Protección de datos personales en redes sociales

Facebook cuenta a día de hoy con 1.790 millones de usuarios diarios; Instagram reúne más de 500 millones de usuarios que comparten 250 millones de historias cada día; YouTube tiene una audiencia global de más de 2.000 millones de usuarios mensuales, y la lista continúa (LinkedIn, Twitter, TikTok, Whatsapp, Pinterest). No se puede negar que las redes sociales son una parte indiscutible de nuestra vida.

Utilizamos estas plataformas gratuitas para estar conectados, entretenidos e informados. Sin embargo, nos resulta difícil darnos cuenta de que, aunque son gratuitas, estamos pagando un precio por ello ya que nosotros los usuarios somos el producto a través de cada foto, mensaje, post o vídeo subido a estas plataformas.

¿Te has preguntado alguna vez qué pasa con todos estos datos subidos a las redes sociales? Más concretamente, ¿a dónde van a parar? ¿Con quién se comparten?

Este tema ha sido ampliamente tratado y es objeto de un permanente debate, ya que la mayoría de las empresas de redes sociales que utilizamos están localizadas en Estados Unidos o repartidas por todo el mundo, complicando así su control y la armonización del nivel de protección que la legislación de cada país les otorga.

Preocupados por esta cuestión, los legisladores de la UE han ido proponiendo poco a poco soluciones para ofrecer más protección y el 25 de mayo de 2018 entró en vigor el Reglamento General de Protección de Datos («RGPD»).

Sin embargo, mucho antes de eso, un ciudadano de la UE llamado Max Schrems se preguntó sobre la transferencia de sus datos a otros países y presentó una denuncia en 2013 al Comisario de Protección de Datos irlandés («DPC») sobre las prácticas de transferencia de datos de Facebook. La cuestión llegó hasta el Alto Tribunal (asunto C-362/14, «Schrems I»), que remitió una serie de cuestiones al Tribunal de Justicia de la UE (TJUE), en particular sobre la validez del acuerdo de puerto seguro («Safe Harbour») entre la UE y Estados Unidos (un sistema de autorregulación predecesor del Escudo de privacidad UE-Estados Unidos) al que se había adherido Facebook para legitimar estas transferencias.

El Alto Tribunal anuló entonces la decisión por la que se desestimaba la reclamación del Sr. Schrems y devolvió el asunto al CPD. Además, el Tribunal invalidó el acuerdo de puerto seguro en palabras de la Comisión, calificándolo como “uno de los conductos a través de los cuales se da acceso a las autoridades de inteligencia de EE.UU. a la recogida de datos personales tratados inicialmente en la UE”.

El Sr. Schrems alegó entonces que el uso por parte de Facebook de las cláusulas contractuales tipo («CCT») para las transferencias de datos no podía proporcionar una base jurídica válida para las transferencias a EE.UU. (asunto C-311/18, «Schrems II»). En otras palabras, dijo que la protección otorgada por EE.UU. no era equivalente/suficiente en comparación con la ley de la UE y, por lo tanto, las transferencias de datos no podían tener lugar con los EE.UU.

El 16 de julio de 2020, el TJUE emitió su SENTENCIA que se centró fundamentalmente en dos puntos clave:

A) Invalidez del Escudo de privacidad.
El marco del Escudo de la Privacidad prevé la posibilidad de transferir legalmente datos personales de la UE a EE.UU., garantizando al mismo tiempo un sólido conjunto de requisitos y garantías de protección de datos equivalente al proporcionado por la UE. Sobre la base de este marco, las empresas de la UE podían transferir legalmente datos personales a empresas con sede en EE.UU. que figuraban en la lista del Escudo de Privacidad.

Sin embargo, el TJUE invalidó el escudo de privacidad por considerar que los programas de vigilancia de Estados Unidos eran invasivos y no se limitaban a lo estrictamente necesario y proporcional, como exige la legislación de la UE, ya que Estados Unidos tenía acceso indiscriminado a todos los datos transferidos. Por lo tanto, el Tribunal estableció que Estados Unidos actuó de forma desproporcionada e interfirió en los derechos de protección de datos y privacidad de los ciudadanos de la UE.

B) Validez de las cláusulas contractuales tipo («CCT»)
Aunque la decisión defiende la validez de las cláusulas contractuales tipo, exige a las empresas y a los reguladores que realicen un análisis de caso por caso para determinar si la protección ofrecida por los países extranjeros relativas al acceso de los gobiernos a los datos transferidos cumplen las normas de la UE y, en caso contrario, que las empresas deban ofrecer garantías adicionales o suspender las transferencias.

Las conclusiones del Tribunal en esta reciente sentencia no son tan inesperadas. Los derechos de protección de datos han ido adquiriendo más importancia en los últimos años y tanto los tribunales como los legisladores están reforzando sus poderes para defender estos derechos. Es de esperar que esto abra un nuevo capítulo en la historia (reciente) en el marco de la protección de datos y de la privacidad en las videoconferencias, que es otro ámbito de la privacidad online.