Irlanda impone a Meta una multa de 1.200 millones de euros, la mayor sanci¨®n europea por infracci¨®n de privacidad

El regulador de datos irland¨¦s ha impuesto a Meta la mayor multa europea por vulneraci¨®n de la privacidad de la historia. Los 1.200 millones, seg¨²n la cifra que se ha conocido esta ma?ana, superan a los 746 con los que fue sancionada Amazon en 2021, tambi¨¦n por asuntos relacionados con la privacidad. La sanci¨®n es por la falta de garant¨ªas de seguridad para los ciudadanos europeos en el traslado de sus datos a EE UU. Como otras grandes tecnol¨®gicas, Meta tiene su sede europea en Irlanda, con lo que sus organismos nacionales se encargan de la regulaci¨®n.

La decisi¨®n coincide con el quinto aniversario de la entrada en vigor del Reglamento General de Protecci¨®n de Datos (RGPD) de la Uni¨®n Europea y ha sido celebrada por el Consejo de Reguladores Europeos (EDPB, por sus siglas en ingl¨¦s). La multa r¨¦cord, la mayor hasta la fecha en materia del RGPD de la UE, supone un ¡°en¨¦rgico mensaje a las organizaciones de que las violaciones graves [de las normas europeas] tienen consecuencias de gran alcance¡±, ha valorado la presidenta de los reguladores europeos, Andrea Jelinek. Las infracciones cometidas por la sede europea de Meta en Irlanda ¡°son muy graves¡±, dado que se trata de transferencias de datos ¡°sistem¨¢ticas, repetitivas y continuas¡±, ha dicho Jelinek en un comunicado. ¡°Facebook tiene millones de usuarios en Europa, as¨ª que el volumen de transferencia de datos personales es masivo¡±, ha insistido.

La multa emerge de las revelaciones de Edward Snowden en 2013. Los documentos que filtr¨® probaban que los servicios secretos de EE UU hab¨ªan accedido a datos de ciudadanos de otros pa¨ªses a trav¨¦s de compa?¨ªas como Google o Facebook. Una demanda del abogado y activista austriaco Max Schrems est¨¢ en el origen del caso por el traslado de datos.

Meta ya ha respondido que este problema no es solo de su organizaci¨®n y que tienen previsto recurrir la multa ¡°injustificada e innecesaria¡±: ¡°No se trata de las pr¨¢cticas de privacidad de una empresa, existe un conflicto de leyes fundamental entre las reglas del Gobierno de EE UU sobre el acceso a los datos y los derechos de privacidad europeos, que se espera que los legisladores resuelvan este verano¡±, han publicado en un blog de la compa?¨ªa el presidente de Asuntos Globales de Meta, Nick Clegg, y la jefa del Departamento Legal, tras conocer la decisi¨®n. Ese acuerdo entre autoridades que espera Meta es el DPF, el Data Privacy Framework (acuerdo marco sobre privacidad de los datos), que deber¨¢ regir el traslado de datos entre la UE y EE UU.

Para los representantes de la industria tambi¨¦n resulta fundamental que se cierre lo antes posible el acuerdo de datos transatl¨¢ntico porque, seg¨²n la Asociaci¨®n de la Industria de Computadoras y Comunicaciones (CCIA), la decisi¨®n adoptada ahora ¡°ignora la realidad¡± y, en los hechos, ¡°hace ilegal la manera en que funciona internet, desde videoconferencias a la navegaci¨®n por internet o el procesamiento de pagos en l¨ªnea¡±.

¡°Esta incertidumbre legal persistir¨¢ mientras el nuevo mecanismo de transferencia de datos [entre EEUU y Europa] no sea formalmente aprobado por los Estados miembros¡±, ha advertido el director para Europa de la CCIA, Alexandre Roure.

Un portavoz de la Comisi¨®n Europea ha dicho en Bruselas que el Ejecutivo europeo ¡°toma nota¡± de la decisi¨®n de Irlanda y ha confirmado que el marco de protecci¨®n de datos entre EEUU y la UE deber¨ªa estar listo ¡°de aqu¨ª al verano¡±.

¡°Eso garantizar¨¢ la seguridad y las garant¨ªas jur¨ªdicas que buscan las empresas, a la par que se garantiza la protecci¨®n estricta de la vida privada de los ciudadanos¡±, ha se?alado el portavoz, Christian Wigand. ¡°Las garant¨ªas que hemos negociado con EEUU y que queremos implementar responden a las cuestiones identificadas espec¨ªficamente en este caso¡±, ha indicado.

¡°Para entender la importancia de estas pr¨¢cticas, hay que recordar que transferencia es no solo el env¨ªo de datos a EE UU, sino el simple acceso desde EE UU a los datos alojados en servidores europeos¡±, dice Jorge Garc¨ªa Herrero, abogado especializado en protecci¨®n de datos.

El regulador tambi¨¦n pretende prohibir a Meta el traslado de datos de Europa a EE UU y que borre los que ya se han enviado. Se espera, sin embargo, que Meta pueda evitar estas consecuencias porque los gobiernos europeo y estadounidense deben firmar el DPF, el acuerdo que regule este trasvase de datos entre continentes. ¡°Esa orden de no enviar m¨¢s datos a EE UU en el futuro puede que no sea particularmente significativa porque prevemos un nuevo acuerdo de datos EE UU-UE muy pronto¡±, dice Johnny Ryan, responsable de Derechos de la Informaci¨®n en el Irish Council for Civil Liberties. La medida prev¨¦ un tiempo de seis meses de transici¨®n y es probable que Meta recurra, lo que alargar¨¢ su entrada en pr¨¢ctica.

La multa, seg¨²n la agencia irlandesa, se basa en el uso de una herramienta llamada cl¨¢usula est¨¢ndar contractual [SCC, en sus siglas en ingl¨¦s] para mover los datos europeos a EEUU y que no ¡°afronta los riesgos a las libertades y derechos fundamentales¡± de los usuarios de Facebook en la UE.

En enero, Irlanda ya mult¨® a Meta con 390 millones por el modo en que obligaba a sus usuarios de Facebook e Instagram a aceptar sus t¨¦rminos de servicio para usar sus redes. Esta vez la sanci¨®n se refiere solo a Facebook.

El impacto de la prohibici¨®n de transferencia de datos va m¨¢s all¨¢ de Facebook, que es la ¨²nica red afectada directamente por la decisi¨®n: ¡°A Meta se le va a ordenar suspender sus transferencias de datos personales de residentes en la UE a EEUU¡±, dice Garc¨ªa Herrero. ¡°Los detalles de esta sanci¨®n podr¨ªan afectar a muchas m¨¢s empresas, aparte de a Meta¡±.

Otro detalle sustancial de la decisi¨®n afecta al borrado de datos ya enviados: ¡°Eso es una nueva bomba en s¨ª misma: parece obvio que Meta no tiene sus sistemas dise?ados de modo que se pueda extirpar limpiamente la parte europea¡±, a?ade Garc¨ªa Herrero. Pero en Meta ya avisan que esa condici¨®n est¨¢ supeditada al acuerdo aparentemente inminente entre gobiernos: ¡°Nos complace que el DPC [el regulador irland¨¦s] tambi¨¦n haya confirmado en su decisi¨®n que no habr¨¢ suspensi¨®n de las transferencias u otra acci¨®n requerida de Meta, como el requisito de eliminar los datos de los interesados de la UE una vez que se haya resuelto el conflicto de leyes subyacente. Esto significar¨¢ que si el DPF entra en vigencia antes de que expiren los plazos de implementaci¨®n, nuestros servicios pueden continuar como lo hacen hoy sin ninguna interrupci¨®n o impacto en los usuarios¡±.

Puedes seguir a EL PA?S Tecnolog¨ªa en Facebook y Twitter o apuntarte aqu¨ª para recibir nuestra newsletter semanal.