Facebook está buscando una revisión judicial contra la Comisión de Protección de Datos de Irlanda (DPC) después de recibir una orden preliminar del organismo de control de privacidad para suspender sus transferencias de datos a los EE. UU.
El gigante de las redes sociales alojado los papeles ex parte en el Tribunal Superior de Irlanda el 10 de septiembre, al que ahora se le pedirá que pruebe la validez y legalidad de la decisión prejudicial del DPC de que las Cláusulas Contractuales Estándar (CEC) no pueden utilizarse como mecanismo para las transferencias transatlánticas de datos.
El Tribunal de Justicia de las Comunidades Europeas (TJCE) cuestionó la legalidad de las SCC cuando dictaminó la anulación del acuerdo Privacy Shield en julio, sobre la base de que no garantizaba a los ciudadanos europeos un derecho de reparación adecuado cuando los datos son recopilados por los servicios de inteligencia de EE. UU. .
Aunque el TJCE encontró que las SCC aún eran legalmente válidas, dictaminó que las empresas tienen la responsabilidad de garantizar que aquellos a quienes compartieron los datos se les otorguen protecciones de privacidad equivalentes a las contenidas en la ley de la UE.
El abogado austriaco Max Schrems, quien inició los procedimientos legales que llevaron a la histórica decisión del TJCE (coloquialmente conocida como Schrems II), tuiteó que la decisión de Facebook de solicitar una revisión judicial “muestra (a) cómo utilizarán cada oportunidad para bloquear un caso, incluso antes de que se tome una decisión, y (b) cómo es completamente ilusorio lograr que un caso así se lleve a cabo en un par de semanas o meses en el sistema legal irlandés ”.
Se contactó con NOYB y Facebook para hacer comentarios, pero no respondieron en el momento de la publicación.
Cuando se le acercó sobre la decisión de Facebook de buscar una revisión judicial, el DPC le dijo a Computer Weekly que no haría comentarios en este momento.
Nuevas acciones legales contra la DPC
Según Schrems, su NOYB, una organización sin fines de lucro de derechos digitales, no fue informada de la decisión del DPC de emitir la orden preliminar, que ahora ha detenido efectivamente el procedimiento de una denuncia en curso. él dijo el regulador ya no ha actuado durante siete años.
Por esta razón, NOYB ha informado la DPC de sus planes de presentar una orden judicial por su «mala gestión» del caso de Facebook.
“Este caso limitado de la DPC es especialmente interesante, ya que Facebook ha indicado en una carta del 19 de agosto de 2020 que (después del final de Safe Harbor, Privacy Shield y las SCC) ahora se basa en una cuarta base legal para las transferencias de datos: la supuesta ‘necesidad’ de subcontratar el procesamiento a Estados Unidos en virtud del contrato con sus usuarios ”, dijo.
“Esto significa que cualquier ‘orden preliminar’ o ‘segunda investigación’ de la DPC sobre los SCC por sí sola, de hecho, no impedirá que Facebook argumente que sus transferencias de datos UE-EE. UU. Continúan siendo legales. En la práctica, el Artículo 49 (1b), GDPR puede ser una base legal apropiada para transferencias de datos muy limitadas (por ejemplo, cuando un usuario de la UE envía un mensaje a un usuario de EE. UU.), Pero no se puede utilizar para subcontratar todo el procesamiento de datos a EE. UU. ”, Dijo Schrems.
“Por lo tanto, emprenderemos las acciones legales apropiadas en Irlanda para garantizar que los derechos de los usuarios se respeten plenamente, sin importar qué base legal reclame Facebook. Después de siete años, todas las cartas deben ponerse sobre la mesa «.
Según un Preguntas frecuentes sobre la sentencia Schrems II emitida por la Junta Europea de Protección de Datos (EDPB) el 23 de julio de 2020, la posibilidad de que una empresa se transfiera en función de los SCC dependerá de los resultados de sus evaluaciones, que deben tener en cuenta las circunstancias de la transferencia y las medidas complementarias que se pongan en marcha.
“Las medidas complementarias junto con las SCC, luego de un análisis caso por caso de las circunstancias que rodearon la transferencia, tendrían que asegurar que la ley estadounidense no incida en el nivel adecuado de protección que garantizan”, dijo.
“Si llega a la conclusión de que, teniendo en cuenta las circunstancias de la transferencia y posibles medidas complementarias, no se garantizarían las garantías adecuadas, debe suspender o finalizar la transferencia de datos personales. Sin embargo, si tiene la intención de seguir transfiriendo datos a pesar de esta conclusión, debe notificarlo a su autoridad de control competente ”.
Agregó que, con respecto a la necesidad de transferencias para la ejecución de un contrato, las empresas deben tener en cuenta que los datos personales solo pueden transferirse cuando se hace ‘ocasionalmente’.
Debería establecerse caso por caso si las transferencias de datos se determinarían como «ocasionales» o «no ocasionales», dijo.
“En cualquier caso, esta excepción [of GDPR’s Article 49] solo se puede confiar en que la transferencia sea objetivamente necesaria para la ejecución del contrato «.