Un ciudadano alemán solicitó a la Dirección General de Comunicación de la Comisión Europea información sobre el tratamiento de sus datos personales tras observar que al conectarse al sitio de Internet de la Conferencia sobre el Futuro de Europa (CFE) se dirigían las solicitudes a servidores de terceros proveedores de servicios, como AWS.
Este ciudadano realizó varias solicitudes, no siendo contestadas en su totalidad por parte de la Comisión Europea. Tras recurrir al Tribunal General de la Unión Europea (TGUE), el órgano judicial tuvo que pronunciarse sobre las transferencias internacionales de datos para decidir sobre el fondo del asunto. En el presente caso, el sitio de Internet de la CFE utilizaba el servicio de Amazon CloudFront y en el contrato firmado con AWS EMEA, filial europea de Amazon.com, se optaba por la zona geográfica que comprende América del Norte, Europa e Israel. Por ello, la distribución de contenidos de este sitio de Internet no se realiza a través de la red mundial de servidores periféricos de AWS, sino únicamente de los centros localizados en dichas regiones. En virtud de esta red de distribución, las solicitudes realizadas por los usuarios se dirigen a los servidores más próximos geográficamente, por lo que es raro que se produzcan conexiones de usuarios europeos con servidores localizados fuera del Espacio Económico Europeo (EEE). Además, en el contrato con AWS EMEA se establece que los datos no deben salir, ni en tránsito ni en reposo, del EEE.
En el curso del procedimiento se demostró que la conexión se realizó a un servidor cuya dirección IP se correspondía con uno situado en Múnich, perteneciente a uno de los proveedores de AWS EMEA, al contrario de lo que alegaba el demandante, que sostenía que dicha IP se correspondía con servidores localizados en EEUU.
A pesar de que la conexión no se realizaba con servidores en EEUU, es verdad que AWS EMEA, por su condición de filial de una empresa estadounidense, está obligada a proporcionar datos de ciudadanos europeos a las autoridades estadounidenses en virtud de la legislación de dicho país, como pueden ser las direcciones IP desde las que se realizan las solicitudes a servidores de AWS. El TGUE concluye que el hecho de que las autoridades de EEUU puedan solicitar estos datos no quiere decir que recurrir a los servicios de AWS EMEA se califique como una transferencia internacional de datos de acuerdo con la legislación europea, pues dicha transferencia se reduce a situaciones hipotéticas.
Sin embargo, el sitio de Internet de la CEF permitía el registro mediante los datos de los usuarios de sus cuentas de Facebook, por lo que sí se realizaban transferencias internacionales de datos de sus IPs a Meta Platforms, empresa domiciliada en EEUU, país con el que, en el momento de la transferencia, no existía ninguna decisión de adecuación ni garantía para realizar estas transferencias.