Meta, la sociedad matriz de Facebook, se enfrenta a una importante resolución dictada por la Comisión de Protección de Datos (DPC) de Irlanda. Esta resolución impone una cuantiosa multa de 1.200 millones de euros, así como la suspensión de las transferencias de datos personales europeos a Estados Unidos como consecuencia de dudas que han surgido con respecto a las leyes de control de Estados Unidos. Meta tiene previsto recurrir la resolución y también espera que se llegue a un nuevo acuerdo para la transferencia de datos entre la Unión Europea y Estados Unidos.
El resultado de este caso tiene unos efectos trascendentales para la protección y la privacidad de los datos en Europa. Sigue leyendo para conocer más detalles 👇
En un periodo de diez años, este caso se ha desarrollado en tres procedimientos judiciales diferentes y ha ocasionado millones de euros en costas.
→ En 2013, la DPC desestimó la reclamación inicial por considerarla “frívola”, lo que llevó a Max Schrems, fundador de noyb, el Centro Europeo de Derechos Digitales, a elevar el asunto ante el Tribunal de Justicia de la Unión Europea (TJUE).
→ Más adelante, la DPC adujo que carecía de la competencia necesaria para tomar medidas porque Meta utilizaba “cláusulas contractuales tipo“. Sin embargo, el TJUE rechazó este argumento y ordenó a la DPC que procediera con su actuación.
→ En enero de 2023, la DPC multó a Meta con un total de 390 millones de euros por incumplir las disposiciones del RGPD en lo relativo a los servicios de Facebook e Instagram. Pese a lo anterior, el Comité Europeo de Protección de Datos (CEPD) y otras autoridades de control europeas consideraron que la multa era demasiado baja, lo que conllevó la reevaluación de la situación.
🔎 Para consultar más información sobre el caso, haz clic aquí →
En consecuencia, los procedimientos judiciales han acarreado costas de más de 10 millones de euros, y la propia multa se asignaría al Estado irlandés.
La DPC de Irlanda, en unaresolución histórica contra Meta, ordenó a Meta la suspensión de la transferencia de datos personales europeos a los Estados Unidos como consecuencia de dudas que han surgido con respecto a las leyes de control de Estados Unidos.
El CEPD respaldó la resolución e hizo hincapié en la necesidad de que se impusiera una multa cuantiosa y de que se devolvieran a los centros de datos europeos los datos previamente transferidos.
Tras recibir la orden de suspensión, Meta publicó de inmediato una entrada en su blog para encarar la situación y anunció su intención de recurrir.
💬 En su declaración, Meta desvió la atención al enfrentamiento entre la Unión Europea y la legislación de Estados Unidos. Esgrimieron el argumento de que el problema surge de la complejidad en torno a los marcos legales internacionales.
En cuanto al futuro de las transferencias de datos, Meta confía en el nuevo acuerdo para la transferencia de datos entre la Unión Europea y Estados Unidos. No obstante, este nuevo acuerdo no puede remediar los incumplimientos de la ley que se produjeron con anterioridad. Asimismo, el Parlamento Europeo no ve con buenos ojos el acuerdo, que además puede enfrentarse a invalidación por parte del TJUE, al igual que sucedió con los acuerdos previos (“Escudo de la privacidad” y “puerto seguro”).
💬 Según Schrems, hay escasas probabilidades de que el nuevo acuerdo supere el escrutinio judicial y, salvo que cambien las leyes de control de Estados Unidos, lo más probable es que Meta tenga que conservar los datos europeos dentro de la Unión Europea.
En un principio, la Comisión Europea y Estados Unidos habían acordado un Marco Transatlántico de Privacidad de Datos. Este Marco tiene la función de garantizar que los datos transferidos a Estados Unidos estén debidamente protegidos y, asimismo, recoge la resolución del TJUE en materia de flujos seguros de datos.
Todavía queda trabajo por hacer antes de dar por finalizado el texto definitivo. Estados Unidos ha dictado unaOrden Ejecutiva que incluye las obligaciones dispuestas en el acuerdo. Sin embargo, la Comisión Europea todavía tiene que publicar un borrador de la decisión de adecuación basada en dicha Orden. El CEPD también ha participado en el proceso y ha publicado su opinión al respecto.
Lo más probable es que no haya cambios inmediatos.
→ La reciente resolución da pie a un periodo de transición de alrededor de seis meses antes de que Meta deba suspender los flujos de datos.
→ Durante este periodo, el servicio seguirá funcionando como viene siendo habitual.
→ Dado que Meta ha expresado su intención de recurrir la resolución, es posible que trate de retrasar la ejecución de dicha resolución mientras presente sus alegaciones ante el órgano judicial que corresponda.
Se desconoce si el nuevo acuerdo para la transferencia transatlántica de datosestará listo antes de que concluya este periodo de transición de seis meses. En teoría, Meta podría evitar la suspensión de los flujos de datos entre la Unión Europea y Estados Unidos durante el periodo de transición si la adopción de un nuevo acuerdo ofreciera a Meta una solución alternativa para evitar la interrupción de su servicio en la Unión Europea.
Pese a lo anterior, no es muy probable que dicho acuerdo tenga un efecto retroactivo y, por consiguiente, los requerimientos dispuestos en esta resolución podrían permanecer en vigor.
Asimismo, y dado que todavía está previsto que aparezcan obstáculos legales para el nuevo acuerdo para la transferencia transatlántica de datos, Meta y otros gigantes tecnológicos estadounidenses cuyo modelo de negocio se base en las transferencias de datos a Estados Unidos se podrán enfrentar a obstáculos similares en el futuro.
