La información personal de los funcionarios públicos debe ser cuidada con especial recelo para evitar que sean blancos fáciles de manipulaciones de otros estados.
El Supervisor Europeo de Protección de Datos (SEPD) sancionó al Parlamento Europeo por el uso de cookies de Google Analytics y Stripe que producían transferencias internacionales de datos a EEUU. El problema era que se trataba de información personal de miembros de esta institución europea, con una posición pública especialmente relevante.
El proceso en cuestión empezó en octubre de 2020, luego de que se estableciera un sistema por medio del cual una compañía privada realizaba los tests covid en masa a los miembros del Parlamento. Para ello, fue necesario implementar una página web desde donde se gestionó todo desde el 30 de septiembre de 2020.
Sin embargo, algunos funcionarios observaron que esta página web tenía activadas cookies de Google Analytics y de Stripe, planteándose por qué había esta necesidad. Por esta razón, impusieron quejas frente a las instituciones europeas. También lo hizo la plataforma NOYB, Non On Your Business, del activista Max Schrems.
Error al referirse al RGPD y no al Reglamento 2018/1725
Tras tomar conocimiento de esto, el DPO del Parlamento Europeo inició una investigación, concluyendo que se había corregido el inconveniente y eliminado estas cookies. Sin embargo, también se produjeron quejas porque se observó que el aviso de privacidad del sitio en cuestión era incorrecto.
Así, aunque admite la probabilidad, la resolución de este organismo no aclara si se llegaron a producir o no estas transferencias. Por otro lado, admite que los visitantes de la web recibían un aviso de privacidad totalmente incorrecto. Dado que se basaba en el RGPD, el Reglamento General de Protección de Datos, que no afecta a instituciones públicas. Pero no hacía mención al Reglamento 2018/1725, que regula el tratamiento de datos personales por parte de las entidades de la Unión Europea.
Entonces, obviamente, el contenido era inadecuado. Además, se hacía referencia al uso de analíticas para los intereses legítimos del artículo 6.1.f del RGPD que no tienen traslado alguno a este Reglamento 2018/1725. Porque por su carácter público no deben de realizarse tratamientos que no estén habilitados por la norma. De esta manera, por tanto, desde la visión de la privacidad era totalmente incorrecto.
Aviso de privacidad diferente en cada idioma: Lost in translation
Sobre el aviso de cookies, destacan que era diferente en cada idioma. Así si en inglés solamente se podía aceptar las esenciales, en francés y alemán se podía aceptar solo las necesarias y más casos similares. Un auténtico despropósito.
Y si bien se analiza que la cookie de Stripe solo se utiliza para los pagos, y en este caso no eran necesarios, por lo cual no se llegó a activar. En el caso de Google Analytics no se logró tener información sobre si se produjo las transferencias internacionales de datos a EEUU. Pero previsiblemente fue así por cómo funciona. Ya que integra sus bases de datos en servidores en la Unión Europea, en todo el mundo y particularmente en territorio estadounidense.
Respecto del aviso de privacidad, se observó que habían dos avisos de privacidad distintos que se presentaban en momentos diferentes. Uno, en la página principal, y otro, en el momento del registro, totalmente distinto. Y una vez más, descoordinados en distintos idiomas.
Total libertad del Encargado: incumplimiento del deber de supervisión
Finalmente, se analiza quién sería el responsable en materia de protección de datos, conforme a toda la normativa. Resulta evidente que es el Parlamento Europeo, pues fue quien definió los medios de procesamiento y las razones por las que se realizan. Y se destaca que asignó a Ecolog la función de generar la página web y los avisos de privacidad sin darle instrucciones específicas, con total libertad.
Sin cumplir, asimismo, con los deberes de diligencia debida de control, puesto que se sabía que la compañía que se había encargado de la realización de la web no era experta en materia jurídica. Se nota también una falta de diligencia en la revisión puesto que aprobó el contenido del sitio antes de que sea público. Por otro lado, en lo referente a los deberes de transparencia e información, afirma que no se han dado en este caso conforme al Reglamento 2018/1725. Por tanto, habría incumplido con sus deberes como responsable.
Por qué cuidar los datos personales de funcionarios públicos de las transferencias internacionales de datos a EEUU
En consecuencia, el Supervisor Europeo de Protección de Datos sanciona al Parlamento por su incumplimiento. Aunque meramente como un apercibimiento, puesto que solo se imponen multas cuando la institución no cumple con las medidas correctivas y, en este caso, ya fueron adoptadas.
En cualquier caso, nos da a entender que también en el ámbito de administración hay que tener mucho cuidado con cómo se tratan los datos personales. Máxime, cuando se trata de personas de carácter público y muy relevante. Porque para las administraciones de cualquier parte del mundo resulta muy relevante conocer las actividades que realizan los parlamentarios de otras potencias mundiales. Esto porque les permite tener medios para saber cómo influirles, coaccionarles o cualquier otra medida similar.