El principal regulador de datos de la UE está investigando al Parlamento Europeo por una queja de que un sitio web que creó para que los eurodiputados reserven pruebas de coronavirus puede haber violado las leyes de protección de datos.
La denuncia, que ha sido presentada por seis eurodiputados y cuenta con el apoyo del grupo de campaña de privacidad noyb, alega que los rastreadores de terceros se eliminaron sin el consentimiento adecuado y que los banners de cookies presentados a los visitantes eran confusos y estaban diseñados de forma engañosa.
También alega que los datos personales se transfirieron a los EE. UU. Sin una base legal válida, haciendo referencia a un fallo legal histórico del tribunal superior de Europa el verano pasado (también conocido como Schrems II).
El Supervisor Europeo de Protección de Datos (SEPD), que supervisa el cumplimiento de las normas de datos por parte de las instituciones de la UE, confirmó la recepción de la denuncia y dijo que ha comenzado a investigar.
También dijo que las “cookies litigiosas” se habían desactivado después de las quejas, y agregó que el parlamento le dijo que de hecho no se habían transferido datos de usuarios fuera de la UE.
“De hecho, algunos eurodiputados presentaron una queja sobre el sitio web de pruebas de coronavirus del Parlamento Europeo; el SEPD ha comenzado a investigarlo de conformidad con el artículo 57 (1) (e) de la EUDPR (RGPD para las instituciones de la UE) ”, dijo un portavoz del SEPD a Heaven32. “A raíz de esta denuncia, la Oficina de Protección de Datos del Parlamento Europeo informó al SEPD que las cookies litigiosas ahora estaban desactivadas en el sitio web y confirmó que no se enviaron datos de usuario fuera de la Unión Europea”.
“El SEPD está evaluando actualmente este sitio web para garantizar el cumplimiento de los requisitos de la EUDPR. Las conclusiones del SEPD se comunicarán al responsable del tratamiento ya los denunciantes a su debido tiempo ”, añadió.
La eurodiputada Alexandra Geese, de los Verdes de Alemania, presentó una denuncia inicial ante el SEPD en nombre de otros parlamentarios.
Dos de los eurodiputados que se han sumado a la denuncia y están haciendo públicos sus nombres son Patrick Breyer y Mikuláš Peksa, ambos miembros del Partido Pirata, en Alemania y la República Checa, respectivamente.
Nos comunicamos con el Parlamento Europeo y la empresa que utilizó para proporcionar el sitio web de pruebas para obtener comentarios.
La queja es digna de mención por un par de razones. En primer lugar, porque las acusaciones de incumplimiento de las normas regionales de protección de datos parecen bastante vergonzosas para una institución de la UE. La protección de datos también puede parecer especialmente importante para “personas políticamente expuestas como miembros y personal del Parlamento Europeo”, como dice noyb.
De nuevo en 2019 el Parlamento Europeo también fue sancionado por el SEPD por el uso de la empresa de campañas digitales con sede en EE. UU., NationBuilder, para procesar los datos de los votantes de los ciudadanos antes de las elecciones de primavera, en la primera aplicación de este tipo por parte del regulador de una institución de la UE.
Por lo tanto, no es la primera vez que el parlamento se enfurece por su atención a los detalles frente a los procesadores de datos de terceros (el sitio web de registro de prueba COVID-19 del parlamento lo proporciona una empresa alemana llamada Ecolog Deutschland GmbH). Una vez puede ser un descuido, dos veces comienza a verse descuidado …
En segundo lugar, la denuncia podría ofrecer una vía relativamente rápida para una remisión al tribunal superior de la UE, el TJUE, para aclarar aún más la interpretación de Schrems II, una sentencia que tiene implicaciones para miles de empresas involucradas en la transferencia de datos personales fuera de la UE. habrá una impugnación posterior a una decisión del SEPD.
“Las decisiones del SEPD pueden impugnarse directamente ante el Tribunal de Justicia de la UE”, señala noyb en un comunicado de prensa. “Esto significa que la apelación puede llevarse directamente al tribunal más alto de la UE, a cargo de la interpretación uniforme de la legislación de la UE. Esto es especialmente interesante ya que noyb está trabajando en muchos otros casos que plantean problemas similares ante las APD nacionales “.
La orientación para las empresas involucradas en la transferencia de datos fuera de la UE que están tratando de comprender cómo (o, a menudo, si pueden) cumplir con la ley de protección de datos, posterior a Schrems II, se limita hasta ahora a lo que Los reguladores de la UE han lanzado.
Una mayor interpretación por parte del TJUE podría aportar más luz y, de hecho, menos margen de maniobra para los procesadores que quieran seguir arrastrando los datos de los europeos por el charco legalmente, dependiendo de cómo se desmorone la cookie (si perdona el juego de palabras).
noyb señala que la denuncia solicita al SEPD que prohíba las transferencias que violen la legislación de la UE.
“Las autoridades públicas, y en particular las instituciones de la UE, tienen que predicar con el ejemplo para cumplir con la ley”, dijo Max Schrems, presidente honorario de noyb, en un comunicado. “Esto también es cierto cuando se trata de transferencias de datos fuera de la UE. Al utilizar proveedores estadounidenses, el Parlamento Europeo permitió a la NSA acceder a los datos de su personal y sus miembros “.
Según la denuncia, las preocupaciones sobre los rastreadores de terceros y las transferencias de datos se plantearon inicialmente al parlamento en octubre pasado, después de que un MEP usó una herramienta de escaneo de rastreadores para analizar el sitio web de reserva de prueba COVID-19 y encontró un total de 150 solicitudes de terceros y un se colocaron cookies en su navegador.
Específicamente, se descubrió que el sitio web de registro de pruebas EcoCare COVID-19 soltaba una cookie de la empresa Stripe con sede en EE. UU., Además de incluir muchas más solicitudes de terceros de Google y Stripe.
La queja también señala que un aviso de protección de datos en el sitio informaba a los usuarios que los datos sobre su uso generados por el uso de Google Analytics se “transmiten y almacenan en un servidor de Google en los EE. UU.”.
En lo que respecta al consentimiento, se descubrió que el sitio ofrece a los usuarios dos avisos de protección de datos contradictorios diferentes, uno de los cuales contiene una referencia (presumiblemente copiada) al aeropuerto de Bruselas.
También se presentaron diferentes flujos de consentimiento, según la región del usuario, y a algunos visitantes no se les ofreció un botón de exclusión claro. También se encontró que los avisos de cookies contenían un empujón de ‘patrón oscuro’ hacia un botón verde brillante para ‘aceptar todo’ el procesamiento, así como una redacción confusa para alternativas poco claras.
Una captura de pantalla del consentimiento de las cookies indica que el sitio web de reserva de prueba COVID-19 del parlamento se muestra en el momento de redactar este artículo, sin que todavía no haya una clara opción de exclusión para las cookies no esenciales (Crédito de la imagen: Heaven32)
La UE tiene requisitos estrictos para la recopilación (legal) de consentimientos para cookies (no esenciales) y otras tecnologías de seguimiento de terceros, que establece que el consentimiento debe ser claramente informado, específico y otorgado libremente.
En 2019, El tribunal superior de Europa confirmó además que se debe obtener el consentimiento antes de eliminar los rastreadores no esenciales. (Los datos relacionados con la salud también generalmente tienen una barra de consentimiento más alta para procesar legalmente en la UE, aunque en este caso la información personal se relaciona con registros de citas en lugar de datos médicos de categoría especial).
Las quejas alegan que los requisitos de consentimiento de cookies de la UE no se cumplen en el sitio web.
Si bien la presencia de solicitudes de servicios con sede en EE. UU. (Y la referencia al almacenamiento de datos en EE. UU.) Es un problema legal a la luz de la sentencia Schrems II.
Los Estados Unidos ya no disfruta de flujos de datos personales legalmente fluidos fuera de la UE después de que el TJUE torpedeó el acuerdo de adecuación otorgado por la Comisión (invalidando el mecanismo del Escudo de Privacidad UE-EE. UU.), lo que a su vez significa que las transferencias de datos sobre los pueblos de la UE a empresas con sede en EE.
Los controladores de datos son responsables de evaluar cada una de las transferencias propuestas, caso por caso. El TJUE no anuló un mecanismo de transferencia de datos denominado Cláusulas contractuales estándar. Pero el tribunal dejó en claro que las SCC solo se pueden usar para transferencias a terceros países donde la protección de datos es esencialmente equivalente al régimen legal ofrecido en la UE, al mismo tiempo que dice que Estados Unidos no cumple con ese estándar.
La guía de la Junta Europea de Protección de Datos a raíz de la sentencia sugiere que algunas transferencias de datos UE-EE. UU. Pueden realizarse de conformidad con la ley europea. Como los que involucran datos cifrados sin acceso por parte de la entidad receptora con sede en EE. UU.
Sin embargo, la barra para el cumplimiento varía según el contexto y el caso específicos.
Además, para un subconjunto de empresas que están definitivamente sujetas a la ley de vigilancia de los EE. UU. (Como Google), la barra de cumplimiento puede ser increíblemente alta, ya que la ley de vigilancia es el principal escollo legal para las transferencias UE-EE. UU.
Entonces, una vez más, no es una buena apariencia que el sitio web del parlamento haya tenido un aviso en su sitio web de prueba COVID-19 que dice que los datos personales se transferirían a un servidor de Google en los EE. UU. (Incluso si esa funcionalidad no se hubiera activado, como parece que se ha afirmado).
Otra razón por la que la queja contra el Parlamento Europeo es digna de mención es que destaca además cuánta infraestructura web en uso en Europa podría estar en riesgo de ser sancionada legalmente por no cumplir con las normas regionales de protección de datos. Si el Parlamento Europeo no puede hacerlo bien, ¿quién es?
noyb archivado una serie de quejas contra los sitios web de la UE el año pasado, que había identificado que seguía enviando datos a los EE. UU. a través de Google Analytics y / o integraciones de Facebook Connect poco tiempo después de la sentencia Schrems II. (Esas quejas están siendo examinadas por las APD de toda la UE).
Las transferencias de datos de la UE de Facebook también están muy enganchadas aquí. A principios de este mes El principal regulador de datos de la UE del gigante tecnológico acordó “resolver rápidamente” una queja de larga data sobre sus transferencias.
Schrems presentó esa denuncia en 2013. Nos dijo que espera que el caso se resuelva este año, probablemente dentro de seis a nueve meses. Entonces, la decisión final debería llegar en 2021.
Él tiene sugerido previamente la única forma de que Facebook solucione el problema de las transferencias de datos es federar su servicio, almacenando los datos de los usuarios europeos localmente. Mientras que el año pasado el gigante tecnológico obligado a negar cerraría su servicio en Europa si su principal regulador de la UE cumpliera con la ejecución de una orden preliminar para suspender las transferencias (que bloqueó al solicitar una revisión judicial de los procesos de la DPC irlandesa).
El resultado alternativo por el que Facebook ha estado presionando es algún tipo de resolución política a la inseguridad jurídica que nubla las transferencias de datos entre la UE y los EE. UU. Sin embargo, el La Comisión Europea ha advertido que no hay una solución rápida – y se necesita una reforma de la ley de vigilancia de Estados Unidos.
Por lo tanto, con las opciones para la congelación continua de la aplicación de la protección de datos de la UE contra los gigantes tecnológicos de EE. UU. Ley de vigilancia de Estados Unidos. No es que Facebook se haya manifestado abiertamente en apoyo de la reforma de FISA todavía.