Irlanda ordenará a Facebook que deje de transferir datos de usuarios europeos a EEUU: por qué no será suficiente, según expertos en privacidad
- El NPC, la agencia de control de datos irlandesa, se prepara para abrir un procedimiento para que Facebook deje de transferir datos de sus ciudadanos a Estados Unidos.
- Es el primer movimiento de una entidad de control tras la sentencia del TJUE de julio, que tumbaba el Privacy Shield, el acuerdo regulatorio para enviar datos de ciudadanos europeos al otro lado del Atlántico.
- Para noyb, la asociación en defensa de la privacidad, este procedimiento podría resultar insuficiente: se estaba realizando en secreto sin contar con denunciantes.
- noyb asegura que Facebook alegará la necesidad de subcontratar a firmas en Estados Unidos el procesado de los datos que recolectan en Europa, para así dilatar todavía más el proceso.
- Descubre más historias en Business Insider España.
El organismo de protección de datos irlandés tiene sobre la mesa una orden preliminar con la que exigirá a Facebook que deje de transferir los datos de sus usuarios europeos a servidores en Estados Unidos.
Aunque de momento no es ni oficial ni pública, The Wall Street Journal ha adelantado la noticia y medios como TechCrunch ya se hacen eco de ella. Es el primer movimiento de un ente regulador después de que el Tribunal de Justicia de la Unión Europea invalidara con una sentencia de julio las transferencias de datos entre el Viejo Continente y Estados Unidos.
Lo que invalidó la Justicia europea fue el Privacy Shield, el acuerdo entre EEUU y la UE que precisamente regulaba las transferencias de datos a uno y otro lado del Atlántico.
El TJUE estimó entonces que la legislación estadounidense no reunía las garantías necesarias para preservar y proteger lo suficiente los datos de los ciudadanos europeos.
Más allá del Privacy Shield, los datos de ciudadanos europeos se pueden transferir a terceros países a través de unos mecanismos legales conocidos como cláusulas contractuales estándares, o SCC por sus siglas en inglés.
A estas SCC se agarraron, de hecho, compañías como Google o Facebook. Más allá de los usos que los ciudadanos puedan dar de las propias plataformas tecnológicas de estas multinacionales, lo cierto es que mucho de su código aparece en un buen número de páginas web que en apariencia no tienen nada que ver con ellas.
La razón se debe a que algunas soluciones de Google, como Analytics, ayudan a páginas web a medir sus audiencias. Para ello, las páginas deben incrustar parte de un código HTML de Google para que el programa pueda cuantificar cuántas visitas reciben.
Facebook hace algo similar con Facebook Connect.
Lo que ocurre es que tanto Google Analytics como Facebook Connect recaban un buen número de datos de los usuarios —desde qué ubicación se conecta, mediante qué dispositivo— que se envían a servidores en EEUU mediante una SCC para su procesado.
Por esta misma razón, noyb, la organización de activismo por la privacidad que recurrió ante los tribunales europeos el Privacy Shield con EEUU, presentó el pasado mes de agosto 101 quejas a las agencias de protección de datos de varios países con el objetivo de que estas entidades comenzasen a poner en la práctica lo que la resolución del TJUE dictaminaba en julio.
En España, 5 empresas fueron denunciadas por contar con código de Facebook o Google en sus sitios web que se estaba enviando a EEUU a través de las SCC. Las SCC son mecanismos jurídicos que permiten derivar o transferir datos a terceros países siempre y cuando aquellos tengan unas políticas de protección de datos equiparables a la Unión Europea.
A juicio de noyb, esto no es así.
Por qué no será suficiente el movimiento de Irlanda
Ahora, Facebook alegará ante la agencia de control de datos irlandesa que, más allá de que Privacy Shield ya no sea legal, la firma necesita "subcontratar" el procesamiento de los datos generados en Europa a Estados Unidos. Una estratagema para dilatar más este proceso, a juicio de noyb.
Leer más: 8 cosas alucinantes que tu teléfono inteligente sabe de ti
Max Schrems, el activista por la privacidad y presidente honorario de noyb, asegura que reciben de buen agrado la notifica de que la agencia irlandesa adopte medida y "empiece a hacer su trabajo tras 7 años de procesos abiertos y 5 decisiones judiciales". "Sin embargo, su movimiento puede atajar el problema solo a medias".
De hecho el propio Schrems sospecha ante el hecho de que se haya filtrado a un medio de comunicación las decisiones preliminares del organismo de control irlandés: "Demuestra que la DPC —la agencia irlandesa— estaba intentando poner en marcha un procedimiento secreto sin la presencia del denunciante [en este caso, noyb]", asegura la asociación en un comunicado de prensa.
Otros artículos interesantes:
Descubre más sobre Alberto R. Aguiar, autor/a de este artículo.
Conoce cómo trabajamos en Business Insider.