Aplican multa record en la Unión Europea a Meta por violación de datos personales bajo el RGPD

Este lunes la autoridad de protección de datos personales de Irlanda ha aplicado la multa récord a Meta bajo el Reglamento General de Protección de Datos de la Unión Europea (en adelante “RGPD”). Dicha multa alcanza los Euros 1.200 millones y es producto de la violación del régimen de transferencia internacional de datos personales bajo las cláusulas contractuales estándar que sirvieron de base para que los datos de usuarios europeos de los servicios de Meta fueran transferidos a los Estados Unidos y así mismo ordena frenar el envío de datos personales de europeos hasta que Washington provea suficientes chequeos que garanticen un adecuado tratamiento de la información remitida.

Esta decisión aduce que Meta de Irlanda continuó transfiriendo datos personales de europeos a Estados Unidos con posterioridad a la sentencia del Tribunal Superior Europeo sobre el caso Data Protection Commissioner vs Facebook Ireland Limited y Maximilian Schrems de julio de 2020 (en adelante “caso Schrems II”) y bajo el cual se consideró ilegítimo el tratado que avalaba la transferencia internacional entre la Unión Europea y Estados Unidos, conocido como Privacy Shield. Dichas transferencias fueron llevadas a cabo apoyadas en cláusulas tipo de transferencia (SCCs), actualizadas en 2021 por la Comisión Europea, y medidas adicionales adoptadas por Meta, pero sin cubrir los riesgos para los derechos de los titulares de los datos identificados por el Tribunal Superior Europeo bajo el caso Schrems II. 

Esta resolución surge del procedimiento de cooperación previsto en el artículo 60 del RGPD que establece la participación de las autoridades de protección de datos personales de los países afectados por la decisión, y bajo el cual se acordó que había habido un incumplimiento por Meta al RGPD en lo que concierne a transferencias internacionales (Art. 46(1)) así como que las referidas transferencias de datos debían ser suspendidas. Sin embargo en cuanto a la multa a ser aplicada hubo criterios dispares, por un lado la autoridad irlandesa que sostuvo que no correspondía aplicar ninguna multa puesto que la sanción era suficiente con la suspensión ordenada a la transferencia internacional de datos mientras que otras autoridades consideraron que debía aplicarse una sanción pecuniaria, generando la intervención del Comité Europeo de Protección de Datos, autoridad europea de protección de datos que nuclea a todas las autoridades de los países miembros de la Unión Europea, quien adoptó su decisión el mes pasado para guiar el criterio a ser adoptado por la autoridad irlandesa. 

En tal sentido, estableció que: i) Meta Irlanda debía suspender cualquier futura transferencia de datos a EEUU durante cinco meses desde que le es notificada la resolución; ii) se aplique una multa a Meta Irlanda por 1200 millones de euros; iii) se le ordene a Meta Irlanda a que lleve a cabo sus operaciones en cumplimiento del Capítulo V del RGPD, y cesando, a tales fines, con el tratamiento ilegal, incluyendo almacenamiento, en Estados Unidos de datos personales de usuarios europeos que hayan sido transferidos en violación al RGPD, dentro de un plazo de 6 meses de notificada la decisión.  Meta acaba de anunciar que apelará la decisión adoptada para que sea revisada por los tribunales judiciales europeos por considerar injusto haber sido elegida como infractora cuando miles de otras empresas utilizan el mismo mecanismo legal, cláusulas tipo de transferencia, para poder prestar servicios en la Unión Europea. Asimismo tampoco  implica una disrupción para Meta dado que la decisión involucra períodos de implementación a ser cumplidos durante todo este año.

Mientras esta sanción es decretada las negociaciones entre la Unión Europea y Estados Unidos avanzan buscando encontrar un instrumento idóneo, Data Privacy Framework, que permita el libre flujo de datos entre ambos bloques. Asimismo resulta oportuno preguntarse si la Unión Europea adoptará un criterio tan intransigente respecto a las transferencias internacionales dirigidas a China, destino que no se destaca por el respeto a la privacidad principalmente en lo que concierne a los tratamientos a cargo de las autoridades estatales. Pese a las divergencias existentes en cuanto al tratamiento de datos personales en ambos lados del Atlántico, Meta ha logrado recibir sanciones récords tanto en la Unión Europea con la reciente sanción que destrona del ranking a la sanción recibida por Amazon por más de 700 millones de Euros y en Estados Unidos con una multa de 5000 millones de dólares por el escándalo de Cambridge Analytica. 

Los conflictos planteados en materia de transferencias internacionales de datos personales deben estar en el radar de todas las organizaciones. Puesto que en todas ellas siempre hay alguna transferencia internacional de datos personales involucrada en sus operaciones. Y esto es así puesto que la habitualidad de las transferencias internacionales está presente en la actividad diaria basta considerar que el acceso a un archivo alojado en un servidor en la nube en muchos casos involucra una transferencia internacional de datos.

Link a la sentencia completa: https://edpb.europa.eu/system/files/2023-05/final_for_issue_ov_transfers_decision_12-05-23.pdf

Comentarios
* No se publicará la dirección de correo electrónico en el sitio web.