El apagón europeo de Facebook está más cerca de lo que pensamos

Image of Carlo Cilento

Publicado el 2 may 2023 y editado el 15 ago 2023 por Carlo Cilento

Este artículo se ha traducido automáticamente. Cambia a la versión en inglés para ver el original.

Según informa la IAPP, dos documentos de Meta a disposición del público sugieren que la autoridad irlandesa de protección de datos (DPC) podría suspender en breve las transferencias de datos entre la UE y EE.UU. para la plataforma de Facebook e imponer una multa a Meta. Según informa el Irish Times, la decisión podría llegar tan pronto como el 12 de mayo.

En función de cómo se desarrollen los acontecimientos, podría producirse un apagón temporal de Facebook en Europa. Este caso de gran repercusión sentará sin duda un precedente y puede afectar a la vida digital de millones de personas.

(Actualización: la orden de suspender las transferencias de datos llegó el 22 de mayo, junto con una multa récord de 1.200 millones de euros. Examinamos la decisión en otro blog)

  1. ¿Qué dicen los documentos?
  2. La historia hasta ahora
  3. Las cuestiones jurídicas
  4. ¿Y ahora qué?
  5. ¿Qué significa la decisión para las transferencias de datos?
  6. Reflexiones finales
Logo of MichelinMichelin chose Simple AnalyticsJoin them

Entremos en materia.

¿Qué dicen los documentos?

Los dos documentos (un informe de resultados y un formulario presentado a la Comisión de Seguridad e Intercambio de EE.UU.) son largos y tratan de muchos temas diferentes, así que aquí están las partes interesantes.

En la página 3 del informe trimestral de resultados de Meta se lee:

Esperamos que la Comisión Irlandesa de Protección de Datos (IDPC) emita una decisión en mayo (...), incluyendo una orden de suspensión (...) y una multa. Nuestras consultas en curso con los responsables políticos a ambos lados del Atlántico siguen indicando que el nuevo marco de privacidad de datos propuesto por la UE y Estados Unidos se aplicará plenamente antes de que finalice el plazo de suspensión de dichas transferencias, pero no podemos excluir la posibilidad de que no se complete a tiempo.

El formulario Q-10 incluye más detalles en la página 54:

Una vez que se emita la decisión final, tendremos la oportunidad de apelar y solicitar una suspensión. La orden de suspensión de la transferencia se haría efectiva transcurrido un periodo de tiempo, a menos que se finalice un nuevo marco de transferencia transatlántica de datos antes de ese momento o que el IDPC revise la orden de suspensión debido a un cambio material en la legislación estadounidense.

Consideramos que los documentos son fiables. No es raro que las partes de un procedimiento dispongan de información privilegiada sobre el resultado antes de que se publique una decisión. Esto es especialmente cierto en el caso de un gigante tecnológico con abundantes conexiones y capacidad de presión.

dark-social-gathering-2.png

La historia hasta ahora

La historia ya es larga, así que cógete un bocadillo (o sáltatelo, no te culparemos).

Todo empezó en 2013, cuando el informante de la NSA Edward Snowden filtró archivos confidenciales sobre el funcionamiento de la agencia, incluidos los programas de vigilancia electrónica a gran escala Upstream y Prism.

Las revelaciones de Snowden llevaron a Max Schrems (sí, el tipo de las sentencias Schrems I y II) a presentar una denuncia ante la autoridad austriaca de protección de datos contra las transferencias de datos de Facebook a Estados Unidos. Alegó que, debido a la escala masiva y el carácter indiscriminado de la vigilancia electrónica del gobierno estadounidense, las transferencias de datos a Facebook en EE.UU. no podían garantizar la confidencialidad de los datos personales.

La autoridad austriaca remitió la denuncia a su homóloga irlandesa, ya que Facebook tenía en Irlanda su principal filial europea. Este fue el inicio de una interminable batalla legal en la que Facebook intentó aplazar por todos los medios una decisión definitiva. Durante una década, el caso fue y vino entre el CPD, los tribunales irlandeses y el Tribunal de Justicia de la UE.

Las decisiones del Tribunal de Justicia tuvieron una repercusión muy importante en la legislación europea sobre privacidad. En 2015, la sentencia Schrems I invalidó el acuerdo Safe Harbor, que simplificaba enormemente las transferencias de datos entre la UE y Estados Unidos. Un nuevo acuerdo, conocido como Escudo de Privacidad, sustituyó al Puerto Seguro, pero fue invalidado de nuevo por el Tribunal en la sentencia Schrems II de 2020.

Una década y dos sentencias históricas después, el CPD redactó finalmente una decisión para suspender las transferencias de datos y la presentó al Consejo Europeo de Protección de Datos (la institución de la UE donde se sientan todas las autoridades de protección de datos). La JEPD resolvió el asunto el mes pasado con una decisión aún no publicada. La decisión del EDPB es vinculante para el CPD, pero éste sigue teniendo cierto margen de autonomía, incluida la cuantificación de las multas.

Las cuestiones jurídicas

Todavía no tenemos una decisión, pero a la luz de la sentencia Schrems II y las recientes decisiones contra Google Analytics, es fácil adivinar qué cuestiones jurídicas están en juego.

Cuando un usuario europeo navega por Facebook, sus datos son tratados por varias entidades relacionadas con Meta. Las más importantes son Meta Platforms y su principal filial europea, Meta Platforms Ireland. Dado que es la propia Meta Platforms la que realiza la mayor parte del tratamiento de datos, Facebook exige una transferencia de datos a EE.UU. para que funcione.

Las transferencias de datos a EE.UU. han sido problemáticas desde la sentencia Schrems II. Las empresas que transfieren datos a Estados Unidos (y a otros países "inseguros") deben aplicar medidas suficientes para mantener los datos personales a salvo de la vigilancia estatal. Estas medidas deben aplicarse además de mecanismos de transferencia de datos como cláusulas contractuales estándar o normas corporativas vinculantes, que son un requisito estándar para la mayoría de los países no pertenecientes a la UE.

Meta se basa en cláusulas contractuales estándar para transferir datos, pero no está claro si la empresa ha aplicado suficientes salvaguardias suplementarias para mantener la confidencialidad de los datos personales. Si no lo hizo, entonces las transferencias de datos de Meta Irlanda a la empresa matriz infringen el RGPD.

Y lo más probable es que no lo haya hecho. Este es exactamente el mismo problema al que se enfrenta Google en un conjunto coordinado de denuncias presentadas por noyb (una ONG fundada por el propio Schrems) y la razón por la que cinco autoridades europeas de protección de datos prácticamente han prohibido Google Analytics en sus respectivos países. No hay una solución fácil, ni siquiera para una empresa tan grande como Google.

Para ser claros, existen medidas técnicas que pueden hacer más seguras las transferencias de datos, pero sólo son prácticas para determinados tipos de servicios (ya hablamos de algunas de ellas aquí). De hecho, han pasado tres años desde las quejas de noyb y Google aún no ha encontrado una solución. Creemos que Meta tampoco. Si la empresa tuviera cartas en la manga, ya las habría jugado en lugar de arriesgarse a un apagón de Facebook.

dark-social-gathering-1.png

¿Y ahora qué?

La decisión no supondrá el fin de Facebook en Europa, pero podría provocar un apagón temporal del servicio en la UE y el EEE, dependiendo de dos factores.

El primero es el tiempo. La UE y EE.UU. han llegado a un acuerdo sobre el Marco Transatlántico de Privacidad de Datos, otro marco de transferencia de datos que sustituirá al Escudo de Privacidad. Este marco se incorporará al ordenamiento jurídico de la UE cuando la Comisión Europea adopte una decisión de adecuación, un acto que básicamente "da luz verde" a un país no perteneciente a la UE como destino seguro y permite transferencias de datos sin complicaciones.

(Como nota al margen, el nuevo marco se enfrentará seguramente a desafíos legales por parte de noyb. Estamos ante una sentencia Schrems III, y es difícil predecir cómo se desarrollará. Pero aún no es una cuestión urgente para Meta).

Ya se ha redactado una decisión de adecuación que está pendiente de la aprobación de los Estados miembros. Es probable que se apruebe, pero no está claro cuándo ocurrirá.

Según los documentos, Meta espera que la orden de suspensión del CPD venga acompañada de una fecha límite. Por lo tanto, la continuidad del servicio para Facebook depende del momento en que se adopte la decisión de adecuación. Si la decisión de adecuación se adopta antes de la fecha límite, Meta podrá basarse en ella para transferir datos y seguirá prestando el servicio. Pero si la decisión llega demasiado tarde, Meta podría verse obligada a suspender el servicio mientras tanto. Meta es algo optimista en cuanto a que la decisión llegará a tiempo, pero no está del todo segura.

El segundo factor en juego es el resultado de las futuras acciones legales de Meta. Meta tiene la intención de impugnar la decisión y solicitar una suspensión de la orden de suspensión, presumiblemente hasta que se celebre la votación sobre la decisión de adecuación en el seno de la Comisión Europea. Una suspensión podría dar tiempo a Meta para seguir proporcionando Facebook a los usuarios europeos hasta que puedan reanudarse las transferencias de datos en virtud de la decisión de adecuación.

¿Qué significa la decisión para las transferencias de datos?

Por supuesto, este caso tiene implicaciones que van mucho más allá de Facebook. Muchos proveedores de servicios estadounidenses caminan sobre hielo delgado con sus transferencias de datos. Dada la implicación de la EDPB, este caso podría sentar un precedente muy importante, especialmente si el nuevo marco de transferencia de datos no sobrevive a Schrems III.

En particular, muchas empresas estadounidenses, incluidos gigantes tecnológicos como Google y Apple, tienen sus filiales europeas en Irlanda. Desde esta perspectiva, un precedente irlandés podría ser especialmente perturbador para las transferencias de datos entre la UE y EE.UU.

Por otro lado, el CPD tiene fama de no ser terriblemente proactivo. Al fin y al cabo, se necesitaron diez años, dos sentencias del Tribunal de Justicia y la participación directa del EDPB para que el caso llegara a una decisión. Así que probablemente el CPD no tomará medidas enérgicas contra las transferencias de datos mañana a primera hora.

Reflexiones finales

Ha tardado, pero por fin empezamos a ver una aplicación enérgica del RGPD. Cinco APD ya se han pronunciado contra Google Analytics, y es probable que Facebook sea la siguiente. Recientemente, el CPD impuso a Meta una multa de 390 millones de euros por dirigirse ilegalmente a los usuarios con publicidad personalizada, y es posible que acabe pagando elevadas indemnizaciones en una demanda colectiva por los mismos motivos.

¿Por qué nos preocupa?

La privacidad es mucho más que leyes, normas y multas. La privacidad es un derecho humano. En Simple Analytics, creemos que Internet debe ser un lugar amigable para los visitantes de sitios web y que respete la privacidad. Por eso hemos creado una alternativa a Google Analytics que no utiliza cookies ni datos personales. Si está de acuerdo, ¡pruébenos!

GA4 es complejo. Prueba Simple Analytics

GA4 es como estar en la cabina de un avión sin licencia de piloto

Prepárate