Nueva filtración de documentos con Facebook (o Meta) como protagonista. En este caso no viene de la mano de Frances Haugen, la exempleada de la compañía que ha sacado a la luz decenas de informes internos, sino de la asociación NOYB, acrónimo de None Of Your Business (No es asunto tuyo). Los papeles difundidos por la organización del activista austriaco Max Schrems revelan que Facebook no se considera en la obligación de mantener en servidores europeos los datos privados de sus usuarios de la UE. Y ello a pesar de que dos sentencias del Tribunal de Justicia de la Unión Europea (TJUE), la última de ellas de julio de 2020, prohíben expresamente el envío de ese tipo de información a EE UU.
Irónicamente, las sentencias en cuestión se conocen como Schrems I y Schrems II (son la respuesta a demandas interpuestas por el joven abogado) y, aunque afectan a todas las empresas tecnológicas, fueron la respuesta a demandas específicas contra Facebook.
En EE UU no hay ninguna ley federal que regule la gestión de los datos privados. En la UE siempre ha habido, la última de ellas es el Reglamento General de Protección de Datos (RGPD), de 2018. Desde principios de siglo, cuando internet se convirtió en algo importante, el país norteamericano y la UE se basaron en el acuerdo Safe Harbor (Puerto seguro) para articular el tratamiento adecuado en suelo estadounidense de los datos de ciudadanos europeos. Schrems consiguió en 2015 (Schrems I) que el TJUE congelara ese acuerdo al considerar que si las agencias de seguridad de EE UU podían acceder a los datos de los usuarios, estos no tenían las mismas garantías que en Europa.
Como respuesta, la Comisión Europea aprobó el acuerdo Privacy Shield (Escudo de Privacidad), que trataba de permitir con nuevas salvaguardas el intercambio transatlántico de datos. Tras ser recurrido de nuevo, el TJUE lo declaró inválido en 2020 (Shcrems II). Los datos de los europeos deberían permanecer en suelo europeo para que se le apliquen las normativas comunitarias de protección de datos.
En un documento de 86 páginas revelado por NOYB y avanzado por Politico, los abogados de Facebook defienden que la sentencia no le es aplicable a la compañía (pese a que el veto a Privacy Shield es el resultado de las demandas interpuestas contra Facebook Irlanda). “La legislación y la práctica pertinentes de Estados Unidos proporcionan una protección de los datos personales que es esencialmente equivalente al nivel de protección exigido por la legislación de la UE”, se señala en el escrito, en contra a lo dispuesto por el TJUE.
En otro informe interno, Facebook relativiza la cantidad de consultas que ha tenido la compañía por parte de las fuerzas de seguridad estadounidenses acerca de datos personales de usuarios de la red social. Concretamente, dice que 224.998 peticiones de datos “representa una pequeña fracción” del número total de usuarios, que la propia Facebook estima en 3.300 millones (la cifra incluye a los usuarios de productos como Instagram o WhatsApp).
“Facebook lleva ignorando las leyes europeas desde hace ocho años y medio”, sostiene en un comunicado Schrems. “Los documentos que revelamos muestran que simplemente consideran que la postura del TJUE está mal y la suya está bien. Se trata de un acto increíble de ignorancia del estado de Derecho, apoyado por la inacción de la autoridad de protección de datos de Irlanda”, añade el jurista. Esta última institución tiene una demanda en su mesa desde 2013 sobre la que todavía no se ha pronunciado.
“Igual que otras empresas, hemos seguido las normas y hemos seguido los mecanismos de transferencia internacional de datos de forma prudente y segura”, señala a EL PAÍS un portavoz de Meta. “Los negocios necesitan normas claras y globales, apoyados por la firma aplicación de la ley para proteger a largo plazo los flujos transatlánticos de datos”, añade.
Puedes seguir a EL PAÍS TECNOLOGÍA en Facebook y Twitter o apuntarte aquí para recibir nuestra newsletter semanal.