Multa récord de 1.200 millones de euros a Meta Platforms Ireland Limited por la transferencia de datos personales de los usuarios de Facebook de la Unión Europea a EEUU sin garantías adecuadas

Como ya adelantamos en un post anterior, el pasado 12 de mayo, la Agencia de Protección de Datos Irlandesa (“DPC”) concluyó su investigación de la empresa Meta Platforms Ireland Limited (“Meta”) en relación con su servicio de Facebook en la Unión Europea, que tiene 309 millones de usuarios activos diarios.

La investigación realizada por la DPC buscaba analizar la legalidad de la transferencia de datos personales de los usuarios de Facebook de la Unión Europea a EEUU utilizando las cláusulas contractuales tipo de protección de datos adoptadas por la Comisión Europea (“CCTs”).

En su decisión final (la “Decisión”), la DPC recuerda algo que no es nuevo: como ya se resolvió en la Sentencia del Caso C-311/18 (“Sentencia Schrems 2”), la ley de EEUU no puede garantizar un nivel de protección de los datos personales equivalente al RGPD de la Unión Europea.

La novedad sin embargo, es que la DPC concluye que las CCT tampoco pueden compensar esta falta de protección, y esgrime, entre otros, los párrafos 125 y 126 de la Sentencia Schrems 2 para justificar dicho argumento:

En primer lugar porque pese a que las CCT “(…) son obligatorias para el responsable del tratamiento establecido en la Unión y el destinatario de la transferencia de datos personales establecido en un país tercero, (…), ha quedado acreditado que dichas cláusulas no vinculan a las autoridades de ese país tercero, dado que estas últimas no son partes del contrato.

En segundo lugar, porque las CCT pueden “no constituir un medio suficiente para garantizar en la práctica la protección efectiva de los datos personales transferidos al país tercero de que se trate. Eso es lo que sucede, en particular, cuando el Derecho de ese país tercero permite a sus autoridades públicas llevar a cabo injerencias en los derechos de los interesados relativos a esos datos como es el caso en EEUU.

Mas concretamente, la Decisión hace referencia al programa de EEUU conocido como “PRISM” que concede inmunidad a las empresas que colaboren con las agencias gubernamentales de EEUU en la recopilación de inteligencia (“PRISM”).

Según la Decisión, las agencias gubernamentales de EEUU, amparadas por PRISM, pueden acceder a datos personales de usuarios de forma ilimitada sin la necesidad de una autorización judicial. La DPC concluye que las CCT no pueden poner fin a dicha actividad, por lo que resultan insuficientes para garantizar un nivel de protección de los datos personales equivalente al RGPD de la Unión Europea.

Asimismo, resulta imposible que un usuario de la Unión Europea pueda ejercer sus derechos de protección de datos, cuando este no es siquiera consciente de que sus datos personales han sido accedidos por una agencia gubernamental de EEUU.

La DPC también concluye que Meta no ha implementado medidas suplementarias para compensar la inadecuada protección ofrecida por la ley de EEUU, y que tampoco puede ampararse en las excepciones para situaciones específicas recogidas en el artículo 49.1 del RGPD para justificar la transferencia de datos a EEUU.

En definitiva, la transferencia de datos personales realizada por Meta mediante sus servicios de Facebook, habría estado infringiendo el artículo 46.1 del RGPD desde el 16 de julio de 2020, fecha en la que se dictó la Sentencia Schrems 2.

En consecuencia, la DPC ha requerido a Meta en primer lugar la suspensión de la transferencia de datos personales de la Unión Europea a EEUU.

En segundo lugar, Meta deberá cumplir con el Capitulo V del RGPD cesando el procesamiento ilegal, incluido el almacenamiento en los EEUU de los datos personales de los usuarios de la Unión Europea transferidos en violación del RGPD, otorgando para ello un plazo de seis meses.

En tercer y último lugar, Meta deberá pagar una multa de 1.200 millones de euros. Para dar perspectiva a esta cuantía: según el informe anual del ejercicio 2022 de Meta Platforms Inc., el grupo generó unos ingresos de 116.610 millones de euros.

La matriz Meta Platforms Inc. ya ha adelantado que recurrirá la Decisión.


Si deseas estar informado de las sanciones más relevantes por infracción del RGPD, tanto en España como en el resto de Europa, por favor no dudes en suscribirte a nuestro blog.

______

Gonzalo Sanchez-Jara Garralda, autor de este post, es socio fundador de Anti-Bribery and Corruption Compliance S.L. (“abc Compliance”), empresa que facilita una plataforma digital que permite a las empresas gestionar, analizar y acreditar sus procesos de formación. Para más información sobre abc Compliance, pulse aquí.

Comentarios

Subscribe
Notify of
guest
0 Comentarios
Inline Feedbacks
View all comments
Ir al TOP
0
Would love your thoughts, please comment.x