La Autoridad Austriaca de Protección de Datos (DSB) declara ilegales las herramientas de metabúsqueda
En una decisión pionera en una de las 101 denuncias de noyb, la Autoridad Austriaca de Protección de Datos (DSB) ha decidido que el uso del píxel de seguimiento de Facebook viola directamente GDPR y la llamada decisión "Schrems II" sobre flujos de datos transatlánticos. En 2020, el Tribunal de Justicia (TJUE) decidió que el uso de proveedores estadounidenses viola GDPR, ya que las leyes de vigilancia estadounidenses exigen a las empresas estadounidenses, como Facebook, que proporcionen información personal de los usuarios a las autoridades estadounidenses.
La sentencia del TJUE de 2020 llega al mundo real.
En julio de 2020, el TJUE dictaminó que una transferencia a proveedores estadounidenses que entran en el ámbito de FISA 702 y EO 12.333 viola las normas sobre transferencias internacionales de datos de GDPR. En consecuencia, el TJUE anuló el acuerdo de transferencia "Privacy Shield", después de anular el anterior acuerdo "Safe Harbor" en 2015. Aunque este hecho causó conmoción en la industria tecnológica, los proveedores estadounidenses y los exportadores de datos de la UE han ignorado en gran medida el caso. Al igual que Microsoft, Google o Amazon, Facebook se ha apoyado en las llamadas "cláusulas contractuales tipo" y en "medidas suplementarias" para continuar con las transferencias de datos y calmar a sus socios comerciales europeos. Por ello, noyb presentó 101 denuncias en agosto de 2020 contra sitios web que siguen utilizando las herramientas Google Analytics y Facebook Tracking a pesar de las claras sentencias judiciales.
"Facebook ha pretendido que sus clientes comerciales puedan seguir utilizando su tecnología, a pesar de que dos sentencias del Tribunal de Justicia dicen lo contrario. Ahora el primer regulador ha dicho a un cliente que el uso de la tecnología de seguimiento de Facebook es ilegal". - Max Schrems, Presidente de noyb.eu
Transferencias ilegales de datos a través de Facebook Login y Meta Pixel
La decisión del OSD de declarar ilegal Google Analytics se aplica también a las herramientas "Facebook Login" y "Meta Pixel" proporcionadas por Meta: Si se utilizan estas herramientas, los datos se transfieren inevitablemente a los EE.UU., donde corren el riesgo de ser objeto de vigilancia por parte de los servicios de inteligencia. Por lo tanto, se aconseja a los operadores de sitios web europeos que no incluyan ninguna herramienta de Meta en sus sitios web.
Decisión pertinente para casi todos los sitios web de la UE. Muchos sitios web utilizan la tecnología de seguimiento de Facebook para rastrear a los usuarios y mostrar publicidad personalizada. Cuando los sitios web incluyen esta tecnología también remiten todos los datos de los usuarios a la multinacional estadounidense y, posteriormente, a la NSA. Aunque la Comisión Europea aún tiene previsto publicar el tercer acuerdo de transferencia de datos entre la UE y EE.UU., el hecho de que la legislación estadounidense siga permitiendo la vigilancia masiva significa que este asunto no se resolverá pronto.
Solución a largo plazo
A largo plazo, parece haber dos opciones: O bien EE.UU. adapta las protecciones básicas para extranjeros con el fin de apoyar a su industria tecnológica, o bien los proveedores estadounidenses tendrán que alojar los datos extranjeros fuera de Estados Unidos. Es bien sabido que, debido a su sistema basado en Estados Unidos, Meta es categóricamente incapaz de garantizar que los datos de los ciudadanos europeos no sean interceptados por las agencias de Inteligencia estadounidenses.
Sin sanción
No hay información sobre si se ha emitido una sanción o si el OSD tiene previsto emitir también una sanción. GDPR prevé sanciones de hasta 20 millones de euros o el 4% de la facturación global en estos casos, pero las autoridades de protección de datos no parecen dispuestas a imponer multas, a pesar de que los responsables del tratamiento han ignorado dos sentencias del TJUE durante más de dos años.