Irlanda impone a Meta una multa de 1.200 millones de euros, la mayor sanción europea por infracción de privacidad
El regulador acusa a la matriz de Facebook de no proteger suficientemente los datos de europeos al trasladarlos a EE UU
El regulador de datos irlandés ha impuesto a Meta la mayor multa europea por vulneración de la privacidad de la historia. Los 1.200 millones, según la cifra que se ha conocido esta mañana, superan a los 746 con los que fue sancionada Amazon en 2021, también por asuntos relacionados con la privacidad. La sanción es por la falta de garantías de seguridad para los ciudadanos europeos en el traslado de sus datos a EE UU. Como otras grandes tecnológicas, Meta tiene su sede europea en Irlanda, con lo que sus organismos nacionales se encargan de la regulación.
La decisión coincide con el quinto aniversario de la entrada en vigor del Reglamento General de Protección de Datos (RGPD) de la Unión Europea y ha sido celebrada por el Consejo de Reguladores Europeos (EDPB, por sus siglas en inglés). La multa récord, la mayor hasta la fecha en materia del RGPD de la UE, supone un “enérgico mensaje a las organizaciones de que las violaciones graves [de las normas europeas] tienen consecuencias de gran alcance”, ha valorado la presidenta de los reguladores europeos, Andrea Jelinek. Las infracciones cometidas por la sede europea de Meta en Irlanda “son muy graves”, dado que se trata de transferencias de datos “sistemáticas, repetitivas y continuas”, ha dicho Jelinek en un comunicado. “Facebook tiene millones de usuarios en Europa, así que el volumen de transferencia de datos personales es masivo”, ha insistido.
La multa emerge de las revelaciones de Edward Snowden en 2013. Los documentos que filtró probaban que los servicios secretos de EE UU habían accedido a datos de ciudadanos de otros países a través de compañías como Google o Facebook. Una demanda del abogado y activista austriaco Max Schrems está en el origen del caso por el traslado de datos.
Meta ya ha respondido que este problema no es solo de su organización y que tienen previsto recurrir la multa “injustificada e innecesaria”: “No se trata de las prácticas de privacidad de una empresa, existe un conflicto de leyes fundamental entre las reglas del Gobierno de EE UU sobre el acceso a los datos y los derechos de privacidad europeos, que se espera que los legisladores resuelvan este verano”, han publicado en un blog de la compañía el presidente de Asuntos Globales de Meta, Nick Clegg, y la jefa del Departamento Legal, tras conocer la decisión. Ese acuerdo entre autoridades que espera Meta es el DPF, el Data Privacy Framework (acuerdo marco sobre privacidad de los datos), que deberá regir el traslado de datos entre la UE y EE UU.
Para los representantes de la industria también resulta fundamental que se cierre lo antes posible el acuerdo de datos transatlántico porque, según la Asociación de la Industria de Computadoras y Comunicaciones (CCIA), la decisión adoptada ahora “ignora la realidad” y, en los hechos, “hace ilegal la manera en que funciona internet, desde videoconferencias a la navegación por internet o el procesamiento de pagos en línea”.
“Esta incertidumbre legal persistirá mientras el nuevo mecanismo de transferencia de datos [entre EEUU y Europa] no sea formalmente aprobado por los Estados miembros”, ha advertido el director para Europa de la CCIA, Alexandre Roure.
Un portavoz de la Comisión Europea ha dicho en Bruselas que el Ejecutivo europeo “toma nota” de la decisión de Irlanda y ha confirmado que el marco de protección de datos entre EEUU y la UE debería estar listo “de aquí al verano”.
“Eso garantizará la seguridad y las garantías jurídicas que buscan las empresas, a la par que se garantiza la protección estricta de la vida privada de los ciudadanos”, ha señalado el portavoz, Christian Wigand. “Las garantías que hemos negociado con EEUU y que queremos implementar responden a las cuestiones identificadas específicamente en este caso”, ha indicado.
“Para entender la importancia de estas prácticas, hay que recordar que transferencia es no solo el envío de datos a EE UU, sino el simple acceso desde EE UU a los datos alojados en servidores europeos”, dice Jorge García Herrero, abogado especializado en protección de datos.
El regulador también pretende prohibir a Meta el traslado de datos de Europa a EE UU y que borre los que ya se han enviado. Se espera, sin embargo, que Meta pueda evitar estas consecuencias porque los gobiernos europeo y estadounidense deben firmar el DPF, el acuerdo que regule este trasvase de datos entre continentes. “Esa orden de no enviar más datos a EE UU en el futuro puede que no sea particularmente significativa porque prevemos un nuevo acuerdo de datos EE UU-UE muy pronto”, dice Johnny Ryan, responsable de Derechos de la Información en el Irish Council for Civil Liberties. La medida prevé un tiempo de seis meses de transición y es probable que Meta recurra, lo que alargará su entrada en práctica.
La multa, según la agencia irlandesa, se basa en el uso de una herramienta llamada cláusula estándar contractual [SCC, en sus siglas en inglés] para mover los datos europeos a EEUU y que no “afronta los riesgos a las libertades y derechos fundamentales” de los usuarios de Facebook en la UE.
En enero, Irlanda ya multó a Meta con 390 millones por el modo en que obligaba a sus usuarios de Facebook e Instagram a aceptar sus términos de servicio para usar sus redes. Esta vez la sanción se refiere solo a Facebook.
El impacto de la prohibición de transferencia de datos va más allá de Facebook, que es la única red afectada directamente por la decisión: “A Meta se le va a ordenar suspender sus transferencias de datos personales de residentes en la UE a EEUU”, dice García Herrero. “Los detalles de esta sanción podrían afectar a muchas más empresas, aparte de a Meta”.
Otro detalle sustancial de la decisión afecta al borrado de datos ya enviados: “Eso es una nueva bomba en sí misma: parece obvio que Meta no tiene sus sistemas diseñados de modo que se pueda extirpar limpiamente la parte europea”, añade García Herrero. Pero en Meta ya avisan que esa condición está supeditada al acuerdo aparentemente inminente entre gobiernos: “Nos complace que el DPC [el regulador irlandés] también haya confirmado en su decisión que no habrá suspensión de las transferencias u otra acción requerida de Meta, como el requisito de eliminar los datos de los interesados de la UE una vez que se haya resuelto el conflicto de leyes subyacente. Esto significará que si el DPF entra en vigencia antes de que expiren los plazos de implementación, nuestros servicios pueden continuar como lo hacen hoy sin ninguna interrupción o impacto en los usuarios”.
Puedes seguir a EL PAÍS Tecnología en Facebook y Twitter o apuntarte aquí para recibir nuestra newsletter semanal.