DSB Austria: Schrems i les transferencies de dades
L'autorita austriaca de proteccio de dades (Datenschutzbehorde, DSB) es el regulador nacional de NOYB — None of Your Business. Max Schrems va fundar el grup. Ha presentat mes de 1.000 reclamacions RGPD des del 2018. El DSB va gestionar 422 d'aquests casos entre 2022 i 2024.
Aquest historial importa. El DSB se situa al centre de dues batalles juridiques que ja han reformat la llei de transferencia de la UE.
NOYB i el DSB: un patro
Schrems I (2015): Schrems va presentar una reclamacio sobre els fluxos UE-EUA de Facebook. El TJUE va anullar el Safe Harbor. Mes de 4.000 empreses utilitzaven aquest marc en aquell moment.
Schrems II (2020): Un segon repte va afectar el Privacy Shield. Mes de 5.000 empreses en depenien. El seu col-lapse va forcar noves negociacions. El resultat va ser el Marc de Privadesa de Dades UE-EUA (DPF). El DPF va entrar en vigor el 2023.
Previst Schrems III (2025-2026): NOYB ha impugnat la decisio d'adequacio del DPF. El seu argument: la Seccio 702 de FISA encara entra en conflicte amb el RGPD. S'espera una remissio al TJUE.
El 78% dels casos del DSB impliquen transferencies transfrontereres o eines de tercers. Aquest enfocament diferencia els reguladors austrians d'altres organismes de la UE.
La resolucio de Google Analytics del DSB
La resolucio del DSB de gener de 2022 sobre Google Analytics va establir el model per als casos de transferencia.
En van sorgir tres conclusions clau:
- Les adreces IP son dades personals. Fins i tot les IPs truncades poden permetre la reidentificacio dins dels sistemes de Google. Els registres de sessio ho empitjoren.
- L'acces del proveador dels EUA compta com a transferencia. Quan els enginyers dels EUA poden accedir als registres d'usuaris de la UE, aquest acces es una transferencia en virtut del RGPD. Aixo inclou el suport, el manteniment i les ordres legals.
- Les CCE sense una ATI no son suficients. Les Clausules Contractuals Estandard necessiten una Avaluacio de l'Impacte de la Transferencia (ATI). L'ATI ha de demostrar que les lleis d'espionatge dels EUA no cancel-len les proteccions de les CCE.
El DSB va declarar responsable l'operador del lloc austriac — no Google. L'operador era el responsable del tractament. Aixo s'aplica a totes les empreses de la UE que incrusten scripts de tercers. Consulteu la nostra guia de compliment RGPD per coneixe les obligacions del responsable.
Mesures tecniques addicionals
Després de Schrems II, el CEPD va publicar orientacions sobre mesures tecniques addicionals. S'apliquen quan les CCE son insuficients per si soles. El DSB aplica aquesta orientacio.
Tres enfocaments superen l'escrutini del DSB:
Xifratge amb claus a la UE. Xifreu els registres abans de sortir de la UE. Conserveu les claus de desxifratge a mans europees. Si les autoritats dels EUA obliguen el proveador a lliurar fitxers, reben text xifrat que no poden llegir.
Pseudonimitzacio abans de la transferencia. Envieu nomes tokens pseudonims a traves de les fronteres. Conserveu la clau de reidentificacio dins de la UE. Els fitxers transferits no contenen dades personals directes.
Processament local. Executeu tot el processament en servidors allotjats a la UE. Transferiu nomes estadistiques agregades i veritablement anonimes. Cap registre personal no travessa les fronteres.
El DSB ha confirmat aquesta postura. Els grups que utilitzen proveadors SaaS dels EUA per a dades personals de la UE han d'aplicar almenys un d'aquests enfocaments. O be han de demostrar que el contingut transferit es veritablement anonim.
El risc de Schrems III
Les empreses que nomes compten amb el DPF s'enfronten a un risc clar. Si el repte del NOYB al TJUE prospera, hauran de trobar noves eines de transferencia rapidament. Aixo es exactament el que va passar el 2015 i el 2020.
Els grups que utilitzen mesures tecniques addicionals estan protegits. Si el contingut es veritablement anonim, no es produeix cap transferencia RGPD. Un col-lapse del DPF no canvia res per a ells.
Per a les operacions austriaques: les eines d'analitiques (Google Analytics, Mixpanel, Amplitude) generen totes exposicio al DSB. El mateix passa amb els sistemes CRM amb empreses matrius als EUA (Salesforce, HubSpot). Les plataformes cloud on el personal dels EUA te acces d'administrador presenten el mateix risc.
La solucio es la mateixa en cada cas. Assegureu-vos que els registres personals son veritablement anonims abans que arribin al proveador. O xifreu-los amb claus que nomes el responsable de la UE controla. La nostra descripci general de seguretat i compliment explica com el disseny de coneixement zero elimina el problema de transferencia a l'origen.