El regulador de datos irlandés ha impuesto a Meta la mayor multa europea por privacidad de la historia. Los 1.200 millones, según la cifra que avanza el Wall Street Journal, superan a los 746 con los que fue sancionada Amazon en 2021, también por asuntos relacionados con la privacidad. La sanción es por la falta de garantías de seguridad para los ciudadanos europeos en el traslado de sus datos a EE UU. Como otras grandes tecnológicas, Meta tiene su sede europea en Irlanda, con lo que sus organismos nacionales se encargan de la regulación. La decisión coincide con el quinto aniversario de la entrada en vigor del Reglamento General de Protección de Datos de la Unión Europea.
La multa emerge de las revelaciones de Edward Snowden en 2013. Los documentos que filtró probaban que los servicios secretos de EE UU habían accedido a datos de ciudadanos de otros países a través de compañías como Google o Facebook. Una demanda del abogado y activista austriaco Max Schrems está en el origen del caso por el traslado de datos.
Meta ya ha respondido que este problema no es solo de su organización y que tienen previsto recurrir a la multa “injustificada e innecesaria”: “No se trata de las prácticas de privacidad de una empresa: existe un conflicto de leyes fundamental entre las reglas del gobierno de EE UU. sobre el acceso a los datos y los derechos de privacidad europeos, que se espera que los legisladores resuelvan este verano”, han publicado el presidente de Asuntos Globales de Meta, Nick Clegg, y la jefa del Departamento Legal, tras conocer la decisión. Ese acuerdo entre autoridades que espera Meta es el DPF, el “Data Privacy Framework”, que deberá regir el traslado de datos entre la UE y EE UU.
“Para entender la importancia de estas prácticas, hay que recordar que ‘transferencia’ es, no sólo el ‘envío’ de datos a EE UU, sino el simple acceso desde EE UU a los datos alojados en servidores europeos”, dice Jorge García Herrero, abogado especializado en protección de datos.
El regulador también pretende prohibir a Meta el traslado de datos de Europa a EE UU, y que borre los que ya se han enviado. Se espera, sin embargo, que Meta pueda evitar estas consecuencias porque los gobiernos europeo y estadounidense deben firmar el DPF, el acuerdo que regule este trasvase de datos entre continentes. “Esa orden de no mandar más datos a EE UU en el futuro puede que no sea particularmente significativa porque prevemos un nuevo acuerdo de datos EE UU-UE muy pronto”, dice Johnny Ryan, responsable de Derechos de la Información en el Irish Council for Civil Liberties. La medida prevé un tiempo de seis meses de transición y es probable que Meta recurra, lo que alargará su entrada en práctica.
La multa, según la agencia irlandesa, se basa en el uso de una herramienta llamada cláusula estándar contractual [SCC, en sus siglas en inglés] para mover los datos europeos a EEUU y que no “afronta los riesgos a las libertades y derechos fundamentales” de los usuarios de Facebook en la UE.
En enero, Irlanda ya multó a Meta con 390 millones por el modo en que obligaba a sus usuarios de Facebook e Instagram a aceptar sus términos de servicio para usar sus redes. Esta vez la sanción se refiere solo a Facebook.
El impacto de la prohibición de transferencia de datos va más allá de Facebook, que es la única red afectada directamente por la decisión: “A Meta se le va a ordenar suspender sus transferencias de datos personales de residentes en la UE a EEUU”, dice García Herrero. “Los detalles de esta sanción podrían afectar a muchas más empresas aparte de a Meta”.
Otro detalle sustancial de la decisión sobre el borrado de datos ya enviados: “Eso es una nueva bomba en sí misma: parece obvio que Meta no tiene sus sistemas diseñados de modo que se pueda extirpar limpiamente la parte europea”, añade García Herrero. Pero en Meta ya avisan que esa condición está supeditada al acuerdo aparentemente inminente entre Gobiernos: “Nos complace que el DPC [el regulador irlandés] también haya confirmado en su decisión que no habrá suspensión de las transferencias u otra acción requerida de Meta, como el requisito de eliminar los datos de los interesados de la UE una vez que se haya resuelto el conflicto de leyes subyacente. Esto significará que si el DPF entra en vigencia antes de que expiren los plazos de implementación, nuestros servicios pueden continuar como lo hacen hoy sin ninguna interrupción o impacto en los usuarios”.
Puedes seguir a EL PAÍS Tecnología en Facebook y Twitter o apuntarte aquí para recibir nuestra newsletter semanal.
