Meta multada récord con 1.200 millones de euros por el regulador de datos personales irlandés

Meta, la empresa matriz de Facebook, fue multado con un récord de 1.200 millones de euros por la Comisión de Protección de Datos (DPC), el regulador de privacidad irlandés. Una suma sin precedentes a nivel de la Unión Europea, que supera con creces la que se le ordenó pagar a Amazon en julio de 2021, que en su momento fue de 746 millones de euros.

La DPC, el equivalente irlandés de la Comisión Nacional de Informática y Libertades (CNIL) en Francia, acusa a la red social de haber seguido transfiriendo datos personales de sus clientes europeos a Estados Unidos. En 2020, el Tribunal de Justicia de la Unión Europea (TJUE) reveló que la posibilidad reservada a los servicios de seguridad estadounidenses de poder acceder a los datos de los europeos era incompatible con el derecho de la Unión Europea en materia de protección de datos.

Nick Clegg, jefe de asuntos públicos de Meta, consideró que esta sanción, «injustificado e innecesario», “sentará un precedente peligroso para las muchas empresas que transfieren datos entre EE. UU. y la UE”. También anunció que apelaría la decisión.

Max Schrems, el activista detrás de la sentencia del TJUE, dijo que feliz con esta decisión. “La multa pudo haber sido mayor dado que el máximo puede ser de cuatro mil millones y que Meta infringió la ley para lucrar durante diez años”continuó el experto, refiriéndose a los primeros pasos dados para invalidar el anterior mecanismo de transferencia de datos.

Detener todas las transferencias para octubre

Esta ansiada decisión del DPC, acusando a Meta de haber utilizado, para esta cesión, desde 2020 las «cláusulas contractuales tipo», un mecanismo jurídico de cesión de datos insuficientemente tutelar respecto a la decisión del TJUE. La decisión solo afecta a Facebook y no a otros servicios de Meta, como WhatsApp.

Además de la enmienda, la CNIL irlandesa ordenó a la plataforma que detuviera todas las transferencias de datos de los usuarios de Internet europeos a los Estados Unidos a partir del 12 de octubre. La compañía también tiene hasta el 12 de noviembre para repatriar los datos de los europeos proporcionados desde 2020 a los centros de datos ubicados al este del Atlántico.

Una decisión que no debería tener un efecto inmediato, especialmente para los usuarios de Facebook. Mientras tanto, es probable que se encuentre un nuevo acuerdo legal que rija la transferencia de datos entre los Estados Unidos y la Unión Europea. La Comisión Europea y las autoridades europeas se encuentran actualmente en medio de negociaciones, cuyo resultado podría darse en las próximas semanas.

La decisión del DPC, y más allá de eso, la compatibilidad entre la ley estadounidense y el marco europeo de datos personales, preocupa a la mayoría de los grupos tecnológicos estadounidenses. A través de la voz de Nick Clegg, Meta también lamenta haber sido “Targeting mientras utilizamos el mismo mecanismo legal que miles de empresas que prestan sus servicios en Europa”.

En un comunicado de prensa, la Asociación de la Industria de la Computación y las Comunicaciones, uno de los principales lobbies del sector tecnológico, llamó a las autoridades estadounidenses a aplicar el decreto firmado en octubre por Joe Biden. Se supone que este texto dará nuevas garantías a los ciudadanos europeos en términos de datos personales y es un paso importante en el camino hacia las negociaciones para un nuevo acuerdo.

Es casi seguro que este último, una vez adoptado, será demandado como sus dos predecesores. Muchas, incluidas las grandes empresas de tecnología, han argumentado que solo una reforma de la ley de vigilancia de EE. UU. probablemente la haga compatible con el Reglamento General de Protección de Datos (GDPR).

Debate sobre el papel de la DPC

Esta decisión de la DPC es también una fecha importante en la historia de este ambicioso texto sobre datos personales, que se celebrará el 25 de mayo, el 5º aniversario de su entrada en vigor. Otorgó a la DPC un poder regulatorio considerable al establecer “ventanilla única” para las grandes empresas digitales, que hacen del regulador nacional del país donde se encuentra su sede europea su único interlocutor. Irlanda, que alberga las de Alphabet (Google, YouTube), Meta (Facebook, Instagram, WhatsApp) y Microsoft, está por tanto en primera línea para investigar las denuncias contra las mayores empresas del sector a nivel mundial.

A pesar de una multa anterior dirigida a Meta (390 millones de euros en enero), los defensores de los datos personales critican regularmente a la CNIL irlandesa por su timidez frente a estos grupos de especialistas digitales. El proyecto de decisión del DPC fue modificado por la Junta Europea de Protección de Datos, que reúne a todas las CNIL europeas, porque la modificación propuesta por el regulador irlandés se había considerado demasiado débil. Es, además, contra la EDPB que Meta se reserva sus más duras palabras, considerando que el hecho de haber sido capaz de imponer su punto de vista a la DPC «plantear preguntas serias».

“Nos tomó diez años de batalla legal contra la DPC para obtener este resultado”mientras tanto, uno señaló a Max Schrems: “El regulador irlandés hizo todo lo posible para evitar esta decisión, pero fue negada sistemáticamente por los tribunales y las instituciones europeas. Es absurdo que esta multa récord vaya a Irlanda, el Estado miembro que hizo todo lo posible para garantizar que no se impusiera esta multa. »