La autoridad irlandesa de protección de datos («Irish Data Protection Commission») impuso a Meta Platforms Ireland Limited, la subsidiaria irlandesa de Meta Platforms, Inc., una multa de 1.200 millones de euros -la más alta de la historia- por incumplir con las previsiones del Reglamento General de Protección de Datos (RGPD) en materia de transferencias internacionales de datos personales.
La multa va acompañada de la orden a Meta para que efectúe medidas correctivas, que en la práctica importan la imposibilidad de transferir, almacenar y procesar datos personales de sus usuarios europeos en sus servidores en EEUU: ¿puede esto terminar en el cierre definitivo de las operaciones de Meta en Europa?
¿Por qué se impuso a Meta la multa más alta de la historia por incumplir el RGPD?
La autoridad irlandesa considera que la filial irlandesa de Meta infringió el artículo 46.1 del RGPD al transferir de forma masiva y continuada, y bajo el amparo de cláusulas contractuales tipo, datos personales de usuarios europeos de Facebook a los Estados Unidos. Los incumplimientos datan de hasta julio de 2020, luego de que el Tribunal de Justicia de la Unión Europea (TJUE) dictara la sentencia «Schrems II«, que declaró ilegal el «Privacy Shield», principal mecanismo que hasta ese momento servía de marco legal para las transferencias de datos entre la UE y los EEUU.
El problema de las transferencias de datos a los EEUU reside en los excesivos poderes de control que poseen los organismos de inteligencia norteamericanos
Principalmente, el regulador irlandés entiende que las transferencias de datos personales a los Estados Unidos se hacen bajo circunstancias tales que no permiten asegurar a los titulares de esos datos un nivel de protección adecuado conforme al estándar del RGPD.
Ahora bien, para llegar a la conclusión sobre la inexistencia de un nivel de protección adecuado, la autoridad irlandesa toma las críticas que hizo el TJUE en Schrems II a los excesivos poderes que otorga la legislación norteamericana a las agencias gubernamentales (entre ellas la NSA, la CIA o el FBI) para acceder a datos personales sin un mínimo control judicial efectivo.
Las leyes de los EEUU permiten, por motivos relacionados con la seguridad nacional, a agencias de inteligencia de ese país acceder a datos personales y realizar actividades de vigilancia sobre extranjeros mediante solicitudes obligatorias a las empresas para que compartan esos datos, e inclusive si la información se encuentran en tránsito a los EEUU. Todo sin un control judicial suficiente. Una injerencia de tal magnitud es, para el TJUE y la autoridad irlandesa, violatoria de los artículos 7, 8 y 47 de la Carta de los Derechos Fundamentales de la Unión Europea.
¿Por qué la multa impuesta a Meta es tan elevada?
A efectos de establecer la cuantía de la sanción, la autoridad irlandesa tuvo en cuenta los lineamientos fijados por el Comité Europeo de Protección de Datos en su decisión vinculante de abril pasado. En resumen, todos los factores considerados por el regulador son agravantes, en tanto las transferencias se dieron de forma continuada por un lapso de casi tres años e involucraron cantidades ingentes de datos personales.
La legislación establece un tope para la multa equivalente al 4% del total de la facturación anual por el año financiero previo. La facturación anual de Meta a nivel global (no sólo de su filial irlandesa) en el año 2022 fue de $116 billones de dólares estadounidenses, por ende, la multa se encuentra muy por debajo del tope del RGPD.
Tal fue la injerencia de la decisión vinculante del CEPD en la cuantificación de la multa, que el organismo publicó la sanción como un «triunfo propio», como se puede ver en la publicación que realizó la página oficial de LinkedIn.
Medidas correctivas: ¿un golpe al funcionamiento de Meta en Europa?
Algo que ha pasado un poco por debajo del radar, y que ciertamente ha sido opacado por el importe de la multa, son las acciones correctivas que el regulador irlandés impuso a Meta, siguiendo también los lineamientos de la decisión vinculante del CEPD y las disposiciones del RGPD.
Estas medidas pueden suponer el cierre de Meta en Europa, ya que afectan directamente al funcionamiento y a la monetización de sus redes sociales Facebook e Instagram.
La primera de ellas importa el cese inmediato de las transferencias de datos a los EEUU, algo que resulta poco más que obvio dada su ilegalidad. Pero, además, se ordenó a Meta que cumpla con las previsiones del Capítulo V del RGPD respecto de los datos que ya fueron transferidos a los EEUU y se encuentran allí alojados. Es decir, Meta debe dejar de procesar los datos personales -lo que incluye su simple almacenamiento- transferidos ilegalmente. Para ello se le otorga un plazo de seis meses desde la notificación formal de la decisión.
Esto último supone para Meta algo mucho peor que la multa, puesto que es un «golpe a la línea de flotación» de Facebook: su principal método de monetización, que no es otro que la utilización de los datos personales de sus usuarios para vender anuncios hiper-personalizados .
Tal es así, que en redes sociales ya se han pronunciado voces expertas -norteamericanas- que hablan de una supuesta incompatibilidad entre los modelos de negocios de las grandes tecnológicas y la legislación en materia de protección de datos de la UE. Algo que también se dice respecto de las modelos la inteligencia artificial generativa, como ChatGPT o Bard. El último aún no se encuentra disponible en Europa, y se especula que esto se debe a su incompatibilidad con el RGPD.
From the announcement. 1) the data transfers in question were being carried out in breach of Article 46(1) #GDPR; and
2) in these circumstances, the data transfers should be suspended; This means that Facebook/Instagram MUST SHUT DOWN in Europe, unless something changes.— Lukasz Olejnik (@[email protected]) (@lukOlejnik) May 22, 2023
La respuesta de Meta
En una nota publicada en su sitio web el día 22 de mayo, que se titula «Nuestra respuesta a la decisión sobre las transferencias de datos UE-EE. UU. de Facebook», donde reproduce todos los argumentos que presentó ante el regulador irlandés para evitar ser sancionada, Meta indicó que «No hay interrupción inmediata de Facebook en Europa«.
La palabra clave es «inmediata». Con esta declaración Meta deja en claro que no es algo que se pueda descartar en un futuro próximo, y lo resalta casi al final de la nota, indicando que:
No hay una interrupción inmediata de Facebook porque la decisión incluye períodos de implementación que se extienden hasta finales de este año
La publicación también señala que Meta hará uso de todos los recursos administrativos contra la sanción e inclusive pedirá su suspensión por vía judicial.
Recordemos hace algunos meses Meta amenazó con retirar Facebook e Instagram de la Unión Europea si no se le permitía transferir los datos de los usuarios europeos a los EEUU.
Lo hizo en un documento privado enviado a la Comisión de Bolsa y Valores de los Estados Unidos, donde indicó que «si no se adopta un nuevo marco de transferencia transatlántica de datos y no podemos seguir recurriendo a los SCC [cláusulas contractuales estándares] o a otros medios alternativos de transferencia de datos de Europa a EE UU, es probable que no podamos ofrecer varios de nuestros productos y servicios más importantes, como Facebook e Instagram, en Europa, lo que afectaría de forma negativa a nuestro negocio, situación financiera y resultados de las operaciones«.
Instragram también puede ser retirado de Europa por decisión de Meta
¿Cómo sigue el affaire entre Meta y el regulador irlandés?
Algo es seguro: Meta no va a consentir la resolución. Seguramente es los próximos días el gigante tecnológico presentará todos los recursos administrativos y judiciales existentes contra la decisión, lo que puede suponer inclusive la interposición de una acción expedita de amparo judicial para obtener la suspensión provisional de la medida, algo que ya hizo en 2020.
Por el momento, la empresa debe suspender las transferencias internacionales de datos a los EEUU y cuenta con seis meses para dejar de procesar los datos ya transferidos.
