La autoridad de protección de datos de Austria descubrió que el uso de las tecnologías de seguimiento de Meta violó la ley de protección de datos de la UE, ya que los datos personales se transfirieron a los EE. UU., donde la información estaba en riesgo debido a la vigilancia del gobierno de los EE. UU.
El hallazgo proviene de una serie de quejas presentadas por el grupo europeo de derechos de privacidad noyb, en agosto de 2020, que también se enfocó en el uso de Google Analytics por parte de los sitios web por el mismo problema de exportación de datos. Desde entonces, varias autoridades de protección de datos de la UE han determinado que el uso de Google Analytics es ilegal, y algunas (como la CNIL de Francia) han emitido advertencias contra el uso de la herramienta de análisis sin garantías adicionales. Pero este es el primer hallazgo de que la tecnología de seguimiento de Facebook violó el Reglamento General de Protección de Datos (RGPD) de la UE.
Todas las decisiones siguen a un fallo de julio de 2020 del tribunal superior de la Unión Europea que anuló el acuerdo de transferencia de datos de alto nivel del Escudo de privacidad UE-EE. UU. después de que los jueces identificaran una vez más un choque fatal entre las leyes de vigilancia de EE. UU. y los derechos de privacidad de la UE. (Un hallazgo similar, en 2015, invalidó el predecesor de Privacy Shield: Safe Harbor).
noyb pregona el último hallazgo de violación de transferencia de datos de un DPA de la UE como “innovador”, argumentando que la decisión de la autoridad austriaca debería enviar una señal a otros sitios de que no es recomendable usar rastreadores Meta (la queja se refiere al inicio de sesión de Facebook y el Meta píxel).
La decisión se relaciona con el uso de las herramientas de seguimiento de Meta por parte de un sitio web de noticias local (su nombre está borrado de la decisión) a partir de agosto de 2020, que el sitio en cuestión dejó de usar poco después de que se presentara la denuncia. Sin embargo, la decisión podría tener implicaciones mucho más amplias para el uso de la tecnología de Meta, dada la cantidad de datos personales que procesa el gigante de la tecnología publicitaria. Entonces, si bien el hallazgo de incumplimiento se relaciona con solo uno de los sitios a los que no se apunta en este lote de quejas estratégicas, hay implicaciones para muchos más y, potencialmente, para cualquier sitio de la UE que todavía esté usando las herramientas de seguimiento de Meta dada la incertidumbre legal en curso en torno a los datos de la UE y los EE. UU. transferencias
“Facebook ha pretendido que sus clientes comerciales puedan seguir usando su tecnología, a pesar de dos sentencias del Tribunal de Justicia que dicen lo contrario. Ahora, el primer regulador le dijo a un cliente que el uso de la tecnología de seguimiento de Facebook es ilegal”, dijo Max Schrems, presidente de noyb.eu, en un comunicado.
“Muchos sitios web utilizan la tecnología de seguimiento de Facebook para rastrear a los usuarios y mostrar anuncios personalizados. Cuando los sitios web incluyen esta tecnología, también envían todos los datos de los usuarios a la multinacional estadounidense y en adelante a la NSA. [US National Security Agency]. Si bien la Comisión Europea aún tiene como objetivo publicar el tercer acuerdo de transferencia de datos entre la UE y los EE. UU., el hecho de que la ley de los EE. UU. aún permita la vigilancia masiva significa que este asunto no se resolverá en el corto plazo”, sugiere noyb en un comunicado de prensa.
Por su parte, Meta ha respondido a la noticia buscando restarle importancia a la decisión de la DPA austriaca. En un comunicado, un portavoz de la compañía afirmó que el hallazgo está “basado en circunstancias históricas” y sugirió que “no afecta la forma en que las empresas pueden usar nuestros productos”. Aquí está su declaración en su totalidad:
Esta decisión se basa en circunstancias históricas y solo se relaciona con una sola empresa en relación con su uso de Facebook Pixel y Facebook Login en un solo día en 2020. Si bien no estamos de acuerdo con muchos aspectos de la decisión, no afecta la forma en que las empresas pueden usar nuestros productos. Este caso se deriva de un conflicto entre la legislación de la UE y de los EE. UU. que está en proceso de resolución.
En la decisión de 46 páginas [NB: the link is to a machine translated (non-official) English version] la autoridad de protección de datos de Austria expone su razonamiento para determinar que el uso de herramientas de seguimiento Meta por parte de un sitio local infringió los requisitos del RGPD sobre transferencias de datos, y señala que la regulación exige que los datos de los usuarios de la UE estén adecuadamente protegidos si se transfieren fuera del bloque, a los llamados terceros países (como EE.UU.). Sin embargo, no encontró ninguna de las posibles protecciones para tales exportaciones de datos (como una decisión de adecuación) aplicada en este caso, por lo que determinó que se violó el Artículo 44 del RGPD (sobre transferencias de datos).
Otro componente clave de la decisión es que los datos recopilados por las tecnologías de seguimiento de Meta, que incluyen una gran cantidad de puntos de datos, incluida la dirección IP, la identificación del usuario, el sistema operativo móvil y los datos del navegador, la resolución de la pantalla, los datos de las cookies de Facebook y mucho más, constituyen datos personales. datos en virtud de la legislación de la UE.
“Como resultado de la implementación de Facebook Business Tools, se instalaron cookies en [the] dispositivo final del denunciante… que contienen un valor único, generado aleatoriamente… Esto hace posible individualizar el dispositivo terminal del denunciante y registrar el comportamiento de navegación del denunciante para mostrar publicidad personalizada adecuada”, explica la DPA. “Independientemente de esto, al menos Meta Ireland tuvo la posibilidad de vincular los datos que recibió debido a la implementación de Facebook Business Tools en [the] cuenta de Facebook del denunciante. Está claro en los Términos de uso de las herramientas comerciales de Facebook… que las herramientas comerciales de Facebook se utilizan, entre otras cosas, para intercambiar información con Facebook”.
Algunos cambios que Meta hizo en sus términos y condiciones de transferencia de datos poco después de que se presentaran las quejas de noyb eran anteriores a esta acción, por lo que llegaron demasiado tarde para afectar el resultado.
Sin embargo, noyb sugiere que es poco probable que cualquier ajuste de términos y/o medidas complementarias marque una diferencia, dado que los datos personales siguen siendo accesibles para Meta (y, por lo tanto, pueden pasarse a las agencias de seguridad de los EE. El cifrado del conocimiento, es decir, como una medida complementaria para aumentar el nivel de protección de los datos, no está disponible para un gigante de la tecnología publicitaria cuyo modelo de negocio depende del seguimiento y perfilado de los usuarios web mediante el procesamiento de sus datos.
“La DPA ya encontró en la decisión de Google que tales elementos no pueden superar la ley de los EE. UU.”, dijo Schrems a TechCrunch cuando le preguntamos sobre los cambios que Meta hizo en sus términos de transferencia de datos después de las quejas de noyb, y agregó: “Supongo que esto no conduciría a ninguna parte dado la jurisprudencia.”
La decisión de la DPA hace referencia directa a los propios informes de transparencia de Meta, donde registra las solicitudes de datos del gobierno, que dice mostrar que “el Grupo Meta recibe regularmente solicitudes de acceso a datos de las autoridades secretas de EE. Austria”. Además de la información básica del suscriptor, dice que las solicitudes pueden solicitar registros relacionados con la actividad de la cuenta y los contenidos almacenados, como mensajes, fotos, videos, entradas de la línea de tiempo e información de ubicación.
Alejándose, mientras que los negociadores de la UE y EE. UU. acordaron provisionalmente un pacto de transferencia de datos transatlánticos de reemplazo, al que llaman el Marco de Privacidad de Datos UE-EE.UU. (DPF): este tercer intento de arreglar el cisma de la transferencia de datos aún no está en funcionamiento, ya que aún debe ser examinado por otras instituciones de la UE antes de que la Comisión pueda adoptarlo formalmente.
Eso significa que todavía hay un gran vacío en el régimen legal que rige las transferencias de datos entre la UE y los EE. UU., uno que podría permanecer desconectado durante varios meses (en diciembre, la Comisión sugirió que el DPF no estaría vigente antes de julio).
Además, incluso si (o cuando) la UE adopte el nuevo marco de transferencia de datos UE-EE. UU., es muy probable que enfrente el mismo desafío central que derribó a sus predecesores, dado que los programas de vigilancia masiva de EE. UU. no se han reformado. Esto genera dudas sobre la supervivencia a largo plazo del marco de reemplazo planificado, por lo que la inseguridad jurídica en esta área es prácticamente un hecho, pase lo que pase a corto plazo.
noyb argumenta que la única solución a largo plazo para este problema es la reforma de la ley de vigilancia de EE. UU. para proporcionar “protecciones de referencia para que los extranjeros apoyen su industria tecnológica”. O la localización de datos, lo que significa que los proveedores estadounidenses se verían obligados a alojar datos extranjeros fuera del país. Y estamos viendo algunos movimientos en esa dirección (como el de TikTok, que enfrenta un escrutinio aún mayor que Facebook sobre asuntos relacionados con la seguridad nacional).
Sin embargo, no está claro si la localización de datos es una gran solución para los problemas de Meta (o, de hecho, de TikTok), dado que los usuarios de minería de datos son fundamentales para su modelo comercial de orientación de anuncios. (“Es bien sabido que, debido a su sistema basado en los EE. UU., Meta es categóricamente incapaz de garantizar que los datos de los ciudadanos europeos no sean interceptados por las agencias de inteligencia de los EE. UU.”, sugiere noyb).
Mientras tanto, una decisión final sobre si suspender las transferencias de datos UE-EE. UU. de Meta sigue pendiente de su DPA principal de la UE, la Comisión Irlandesa de Protección de Datos.
Por lo tanto, realmente depende de qué vendrá primero: un nuevo yeso adhesivo para transferencias de datos entre la UE y los EE. transferir los datos de los usuarios de la UE al otro lado del charco. Aunque, en el último caso, Meta ciertamente apelaría una orden de suspensión, por lo que el resultado más probable es que Meta vuelva a patear el camino y los defensores de la privacidad europeos tendrán que prepararse para una nueva ronda de desafíos legales. , esperando que el TJUE sea aún más rápido al apretar el gatillo esta vez.
Las autoridades de protección de datos de la UE han mostrado una reticencia extrema a la hora de hacer cumplir la ley en torno a las transferencias de datos y se han demorado a la hora de actuar sobre la decisión del Tribunal de Justicia de julio de 2020 de anular el Escudo de privacidad, por ejemplo. Entonces, el mismo escenario bien podría repetirse la próxima vez, creando un ciclo de incumplimiento de la ley que casi nunca se aplica, y una parodia donde deberían estar los derechos fundamentales de los usuarios de la UE.
Las 101 quejas de noyb se presentaron hace más de dos años y medio, y esta es solo la primera decisión relacionada con las herramientas de seguimiento de Facebook. Cuando se le preguntó qué pasó con el resto, Schrems nos dijo: “Todavía estamos esperando a todos los demás. No sabemos por qué Google [Analytics] los casos fueron más rápidos, pero asumimos que la DPA irlandesa asumió un papel más importante en los casos de Facebook”.
La DPA de Irlanda sigue siendo objeto de duras críticas por su enfoque de la aplicación del RGPD en Big Tech, con casos que se acumulan en su escritorio y resultados finales a menudo calificados de decepcionantes.
Otro problema que destaca Noyb se relaciona con la falta de una sanción junto con el hallazgo de incumplimiento de la autoridad de protección de datos de Austria. Entonces, a pesar de que hay un hallazgo de incumplimiento, todavía no hay una consecuencia tangible para el sitio que violó la ley al confiar en la tecnología de Meta. “No hay información si se emitió una sanción o si el [Austrian authority] tiene previsto emitir también un penalti. El RGPD prevé sanciones de hasta 20 millones de euros o el 4 % de la facturación global en tales casos, pero las autoridades de protección de datos parecen no estar dispuestas a imponer multas, a pesar de que los controladores ignoraron dos sentencias del TJUE durante más de dos años”, escribe.
“La DPA austriaca nunca emite multas en los procedimientos de quejas, ya que hay una unidad separada a cargo de las multas”, explica Schrems. “Este es un enfoque muy problemático, que conduce a ‘procedimientos dobles’ y un número muy bajo de multas”.
Todos estos problemas agregarán combustible a los argumentos de que el marco de protección de datos insignia de la UE no está haciendo lo que dice en la lata, lo que aumentará la presión sobre los legisladores de la Comisión para, si no una reforma dura de GDPR, al menos una supervisión efectiva, a través de la adecuada seguimiento de cómo se aplica el reglamento a nivel de los Estados miembros.
Eso parece necesario si los legisladores del bloque van a seguir siendo capaces de vender un régimen de regulación digital cada vez más amplio y profundo (interconectado) que con frecuencia afirma que la protección de datos es la base fundamental para mayores niveles de procesamiento e intercambio de datos. Dicho de otra manera, la protección de datos no puede existir solo en papel; la gente necesita ver que su información está realmente protegida.
