Multa récord de Irlanda a Meta por vulnerar las normas sobre transferencia de datos a EEUU
Tecnología
Es la sanción más elevada hasta la fecha por vulnerar las reglas de privacidad de la UE
Exige también a la matriz de Facebook que suspenda toda transferencia de datos personales de usuarios europeos
Bruselas confía en que la UE y EEUU puedan volver a transferir datos personales antes del verano
La Comisión de Protección de Datos de Irlanda (DPC) ha impuesto una multa de 1.200 millones de euros a Meta Platforms, propietaria de Facebook, Instagram y WhatsApp, por infringir las normas de transferencia de datos personales de los usuarios de Facebook desde la Unión Europea a Estados Unidos.
La sanción, la más elevada impuesta hasta la fecha por vulnerar las reglas de privacidad de la UE (supera la multa de 746 millones a Amazon por las autoridades de Luxemburgo), exige también que Meta Irlanda suspenda cualquier transferencia futura de datos personales a los EEUU, para lo que tiene cinco meses desde la fecha de notificación de la decisión del DPC.
La multa a Meta coincide con el aniversario del Reglamento General de Protección de Datos de la UE (GDRP por sus siglas en inglés), que desde mayo de 2018 permite a los reguladores de los 27 países miembros de la UE imponer multas de hasta el 4% de los ingresos anuales de una empresa por las infracciones más graves. La DPC irlandesa es así responsable de velar por el cumplimiento de algunas de las mayores multinacionales estadounidenses, que tienen sede en Irlanda.
La investigación
Las autoridades irlandesas concluyeron que Meta "continuó transfiriendo datos personales" desde la UE a EEUU tras la sentencia de 2020 de la Corte Europea de Justicia (TJUE) sobre protección de datos a raíz de una demanda presentada por el abogado y activista austríaco Maximillian Schrems.
La investigación de la comisión irlandesa, iniciada en agosto de 2020, ha examinado las herramientas diseñadas por Meta para transferir datos privados de usuarios de Facebook desde la UE a EEUU. Estas herramientas, conocidas como "cláusulas contractuales estándar", no tenían en cuenta los "riesgos para los derechos y libertades fundamentales" de los clientes en materia de datos, subrayó la DPC.
Desde aquella decisión judicial, la Comisión Europea (CE) eliminó el llamado "escudo de privacidad", el acuerdo con el que la UE y EEUU regulaban hasta entonces la transferencia de datos entre ambos bloques, que prevén fijar ahora un nuevo pacto regulatorio.
La presidenta del Consejo de Reguladores Europeos (EDPB, por sus siglas en inglés), Andrea Jelinek, señaló que la infracción de Meta es muy grave ya que se trata de transferencias "sistemáticas, repetitivas y continuas".
"Facebook tiene millones de usuarios en Europa, por lo que el volumen de datos personales transferidos es enorme. La multa sin precedentes es una fuerte señal para las organizaciones de que las infracciones graves tienen consecuencias de largo alcance", añadió.
Meta dispone de seis meses para "detener el procesamiento, incluido el almacenamiento" en EEUU de datos personales de usuarios europeos que fueron transferidos infringiendo la normativa. La decisión que no afecta a otras plataformas de la compañía, como Instagram o WhatsApp.
Respuesta de Meta
El presidente de asuntos globales de Meta, Nick Clegg, y Jennifer Newstead, directora legal de la compañía, han asegurado que la decisión no implica una interrupción inmediata de Facebook en Europa y han anunciado que la empresa apelará la sentencia, incluida la multa "injustificada e innecesaria", solicitando la suspensión de las órdenes por vía judicial.
"No se trata de las prácticas de privacidad de una empresa: existe un conflicto de leyes fundamental entre las reglas del Gobierno de EEUU sobre el acceso a los datos y los derechos de privacidad europeos, que se espera que los legisladores resuelvan en verano", sostienen.
"El DPC inicialmente reconoció que Meta había continuado con sus transferencias de datos UE-EEUU de buena fe, y que una multa sería innecesaria y desproporcionada (...) Esta decisión es defectuosa, injustificada y sienta un precedente peligroso para las innumerables empresas que transfieren datos entre la UE y EEUU", alertan.
Además, han advertido de que, sin la capacidad de transferir datos a través de las fronteras, internet corre el riesgo de dividirse en silos nacionales y regionales, restringiendo la economía global y dejando a los ciudadanos de diferentes países sin poder acceder a muchos servicios compartidos.
Incertidumbre en la industria
Tras conocerse la sanción, desde la Asociación de la Industria de la Computación y las Comunicaciones (CCIA) han denunciado la falta de "pautas claras para las transferencias transatlánticas de datos", lo que afecta no sólo a las empresas, sino también a las organizaciones sin fines de lucro, organizaciones benéficas, Gobiernos y otros.
El organismo ha recordado que los flujos de datos entre la UE y EEUU constituyen la ruta de internet más transitada del mundo y son vitales para el comercio transatlántico. "Sin embargo, la decisión de suspender las transferencias de datos ignora esa realidad", ha lamentado al señalar que, en la práctica, hace que la forma en que funciona internet sea ilegal.
A este respecto, recuerdan que el presidente de Estados Unidos, Joe Biden, firmó una orden ejecutiva el otoño pasado, introduciendo nuevas garantías de protección de datos para los ciudadanos europeos que deberían allanar el camino para un nuevo y reforzado marco de privacidad de datos entre UE y EEUU.
"La inseguridad jurídica actual seguirá persistiendo mientras este nuevo mecanismo de transferencia de datos no haya sido aprobado formalmente por los Estados miembros de la UE. Hacemos un llamamiento a los 27 gobiernos nacionales de la UE para que aprueben la decisión de adecuación de la Comisión sin demora", ha declarado el director de Políticas Públicas de CCIA Europa, Alexandre Roure.
No hay comentarios