Como saben nuestros lectores, el 16 de julio de 2020, el Tribunal de Justicia de la Unión Europea, en su sentencia del Caso C-311/18 (“Sentencia Schrems 2”) anuló el marco de transferencias internacionales de datos entre la Unión Europea y los Estados Unidos conocido como el Escudo de Privacidad.

Con la anulación del Escudo de Privacidad, numerosas empresas, entre ellas Meta Platforms, Inc. (“Meta”), comenzaron a utilizar en su lugar, las cláusulas contractuales tipo de protección de datos adoptadas por la Comisión (“CCTs”) para la transferencia de datos personales a Estados Unidos.

Tras la Sentencia Schrems 2, la Agencia de Protección de Datos Irlandesa (la “DPC”) inició una investigación para analizar si la transferencia de datos personales de Facebook en la Unión Europea a EEUU utilizando las CCT era legal.

Dicha investigación culminó en la creación de un borrador de la decisión de la DPC en la que se exigía a Meta que suspendiera la transferencia de datos de la Unión Europea a EEUU mediante el uso de las CCT (el “Borrador”).

Dado que la transferencia de datos personales de Facebook desde la Unión Europea a EEUU afectaba a los ciudadanos de numerosos países, la DPC, ejerciendo como autoridad de control principal, envió el Borrador a las otras autoridades de control interesadas en julio de 2022 para su aprobación.

Sin embargo, no fue posible alcanzar un consenso sobre el Borrador entre todas las autoridades de control, por lo que fue necesario que el Comité Europeo de Protección de Datos (“CEPD”) resolviera la situación a través de una decisión vinculante, potestad reconocida en el artículo 65 del RGPD.

La decisión vinculante del CEPD fue adoptada el pasado 13 de abril de 2023, y otorga a la DPC un plazo máximo de un mes para dictar una decisión final, por lo que el próximo 12 de mayo de 2023 sabremos el desenlace de la investigación de la DPC.

Por su lado, Meta, en su informe de ganancias del 1er trimestre de 2023 avisa ya a sus inversores que la empresa prevé que la decisión final de la DPC traerá consigo una suspensión de la transferencia de datos personales a EEUU así como una multa considerable.

Durante la investigación de la DPC, Meta llegó a declarar que se planteaba cerrar sus operaciones en la Unión Europea si no se conseguía alguna fórmula legal alternativa para la transmisión de datos personales a EEUU.

En este sentido, y paralelamente a la inminente decisión final de la DPC, la Comisión Europea se encuentra inmersa en una carrera para aprobar una decisión de adecuación para la transmisión de datos personales de la Unión Europea a EEUU conforme al artículo 45 del RGPD. La Comisión publicó el borrador de la decisión de adecuación el 13 de diciembre de 2022.

El efecto de dicha decisión sería que los datos personales podrían fluir de la UE a EEUU sin ser necesaria ninguna garantía adicional, algo que resolvería el inminente problema al que Meta deberá enfrentarse el 12 de mayo. Sin embargo, no se prevé la aprobación de la decisión de adecuación antes de que la DPC publique la decisión final sobre su investigación.

Si deseas estar informado de las sanciones más relevantes por infracción del RGPD, tanto en España como en el resto de Europa, por favor no dudes en suscribirte a nuestro blog.