El proceso que termina en esta Decisión del SEPD se inicia con una reclamación por parte de NOYB, el European Center for Digital Rights, una organización sin ánimo de lucro para la protección de los datos personales y los derechos digitales en Europa, fundada por Max Schrems.
NOYB interpuso la reclamación en enero de 2021 por considerar la vulneración del régimen adoptado tras la sentencia Schrems II por el TJUE en relación con la transferencia de datos desde la UE hasta EEUU, en la página web de pruebas COVID del Parlamento Europeo.
Tras Schrems II, EEUU pasó a considerarse un país que no ofrece un nivel de protección de los datos personales equivalente al proporcionado por la comunidad europea gracias al RGPD. En consecuencia, para llevar a cabo transferencias de datos desde la UE a EEUU, es necesario que se adopten medidas adicionales que garanticen este nivel de protección equivalente. En el caso del Parlamento Europeo, se tuvo conocimiento del uso de cookies de Google Analytics y del uso del proveedor de pagos Stripe, los cuales están situados en EEUU y cuyo uso implica transferencia internacional de datos. No obstante, no consta en la información disponible en la mencionada web sobre las garantías adicionales adoptadas para cumplir con los requerimientos de la normativa de protección de datos.
Adicionalmente, la reclamación resalta el hecho de que la información proporcionada sobre la protección de datos y la información relativa a las cookies en la página web no es completa ni clara lo que, por lo tanto, constituye una falta a la obligación de transparencia establecida en el RGPD.
Por todo lo anterior, el SEPD apercibe y exige al Parlamento Europeo que cumpla con la normativa de protección de datos y que inicie un proceso de adecuación a dicha normativa en el plazo de un mes.