Después de Austria, la autoridad francesa de protección de datos, la Commission Nationale de l'Informatique et des Libertés (CNIL), también ha dictado ahora sentencia contra Google Analytics. En la actualidad, la transferencia de datos personales a EE.UU. no está suficientemente regulada. En ausencia de una decisión de adecuación para las transferencias a EE.UU., la transferencia de datos sólo puede tener lugar si se proporcionan las garantías adecuadas, en particular para este flujo de datos.
Según la CNIL, las medidas adoptadas por Google Analytics no son suficientes para proteger los datos personales de los servicios de inteligencia estadounidenses.
El austriaco y usuario de Facebook Sr. Schrems opinaba, debido a las revelaciones de Edward Snowden en su momento, que EE.UU. no ofrecía suficiente protección de sus datos personales transmitidos frente a las actividades de vigilancia de las autoridades de ese país. La filial irlandesa de Facebook transfirió los datos personales recogidos en los países de la UE a servidores de EE.UU. y los procesó allí. El Sr. Schrems presentó una denuncia ante la autoridad de control irlandesa por sus preocupaciones, que ésta rechazó basándose en el "Reglamento de puerto seguro" de la Comisión Europea, de 26 de julio de 2000. Éste contenía una serie de principios sobre la protección de datos personales a los que las empresas estadounidenses podían someterse voluntariamente.
El Tribunal de Justicia de las Comunidades Europeas (TJCE) declaró inválida la "regla del puerto seguro" en la sentencia Schrems - I. Sólo se aplica a las empresas estadounidenses, pero no a las autoridades de Estados Unidos. Los requisitos de seguridad nacional, interés público y la aplicación de las leyes estadounidenses tienen prioridad sobre la regla del puerto seguro. Las autoridades estadounidenses pueden acceder a los datos personales y tratarlos de forma incompatible con los fines de su transferencia. Además, sería imposible para los interesados acceder a sus datos transferidos, es decir, cuestionar la licitud de su tratamiento legítimo u obtener su supresión.
El TJUE invalida la Decisión 2016/1250 de la Comisión Europea sobre el Escudo de Privacidad, de 12 de julio de 2016.
El acceso de las autoridades estadounidenses a los datos personales transferidos desde la UE no cumple los requisitos del Derecho de la Unión, ya que los programas de vigilancia basados en la legislación estadounidense no se limitan a lo estrictamente necesario. El acceso no es equivalente al principio de proporcionalidad aplicable en la Unión.
Además, según la sentencia del TJCE, el mecanismo del Defensor del Pueblo establecido en el Escudo de la privacidad no ofrece a los interesados las posibilidades previstas por el Derecho de la Unión, es decir, la independencia del Defensor del Pueblo y la facultad de éste para emitir decisiones vinculantes frente a los servicios de inteligencia estadounidenses.
Muchas empresas de la UE utilizan software de proveedores estadounidenses. Las decisiones afectan a los programas informáticos que procesan datos personales. Recomendamos mantener la calma y esperar a ver qué acuerdos se alcanzan al respecto.
DISS-CO® es una empresa innovadora de tecnología legal con un fuerte enfoque en eGRC y RegTech. Construida por investigadores experimentados en la detección de fraudes y otras infracciones en diversos sectores.
