Meta recibe la mayor sanción de la UE por violar la privacidad de datos

Con un duro golpe económico y operativo, la firma tecnológica fue multada debido a las transferencias de datos entre Estados Unidos y la Unión Europea. Los datos en cuestión corresponden a datos personales de los usuarios en la UE transferidos entre Meta Irlanda y Meta EE.UU.

La empresa matriz de Facebook fue multada con $1.200 millones de euros (cerca de 1.300 millones de dólares) por la Unión Europea por transferir datos personales de sus usuarios europeos a Estados Unidos sin garantizar un nivel adecuado de protección.

Se trata de la mayor multa impuesta por el Reglamento General de Protección de Datos (GDPR por sus siglas en inglés) desde su entrada en vigor en 2018.

La decisión ha sido adoptada por el Comité Europeo de Protección de Datos (CEPD), organismo que agrupa a los reguladores nacionales de los 27 países miembros de la Unión Europea, luego de una extensa investigación iniciada en 2020 por la Comisión de Protección de Datos irlandesa, que es la autoridad competente para supervisar a Meta, al tener su sede europea en Dublín.

Según determinaron los miembros del CEPD, Meta ha infringido el artículo 44 de la GDPR, que establece las condiciones para las transferencias de datos personales a terceros países u organizaciones internacionales. En concreto, Meta ha utilizado mecanismos de transferencia que no ofrecen garantías suficientes para proteger los derechos y libertades de los usuarios europeos frente a las prácticas de vigilancia masiva de Estados Unidos.

Así las cosas, el comité ha ordenado a Meta que cese todas las transferencias de datos personales a Estados Unidos en un plazo de cinco meses y que elimine todos los datos personales almacenados allí en un plazo de seis meses. Además, ha instado a Meta a cooperar con la Comisión de Protección de Datos irlandesa, así como informar periódicamente sobre las medidas adoptadas para cumplir con la decisión.

Andrea Jelinek, presidenta del CEPD, dijo en un comunicado que la multa récord impuesta a Meta es una «fuerte señal» para las organizaciones que infringen la ley GDPR y que afectan a millones de usuarios en Europa. «El CEPD consideró que la infracción de Meta IE [Irlanda] es muy grave, ya que se refiere a transferencias sistemáticas, repetitivas y continuas».

Por su parte, Meta reaccionó lamentando la situación y dijo que apelará la decisión del CEPD ante los tribunales europeos y que defenderá su derecho a transferir datos personales a Estados Unidos. La empresa ha argumentado que sus transferencias se basan en cláusulas contractuales estándar, un mecanismo avalado por el Tribunal de Justicia de la Unión Europea (TJUE) en 2020.

Sin embargo, el TJUE también estableció que las cláusulas contractuales estándar solo son válidas si ofrecen un nivel de protección equivalente al del GDPR y si se suspenden en caso de conflicto con la legislación del país receptor. El tribunal también invalidó el acuerdo Privacy Shield entre la UE y Estados Unidos por considerar que no garantizaba los derechos fundamentales de los ciudadanos europeos.

La decisión del CEPD supone un nuevo revés para Meta, que ya se enfrenta a varias investigaciones y demandas por cuestiones relacionadas con la competencia, la desinformación, el discurso de odio y la seguridad.