Dr Schrems II

Dr. «Schrems II» or: How I Learned to Stop Worrying and Love the GDPR bomb

 

 

Te puede caer mejor o peor, pero a Max Schrems hay que reconocerle que sabe lo que hace.

Sus denuncias consiguieron que el TJUE anulara primero el Acuerdo Safe Harbour y después el Privacy Shield.

Sin embargo, Facebook (y, ejem, todo perro Pichi) siguió haciendo lo mismo que el primer día.

Así que Max adoptó una inteligente estrategia de “bomba de racimo”.

Sus “101 dálmatas” o denuncias dirigidas a webs europeas de toda Europa que utilizaban el Facebook Login o Google Analytics, aún no han generado una sola sanción.

Aún.

Pero forzaron la coordinación de todas las autoridades de protección de datos bajo el Consejo Europeo de Protección de Datos, arrancando a los dos gigantes tecnológicos de los bondadosos y maternales pechos de la autoridad irlandesa.

Desde mi, ejem, “privilegiada” posición en primera línea de batalla dálmata, asistimos estos días al despegue de lo que tiene toda la pinta de ser una sancionzaca coordinada y masiva contra Facebook y Google.

Que llega tarde, sí.

Que será disparada desde las espaldas de noventa y tantos cánidos europeos, convidados de piedra en el banquete recaudador para las arcas públicas que viene, también.

 

It follows

Y es que, como el tenaz y aterrador espíritu de la peli “It follows”, el CEPD camina a su propio ritmo, pero una vez te huele el culo, ya no te pierde la pista.

Tras año y medio de mareo a los especialistas en privacidad de medio mundo, es un hecho que la cosa se mueve.

En sólo una semana de 2022 hemos visto ya tantas señales inequívocas de guerra como en todo el 2021 junto.

El EDPS, la autoridad holandesa y la austriaca han puesto en negro sobre blanco que que la configuración hegemónica de Google Analytics implica una transferencia internacional de datos personales que no cumple el RGPD.

En otras palabras, que el agua moja.

Pronto sabremos algo más de Facebook. Que el fuego quema.

 

Cuando un dedo apunta al cielo, el tonto mira al dedo

La resolución de la autoridad austriaca contiene un importante segundo pronunciamiento, que ha pasado bastante desapercibido bajo el ruido generado alrededor de las cookies analíticas.

Respecto a Google, se anuncia la apertura de un procedimiento aparte para castigar el incumplimiento del RGPD por presentarse como “encargado de tratamiento” y actuar, sin embargo, como responsable de tratamiento determinando directamente finalidades y medios del tratamiento (infracción del art 5 en relación con el 28 RGPD).

Los clientes (no digamos los usuarios) de Google sólo pueden ejercer una ejem, libertad soberana consistente en tragar (o rechazar) el correspondiente contrato de adhesión.

Y al otro lado de la cortina, el Mago del AlphabetOz obtiene información personal granular de las interacciones de sus usuarios (y de sus no-usuarios) con las webs de medio mundo. Y sus dueños o “editores” “aceptan” -por los webs morenos de la tecnológica- ser “responsables” de los googlianos tratamientos como una más de las condiciones que se les imponen.

El tema no se limita a Google Analytics: Google impone su reconocimiento como encargado de tratamiento cada vez que se le contrata servicios de plataforma  ¡Hola plataformas educativas! ¿Qué tal Google Drive?. Lo que no les impide tratar los mismos datos para sus propios fines, en todos-y-cada-uno-de-los-casos.

¿Decíamos que había pasado desapercibido? ¡no!

No es ninguna sorpresa que Google haya respondido rápidamente con la tradicional retórica en plan “apoyamos a las pymes”, “esas pobres ONGs”, “el usuario tiene todo el poder, nosotros somos unos pobrecillos”.

 

Pero «las cosas son lo que son«

Pero la aceptación en bloque de las condiciones de contratación es meramente formal, y en derecho continental europeo, sabemos bien, ya desde el Edicto del Pretor que “las cosas son lo que son y no lo que las partes dicen que son.

Era sólo cuestión de tiempo que la falacia del consentimiento libre estallara en mil pedazos.

Que la falacia del consentimiento estallara en plenos hocicos de los dos monopolios de datos que más partido le han sacado sería un giro de guión inequívocamente tarantiniano: sangriento, poético y -claro que sí- gozoso.

Mientras, a lomos del misil justiciero Max Schrems agita, extático, su sombrero de cowboy.

Resta por ver el alcance del “fuego amigo”: los daños colaterales a empresas europeas.

“Tengan mucho cuidado ahí fuera”.

 

Jorge García Herrero

Abogado y Delegado de Protección de Datos