La multinacional estadounidense Meta Platforms, propietaria de Facebook, Instagram y WhatsApp, ha sido sancionada con una multa de 1.200 millones de euros por la Comisión de Protección de Datos de Irlanda (DPC) en relación con la transferencia de datos personales de los usuarios de Facebook desde la Unión Europea a los Estados Unidos.
La sanción, la más elevada impuesta hasta la fecha por vulnerar las reglas de privacidad de la UE, superando la multa de 746 millones a Amazon por las autoridades de Luxemburgo, exige también que Meta Ireland suspenda cualquier transferencia futura de datos personales a los EE.UU. dentro del período de cinco meses a partir de la fecha de notificación de la decisión del DPC.
La multa a Meta coincide con el aniversario del Reglamento General de Protección de Datos de la UE, que desde mayo de 2018 da a los reguladores de los 27 países miembros de la UE el poder de imponer multas de hasta el 4% de los ingresos anuales de una empresa por las infracciones más graves, convirtiendo a la DPC irlandesa en el responsable de velar por el cumplimiento de algunas de las mayores multinacionales estadounidenses, con sede en Irlanda.
Las autoridades irlandesas concluyeron que las transferencias de datos por parte de la multinacional se llevaron a cabo en violación del artículo 46 del Reglamento General de Protección de Datos (GDPR), considerando que, en estas circunstancias, deberán suspenderse las transferencias de datos.
“La decisión registra que Meta Ireland infringió el artículo 46 del RGPD cuando continuó transfiriendo datos personales de la UE/EEE a los EE.UU. tras la emisión de la sentencia del TJUE en el asunto Comisionado de protección de datos contra Facebook Ireland Limited y Maximillian Schrems”, expone la autoridad irlandesa.
En este sentido, apunta que si bien Meta Ireland efectuó esas transferencias sobre la base de cláusulas contractuales estándar (SCC) actualizadas que fueron adoptadas por la Comisión Europea en 2021 junto con medidas complementarias adicionales que implementó Meta Ireland, “el DPC encontró que estos arreglos no abordan los riesgos para los derechos y libertades fundamentales de los interesados identificados por el TJUE en su sentencia”.
La presidenta del Consejo de Reguladores Europeos (EDPB, por sus siglas en inglés), Andrea Jelinek, señaló que la infracción de Meta IE es muy grave ya que se trata de transferencias “sistemáticas, repetitivas y continuas”.
“Facebook tiene millones de usuarios en Europa, por lo que el volumen de datos personales transferidos es enorme. La multa sin precedentes es una fuerte señal para las organizaciones de que las infracciones graves tienen consecuencias de largo alcance”, añadió.
Respuesta de meta
Desde la multinacional, el presidente de asuntos globales de Meta, Nick Clegg, y Jennifer Newstead, directora legal de la compañía, han asegurado que la decisión no implica una interrupción inmediata de Facebook en Europa y han anunciado que la empresa apelará la sentencia, incluida la multa “injustificada e innecesaria”, solicitando la suspensión de las órdenes por vía judicial.
“No se trata de las prácticas de privacidad de una empresa: existe un conflicto de leyes fundamental entre las reglas del Gobierno de los EE.UU. sobre el acceso a los datos y los derechos de privacidad europeos, que se espera que los legisladores resuelvan en verano”, sostienen.
“El DPC inicialmente reconoció que Meta había continuado con sus transferencias de datos UE-EE.UU. de buena fe, y que una multa sería innecesaria y desproporcionada (...) Esta decisión es defectuosa, injustificada y sienta un precedente peligroso para las innumerables empresas que transfieren datos entre la UE y los EE.UU.”, alertan.
En este sentido, han advertido de que sin la capacidad de transferir datos a través de las fronteras, Internet corre el riesgo de dividirse en silos nacionales y regionales, restringiendo la economía global y dejando a los ciudadanos de diferentes países sin poder acceder a muchos servicios compartidos, por lo que brindar una base legal sólida para la transferencia de datos entre la UE y los EE.UU. ha sido una prioridad política en ambos lados del Atlántico durante muchos años.
Incertidumbre
Por otro lado, tras conocerse la sanción a Meta, desde la Asociación de la Industria de la Computación y las Comunicaciones (CCIA) han denunciado la falta de “pautas claras para las transferencias transatlánticas de datos”, lo que afecta no sólo a las empresas, sino también a las organizaciones sin fines de lucro, organizaciones benéficas, Gobiernos y otros.
En este sentido, el ‘lobby’ ha recordado que los flujos de datos entre la UE y los EE.UU. constituyen la ruta de Internet más transitada del mundo y son vitales para el comercio transatlántico. “Sin embargo, la decisión de hoy de suspender las transferencias de datos de la UE a EE.UU. ignora esa realidad”, ha lamentado al señalar que, en la práctica, hace que la forma en que funciona Internet sea ilegal.
A este respecto, recuerdan que el presidente de Estados Unidos, Joe Biden, firmó una orden ejecutiva el otoño pasado, introduciendo nuevas garantías de protección de datos para los ciudadanos europeos que deberían allanar el camino para un nuevo y reforzado marco de privacidad de datos entre UE y EE.UU.
“La inseguridad jurídica actual seguirá persistiendo mientras este nuevo mecanismo de transferencia de datos no haya sido aprobado formalmente por los Estados miembros de la UE. Hacemos un llamado a los 27 gobiernos nacionales de la UE para que aprueben la decisión de adecuación de la Comisión sin demora”, ha declarado el director de Políticas Públicas de CCIA Europa, Alexandre Roure.