Irlanda impone la mayor multa de la historia del RGPD: 1.200 millones de euros a Meta por transferir datos de sus usuarios a EEUU

El Reglamento General de Protección de Datos (RGPD) cumplirá 5 años en aplicación esta misma semana y su aniversario se celebrará tras conocerse la mayor multa de la historia que se ha anunciado invocando esta legislación. Irlanda acaba de anunciar una sanción de 1.200 millones de euros a Meta, propietaria de Facebook, Instagram o WhatsApp.

Varias agencias nacionales del Espacio Económico Europeo venían denunciando desde hace meses el cuello de botella que, con su laxitud, la Comisión de Protección de Datos irlandesa —DPC, por sus siglas en inglés— había originado en múltiples procesos. Finalmente Irlanda ha bajado al barro y ha impuesto una multa histórica a la multinacional fundada por Mark Zuckerberg.

La razón: Meta utilizó las cláusulas contractuales tipo —SCC, por sus siglas en inglés—, un mecanismo legal que sirve para amparar las transferencias de datos personales a países extracomunitarios. El problema: utilizó esas SCC para justificar las transferencias de datos de sus usuarios a EEUU.

Lo hizo a pesar de que el Tribunal de Justicia de la Unión Europea (TJUE) falló hace varios veranos que las transferencias a ese país eran ilegales, al considerarse Washington como un puerto no seguro. La sentencia del TJUE tumbó el conocido Privacy Shield, el acuerdo que hasta entonces amparaba esos trasvases de información al otro lado del Atlántico.

El Privacy Shield decayó al entender la justicia europea que las garantías que se dan en Bruselas al tratamiento de datos personales extranjeros no son equiparables a las garantías que las autoridades norteamericanas brindan a la información de los ciudadanos comunitarios. Las agencias federales estadounidenses pueden acceder a esos datos invocando su legislación de seguridad nacional.

Dado que ese asalto a la privacidad de los usuarios europeos no es tolerable a tenor de lo que expone el RGPD, esas transferencias se declararon ilegales entonces, a pesar de lo cual múltiples tecnológicas han realizado diversas triquiñuelas para tratar de seguir realizando esas transferencias.

El responsable de aquella sentencia es un activista austriaco llamado Max Schrems, presidente honorífico de la plataforma que él mismo fundó, una organización en defensa de los derechos a la privacidad llamada Noyb. Schrems ha asegurado estar "feliz" al conocer la sanción "tras 10 años de pleitos".

"La multa pudo haber sido mucho mayor, dado que la cuantía máxima según el RGPD es de 4.000 millones y Meta ha incumplido conscientemente la ley para generar beneficios durante una década. Si las leyes federales estadounidenses de vigilancia no se subsanan, Meta tendrá que reestructurar sus sistemas profundamente", ha expuesto Schrems en un comunicado.

Meta no es la única, aunque sí la que ha recibido esta sanción ejemplar. La compañía propietaria de diversas plataformas digitales recaba los datos personales de sus usuarios para, entre otras cuestiones, servirles publicidad personalizada a través de sus servicios. La compañía siempre ha esgrimido que el tratamiento de esos datos lo hacen en su sede en EEUU.

Vas a dejar de recibir llamadas de 'spam' en junio, pero una inminente circular de la AEPD es crucial para que las empresas no se salten el veto

La DPC irlandesa concluye que el instrumento empleado por Meta, esas SCC, "no atienden los riesgos a los derechos y libertades fundamentales" de los usuarios europeos de servicios como Facebook.

En los últimos años, Meta, en su comunicación anual a la SEC —el regulador de los mercados estadounidense— ha advertido que, de no encontrarse una nueva solución para amparar esas transferencias de datos, la compañía tecnológica se podría ver obligada a abandonar el mercado europeo.

Es improbable que eso suceda. El año pasado el presidente de EEUU, Joe Biden, hizo una visita a Bruselas, donde se entrevistó con la presidenta de la Comisión Europea, Ursula Von der Leyen. Fruto de aquel encuentro nació el compromiso de ambas potencias transatlánticas de hacer un nuevo acuerdo.

Hay ya un borrador de acuerdo que debe aprobar la Comisión Europea. En el borrador, las autoridades estadounidenses se comprometen a dar más garantías a la hora de prevenir que sus agencias federales accedan a la información de ciudadanos comunitarios. Sin embargo, las promesas de EEUU no convencen. La Eurocámara y las autoridades de protección de datos han dicho que no.

La negativa de esas dos instituciones no es definitiva. Será la propia Comisión Europea la que tenga la última palabra. Por el momento no se han conocido novedades.

La multa a Meta de 1.200 millones de euros supone un nuevo récord en sanciones amparadas por el Reglamento General de Protección de Datos. Luxemburgo, en 2021, ya impuso una sanción de más de 700 millones de euros a Amazon.

La sanción a Meta por parte de Irlanda llega también tras una tormentosa polémica entre la propia DPC irlandesa y el Comité Europeo de Protección de Datos —EDPB, por sus siglas en inglés—. El EDPB es el organismo que aglutina a las agencias nacionales —la CNIL francesa, el Garante italiano, la AEPD española— y en una resolución enmendó la plana a Irlanda.

Irlanda había propuesto sanciones exiguas a Meta por haber invocado una base de legitimación nueva tras la entrada en vigor del RGPD en mayo de 2018. De la noche a la mañana, los usuarios de Facebook en Europa tuvieron que aceptar que Meta siguiera recabando su información personal. La compañía alegó que era para el correcto funcionamiento de sus servicios.

Tras muchos tiras y aflojas entre Irlanda y el resto de agencias europeas de protección de datos, la primera acabó imponiendo 390 millones en sanciones a principios de este mismo año, si bien Irlanda se reservó el derecho de recurrir las resoluciones de la EDPB al entender que se estaba lesionando su autonomía.