Multan a Meta con 1.2 millones de euros por infringir protección de datos personales

La propietaria de Facebook, Meta, fue multada con la cifra récord de 1.2 millones de euros (unos 22 mil millones de pesos) y se le ordenó que suspendiera la transferencia de datos de usuarios de la Unión Europea a Estados Unidos.

La multa –equivalente a 1.3 millones de dólares– impuesta por la Comisión de Protección de Datos (DPC) de Irlanda, que regula a Meta en toda la Unión Europea, constituye un récord por incumplimiento del Reglamento General de Protección de Datos (GDPR) del bloque. La suspensión de las transferencias de datos de Facebook no es inmediata y se concedió a Meta un plazo de cinco meses para aplicarla.

La sanción de la DPC está relacionada con el recurso legal que interpuso un activista austriaco a favor de la privacidad, Max Schrems, debido a la preocupación derivada de las revelaciones de Edward Snowden de que los datos de los usuarios europeos no están suficientemente protegidos contra las agencias de inteligencia estadounidenses cuando son transferidos al otro lado del Atlántico.

También se le concedió a Meta un plazo de seis meses para detener “el procesamiento ilegal, incluido el almacenamiento, en Estados Unidos” de los datos personales de la Unión Europea que ya se habían transferido al otro lado del Atlántico, lo que significa que los datos de los usuarios tendrán que ser eliminados de los servidores de Facebook.

La decisión no repercute en las transferencias de datos de las otras plataformas principales de Meta, Instagram y WhatsApp. Meta indicó que apelaría la decisión y solicitaría la suspensión de la orden relativa a la transferencia de datos.

La DPC señaló que Meta infringió el RGPD al seguir transfiriendo datos de usuarios de la Unión Europea a Estados Unidos a pesar de la sentencia del Tribunal de Justicia de la Unión Europea que exigía una fuerte protección de dicha información. El organismo regulador señaló que los datos transferidos por Facebook en virtud de un instrumento jurídico denominado cláusulas contractuales tipo (SCC) “no abordaban los riesgos para los derechos y libertades fundamentales de las personas afectadas identificados por el (Tribunal de Justicia) en su sentencia”.

Meta indicó que la DPC la había “señalado” a pesar de que miles de otras empresas utilizan los mismos procesos de transferencia de datos. “Nos sentimos … decepcionados por haber sido señalados cuando usamos el mismo mecanismo legal que miles de otras empresas que buscan prestar servicios en Europa”, escribieron Nick Clegg, presidente de asuntos globales de Meta, y Jennifer Newstead, directora jurídica de Meta, en una publicación en su blog el lunes.

Clegg y Newstead añadieron: “Esta decisión es equivocada, injustificada y sienta un peligroso precedente para las innumerables otras empresas que transfieren datos entre la Unión Europea y Estados Unidos”. Señalaron que, como consecuencia, internet corre el riesgo de fragmentarse en silos nacionales y regionales.

Un vocero de la Comisión Europea –el brazo ejecutivo de la Unión Europea– comentó que esperaba que estuviera “plenamente en funcionamiento antes de verano” un nuevo marco para las transferencias transatlánticas de datos, lo cual proporcionaría la “estabilidad y seguridad jurídica” que buscan las empresas tecnológicas estadounidenses. Facebook podría reanudar las transferencias de datos en virtud del nuevo régimen, que se acordó entre Washington y Bruselas a nivel político pero cuya aplicación aún requiere un acuerdo.

El vocero indicó que era “muy claro” que la Unión Europea había trabajado con Estados Unidos para establecer “garantías” que protejan los datos de los consumidores y que esperaba restablecer la seguridad jurídica.

Señaló que no habría “ninguna interrupción inmediata” del servicio de Facebook en la Unión Europea debido al periodo de gracia anunciado por la DPC. No obstante, en los resultados trimestrales más recientes de Meta, la empresa señaló que sin las SCC u “otros medios alternativos de transferencia de datos” sería “probablemente incapaz de ofrecer varios de nuestros productos y servicios más significativos, entre ellos Facebook e Instagram, en Europa”.

La DPC señaló que no estaba de acuerdo con otros reguladores de la Unión Europea sobre la sanción impuesta a Meta, lo cual dio lugar a que la Junta Europea de Protección de Datos (EDPB), compuesta por los organismos de control de datos de la Unión Europea, interviniera para decidir si se debía imponer una multa.

Mark Deem, socio del despacho de abogados británico Wiggin, comentó que la cuantía de la multa enviaría una advertencia a otras empresas que transfieren datos personales fuera de la Unión Europea.

“Uno de los propósitos de la cifra es servir como advertencia para otras empresas sobre la forma en que gestionan las transferencias internacionales de datos”, señaló.