La Sentència Schrems II i la Transferència de Dades Anonimitzades
La Cort de Justícia Europea, en el cas Data Protection Commissioner v. Facebook Ireland Limited (Schrems II) (Case C-311/18), va fer una declaració sorprenent:
Ahir, quan una organització transfereix dades a servidors dels EUA, aquelles dades han de complir amb:
- Restriccions de transferència adequades (si les dades són personals de l'EEA)
- Anonimització que compleixi amb GDPR (si les dades es consideren anonimitzades sota EDPB WP29)
- Però si la ubicació del servidor permet capacitats de re-identificació, la transferència pot violar el GDPR
La lògica és sorprenent però essencial: la ubicació del servidor importa fins i tot si les dades són tècnicament anonimitzades.
Per què importa la ubicació del servidor per a dades anonimitzades
Considerems una organització sanitària que anonimitza els registres de pacients (substitute noms amb UUID) i els carrega a un servidors dels EUA per a recerca. Sota la primera lectura dels estàndards de GDPR 2016, les dades són "anonimitzades" — la ubicació del servidor és irrelevant.
Pero sota Schrems II:
- Si els EUA autoritzes accessos legislatius que permeten la NSA/FBI accedir a servidors de les EUA sense consentiment europeu, llavors
- L'accés dels EUA podria potencialment correlacionar les dades anonimitzades amb altres dades dels EUA (registres mèdics, bases de dades de pacients) per a re-identificar,
- La transferència a servidors dels EUA esdevé una violació del GDPR, fins i tot amb anonimització, perquè la capacitat de re-identificació existeix en la jurisdicció des EUA
La Cort va concloure: El mitjà comú pot fer re-identificable allò que és tècnicament anonimitzat.