Meta ha protagonizado la mayor multa impuesta por la Unión Europea respecto al uso de los datos personales de los usuarios europeos contemplado en el Reglamento General de Protección de Datos (RGPD). La sanción ha alcanzado los 1.200 millones de euros y ha venido acompañada de la orden de dejar de transferir los datos de los usuarios europeos de Facebook a sus servidores en Estados Unidos.
La Comisión de Protección de Datos (DPC) de Irlanda ha sancionado a Meta con una multa cercana a los 1.200 millones de euros por haber seguido transfiriendo, a través de Facebook, datos de usuarios europeos a Estados Unidos sin las salvaguardas adecuadas, a pesar de haber usado las llamadas cláusulas contractuales estándar (SCCs), el mecanismo legal que habilitó en 2020 el Tribunal Europeo de Justicia como vía válida para la transferencia segura de datos, al desechar el acuerdo del Escudo de Privacidad (Privacy Shield) que desde 2016 regulaba el traspaso de información entre Estados Unidos y los países de la Unión Europea.
Según el regulador, los datos transferidos por Facebook bajo este instrumento legal, los SCCs, “no resolvían los riesgos identificados por el Tribunal Europeo de Justicia de los derechos fundamentales y la libertad de los sujetos de los datos”. Por ello, además de la sanción, Meta tiene seis meses para “dejar de procesar y almacenar en Estados Unidos datos personales europeos ya transferidos”, y eliminarlos de los servidores de Facebook.
A pesar de que la sentencia sólo hace referencia a Facebook, quedando excluidas Instagram y WhatsApp, desde Meta han informado que recurrirán la sentencia porque más compañías están transfiriendo datos personales de usuarios europeos mediante SCCs.
“Esta decisión es errónea, injustificada y sienta un peligroso precedente para las innumerables compañías que transfieren datos entre la Unión Europea y Estados Unidos”, han afirmado Nick Clegg y Jennifer Newstead, presidente de asuntos globales y chief legal officer de Meta, respectivamente, en el blog de la compañía. “Estamos decepcionados por haber sido señalados cuando usamos el mismo mecanismo legal que otras compañías que buscan proveer servicios en Europa”.
El nuevo Privacy Shield, activo a partir de este verano
A pesar de que en 2022 la Unión Europea y Estados Unidos alcanzaron un acuerdo para el lanzamiento de un nuevo marco de transferencia de datos transatlántico entre ambas regiones, que garantizara la seguridad de los datos de los ciudadanos europeos en consonancia con lo dictado en el RGPD, todavía dicho ‘framework’ no se ha asentado.
Según ha declarado un portavoz de la Comisión Europea a The Guardian, se espera que el marco regulatorio que reemplaza Privacy Shield, EU-U.S DPF, esté “completamente operativo este verano” y será entonces cuando Facebook podrá reanudar las transferencias de datos.
Desde Meta han asegurado que gracias al plazo de cinco meses concedido por el DCP no habrá una parada inmediata de la red social en la Unión Europea. Aunque la propia compañía ya informó a sus inversores durante la presentación de resultados del primer trimestre de 2023 que “sin SCCs u otro medio alternativo para la transferencias de datos” era probable que la firma fuera “incapaz de ofrecer varios de nuestros productos y servicios más significativos, incluyendo Facebook e Instagram, en Europa”.