El Parlamento Europeo, sancionado por su propio supervisor del RGPD al comprobar que una de sus páginas transfería datos a EEUU vulnerando una sentencia

La noticia saltaba hace casi un año, cuando Noyb, una asociación europea en defensa de la privacidad, interpuso un escrito ante el Supervisor Europeo de Protección de Datos (EDPS). La plataforma, liderada por el activista austríaco Max Schrems, había detectado que la web de un servicio externo de la Eurocámara transfería datos de sus usuarios a EEUU.

Era en concreto el portal en línea de uno de los servicios externos del Parlamento Europeo, que utilizaba una popularísima herramienta de métrica de audiencias: Google Analytics. El servicio de Google transfiere los datos de los usuarios de la web a EEUU, con lo que de esta manera, según entendía Noyb, se vulneraba una sentencia.

La sentencia del Tribunal de Justicia de la Unión Europea que se falló en verano de 2020 y que acababa con el Privacy Shield, el acuerdo entre la UE y Estados Unidos para garantizar esas transferencias. En el fallo, el organismo judicial entendía que el país norteamericano no ofrecía las mismas garantías que Europa en el procesado y tratamiento de los datos personales de los internautas.

Ahora ha sido el Supervisor Europeo de Protección de Datos (EDPS) la entidad que se ha pronunciado. Le da la razón a Noyb en su escrito, y amonesta a la Eurocámara, a la que le ordena que cumpla con la normativa vigente. No hay multa porque el EDPS solo puede imponer esas sanciones económicas en circunstancias muy concretas.

La filósofa Carissa Véliz explica por qué "no es demasiado tarde" para defender tu privacidad frente a las tecnológicas: 3 claves para hacerlo extraídas de su libro

El EDPS, que depende de la Comisión Europea, es el supervisor de las agencias de protección de datos de los estados miembros. El Comité Europeo de Protección de Datos (EDPB) es el órgano que las colegia, mientras que el EDPS se encarga de su supervisión y coordinación. También actúa en casos como los que se circunscriben: cuando es una institución europea la que vulnera el RGPD.

Schrems, presidente de Noyb, se ha congratulado de esta victoria en un comunicado que la plataforma ha compartido en su propia web. "El EDPS ha dejado claro que incluso el uso de una cookie de un proveedor estadounidense viola las leyes de privacidad de la Unión Europea. No se establecieron protecciones adecuadas contra la vigilancia estadounidense", expone.

Todo ello, "a pesar de que es de sobra conocido que los políticos europeos son un objetivo conocido de la vigilancia" de los norteamericanos. "Esperamos más decisiones similares sobre el uso de proveedores estadounidenses en los próximos meses, ya que tenemos otros casos que todavía deben ser resueltos".

Una vez se liberó el fallo del TJUE a mediados de 2020 por el que se anulaba el Privacy Shield, las transferencias de datos de usuarios de Europa a EEUU quedaban al margen del Reglamento General de Protección de Datos. En virtud de ello, Noyb interpuso escritos a decenas de agencias de protección de datos europeas contra más de 100 compañías.

Varias de esas compañías son españolas, como eDreams o Freepik. También hay organismos, como la Real Academia Española. Por el momento, la Agencia Española de Protección de Datos (AEPD) no se ha pronunciado al respecto. Noyb señala que se configuró "un grupo de trabajo" compuesto por especialistas de las distintas agencias de control para abordar estos escritos.