Carlos B Fernández. La Data Protection Commision (DPA), autoridad irlandesa de protección de datos, ha impuesto a Meta Ireland (antes Facebook) una sanción por importe de 1.200 millones de euros por transferir ilegalmente datos de sus usuarios a los Estados Unidos.
La resolución (DPC Inquiry Reference: IN-20-8-1), fechada el pasado 12 de mayo pero dada a conocer el 22 de este mes, ordena, además, a la compañía norteamericana, de conformidad con el artículo 58, apartado 2, letra d), del RGPD, que suspenda cualquier transferencia de datos personales de usuarios de la UE o del EEE a los EEUU y que ajuste sus operaciones de tratamiento a lo dispuesto en el capítulo V del RGPD, poniendo fin al tratamiento ilícito de dichos datos, incluido su almacenamiento, en los EE.UU., en un plazo de 6 meses a partir de la fecha de notificación de la decisión.
La resolución de la agencia irlandesa constata que:
1) Las transferencias de datos a los EEUU realizadas por Meta se realizan en circunstancias que no garantizan un nivel de esencialmente equivalente al previsto por el Derecho de la UE y, en particular, por el RGPD, leído a la luz de la Carta de los Derechos Fundamentales de la Unión Europea (LA LEY 12415/2007). En consecuencia, al realizar las transferencias de datos, Meta Ireland está infringiendo el artículo 46, apartado 1, del GDPR (LA LEY 6637/2016);
2) Meta Ireland no tiene derecho a acogerse a ninguna excepción en virtud del artículo 49, apartado 1, del RGPD con respecto a las transferencias de datos realizadas;
3) Procede, por ser necesario y apropiado, que se ordene la suspensión de las transferencias de datos, al amparo del artículo 58 (LA LEY 6637/2016) (2) (j) GDPR (LA LEY 6637/2016).
Procedimiento ante la autoridad irlandesa y el Comité Europeo de protección de datos
Según la DPA, esta decisión refleja la apreciación del Comité Europeo de Protección de Datos, contenida en su decisión vinculante 1/2023, de 13 de abril, sobre la cuestión planteada por la autoridad irlandesa en este asunto, en el sentido de que debía imponerse una multa administrativa, para sancionar la infracción que se constató que se había producido.
El CPD determinó el importe de la multa que debía imponerse por referencia a las evaluaciones y determinaciones que se incluyeron en dicha decisión del Comité europeo.
De esta manera la autoridad irlandesa ha anunciado la conclusión de su investigación sobre Meta Platforms Ireland Limited ("Meta Ireland"), en la que se examinaba la base sobre la que Meta Ireland transfiere datos personales de la UE/EEE a los EE.UU. en relación con la prestación de su servicio de Facebook.
La decisión deja constancia de que Meta Ireland infringió el artículo 46, apartado 1, del RGPD al seguir transfiriendo datos personales de la UE/EEE a los EE.UU. tras el pronunciamiento de la sentencia del TJUE (Gran Sala), de 16 de julio de 2020, en el asunto C-311/18 (LA LEY 69249/2020) (Data Protection Commissioner v Facebook Ireland Limited and Maximillian Schrems). Aunque Meta Ireland efectuó esas transferencias sobre la base de las Cláusulas Contractuales Tipo actualizadas que fueron adoptadas por la Comisión Europea en 2021, junto con medidas suplementarias adicionales que fueron aplicadas por Meta Ireland, la CPD consideró que estos acuerdos no abordaban los riesgos para los derechos y libertades fundamentales de los interesados que fueron identificados por el TJUE en su sentencia.
La investigación se inició inicialmente en agosto de 2020, y posteriormente se suspendió por Orden del Tribunal Superior de Irlanda, a la espera de la resolución de una serie de procedimientos judiciales, hasta el 20 de mayo de 2021.
En virtud de un procedimiento de cooperación establecido por el RGPD (artículo 60), el proyecto de decisión elaborado por el CPD se presentó a las Autoridades de Supervisión Interesadas en este procedimiento. La naturaleza del tratamiento examinado por la investigación era tal que todas las demás Autoridades de Supervisión de la UE/EEE fueron contratadas como Autoridades interesadas a efectos del procedimiento de cooperación.
En lo que respecta al incumplimiento del RGPD por parte de Meta Ireland y a la propuesta del CPD de dictar una orden de suspensión de las transferencias de datos, las Autoridades de control interesadas se mostraron de acuerdo con la decisión del CPD.
Un pequeño número (4) de las 47 autoridades interesadas plantearon objeciones en relación con la facultad correctora que el CPD proponía ejercer mediante el proyecto de decisión. Dentro de este subconjunto de ASC, las cuatro consideraron que Meta Ireland debía ser objeto de una multa administrativa por la infracción constatada. Dos de esas ASC también opinaron que debía ordenarse a Meta Ireland que tomara medidas para tratar los datos personales que ya se habían transferido ilegalmente a los EE.UU., es decir, los datos transferidos desde julio de 2020 hasta la fecha.
El CPD discrepó, reflejando su opinión de que el ejercicio de poderes correctivos adicionales, más allá de la orden de suspensión propuesta, excedería el alcance de los poderes que podrían describirse como "adecuados, proporcionados y necesarios" para abordar la infracción del artículo 46, apartado 1, del RGPD.
Tras un proceso de consulta informal, quedó claro que no podía alcanzarse un consenso. De conformidad con las obligaciones que le incumben en virtud del RGPD, el CPD remitió las objeciones al Comité Europeo de Protección de Datos, para que se pronunciara al respecto con arreglo al mecanismo de resolución de litigios del artículo 65. El CEPD adoptó su decisión el 1 de enero de 2008.
Como se ha indicado, el CEPD adoptó su decisión el pasado 13 de abril de 2023.
Decisión de la autoridad irlandesa
De conformidad con su obligación de adoptar su decisión final "sobre la base" de la decisión del Comité, la decisión de la autoridad irlandesa concluyó:
- Ordenar a Meta Ireland, de conformidad con el artículo 58, apartado 2, letra j), del RGPD, que suspenda cualquier transferencia futura de datos personales a los EE.UU. en el plazo de cinco meses a partir de la fecha de notificación de esta decisión del CPD.
- Imponer a Meta Ireland una multa administrativa por importe de 1.200 millones de euros; y
- Ordenar a Meta Ireland, de conformidad con el artículo 58, apartado 2, letra d), del RGPD, que ajuste sus operaciones de tratamiento a lo dispuesto en el capítulo V del RGPD, poniendo fin al tratamiento ilícito, incluido el almacenamiento, en los EE.UU. de datos personales de usuarios de la UE o del EEE transferidos en violación del RGPD, en un plazo de 6 meses a partir de la fecha de notificación de esta decisión del CPD.
"Una decisión defectuosa"
Según una nota de prensa emitida por Meta y firmada por Nick Clegg, President, Global Affairs & Jennifer Newstead, Chief Legal Office, "Esta decisión es defectuosa, injustificada y sienta un precedente peligroso para las innumerables otras empresas que transfieren datos entre la UE y los EE. UU."
Según estos responsables, "la invalidación de Privacy Shield en 2020 se debió a un conflicto de leyes que ... ni Meta ni ninguna otra empresa podría resolver por sí solo. Por lo tanto, estamos decepcionados de haber sido señalados al utilizar el mismo mecanismo legal que miles de otras empresas que buscan brindar servicios en Europa."
Y, en referencia al nuevo marco de transferencia de datos acordado de forma preliminar entre EEUU y la Unión Europea, señalan que "En un momento en que Internet se está fracturando bajo la presión de los regímenes autoritarios, las democracias afines deberían trabajar juntas para promover y defender la idea de una Internet abierta. Ningún país ha hecho más que EE. UU. para alinearse con las reglas europeas a través de sus últimas reformas, mientras que las transferencias continúan en gran medida sin oposición a países como China."
Por ello, la compañía ha anunciado que apelarán estas decisiones y la orden de suspensión de la transferencia de datos, "dado el daño que estas órdenes causarían a los millones de personas que usan Facebook todos los días".