Irlanda avanza un veto para que Facebook deje de transferir datos de los ciudadanos europeos a EEUU: de prosperar, Meta podría marcharse de Europa

La Comisión de Protección de Datos irlandesa (DPC, por sus siglas en inglés) ha avanzado este jueves un borrador de decisión con el que se prohibirán las transferencias de datos de ciudadanos europeos a Estados Unidos por parte de Meta, compañía propietaria de plataformas como Facebook o Instagram.

De esta manera, la DPC, análoga a la Agencia Española de Protección de Datos, culmina uno de los varios procesos que mantiene abierto sobre estas transferencias de datos a EEUU. El Tribunal de Justicia de la Unión Europea (TJUE) dictaminó hace ya 2 años que estas transferencias al otro lado del Atlántico eran ilegales.

Las razones por las que el TJUE falló en contra de estas transferencias se cimentaban en la constatación de que las autoridades norteamericanas no ofrecen las mismas garantías que las autoridades en Bruselas dan a los ciudadanos y al tratamiento de sus datos personales, fundamentalmente gracias al amparo del Reglamento General de Protección de Datos.

Grandes compañías tecnológicas trataron de esquivar aquella resolución judicial mediante un mecanismo legal conocido como las cláusulas contractuales tipo (SCC), pero no es suficiente. Lo que derribaba la sentencia del TJUE de 2020, conocida como sentencia Schrems-II, es el acuerdo entre EEUU y la Unión Europea para amparar esas transferencias.

Aquel marco, conocido como Privacy Shield, dejó de ser válido entonces. Tecnológicas como la propia Meta o Google se amparan en la necesidad de remitir los datos personales de sus usuarios europeos a EEUU para poder procesarlos allí. La DPC no es la primera en pronunciarse, pero es clave, ya que las grandes tecnológicas asientan sus matrices europeas en suelo irlandés.

Sin embargo, a activistas de la privacidad les preocupaba ese flujo: en EEUU esos datos pueden ser intervenidos por agencias de seguridad, lesionando el derecho a la privacidad de los ciudadanos. La sentencia fue conocida como Schrems-II porque era la segunda vez que el austríaco Max Schrems, presidente de la plataforma None Of Your Business (NOYB) vencía ante estas multinacionales.

Facebook no sería la única en irse si se ilegalizan las transferencias de datos a EEUU: por qué este pulso de Europa no es solo contra las tecnológicas, sino también contra Washington

Con el avance de esta decisión, la DPC irlandesa está ahora mismo compartiendo sus conclusiones con las agencias de protección de datos del resto de estados miembros de la Unión Europea. No se trata de una decisión que se aplique de forma inmediata, ya que las agencias nacionales todavía pueden objetar la resolución y la misma puede tener que acabar votándose entre las 27.

Medios como Politico ya sugieren que esta decisión acabe prosperando y, en consecuencia, Meta acabe abandonando Europa incluso este mismo verano. En sus últimas comunicaciones anuales al regulador de los mercados en EEUU, la SEC, Meta ha deslizado la posibilidad de tener que irse de Europa al no poder transferir y así tratar los datos de sus usuarios.

Por el momento, Meta no se ha pronunciado sobre este borrador de decisión. Sin embargo, el presidente de Asuntos Globales de la multinacional, Nick Clegg, advertía que un posible veto a estas transferencias dañaría profundamente el negocio de muchas compañías digitales europeas, suponiendo una disrupción en sectores cruciales como la sanidad o la educación.

Con todo, la Comisión Europea y la Administración de Joe Biden avanzaron hace unos meses un preacuerdo para alcanzar un nuevo acuerdo (sic) que amparase estas transferencias de datos. El primero, Safe Harbor, fue tumbado por la justicia europea. El segundo, el Privacy Shield, también. A la tercera puede ir a la vencida, entienden ambas potencias.

Puede ir la vencida siempre y cuando Estados Unidos legisle y se comprometa a que sus agencias nacionales de seguridad y vigilancia no puedan acceder a estos datos personales de ciudadanos europeos. EEUU ha avanzado que así lo hará: limitará las competencias de dichas agencias, aunque todavía no se ha detallado ni cómo lo hará ni mediante qué fórmula.

Protección de Datos rechaza elaborar un informe sobre si las cookies de Google Analytics suponen transferencias ilegales de datos a EEUU porque ya está tramitando varias denuncias

Max Schrems, presidente de NOYB, la plataforma de activistas en defensa de la privacidad que más ha combatido contra estas transferencias de datos a EEUU, ya se ha pronunciado. Asumen que el resto de agencias de protección de datos nacionales de Europa plantearán objeciones a la decisión de la DPC irlandesa. "Esto nos llevará a otro borrador y luego a una votación".

"En otros casos todo esto ha llevado al menos un año, ya que la DPC no ha implementado las objeciones de otras agencias de protección de datos de forma voluntaria y ha supuesto retrasos de hasta medio año hasta que se ha acabado votando la decisión", incide.

Schrems también recuerda que este borrador de la DPC no es en respuesta al procedimiento que su propia plataforma inició hace ya 9 años, en 2013. Al contrario, esta decisión de la oficina irlandesa arrancó de oficio. Por ahora, Schrems y NOYB no tienen noticias de qué ha sucedido con el procedimiento que iniciaron ellos.

Solo saben que su denuncia no se terminó de elevar al EDPB, siglas en inglés del Comité Europeo de Protección de Datos, el organismo que aúna a la DPC, a la AEPD española, a la CNIL francesa y al resto de organismos de control que forman parte de la Unión Europea.

El austríaco también cree que Facebook usará el sistema legal irlandés "para postergar cualquier posible veto de estas transferencias de datos". "Irlanda tendrá que enviar a la policía para cortar físicamente los cables antes de que estas transferencias acaben deteniéndose".

Pero lo que no está claro es si en la decisión final se incluirá una multa millonaria por todos los años en los que Meta estaría llevando a cabo estas transferencias de datos, presuntamente ilícitas, en función de lo que acaben dictaminando las agencias de protección de datos europeas.