Blog

Jul 22, 2023

Meta multada GDPR

La Comisión de Protección de Datos de Irlanda dictó una tan esperada acción coercitiva contra Meta Platforms Ireland a primera hora del lunes por la mañana con una multa récord de 1.200 millones de euros. La multa, que es la

La Comisión de Protección de Datos de Irlanda dictó una tan esperada acción coercitiva contra Meta Platforms Ireland a primera hora del lunes por la mañana con una multa récord de 1.200 millones de euros.

La multa, que es la más alta hasta la fecha según el Reglamento General de Protección de Datos de la UE, vigente desde hace casi cinco años, fue acompañada por una orden que exige que Facebook, propiedad de Meta Ireland, suspenda futuras transferencias de datos personales a los EE. UU. dentro de los cinco meses posteriores a la sanción de la DPC. decisión y hacer que sus operaciones de procesamiento cumplan "al cesar el procesamiento ilegal, incluido el almacenamiento, en los EE. UU. de datos personales" de los usuarios de la UE y el Espacio Económico Europeo dentro de los seis meses posteriores a la notificación de la DPC a Meta.

Aunque el caso comenzó hace casi tres años a raíz de la decisión del Tribunal de Justicia de la Unión Europea que invalidó el acuerdo Escudo de Privacidad UE-EE.UU., se enfrentó a una serie de desafíos, tanto en el Tribunal Superior de Irlanda como entre los organismos de protección de datos. autoridades de la UE bajo el paraguas del Comité Europeo de Protección de Datos.

El problema está relacionado con el mecanismo de transferencia de datos utilizado por Facebook de Meta, luego de que se invalidara el Escudo de Privacidad. Desde la decisión del TJUE de 16 de julio de 2020, la empresa ha utilizado cláusulas contractuales tipo, incluidas las CEC actualizadas por la Comisión Europea en 2021.

El 13 de abril, el CEPD completó su decisión vinculante de resolución de disputas, después de que algunas autoridades supervisoras interesadas no estuvieran de acuerdo con el proyecto de decisión original de la DPC.

En un comunicado de prensa, el presidente del CEPD, Andrea Jelinek, afirmó: "El CEPD consideró que la infracción (de Meta) es muy grave, ya que se trata de transferencias sistemáticas, repetitivas y continuas. Facebook tiene millones de usuarios en Europa, por lo que el volumen de datos personales transferidos "Es enorme. La multa sin precedentes es una fuerte señal para las organizaciones de que las infracciones graves tienen consecuencias de gran alcance".

En respuesta al hallazgo del lunes, el presidente de Asuntos Globales de Meta, Nick Clegg, y la directora jurídica, Jennifer Newstead, dijeron que la multa es "injustificada e innecesaria" y que la empresa apelará.

"No se trata de las prácticas de privacidad de una empresa: existe un conflicto de leyes fundamental entre las normas del gobierno estadounidense sobre el acceso a los datos y los derechos de privacidad europeos, que se espera que los responsables políticos resuelvan este verano".

En marzo de 2022, el presidente estadounidense Joe Biden y la presidenta de la Comisión Europea, Ursula von der Leyen, anunciaron que habían llegado a un acuerdo político sobre un nuevo marco de privacidad de datos UE-EE.UU. El nuevo acuerdo aún no se ha finalizado y, a principios de este mes, el Parlamento Europeo aprobó una resolución en la que pedía a la Comisión Europea que continuara las negociaciones con Estados Unidos por temor a que el DPF pudiera volver a ser invalidado por el TJUE tal como está redactado actualmente.

En respuesta a la decisión, el presidente de NOYB, Max Schrems, quien ha desafiado con éxito dos regímenes de transferencia de datos transatlánticos en la última década, dijo: "Estamos felices de ver esta decisión después de 10 años de litigio... A menos que las leyes de vigilancia estadounidenses Si se soluciona, Meta tendrá que reestructurar fundamentalmente sus sistemas".

"Esta acción de cumplimiento coloca las transferencias internacionales de datos en la parte superior de la lista de prioridades regulatorias de las autoridades europeas de protección de datos", dijo a The Privacy Advisor Eduardo Ustaran, socio de Hogan Lovells, CIPP/E. "Sin embargo, al centrarse completamente en el potencial de acceso del gobierno a los datos en lugar de en las protecciones implementadas para proteger esos datos de interferencias, esto distorsiona el objetivo de la ley de protección de datos.

¿Implicaciones de amplio alcance?

Aunque Meta ha estado durante mucho tiempo en el foco regulatorio de la UE, la decisión del lunes podría tener implicaciones para otras empresas también.

"El impacto de esta decisión es muy amplio, va mucho más allá de Meta y preocupa a todas las empresas, universidades, ensayos clínicos y a cualquiera que transfiera datos personales de la UE a los EE. UU. sobre la base de SCC en ausencia de una decisión de adecuación. ", dijo Gabriela Zanfir-Fortuna del Future of Privacy Forum.

"Esto se debe a que técnicamente el DPC irlandés, en un raro acuerdo con el CEPD, está diciendo que las numerosas y sustanciales medidas suplementarias que Meta puso en marcha además de los SCC no compensan, ni podrían compensar, las deficiencias identificadas en la legislación estadounidense. por el TJUE en la sentencia Schrems II", afirmó. "Si la amplia gama de medidas complementarias implementadas por Meta (que van desde numerosas políticas organizativas hasta el cifrado de datos en tránsito y la impugnación de solicitudes gubernamentales) no son suficientes, es poco probable que cualquier otra organización pueda implementar medidas efectivas. cuando se trata de transferencias de datos a EE.UU."

El director general de Digiphile, Phil Lee, CIPP/E, CIPM, FIP, también señala las amplias implicaciones de la decisión y le dijo a The Privacy Advisor: "Al final de la decisión, el DPC dice muy explícitamente que 'el análisis de esta decisión expone una situación por lo que cualquier plataforma de Internet que entre dentro de la definición de proveedor de servicios de comunicaciones electrónicas sujeto al programa PRISM 702 de la Ley de Vigilancia de Inteligencia Extranjera de EE. UU. también puede incumplir los requisitos del RGPD sobre transferencias de datos. Esto deja claro, si no lo estaba ya, que La decisión del DPC, aunque dirigida a Meta, implica efectivamente todas las transferencias de datos de la UE a empresas tecnológicas estadounidenses".

Para aquellos que utilizan las SCC recientemente actualizadas y esperan que permanezcan "ilesas", Lee dijo que la decisión del lunes demuestra que "se extiende a las transferencias a los EE. UU. realizadas tanto bajo las SCC antiguas como bajo las nuevas".

Además de las transferencias entre la UE y EE.UU., la decisión del lunes que implica medidas suplementarias también podría tener implicaciones para la adecuación del Reino Unido, según Lee.

"La decisión refuerza la idea de que los exportadores de datos que realizan transferencias fuera del EEE deben implementar medidas que garanticen la equivalencia esencial de los estándares de protección de datos de la UE en el país receptor. Tomar medidas para 'abordar' o 'mitigar' los riesgos de protección de datos no es suficiente, aparentemente lo que pone en duda la viabilidad de un enfoque basado en el riesgo para las transferencias de datos.

"Dada la 'prueba de protección de datos' propuesta por el Reino Unido en el Proyecto de Ley de Protección de Datos e Información Digital (Nº 2), que evalúa la idoneidad sobre la base de si los datos se protegerán según un estándar que 'no sea materialmente inferior' que en el Reino Unido , ¿mantendrá la UE la idoneidad del Reino Unido si esto significa que los datos de la UE podrían enviarse a través del Reino Unido a países donde el nivel de protección local no es 'esencialmente equivalente' sino, en cambio, 'no materialmente inferior'?

Más allá de los desafíos legales: encontrar una solución política

Mientras las partes interesadas esperan un Marco de Privacidad de Datos UE-EE.UU. finalizado, no hay duda de que no será impugnado ante los tribunales como sus predecesores. Dado que la ley de vigilancia estadounidense está en última instancia en el centro de los flujos de datos transatlánticos, probablemente será necesaria una solución política.

En su respuesta del lunes, Clegg y Newstead de Meta dijeron: "En un momento en que Internet se está fracturando bajo la presión de regímenes autoritarios, las democracias con ideas afines deberían trabajar juntas para promover y defender la idea de una Internet abierta".

En la Cumbre Global de Privacidad de la IAPP 2023, Jelinek del CEPD, Schrems de NOYB, la ex comisionada de Información del Reino Unido, Elizabeth Denham, y el director de Investigación e Información de la IAPP, Joe Jones, discutieron la necesidad de un tratado multilateral entre naciones democráticas.

"Las democracias, especialmente el G7, deberían poder reunirse y llegar a un acuerdo sobre estándares para el acceso gubernamental a los datos del sector privado", dijo Denham en ese momento.

En sus comentarios a The Privacy Advisor el lunes, Ustaran de Hogan Lovell dijo: "Todo el mundo entiende que la solución final a este conflicto en particular es política, y sería injusto ignorar los esfuerzos que las organizaciones hacen mientras tanto para contribuir a resolver ese conflicto.

"La cuestión de las transferencias a Estados Unidos se resolverá en última instancia porque hay una clara voluntad política para resolverlo, pero el aspecto preocupante de esta decisión es que si adoptamos un enfoque tan estricto en materia de protección de datos a escala global, no significa tener en cuenta la situación geopolítica en el mundo y los esfuerzos que realmente se están haciendo para lograr su cumplimiento".

Aunque Meta dijo que apelará el fallo, el momento será ajustado. ¿Conseguirá la Comisión Europea finalizar a tiempo la adecuación del DPF? El lunes hubo indicios de que se finalizará pronto.

Según un portavoz de la Comisión Europea: "Esperamos que este marco de protección de datos entre la UE y los EE.UU. esté plenamente operativo para el verano. Esto garantizará la estabilidad y la seguridad jurídica". Hasta entonces, las partes interesadas esperarán ansiosamente un nuevo marco.

"Por ahora, todos los ojos estarán puestos en si la Comisión Europea puede finalizar los acuerdos y adoptar el DPF antes de que el período de gracia para el cumplimiento entre en vigor", dijo Lee.

"Habrá una enorme presión política para lograrlo".