Facebook concluye en un documento filtrado que las sentencias del Tribunal de Justicia de la Unión Europea sobre transferencias de datos a EEUU no les afectan

Meta no está de acuerdo con las sentencias del Tribunal de Justicia de la Unión Europea (TJUE) que dictaminaron que EEUU no ofrece ni las garantías ni la reciprocidad necesarias como para que las transferencias de datos de usuarios europeos allí sean seguras. La compañía, antes conocida como Facebook, ignora deliberadamente esos fallos.

Lo hace en un documento interno y confidencial de 86 páginas al que ha tenido acceso Noyb, la plataforma que batalló legalmente contra el gigante de la red social en los casos Schrems y Schrems-II. También Politico ha consultado ese informe de la multinacional, con el que cimenta sus argumentos para continuar ejecutando esas transferencias.

A mediados de 2020 el TJUE falló en la sentencia Schrems-II que el protocolo Privacy Shield (Escudo de la Privacidad) con el que la UE amparaba legalmente las transferencias de datos de ciudadanos europeos a empresas con sede en EEUU era inválido.

Las transferencias de datos personales entre la Unión Europea y EEUU, invalidadas al entender que las garantías allí son insuficientes, según el TJUE

El Tribunal consideró que, mientras que en la UE se dan una serie de garantías para el tratamiento de los datos de los usuarios seguros, gracias al Reglamento General de Protección de Datos (RGPD), la legislación estadounidense no ofrecía el necesario marco de reciprocidad. Por ello, la justicia tumbaba ese Privacy Shield.

El mismo Tribunal hizo lo propio en 2015, cuando tumbó el marco anterior que amparaba esas transferencias. Aquel protocolo era conocido como Safe Harbor (Puerto Seguro). Ambas sentencias son conocidas como la sentencia Schrems y la sentencia Schrems-II, por Max Schrems, el activista austríaco que preside la plataforma Noyb.

Desde que el TJUE falló que las transferencias de datos de ciudadanos europeos a EEUU eran ilegales, Noyb ha emprendido acciones ante las autoridades de control de protección de datos de los países miembros de la UE. Unas acciones que incluyeron la demanda también a varias compañías españolas por hacer uso de herramientas de Google o Facebook para rastrear sus audiencias.

En un comunicado que Noyb ha remitido a sus seguidores, la plataforma de activistas recuerda que Facebook (ahora Meta) debería haber detenido sus transferencias de datos a EEUU de forma inmediata. "Hoy, un año y medio después [de la última sentencia], Facebook no ha adoptado ninguna medida para limitar esas transferencias".

"En su lugar, ha creado un informe de 86 páginas llamado Evaluación de Impacto de las Transferencias o TIA, por sus siglas en inglés, que bajo el marco legal europeo de los estándares de cláusulas contractuales o SCC llega a la sorprendente conclusión de que las sentencias del TJUE no se aplicarían a Facebook y sus transferencias pueden continuar produciéndose como hasta ahora".

La apocalíptica visión del presidente de Telefónica sobre el futuro de internet: "Si dejamos que cada gran tecnológica cree su metaverso, cada una será su propio país"

Esas SCC son una figura jurídica europea que ampara precisamente las transferencias de datos de ciudadanos europeos a determinados países. Las SCC se aplican sobre cada caso concreto. "Según los documentos a los que hemos tenido acceso, ninguna medida nueva o relevante ha sido adoptada por la compañía para asumir la sentencia judicial del TJUE del 16 de junio de 2020".

"Facebook ha estado ignorando la ley durante 8 años y medio. Los nuevos documentos demuestran que su perspectiva es simplemente que el Tribunal de Justicia está equivocado y que ellos están en lo correcto. Se trata de una increíble ignorancia de la ley, que se apoya por la ausencia de actuaciones por parte de la DPC irlandesa", incide el propio Schrems en el comunicado de Noyb.

La DPC es la Comisión de Protección de Datos en Irlanda, análoga a la Agencia Española de Protección de Datos (AEPD) o a la francesa CNIL. Cada estado europeo tiene una autoridad de control de protección de datos y el principio de ventanilla única del RGPD exige que cada una de ellas asuma los casos que se produzcan sobre su territorio.

Ese principio de ventanilla única, sumado a la falta de acciones por parte de la DPC irlandesa, es la que ha ocasionado un enorme cuello de botella en el RGPD que ha cuestionado su eficacia en sí mismo. Al estar la mayoría de las grandes tecnológicas como Facebook asentadas en suelo irlandés, los casos los debe llevar la DPC.

Para probar esa lentitud y ese cuello de botella de la DPC, Schrems recuerda que las sentencias del TJUE se remontan a un procedimiento abierto que iniciaron contra Meta en 2013. Todavía no hay decisión sobre la misma, a pesar de que la autoridad irlandesa ha reiterado que da la bienvenida a las aclaraciones que han supuesto los fallos del TJUE.

"La DPC irlandesa es demasiado lenta y no se controlan sus procedimientos. Facebook cambia constantemente de argumento, mientras que la DPC todavía no ha concluido una decisión sobre el caso de 2013. Facebook domina este proceso, en lugar de la autoridad de control", lamenta Schrems.