L'autoritat de protecció de dades austríaca (DSB — Datenschutzbehörde) té jurisdicció sobre les transferències de dades europees. L'activista de privacitat Max Schrems (fundador de NOYB — Ningunes de Nostre Business) es basa a Àustria i va presentar demandes que han canviat globalment com processen dades les empreses americanes.
El Cas Schrems: Historia de Dos Sentencies
Schrems I (2015):
- La Cort de Justícia Europea va rebutjar "Privacy Shield" entre USA-UE
- Fonament: Els EUA realitzaven vigilancia massiva de dades europees
- Resultat: Les transferències UE-USA requereixen "Clàusules Contractuals Estàndard" (SCCs) amb "avaluacions d'impacte de transferència"
Schrems II (2020):
- Mateixa Cort va sentenciar que fins i tot SCCs no són suficients per transferències USA
- Fonament: Els governs USA fan vigilancia de manera indefinida de dades estrangeres
- Resultat: Les empreses han de implementar "mesures tècniques" addicionals com encriptació end-to-end o anonimització
Mesures Tècniques Requerides Post-Schrems
Les empreses que transfereixen dades europees als EUA ara han de demostrar mesures tècniques suplimentàries:
- Encriptació end-to-end — dades xifrades a Europa, desxifrades només a EUA amb claus custodiacides per la empresa europea
- Anonimització irreversible — eliminar completament identificadors de forma que els governaments EUA no puguin re-identificar persones
- Processament a Europa — mantenir dades europees dins de la UE, transferint només resultats agregats anònims
La DSB va emetre 89 decisions de conformitat en 2024, amb 23 multes que oscil·len entre €5K i €4 milions.