Dinamarca veta los productos de Google en ayuntamientos y colegios por los envíos de datos a EEUU
La autoridad de protección de datos danesa ha prohibido utilizar los productos de Google (Google Workspace y los ordenadores Chromebook) en colegios y ayuntamientos por los envíos de datos personales a EEUU que estos realizan. El organismo señala que estos envíos son incompatibles con el Reglamento General de Protección de Datos europeo (RGPD).
El tratado que regulaba dichas transferencias de información personal hacia EEUU fue anulado por el Tribunal de Justicia de la UE en 2020, pero las multinacionales digitales estadounidenses han seguido realizándolas en virtud de un mecanismo denominado Cláusulas Contractuales Estándar. A su juicio, estos apéndices en los contratos firmados con sus clientes europeos dan un soporte legal a los envíos. Sin embargo, las autoridades de protección de datos los están investigando y varias han decretado que no se ajustan a la legislación.
Austria, Francia e Italia han bloqueado el uso de otra herramienta de Google, Google Analytics, debido a estos envíos a EEUU, mientras que Irlanda se prepara para vetar las transferencias de datos internacionales de Meta, matriz de Facebook, Instagram y WhatsApp. La corporación de redes sociales avisó que la prohibición de los envíos podría derivar en la retirada de Facebook e Instagram de Europa.
En una decisión más en esta línea, la autoridad danesa (Datatilsynet) prohíbe ahora los productos de Google en las escuelas y los ayuntamientos. La resolución se ha producido respecto al caso concreto del ayuntamiento de Helsingør, al que ordena dejar de utilizar Google Workspace y sus ordenadores Chromebook antes del 3 de agosto. No obstante, es aplicable a todos los municipios del país que se encuentren en un caso similar.
“Datatilsynet llama la atención sobre el hecho de que muchas de las conclusiones de esta decisión son probablemente aplicables a otros municipios que utilizan el mismo diseño de tratamiento de datos. Por lo tanto, Datatilsynet espera que estos municipios tomen ellos mismos las medidas adecuadas a la luz de la decisión, aunque Datatilsynet esté finalizando actualmente una serie de casos relativos a otros municipios”, reza la resolución.
Los Chromebooks son ordenadores personales que montan un sistema operativo de Google, muy utilizados en escuelas de todo el mundo. Google Workspace es un servicio que proporciona varios servicios de la multinacional, como el correo electrónico, el almacenamiento en la nube o las herramientas de ofimática, en un dominio con el nombre del cliente. También es ampliamente usado tanto en colegios como por organizaciones de toda índole.
En un comunicado enviado a este medio, Google afirma que sus herramientas son seguras. “Sabemos que los estudiantes y las escuelas esperan que la tecnología que utilizan cumpla con la ley, sea responsable y segura. Por eso, durante años, Google ha invertido en las mejores prácticas de privacidad y en evaluaciones de riesgo diligentes, y ha puesto nuestra documentación a disposición de todos para que cualquiera pueda ver cómo ayudamos a las organizaciones a cumplir con el RGPD”, afirma una portavoz.
“Los colegios son dueños de sus propios datos. Solo procesamos sus datos de acuerdo con nuestros contratos con ellos. En Workspace for Education, los datos de los estudiantes nunca se utilizan para publicidad u otros fines comerciales. Organizaciones independientes han auditado nuestros servicios, y mantenemos nuestras prácticas bajo constante revisión para mantener los más altos estándares de seguridad y cumplimiento posibles”, continúan las mismas fuentes.
El sector digital europeo, en vilo
La acumulación de decisiones en contra del uso de herramientas digitales de multinacionales estadounidenses ha puesto al borde del precipicio al sector digital europeo, muy dependiente de esas herramientas.
El origen de toda esta situación es la capacidad que la ley estadounidense otorga a la Agencia de Seguridad Nacional (NSA) o al FBI para investigar las bases de datos de sus multinacionales sin un principio de proporcionalidad. Ese fue el principal argumento del TJUE para invalidar en 2020 el acuerdo bilateral entre Washington y Bruselas que hasta ese momento había regulado las transferencias de datos. El protocolo, conocido como “Privacy Shield” (Escudo de Privacidad), no protegía adecuadamente a los europeos de la vigilancia indiscriminada de las agencias de EEUU, dictaminaron los magistrados.
El denunciante en aquel caso fue el austríaco Max Schrems, presidente de la ONG Noyb. El joven llevó ante los tribunales a Facebook por no impedir que los servicios de inteligencia de EEUU accedieran a los datos de los europeos. El TJUE le dio la razón en una sentencia que se conoce como Schrems II, ya que cinco años antes hubo un Schrems I: en 2015 el activista ya había conseguido que el TJUE anulara el acuerdo de transferencia de datos anterior al “Privacy Shield”, conocido como “Safe Harbour” (Puerto Seguro).
No obstante, tras la sentencia Schrems II, las multinacionales estadounidenses decidieron seguir realizando las transferencias basándose en las cláusulas Contractuales Estándar. Noyb envió 101 denuncias a los reguladores europeos contra empresas que usaban sus herramientas.
“En lugar de adaptar sus servicios para cumplir con las normas europeas, las empresas estadounidenses han intentado simplemente añadir algún apéndice a sus políticas de privacidad y hacer caso omiso del TJUE. Muchas empresas de la UE han seguido ese ejemplo en lugar de implementar opciones legales”, denunció Schrems.
Washington y Bruselas han llegado a un acuerdo para redactar un nuevo tratado que ofrezca una base legal a los envíos de datos personales a EEUU, pero no se espere que este llegue antes de finales de 2022. Mientras tanto, las decisiones de invalidar el uso de los servicios de multinacionales estadounidenses en Europa siguen sucediéndose. Una de las siguientes podría darse en España, ya que como adelantó este medio, la Agencia Española de Protección de Datos está investigando si Google Analytics se ajusta al RGPD.
2