El TJUE tomba el mecanisme que utilitza Facebook per obtenir les dades de ciutadans europeus

Les tecnològiques dels EUA podran seguir absorbint-les si compleixen les clàusules de la UE

Zuckerberg la setmana passada a la convenció F8.
Paula Clemente
16/07/2020
3 min

BarcelonaSi Facebook vol emmagatzemar dades de ciutadans europeus haurà de fer-ho sota les clàusules que estableix la llei de la UE. En la seva última sentència sobre aquest tema, el Tribunal de Justícia de la Unió Europea (TJUE) ha anul·lat el camí alternatiu que tenien les tecnològiques nord-americanes per accedir a aquestes dades: el Privacy Shield. Segons l'organisme, aquest conducte permet injerències en els drets fonamentals de les persones afectades per la transferència de dades a països de fora de la Unió Europea. Ara bé, en el mateix text, l'organisme avala la llei europea tal com està formulada i les clàusules que permeten que països internacionals tinguin accés a aquestes dades.

La sentència respon a una denúncia de l'activista austríac Max Schrems, que, per segon cop i després de guanyar la primera vegada, assegurava que Facebook als Estats Units no garantia la seguretat de les dades que li enviava la seva filial irlandesa respecte als usuaris europeus. L'interessat no ha tardat a comentar per Twitter que considera la decisió una segona victòria, encara que la cosa és un pèl més complicada.

La qüestió és que el reglament europeu tal com està definit té tres mecanismes que justifiquen que es puguin transferir dades personals de la UE a un tercer estat. El primer apunta que aquest país ha de garantir un "nivell de protecció adequat" de les dades. El segon, que la transferència ha d'anar acompanyada de garanties adequades, és a dir, que, per exemple, el contracte entre l'exportador i l'importador inclogui clàusules semblants a les que estableix la llei general de la Comissió Europea. El tercer, que l'interessat ho consenti encara que no es doni cap de les anteriors condicions. En paral·lel, però, fins ara hi havia un altre mecanisme, l'anomenat Privacy Shield, un certificat que necessiten les empreses internacionals quan volen tractar les dades de ciutadans europeus i que neix fruit d'un acord entre els Estats Units i la UE perquè el país nord-americà pugués seguir treballant amb les dades europees.

Els crítics amb aquest mecanisme, com Max Schrems, asseguraven que aquesta fórmula permetia a les companyies que s'hi acollien no complir amb els mínims als quals obliga la RGPD. I sembla que, almenys en aquest sentit, el TJUE li dona la raó: el Privacy Shield no funciona, la RGPD (i les clàusules a les quals obliga) sí. Així, les grans tecnològiques nord-americanes, inclosa Facebook, podran seguir emmagatzemant dades de ciutadans europeus a servidors dels Estats Units, però només si garanteixen el nivell de protecció obligatori en territori europeu.

Els antecedents

No és la primera vegada que Max Schrems s'enfronta a Facebook. De fet, va ser la resolució d'un conflicte entre ell i la tecnològica el 2015 el que va desembocar en la creació del Reglament General de Protecció de Dades (RGPD), que és el marc legal vigent a Europa des del maig de fa dos anys, i en la creació del Privachy Shield.

Llavors, Schrems va presentar davant l'organisme irlandès dedicat a la protecció de dades una reclamació contra Facebook recolzada en les filtracions que havia fet Edward Snowden l'any 2013. Segons l'activista, aquesta informació demostrava que la companyia capitanejada per Mark Zuckerberg monitoritzava dades personals de manera indiscriminada. Com ha passat en aquesta ocasió, el cas va escalar fins a arribar al TJUE, ja que els tribunals mitjans no van saber com gestionar una demanda que posava en dubte el que estava acordat per llei: que els Estats Units eren un destí segur per a les dades de ciutadans europeus.

L'organisme, però, va estar d'acord amb l'activista austríac. Segons va sentenciar, el fet que una llei estableixi que un destí és adequat per enviar-hi dades personals no exclou la responsabilitat d'haver de revisar periòdicament que de veritat ho sigui. I la victòria de Schrems va obrir el meló. Tres anys després, entrava en vigor la RGPD, i el principi en què es basaven les grans tecnològiques nord-americanes, conegut com a Safe Harbour en referència al fet que les dades podien tranferir-se a un país aliè a la UE sempre que fos un port segur, es convertia en el Privacy Shield, el mecanisme que ha tombat aquest dijous el TJUE.

stats