El parlamento europeo ha sido sancionado por saltarse las directivas de privacidad europeas con las cookies de su web del COVID. Increíble, pero cierto, un organismo como es la Unión Europea que legisla ciertas leyes se ha saltado una de ellas. Estas pequeñas galletas les han jugado una mala pasada y por ello se han «autosancionado». Las cookies suelen utilizarse principalmente para dos finalidades, por un lado, recordar accesos y conocer hábitos de navegación. Hacen que las páginas web puedan identificar tu ordenador, recuerdan quien eres y qué has hecho antes dentro de ellas. 


Por otro lado, tienen otra función algo más problemática, y es esta la que precisamente ha hecho que tengan tan mala fama. Permiten dar a conocer información sobre tus hábitos de navegación, a terceros y las emplean para enviarte información relacionada con tus intereses. Pero esto no es todo también sirven para identificarte como usuario según las páginas que visitas.

Este tipo de cookies son como cámaras de vigilancia están colocadas por todo internet. De esta manera terceras empresas pueden saber en qué páginas entras, y crear un perfil de tus gustos personales. También pueden registrar tus búsquedas en los buscadores como Google o en buscadores internos de tiendas online para conocer tus gustos y necesidades.

Pues bien la UE ha metido la pata hasta el fondo recibiendo una sanción. La página web oficial del organismo que brinda información sobre el COVID-19 abusó de las cookies de terceros, no respetando la privacidad de los usuarios. Tremendo que un organismo oficial que ha sido especialmente duro con el tema de las cookies promulgando diferentes leyes haya caído en su propia trampa.

 

La investigación

El Supervisor Europeo de Protección de Datos es el organismo que se encarga de monitorear y garantizar el buen uso de Internet en la Eurozona. Recordemos que la protección de los datos en la red supuso un punto de inflexión hace años en el Parlamento Europeo. Desde entonces, se ha multado con cifras millonarias a las grandes tecnológicas por no respetar la privacidad de sus usuarios. Pasados unos años y unas demandas después, Europa se ha sancionado a sí misma por saltarse las directivas de privacidad que ellos mismos habían impuesto.

En enero de 2021, Noyb, organización sin ánimo de lucro, presentó una reclamación contra el Parlamento Europeo por un sitio web interno de pruebas de coronavirus. Los temas planteados eran banners de cookies engañosos, avisos de protección de datos poco claros, y transferencia ilegal de datos a Estados Unidos. El SEPD investigó el asunto y emitió una amonestación al Parlamento por violar el RGPD para las instituciones de la UE

En el llamado caso Schrems II, el TJUE dejó claro que la transferencia de datos personales de la UE a los EE.UU. está sujeta a condiciones muy estrictas. Los sitios web tienen prohibido transferir datos personales a EE.UU. cuando no pueda garantizarse un nivel adecuado de protección de los datos personales. 

El SEPD confirmó que el sitio web efectivamente transfirió datos a Estados Unidos sin avalar un nivel adecuado de protección de los datos subrayando que;

El Parlamento no proporcionó ninguna documentación, prueba u otra información sobre las medidas contractuales, técnicas u organizativas existentes para garantizar un nivel de protección esencialmente equivalente a los datos personales transferidos a los EE.UU. en el contexto del uso de cookies en el sitio web.

 

¿Es la ley igual para todos?

En la denuncia se plantearon tal y como hemos mencionado varios puntos, veamos detalladamente cada uno de ello. 

  • Banner de cookies ambiguo. La denuncia planteó que los banners de cookies del sitio eran poco claros y engañosos. No todas las cookies aparecían en los banners y había discrepancias entre las versiones lingüísticas. Subsiguientemente, los usuarios no podían dar un consentimiento válido. Durante la investigación, el Parlamento eliminó todas las cookies de su sitio web. 
  • Información insuficiente. Por otro lado, la denuncia señalaba que la política de privacidad no era clara y transparente. Esta hacía referencia a las pruebas COVID del aeropuerto de Bruselas o a una base jurídica errónea. Durante la investigación, el Parlamento modificó su política empeorándola aún más si cabe. Noyb planteó las diferentes incoherencias de la nueva política de privacidad. El SEPD determinó que la información facilitada por el Parlamento infringía la obligación de transparencia, requisito jurídico básico de la legislación sobre protección de datos. Por último, el SEPD también mantuvo que el Parlamento no había respondido de manera adecuada a la solicitud de acceso de los reclamantes.

Finalmente, no ha habido multa, tan solo una amonestación y una orden de cumplimiento. Además, el SEPD dio al Parlamento un mes para actualizar su aviso de protección de datos y modificar las cuestiones restantes relativas a la transparencia.

Si bien ha logrado eludir la penalización económica, la institución ha infringido la regulación comunitaria sobre protección de datos. Por esto en Somos Sinapsis nos planteamos la pregunta del enunciado… ¿Es realmente la ley es igual para todos? 

Bibliotecaria frustrada que un día descubrió el potencial que tenía de creatividad y después de varios cursos de marketing decidió explotarlo en redes sociales y terminó haciéndose community mánager de diferentes empresas y artistas. Le encanta el silencio pero es melómana hasta la médula, puro espíritu de contradicción. Fanática de libros, películas y series de terror. Vive mirando una estrella, siempre en estado de espera.