Meta Platforms, el propietario de Facebook, ha sido multado con 1.200 millones de euros por la transferencia de datos de usuarios de la Unión Europea a servidores ubicados en Estados Unidos. La multa de los reguladores europeos liderados por la Comisión de Protección de Datos de Irlanda (DPC, por sus siglas en inglés), castiga a Meta por ignorar una advertencia previa de un alto tribunal europeo. Esa advertencia tenía la intención de proteger los datos de los usuarios frente al acceso a estos por parte de las agencias de inteligencia estadounidenses, evitando que Meta transfiriera datos de usuarios fuera de la UE.
Superando los 1.2021 millones de euros, la multa establece un nuevo récord para las sanciones financieras impuestas bajo el GDPR. El récord anterior, establecido en 746 millones, pertenece a una sanción del tribunal de Luxemburgo a Amazon.
El fallo gira en torno al uso por parte de Meta de instrumentos legales complejos conocidos como cláusulas contractuales estándar (SCC, por sus siglas en inglés) para transferir datos de la UE a Estados Unidos. Las transferencias transatlánticas de datos como estas podrían someter a los europeos a leyes de privacidad estadounidenses menos estrictas.
El DPC ha ordenado a Meta que “suspenda” su uso de SCC para transferir datos de ciudadanos de la UE y que deje de almacenar dichos datos en Estados Unidos. Sin embargo, solo los datos de Facebook se ven afectados, no los de otras propiedades de Meta como WhatsApp o Instagram.
Meta es multada por la transferencia de datos de usuarios de la Unión Europea a servidores ubicados en Estados Unidos
Nick Clegg, presidente de asuntos globales de Meta, calificó la decisión de “injustificada”. También dijo que “sienta un precedente peligroso para las innumerables compañías que transfieren datos entre la UE y Estados Unidos“.
Índice de temas
Meta amenaza con su la salida de la UE, otra vez
Meta advirtió el año pasado que una prohibición de su mecanismo de transferencia de datos podría obligar a la compañía a suspender los servicios de Facebook en Europa.
En 2020, el jefe de políticas de Meta, Nick Clegg, expresó su preocupación por las posibles consecuencias de suspender las transferencias de datos basadas en SCC, que Facebook y otras entidades utilizan. Clegg dijo que una suspensión podría tener un impacto significativo en las empresas que dependen de SCC, así como en sus clientes.
Sin embargo, es poco probable que la prohibición de transferencia de datos del DPC entre en vigor de inmediato. Se espera que a Meta se le otorgue un período de gracia para adherirse a la decisión, lo que podría retrasar cualquier suspensión hasta otoño. Además, es probable que la empresa presente una apelación.
“Este caso se relaciona con un conflicto histórico de la legislación de la UE y Estados Unidos, que está en proceso de resolverse a través del nuevo Marco de Privacidad de Datos UE – EEUU“, dijo un portavoz de Meta a The Guardian antes de que el DPC finalizara la sanción. “Damos la bienvenida al progreso que los responsables políticos han logrado para garantizar la transferencia continua de datos a través de las fronteras y esperamos la decisión final del regulador sobre este asunto”.
¿Cómo afecta el marco regulatorio a las compañías?
La decisión del DPC de que las cláusulas contractuales estándar no son un mecanismo válido para transferir datos personales a los Estados Unidos, tendrá un impacto significativo en la capacidad de las organizaciones de todas las formas y tamaños para compartir y recibir legalmente datos de Europa. También iniciará una carrera contrareloj para que los legisladores finalicen el marco de transferencia de datos entre la UE y Estados Unidos antes del final del período de transición de seis meses que el DPC le ha dado a Meta para que cumpla los requisitos de sus transferencias de datos.
Esta situación lleva sin resolverse durante más de una década. Incluso si se llega a un acuerdo sobre el marco de transferencia de datos, es casi seguro que será impugnado ante el Tribunal de Justicia Europeo, al igual que sus predecesores, y existe una posibilidad razonable de que también sea invalidado.
El regulador persigue proteger los datos de los usuarios frente al acceso a estos por parte de las agencias de inteligencia estadounidenses
Otras metamultas
En noviembre de 2022, el regulador multó a la compañía con 265 millones de euros (277 millones de dólares) por no evitar que los piratas informáticos robaran la información personal de alrededor de 533 millones de usuarios de Facebook, en una violación de datos de 2019.
En septiembre, el organismo de control multó a la subsidiaria, Instagram, con un récord de 405 millones de euros por violar el GDPR y no proteger los datos de los niños.
A principios de este año, Meta recibió una multa de 390 millones de euros del DPC irlandés por obligar a los usuarios a dar su consentimiento a anuncios personalizados, lo que violó las regulaciones de privacidad de la UE, y otros 5,5 millones de euros por violaciones de GDPR en WhatsApp.
Debido a que Apple, Google y otros gigantes tecnológicos han optado por ubicar su sede de la Unión Europea en Irlanda, el DPC es el organismo regulador que los supervisa. El regulador actualmente tiene más de tres docenas de investigaciones abiertas sobre estas compañías.
