La Comisión de Protección de Datos irlandesa ha anunciado este lunes que impone una multa de 1.200 millones de euros a Meta, matriz de Facebook, Instagram y WhatsApp, por saltarse la normativa europea de privacidad. El organismo, encargado de aplicar las leyes de protección de datos comunitarias al gigante estadounidense al estar su sede europea en Dublín, señala que Meta no ha protegido la información de los europeos de las prácticas de vigilancia de las agencias de seguridad de EEUU.
Se trata de la mayor sanción impuesta en virtud del Reglamento General de Protección de Datos (RGPD) europeo y se produce en vísperas del quinto aniversario de su entrada en vigor, el 25 de mayo. Son casi 500 millones de euros más que la que se impuso a Amazon en 2021 también por cuestiones de privacidad. El organismo irlandés obliga también a Meta a suspender cualquier transferencia futura de datos personales a los EEUU en el plazo de cinco meses.
La cuantía de la multa se debe a que Meta ha continuado durante casi tres años con una práctica que fue declarada ilegal por el Tribunal de Justicia de la Unión Europea (TJUE) en julio de 2020. Los magistrados del más alto tribunal comunitario zanjaron entonces que las transferencias de información personal de los europeos por parte de las multinacionales digitales como Meta (entonces denominada Facebook) violaba la legislación comunitaria. El motivo es que una vez que los datos llegaban a EEUU se convierten en accesibles para sus agencias de seguridad sin las mismas garantías judiciales que este tipo de investigaciones tendrían en la UE.
No hay ninguna interrupción inmediata de Facebook porque la decisión incluye períodos de aplicación que se extienden hasta finales de este año
elDiario.es ha contactado con Meta para incluir su reacción a la multa en esta información. La compañía anuncia que apelará tanto la sentencia como la multa impuesta y solicitará la suspensión de la orden ante los tribunales. También añade que no habrá ninguna “interrupción inmediata” de Facebook en Europa. Esta aclaración sobre la disponibilidad de sus servicios en el continente llega después de que el año pasado comunicara a sus accionistas la posibilidad de hacerlo si las agencias de privacidad europeas tomaban una decisión como la emitida este lunes por Irlanda.
“Nuestra prioridad es garantizar que nuestros usuarios, anunciantes, clientes y socios puedan seguir disfrutando de Facebook manteniendo sus datos a salvo y seguros”, ha declarado Nick Clegg, presidente de Asuntos Globales de Meta. “No hay ninguna interrupción inmediata de Facebook porque la decisión incluye períodos de aplicación que se extienden hasta finales de este año. Tenemos la intención de apelar tanto el fondo de la decisión como sus órdenes, incluida la multa, y buscaremos una suspensión a través de los tribunales para pausar los plazos de aplicación”.
Una década de batalla legal
La decisión de Meta de recurrir la sanción alargará todavía más un proceso que dio sus primeros pasos hace una década. En 2013 el entonces estudiante de derecho austríaco Max Schrems denunció formalmente a Facebook por violar los derechos de los europeos al permitir a la Agencia de Seguridad Nacional (NSA) de EEUU entrar a sus bases de datos sin cortapisas. Edward Snowden, ex analista de la organización de espionaje, acaba de hacer estallar el mayor escándalo de vigilancia masiva de la historia y Schrems aprovechó esas pruebas para llevar a la red social a los tribunales.
Dos años después se confirmó lo que parecía imposible: el TJUE daba la razón al joven Schrems, entonces de 27 años, anulando el acuerdo entre la UE y EEUU para la transferencia de datos personales. Un pacto que ya entonces servía de base legal para todo el negocio digital entre ambos bloques, valorado en miles de millones de dólares.
La UE y EEUU reaccionaron ratificando un nuevo tratado en menos de un año. El nuevo pacto se denominó “Privacy Shield” (escudo de privacidad) y seguía permitiendo la transferencia de datos personales de los europeos a EEUU. Por lo tanto, también daba manga ancha a las agencias de vigilancia estadounidense para analizarlos sin las mismas garantías judiciales que en Europa debido a las facilidades aprobadas por Washington.
A menos que se arreglen las leyes de vigilancia estadounidenses, Meta tendrá que reestructurar completamente sus sistemas
Había ocurrido una vez y volvió a suceder. Schrems denunció el Privacy Shield y el TJUE lo tumbó en 2021. La decisión dejaba de nuevo en el aire la legalidad de los envíos de datos a EEUU que no solo realiza Meta, sino prácticamente todas las multinacionales digitales del país. Las compañías afectadas, no obstante, siguieron transfiriendo información en base a acuerdos denominados “cláusulas contractuales estándar”.
Schrems, hoy presidente de honor de la ONG pro-privadidad Noyb, ha denunciado esos envíos ante las agencias de privacidad de toda Europa, por lo que los próximos meses pueden dejar una cascada de multas por este motivo. En España, la Agencia de Protección de Datos investiga a Google Analytics por una de estas denuncias de Noyb.
“Nos alegramos de esta decisión tras diez años de litigios”, ha manifestado este lunes Schrems. “La multa podría haber sido mucho mayor, dado que la multa máxima es de más de 4.000 millones y que Meta ha infringido la ley a sabiendas para obtener beneficios durante diez años. A menos que se arreglen las leyes de vigilancia estadounidenses, Meta tendrá que reestructurar completamente sus sistemas”.
Washington y Bruselas están en estos momentos negociando un nuevo tratado para regular el intercambio de datos personales entre ambos bloques. Como reveló elDiario.es, el nombre de Schrems se ha convertido en el principal temor para las dos partes.
Irlanda, forzada a actuar
Los tres años que han pasado desde la denuncia de Schrems ante la Comisión irlandesa hasta la multa final también contienen un trasfondo sobre el papel que este país desarrolla en la protección de datos de los ciudadanos de toda Europa. En un primer momento, el organismo defendió que las prácticas de Meta no debían ser sancionadas.
La Comisión irlandesa fue entonces reconvenida desde Bruselas por el ente que agrupa a las agencias de privacidad de toda la UE, que no solo contravino su criterio sino que le ordenó que sancionara a Meta con una multa adecuada a la gravedad de los hechos. El organismo irlandés pasó entonces de defender que la compañía estadounidense no debía ser multada a imponerle la de mayor cuantía de la historia de la privacidad europea.
Son muchas las voces que han elevado dudas sobre el papel que desarrolla Irlanda en estos procesos, ya que su Gobierno mantiene una política de beneficios fiscales que favorece que las multinacionales digitales estadounidenses establezcan sus sedes en su territorio. La situación ha obligado a la UE a establecer una vigilancia especial de las investigaciones de protección de datos a nivel general y a plantear cambios en el RGPD para hacer que estas resoluciones se decidan en común desde Bruselas.
Nick Clegg ha aprovechado su comunicado para criticar la resolución irlandesa para denunciar tanto al ente que agrupa a las agencias de privacidad europeas como los sucesivos tratados fallidos que han dejado a su compañía expuesta a la histórica multa. “Esta decisión es errónea, injustificada y sienta un peligroso precedente para las innumerables empresas que transfieren datos entre la UE y Estados Unidos”, ha afirmado.