Maximilian Schrems (nacido en 1987) es un activista, abogado y autor austriaco que se hizo conocido por campañas contra Facebook por sus violaciones de la privacidad, incluidas violaciones de las leyes de privacidad europeas y la supuesta transferencia de datos personales a la Agencia de Seguridad Nacional de EE. UU. (NSA) como parte del programa PRISM de la NSA . Schrems es el fundador de NOYB – Centro Europeo de Derechos Digitales .
Mientras estudiaba derecho durante un semestre en el extranjero en la Universidad de Santa Clara en Silicon Valley , Schrems decidió escribir su trabajo final sobre la falta de conocimiento de Facebook sobre la ley de privacidad europea, después de sorprenderse por lo que el abogado de privacidad de la compañía, Ed Palmieri, dijo a su clase sobre el tema. [1] Más tarde presentó una solicitud en virtud del derecho europeo de acceso a datos personales para los registros de la empresa sobre él y recibió un CD que contenía más de 1.200 páginas de datos, que publicó en europe-v-facebook.org con información personal redactada. . En 2011 presentó una primera ronda de quejas contra la empresa ante el Comisionado de Protección de Datos de Irlanda (DPC). En febrero de 2012, Richard Allan y otro ejecutivo de la empresa volaron a Viena para debatir con él estas quejas durante seis horas. [1] Facebook fue auditado según la ley europea y tuvo que eliminar algunos archivos y desactivar su software de reconocimiento facial . [2] En 2014, Schrems retiró las quejas, alegando que nunca recibió un procedimiento justo ante el Comisionado de Protección de Datos de Irlanda. Nunca recibió una decisión formal de la DPC y se le negó el acceso a todas las presentaciones de Facebook y a los archivos del caso. En europe-v-facebook.org , comentó acerca de retirar sus quejas:
En 2013, Schrems presentó una denuncia contra Facebook Ireland Ltd ante el Comisionado de Protección de Datos de Irlanda, siendo Irlanda el país donde Facebook tiene su sede europea. [4] La denuncia tenía como objetivo prohibir a Facebook seguir transfiriendo datos desde Irlanda a los Estados Unidos, dada la supuesta participación de Facebook USA en el programa de vigilancia masiva PRISM . Schrems basó su queja en la ley de protección de datos de la UE, que no permite transferencias de datos a países no pertenecientes a la UE a menos que una empresa pueda garantizar una "protección adecuada". La DPC rechazó la denuncia, diciendo que era "frívola y vejatoria" y que no había ningún caso al que responder. [5] Schrems presentó una solicitud de revisión judicial ante el Tribunal Superior irlandés por la inacción del DPC irlandés, que fue concedida. [4] El 18 de junio de 2014, el juez Hogan aplazó el caso en espera de una remisión al Tribunal de Justicia de la Unión Europea (TJUE). Dijo que la legislación irlandesa relativa a la privacidad había sido efectivamente reemplazada por la legislación europea y que la cuestión central era si las directivas pertinentes deberían reevaluarse a la luz de la posterior entrada en vigor del artículo 8 (protección de datos personales). de la Carta de Derechos Fundamentales de la Unión Europea . [6] [7] [8]
La Comisión Europea concluyó en la decisión ejecutiva 2000/520/CE que los llamados principios de puerto seguro UE-EE.UU. proporcionarían una "protección adecuada" en virtud del artículo 25 de la Directiva 95/46/CE ( Directiva de protección de datos ), cuando se trata de la transferencia de información personal de la UE a los EE.UU. Esta decisión ejecutiva de la Comisión Europea fue puesta en duda por las revelaciones de Edward Snowden de 2013 . En esencia, Schrems argumentó por lo tanto que el sistema Safe Harbor violaría su derecho fundamental a la privacidad , la protección de datos y el derecho a un juicio justo según la Carta de Derechos Fundamentales de la Unión Europea . [9] [10] [11]
La audiencia oral ante el TJUE se celebró el 24 de marzo de 2015. [12] [13] El Abogado General del tribunal para el caso fue Yves Bot . [a] Durante la audiencia, Bot preguntó al abogado de la Comisión Europea, Bernhard Schima, qué consejo podría darle si le preocupaba que sus datos estuvieran a disposición de las autoridades estadounidenses. Schima respondió que podría considerar cerrar su cuenta de Facebook, si la tuviera. [14] Dijo que la Comisión Europea no podía garantizar que se cumplieran salvaguardias "adecuadas" para la protección de datos, un comentario que Schrems dijo que fue lo más sorprendente que escuchó en la audiencia. [15] [16]
Bot emitió su opinión el 23 de septiembre de 2015. Sostenía que el acuerdo de puerto seguro no era válido y afirmó que las autoridades de protección de datos individuales podrían suspender las transferencias de datos a terceros países si violaran los derechos de la UE. [17] [18] [19] [20]
El 6 de octubre de 2015, el Tribunal de Justicia de la Unión Europea dictaminó que (1) las autoridades nacionales de supervisión todavía tienen el poder de examinar las transferencias de datos entre la UE y los EE. UU. a pesar de una decisión existente de la Comisión (como su Decisión de puerto seguro de 2000, que determinó que a las empresas estadounidenses que cumplían con los principios se les permitía transferir datos de la UE a los EE. UU.), y (2) el marco de puerto seguro no es válido. [21] El Tribunal concluyó que el marco no es válido por varias razones: el esquema permite la interferencia del gobierno en las protecciones, no proporciona recursos legales para las personas que buscan acceder a datos relacionados con ellos o hacer que se borren o modifiquen, y impide a las autoridades nacionales de supervisión ejercer sus competencias. Según la legislación de la UE, está prohibido compartir datos con países que se considera que tienen estándares de privacidad más bajos, incluido Estados Unidos. Estas actividades sólo serán posibles mediante métodos más costosos y que consumirán más tiempo. [22]
El 2 de diciembre de 2015, Schrems volvió a presentar su denuncia original contra Facebook ante el Comisionado de Protección de Datos de Irlanda. También envió quejas similares a las autoridades de protección de datos de Hamburgo y Bélgica, que reclaman jurisdicción sobre Facebook. Las denuncias están diseñadas para hacer cumplir la sentencia del TJUE sobre Facebook, que actualmente no depende de Safe Harbor para sus transferencias de datos. En cambio, Facebook se basa en acuerdos contractuales preaprobados llamados "cláusulas modelo". Schrems sostiene que estos acuerdos también incorporan excepciones para casos de vigilancia masiva ilegal y, por lo tanto, la sentencia del TJUE se aplica también a estos acuerdos. [23] [24] El Comisario de Protección de Datos irlandés consideró que Schrems había planteado objeciones "bien fundadas", [25] pero que necesita más orientación del TJUE para determinar la denuncia.
Tras el procedimiento de febrero/marzo de 2017, [26] la jueza Costello del Tribunal Superior irlandés entregó el resumen ejecutivo el 3 de octubre de 2017, remitiendo el caso al TJUE. [27]
"Ni la introducción del mecanismo del Defensor del Pueblo del Escudo de la Privacidad ni las disposiciones del artículo 4 de las decisiones de la SCC eliminan las preocupaciones bien fundadas planteadas por la DPC en relación con la idoneidad de la protección otorgada a los interesados de la UE cuyos datos personales son manipulados indebidamente por los servicios de inteligencia de los Estados Unidos una vez que sus datos personales hayan sido transferidos para su procesamiento a los Estados Unidos."
— Sra. Justicia Costello
El 1 de agosto de 2014, Schrems presentó una demanda contra Facebook ante los tribunales locales de Viena. Permitió que otros usuarios de Facebook se unieran a su caso, generando una demanda estilo "demanda colectiva", denominada por la prensa como una demanda de David y Goliat , que se estima que probablemente sea la demanda colectiva de privacidad más grande jamás presentada en Europa. Cualquier usuario de Facebook podía ceder su derecho a Schrems a través de la página web fbclaim.com . En seis días, la participación en la demanda se limitó a 25.000 usuarios de Facebook debido al exceso de registros, aunque otros usuarios todavía podían mostrar interés. [28] Schrems demandó a la filial irlandesa de Facebook en los tribunales de Viena por una "cantidad simbólica" de 500 euros en concepto de daños y perjuicios por participante. [29] El caso fue financiado por el financiador de litigios alemán ROLAND ProzessFinanz . [30] Según los términos de fbclaim.com, todo el dinero otorgado se enviará a los participantes individuales. Schrems no recibe ningún beneficio económico de la demanda colectiva, sino que actúa de forma gratuita . [31]
La primera audiencia tuvo lugar el 9 de abril de 2015. [32] El 1 de julio de 2015, el Tribunal de Distrito de Viena desestimó la demanda colectiva, diciendo que no tenía competencia. La decisión del Tribunal dependía de si Schrems era simplemente un consumidor de Facebook, ya que sobre esta base Schrems podía presentar una demanda ante un tribunal civil austriaco de su lugar de residencia. Facebook acusó a Schrems de tener un interés comercial en sus numerosas acciones legales contra Facebook. La jueza Margot Slunsky-Jost afirmó que Schrems podría beneficiarse del enorme interés de los medios en su futura carrera. El Tribunal dictaminó, por razones de procedimiento, que Schrems no podía considerarse consumidor y no podía presentar una demanda ante su tribunal de origen en Viena.
En octubre de 2015, el Tribunal Regional Superior de Viena revocó la sentencia del tribunal regional y consideró que Schrems es un consumidor y que no actúa en interés comercial. El Tribunal Regional Superior dictaminó que Schrems puede presentar sus propias reclamaciones contra Facebook Ireland en Viena, que constituían 20 de las 22 reclamaciones de la demanda, pero no puede formar una demanda colectiva por motivos de procedimiento. Esto limitó a Schrems a presentar sólo un "caso modelo". [33] El Oberlandesgericht admitió una apelación ante el Tribunal Supremo de Austria en la cuestión clave de la formación de una demanda colectiva conforme a la legislación de la UE y de Austria. [34] Schrems interpuso el recurso el 2 de noviembre de 2015. Schrems ganó la batalla, en el sentido de que el Tribunal Regional Superior de Viena confirmó la sentencia del Tribunal Regional de Derecho Civil y Schrems recibió la sentencia simbólica de 500 EUR de Facebook, pero el La guerra continúa, ya que, en palabras de Schrems, los tribunales regionales "realmente no se han ocupado de muchos de los problemas que plantea este caso". Específicamente, si bien encontraron que Facebook violó la DPD en este caso, no se opusieron a la afirmación de Facebook de que podría usar un contrato de adhesión para definir los límites de sus obligaciones de manejo de datos según la DPD. En diciembre de 2020, Schrems remitió el asunto al Tribunal Supremo de Austria y espera llevarlo al Tribunal de Justicia de las Comunidades Europeas para que adopte una sentencia decisiva. [35]
Poco después de su entrada en vigor el 25 de mayo de 2018, Schrems presentó una demanda en virtud del Reglamento General de Protección de Datos (GDPR) recientemente promulgado en Irlanda contra Google y Facebook por obligar a sus usuarios a aceptar sus políticas de recopilación de datos. Se presentaron tres denuncias por un total de más de 3.900 millones de euros. [36]
El 18 de enero de 2019, Schrems presentó más quejas GDPR contra Amazon, Apple Music, DAZN, Filmmit, Netflix, SoundCloud, Spotify y YouTube. [37] [38] Su organización sin fines de lucro, noyb.eu , alegó que no respondieron, no incluyeron suficiente información de antecedentes o proporcionaron datos brutos insuficientes o ininteligibles. [39] Noyb predijo una multa total máxima de 18,8 mil millones de euros para las ocho empresas.
A la conclusión de Schrems I , el Tribunal Superior irlandés remitió oficialmente el caso (ahora llamado Data Protection Commissioner contra Facebook Irlanda y Maximillian Schrems ) al TJUE, junto con once cuestiones a resolver relacionadas con la validez del SCC [40] (estándar cláusulas contractuales). [41] Sentencia fue presentada el 16 de julio de 2020. [42]
"El TJUE dictaminó que el Escudo de Privacidad no proporciona una protección adecuada e invalidó el acuerdo. El tribunal también dictaminó que las autoridades europeas de protección de datos deben detener las transferencias de datos personales realizadas bajo las cláusulas contractuales estándar por empresas, como Facebook, sujetas a una vigilancia excesivamente amplia. Esta decisión tiene implicaciones importantes para las empresas estadounidenses y para el Congreso de los EE. UU. porque pone en duda la idoneidad de la protección de la privacidad en los Estados Unidos".
— Comunicado de prensa de epic.org [43]
"Este es otro fallo histórico para los derechos de privacidad del Tribunal de Justicia, y una señal clara de que Estados Unidos necesita reformar sus leyes de vigilancia o corre el riesgo de perder su posición como líder tecnológico global. El Congreso debería actuar rápidamente para alinear la ley estadounidense. con los estándares internacionales de derechos humanos."
— Alan Butler, director ejecutivo interino y asesor general de EPIC, en respuesta a la sentencia [44]
En septiembre de 2020, la Comisión de Protección de Datos de Irlanda envió a Facebook una orden preliminar para dejar de transferir datos de ciudadanos de la UE a EE. UU. Se aplicará una multa del 4% de los ingresos anuales si no se cumplen las condiciones. [45] El blog de Facebook publicó una carta de respuesta de Nick Clegg, vicepresidente de Asuntos Globales y Comunicaciones, el 9 de septiembre de 2020. [46] Clegg reconoció que las leyes relativas a la transferencia de datos están cambiando, pero aún se necesita más claridad legal para todos los involucrados. y abogó por una revisión del Escudo de Privacidad. Además, la respuesta señaló la aparente contradicción entre el Escudo de Privacidad, que se aplica a las transferencias de datos entre la UE y los EE. UU. y que el tribunal invalidó, y el SCC, que se aplica a terceros países de la UE y que el tribunal aún considera válido.
"La falta de transferencias internacionales de datos seguras y legales dañaría la economía y obstaculizaría el crecimiento de las empresas basadas en datos en la UE, justo cuando buscamos una recuperación del COVID-19. El impacto lo sentirían las empresas grandes y pequeñas. , en múltiples sectores, en el peor de los casos, esto podría significar que una pequeña empresa tecnológica en Alemania ya no podría utilizar un proveedor de nube con sede en Estados Unidos. Una empresa española de desarrollo de productos ya no podría ejecutar una operación. en múltiples zonas horarias, un minorista francés puede encontrarse con que ya no puede mantener un centro de llamadas en Marruecos".
[...]
"La UE ha liderado el camino en el establecimiento de un marco para la protección de datos que protege y empodera a los usuarios. Las reglas de privacidad seguirán evolucionando, y las reglas globales pueden garantizar el tratamiento consistente de los datos dondequiera que se almacenen. Por lo tanto, Facebook acoge con satisfacción los esfuerzos que ya están en marcha entre Los legisladores de la UE y los EE. UU. evaluarán el potencial de un marco "mejorado" entre la UE y los EE. UU.: un Escudo de Privacidad Plus. Estos esfuerzos deberán reconocer que los Estados miembros de la UE y los EE. UU. son democracias que comparten valores comunes y el Estado de derecho. profundamente interconectados cultural, social y comercialmente, y tienen poderes y prácticas de vigilancia de datos muy similares"
—Nick Clegg
En marzo de 2021 volvieron a surgir posibles repercusiones en los servicios de inteligencia y vigilancia transatlánticos. Citando la seguridad nacional y los derechos de los estados miembros, se ha formado una nueva iniciativa en un intento de mantener los servicios de inteligencia europeos fuera de la jurisdicción de los tribunales. Los gobiernos de los estados miembros de la UE, encabezados por Francia, están buscando insertar una exención de seguridad nacional en el Reglamento de privacidad electrónica pendiente que excluiría a terceros estados como los EE. UU. [47]
En mayo de 2021, el Tribunal Superior irlandés rechazó un procedimiento de revisión judicial (presentado por Facebook Ireland Limited) que pretendía detener un proyecto de decisión preliminar (PDD) de la DPC. [48] Facebook alegó una serie de quejas, incluidas fallas procesales, ataques injustos a Facebook frente a otros procesadores de datos y la falta de respuesta del tribunal a las preguntas de Facebook sobre los procedimientos. El juez David Barniville rechazó cada una de las presentaciones de Facebook y sostuvo que los procedimientos del DPC eran legales; sin embargo, sí reconoció que las preguntas de Facebook sobre el proceso deberían haber sido respondidas.
En 2017, Schrems cofundó NOYB . NOYB tiene como objetivo lanzar casos judiciales estratégicos e iniciativas de medios en apoyo del Reglamento General de Protección de Datos (GDPR), el Reglamento de privacidad electrónica propuesto y la privacidad de la información en general. [49] [50] Después de 2017, muchos de los últimos casos judiciales en los que ha estado involucrado han sido presentados por NOYB en lugar de Schrems personalmente.
Schrems es autor de los siguientes libros en alemán: