La Comisión de Protección de Datos Irlandesa impone a META una multa de 390 millones de euros por infracción del RGPD
El pasado 4 de enero de 2023, la Comisión de Protección de Datos Irlandesa (“DPC”) publicó un comunicado con la conclusión de dos investigaciones concernientes a la empresa Meta Platforms Ireland Limited (“Meta Irlanda”) por infracción del RGPD.
Las investigaciones comenzaron a raíz de dos reclamaciones presentas contra Meta Irlanda el 25 de mayo de 2018, ambas por infracciones del RGPD por parte de Facebook e Instagram, y finalizaron con dos multas de 210 y 180 millones de euros por los casos de Facebook e Instagram respectivamente.
El punto principal de las investigaciones era resolver si la base jurídica esgrimida por Meta Irlanda para el procesamiento de datos personales de sus usuarios con fines de publicidad conductual era válida. La base jurídica empleada para este fin era “la necesidad para la ejecución de un contrato en el que el interesado es parte” del artículo 6.1.b) del RGPD.
Dado el alto número de afectados en distintos países, la investigación se resolvió utilizando el mecanismo de cooperación establecido en el artículo 60 del RGPD, en donde la DPC actuó como la autoridad de control principal, y en donde participaron un total de 47 autoridades de control interesadas. Las distintas autoridades de control no pudieron alcanzar unanimidad en cómo resolver la investigación, por lo que el Comité Europeo de Protección de Datos adoptó una decisión vinculante el 6 de diciembre de 2022 (la “Decisión”).
La Decisión establece en primer lugar que la base jurídica de ”la necesidad para la ejecución de un contrato en el que el interesado es parte” esgrimida por Meta Irlanda para el procesamiento de datos personales de sus usuarios con fines de publicidad conductual NO es válida.
La Decisión del CEPD contraviene la conclusión inicial de la DPC en su borrador, en donde la DPC estimaba que dicha base jurídica sí era válida.
En segundo lugar, el CEPD concluye que META Irlanda infringió sus obligaciones de transparencia e información, infringiendo los artículos 5.1.a), 12 y 13.1.c) del RGPD.
En tercer lugar, el CEPD también pide a la DPC que aumente la cuantía de las multas.
A raíz de la Decisión, Meta Irlanda deberá cambiar su base jurídica para el procesamiento de datos personales de sus usuarios con fines de publicidad conductual al consentimiento, no siendo posible utilizar publicidad conductual con aquellos usuarios que no presten su consentimiento. META Irlanda tendrá un plazo de 3 meses para cumplir con lo dispuesto en la Decisión.
Si bien la DPC aún no ha publicado su resolución final de ambas investigaciones, META Irlanda ya ha adelantado que recurrirá las multas.
Ambas multas son un nuevo golpe para Meta Irlanda, que en el 2021 ya recibió una multa de 225 millones de euros por infracción del RGPD por parte de WhatsApp y en el 2022 otra multa de 405 millones de euros por infracción del RGPD por parte de Instagram.
Cuando la DPC publique la resolución final de ambos casos, haremos un análisis mas detallado de las multas.
Si deseas estar informado de las sanciones más relevantes por infracción del RGPD, tanto en España como en el resto de Europa, por favor no dudes en suscribirte a nuestro blog.
______
Gonzalo Sanchez-Jara Garralda, autor de este post, es socio fundador de Anti-Bribery and Corruption Compliance S.L. (“abc Compliance”), empresa que facilita una plataforma digital que permite a las empresas gestionar, analizar y acreditar sus procesos de formación. Para más información sobre abc Compliance, pulse aquí.
Comentarios