La multa del GDPR a Meta en 4 puntos clave

La Autoridad Irlandesa de Protección de Datos ha multado a Meta Platforms Ireland Limited con 1.200 millones de euros tras una investigación sobre sus transferencias de datos a Estados Unidos. La multa es la mayor jamás impuesta en virtud del GDPR.

La multa del GDPR a Meta en 4 puntos clave

La Autoridad Irlandesa de Protección de Datos ha multado a Meta Platforms Ireland Limited con 1.200 millones de euros tras una investigación sobre sus transferencias de datos a Estados Unidos. La multa, la mayor jamás impuesta en virtud del GDPR, se impuso por el uso por parte de Meta de cláusulas contractuales estándar para transferir datos personales desde el 16 de julio de 2020. 

¿Qué ocurrió? 

En abril de 2023, la Junta Europea de Protección de Datos (EDPB, por sus siglas en inglés) adoptó una Decisión Vinculante que ordenaba a la Comisión de Protección de Datos (DPC, por sus siglas en inglés) imponer una multa administrativa a Meta Platforms Ireland Limited (Meta IE) por su violación del Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés) en la transferencia de datos personales de usuarios europeos.  

La EDPB basó su decisión en las objeciones planteadas por múltiples autoridades de control, y ordenó que la multa oscilara entre el 20% y el 100% del máximo permitido.  

Basándose en la Decisión Vinculante, el 22 de mayo de 2023, el DPC ordenó a Meta IE cumplir con el GDPR y pagar una multa de 1.200 millones de euros. 

Ph056_Euros

¿Qué es Meta? 

En octubre de 2021, el gigante de las redes sociales cambió su nombre a Meta, junto con un nuevo diseño. Según su CEO, Mark Zuckerberg, la razón para dejar de hacer hincapié en el nombre de Facebook era reenfocar la empresa hacia la próxima frontera digital, que es la fusión de diferentes mundos digitales en el "metaverso".  

Sin embargo, el momento del cambio de nombre coincidió con la necesidad de la empresa de alejarse de los problemas que Facebook, como red social, estaba teniendo con la difusión de información falsa y discursos de odio y el escándalo de Cambridge Analytica. 

Ph054_Meta

¿Qué es el GDPR? 

El Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés) es la ley más estricta del mundo sobre privacidad y seguridad. Aunque fue redactado y aprobado por la Unión Europea (UE), obliga a grupos de cualquier lugar a seguir normas específicas si se dirigen a personas de la UE o recopilan datos sobre ellas. Quienes infrinjan las normas de privacidad y seguridad del GDPR tendrán que pagar multas enormes. 

Con el GDPR, Europa deja claro que se toma muy en serio la privacidad y la seguridad de los datos en un momento en que cada vez más personas ponen su información personal en la nube y se producen fallos de seguridad todos los días.  

Meta IE fue declarada infractora del artículo 46, apartado 1, del GDPR, que establece que un responsable o encargado del tratamiento sólo podrá transferir datos personales a un tercer país o a una organización internacional si el responsable o encargado del tratamiento "ha proporcionado las garantías adecuadas, y a condición de que los interesados dispongan de derechos exigibles y de recursos jurídicos efectivos". 

Ph055_GDPR

¿Cuál es la versión larga? 

La Decisión de Puerto Seguro, adoptada en julio de 2000, estableció disposiciones para las transferencias de datos entre la UE y Estados Unidos. Aunque no consideraba que EE.UU. ofreciera una protección de datos adecuada, permitía las transferencias si la entidad receptora autocertificaba el cumplimiento de los principios y directrices de privacidad de puerto seguro publicados por el Departamento de Comercio estadounidense. Como resultado, los responsables del tratamiento de datos de la UE utilizaron ampliamente los acuerdos de puerto seguro para legitimar las transferencias de datos a Estados Unidos. 

En junio de 2013, Edward Snowden, un contratista contratado por terceros para realizar trabajos para la Agencia de Seguridad Nacional de Estados Unidos (NSA, por sus siglas en inglés), filtró documentos que mostraban que la NSA dirigía al menos un programa que espiaba los sistemas de Internet y telefónicos de algunas de las mayores empresas tecnológicas del mundo, como Microsoft, Apple, Meta US y otras. 

Ese mismo mes, Maximillian Schrems presentó una denuncia ante el dpc, alegando que la transferencia de datos personales de Meta Ireland a su matriz estadounidense, Meta US, era ilegal a la luz de la divulgación de los documentos de Snowden. En un principio, el Comisario se negó a investigar la denuncia, alegando el carácter vinculante de la Decisión de Puerto Seguro. Schrems impugnó esta decisión mediante un recurso de revisión judicial con el que pretendía anular la negativa del Comisario y solicitar una investigación de la denuncia. 

En respuesta a la inquietud suscitada por la divulgación de los documentos de Snowden, Estados Unidos y la Comisión Europea crearon en julio de 2013 un Grupo de Trabajo ad hoc UE-Estados Unidos. El propósito era investigar el alcance de los programas de vigilancia, el volumen de datos recopilados, los mecanismos de supervisión y los niveles de protección en EE.UU. y la UE/EEE. En noviembre de 2013, la Comisión Europea publicó un informe basado en las conclusiones del Grupo de Trabajo, en el que se afirmaba que los datos se recopilaban mediante directivas dirigidas a los principales proveedores de servicios de Internet y empresas tecnológicas de Estados Unidos, como Microsoft, Yahoo, Google y Facebook. 

El informe señalaba varios motivos de preocupación en relación con la legislación estadounidense, entre ellos: 

  • La existencia de bases jurídicas que permiten la recopilación y el tratamiento a gran escala de datos personales transferidos con fines de inteligencia extranjera; 
  • Diferencias en las salvaguardias entre los interesados de la UE y de EE.UU., ya que los estadounidenses se benefician de protecciones constitucionales que no se aplican a los ciudadanos de la UE;  
  • Diferentes niveles de protección de datos para distintos tipos de datos y fases del tratamiento;  
  • Falta de claridad sobre otras bases jurídicas y condiciones aplicables. 
  • Los interesados, tanto de la UE como de EE.UU., carecían de vías para ser informados sobre la recogida y el tratamiento de sus datos personales.  

Schrems y el CPD llegaron a un acuerdo sobre la investigación de la reclamación. Acordaron que la investigación de la reclamación se llevaría a cabo por separado y únicamente por referencia a las disposiciones aplicables del GDPR y que el alcance temporal tomaría como punto de partida el 25 de mayo de 2018. 

En agosto de 2020, el CPD emitió un anteproyecto de decisión. Sirvió como aviso a Meta IE del inicio de una investigación de oficio, estableciendo su alcance y base jurídica. Se invitó a Schrems a presentar alegaciones. En febrero de 2022, la DCP emitió un anteproyecto revisado y lo compartió con otras autoridades de supervisión afectadas, varias de las cuales plantearon objeciones. El litigio se remitió entonces en septiembre a la EDPB. 

Ph057_Data privacy

En abril de 2023, el EDPB adoptó una Decisión vinculante relativa al litigio presentado por la autoridad de control irlandesa sobre las transferencias de datos por Meta IE para su servicio de Facebook. 

Con su decisión, el EDPB ordena al CPD que imponga una multa administrativa a Meta IE sobre la base de la evaluación de factores tales como: 

  • "Un número muy elevado de interesados se ve afectado, y este número ya elevado puede seguir aumentando hasta que se ponga fin efectivamente a la infracción", y "que esta duración de la infracción es significativa". 
  • "Meta IE cometió la infracción al menos con el mayor grado de negligencia". 
  • "Hay suficientes elementos en el análisis de este factor que confirman el alto grado de responsabilidad de Meta IE". 
  • "Un gran número de categorías de datos personales se han visto afectadas por la infracción, incluidas las categorías especiales de datos personales en virtud del artículo 9 GDPR." 
  • "Es el modelo de negocio el que debe adaptarse y cumplir con los requisitos que el GDPR establece con carácter general y para cada una de las bases jurídicas y no al revés." 

Basándose en la Decisión Vinculante, el DPC tomó su propia decisión basándose en sus conclusiones. En resumen, son las siguientes: 

  • Las Transferencias de Datos por parte de Meta IE se realizan en circunstancias que no garantizan a los interesados un nivel de protección esencialmente equivalente al previsto en el Derecho de la UE, infringiendo el artículo 46, apartado 1, del GDPR; 
  • Ordenar a Meta IE que adapte sus operaciones de tratamiento a lo dispuesto en el capítulo V del GDPR poniendo fin al tratamiento ilícito, incluido el almacenamiento, en los EE.UU. de datos personales de usuarios del EEE transferidos infringiendo el RGPD;  
  • Imponer a Meta IE una multa administrativa de 1.200 millones de euros en relación con la declaración de infracción del artículo 46, apartado 1, del GDPR. 

¿Qué podemos aprender?

La decisión del DPC tiene implicaciones significativas para la privacidad de los datos en todo el mundo, y pone de relieve el creciente escrutinio y los retos a los que se enfrentan las organizaciones que participan en transferencias internacionales de datos. Subraya la necesidad de marcos sólidos de protección de datos que garanticen los derechos de privacidad de las personas, especialmente en las transferencias de datos a países con normas de privacidad diferentes. El caso sirve para recordar que la privacidad de los datos es un derecho fundamental y que las transferencias transfronterizas de datos deben cumplir estrictas salvaguardias para proteger la información personal de los individuos. 

Este hecho debería incitar a las organizaciones a reevaluar sus mecanismos de transferencia de datos, adoptar salvaguardias alternativas y cumplir una normativa más estricta.