usar Google y Facebook en negocios

Mientras la Comisión Europea no se pronuncie, la posibilidad de seguir utilizando estas herramientas en el Viejo Continente sigue estrechándose. Aunque la resolución de la agencia de protección de datos austriaca no detalla si se impone una sanción a la página web que empleaba tecnología de rastreo de Meta, con el RGPD en la mano las sanciones podrían ser millonarias en múltiples casos.

El escenario más optimista es que el Ejecutivo comunitario se pronuncie sobre la oferta de Washington para volver a garantizar estas transferencias de datos antes de verano. El escenario más pesimista es que haya que volver a negociar desde cero las condiciones con las que este flujo de datos podrá volver a viajar al otro lado del Atlántico.

El escenario más optimista deja a EEUU y a la Unión Europea sin acuerdo para transferir datos hasta verano: qué puedes hacer para no vulnerar la ley

Esto último llevaría la legalización de estas transferencias a una fecha tan temprana como el año que viene, en un momento en el que las agencias de protección de datos ya se están rindiendo a la evidencia y están empezando a restringir el uso de estas tecnologías norteamericanas. 

Por eso, la única alternativa para negocios digitales que necesitan conocer a sus usuarios para poder trabajar —desde sistemas de citas para clínicas sanitarias hasta herramientas de métricas de audiencia para medios de comunicación— es optar por soluciones tecnológicas similares con sede en el Viejo Continente.

Esto es lo que recomiendan desde hace meses consultores y abogados especializados en protección de datos, para tratar de paliar la enorme incertidumbre tanto jurídica como económica que desde verano de 2020 está suscitando que el acuerdo entre Bruselas y Washington para estas transferencias de datos esté decaído.