Las transferencias de datos de Facebook, declaradas ilegales

Image of Carlo Cilento

Publicado el 22 may 2023 y editado el 15 ago 2023 por Carlo Cilento

Lo esperábamos, y sucedió: Meta recibió la orden de suspender las transferencias de datos de Facebook a Estados Unidos. La empresa también ha sido multada con 1 200 millones de euros (sí, has leído bien) por infringir las normas de transferencia de datos del GDPR.

La Comisión de Protección de Datos (CPD) irlandesa ha anunciado hoy la decisión en un comunicado de prensa publicado en su sitio web. El texto completo está disponible en el sitio web del Consejo Europeo de Protección de Datos, junto con la propia decisión del Consejo que dio lugar a la multa. Como era de esperar, Meta ha anunciado que recurrirá la decisión.

Este caso es realmente importante. La decisión tendrá probablemente un profundo impacto en los casos de transferencia de datos a nivel europeo, y podría llevar a un apagón de Facebook en Europa en un futuro próximo. En otras palabras, merece la pena profundizar en él.

Entremos en materia.

  1. La historia
  2. La decisión
  3. ¿Y ahora qué?
  4. Conclusiones

La historia

La investigación del CPD sobre Facebook comenzó hace tres años y tiene su origen en una denuncia de 2013 de Max Schrems (sí, el tipo de las decisiones Schrems I y II). Esta decisión tiene una historia de una década, así que prepara la comida (o sáltatela, no te culparemos).

Todo empezó cuando el informante de la NSA Edward Snowden filtró archivos confidenciales sobre el funcionamiento de la agencia, incluidos los programas de vigilancia electrónica a gran escala Upstream y Prism.

Las revelaciones de Snowden llevaron a Schrems a presentar una denuncia ante la autoridad austriaca de protección de datos contra las transferencias de datos de Facebook a Estados Unidos. Alegó que los datos personales transferidos a Facebook en EE.UU. no eran seguros debido a la escala masiva y la naturaleza indiscriminada de la vigilancia electrónica de datos extranjeros por parte del gobierno estadounidense.

La autoridad austriaca remitió la denuncia a Irlanda, donde Facebook (ahora Meta) tiene su principal filial europea. Este fue el inicio de una interminable batalla legal en la que Facebook intentó aplazar por todos los medios una decisión definitiva. Durante años, el caso fue y vino entre el CPD, los tribunales administrativos irlandeses y el Tribunal de Justicia de la UE.

El Tribunal de Justicia adoptó dos sentencias relacionadas con la denuncia de Schrems, y ambas tuvieron una repercusión muy importante en la legislación europea sobre privacidad. En 2015, la sentencia Schrems I invalidó el acuerdo Safe Harbor, que simplificaba enormemente las transferencias de datos entre la UE y Estados Unidos. Un nuevo acuerdo, conocido como Escudo de Privacidad, sustituyó posteriormente al Puerto Seguro, pero el Tribunal volvió a invalidarlo en la sentencia Schrems II de 2020.

La sentencia Schrems II no significa que no se puedan enviar datos personales a EE.UU.. Sin embargo, hace más complicada la transferencia legal de datos. Es una larga historia, y ya la hemos tratado en detalle. En pocas palabras, las transferencias de datos a Estados Unidos requieren salvaguardias adicionales en comparación con otros países para proteger los datos personales contra el riesgo de acceso gubernamental.

Por desgracia, estas salvaguardias son difíciles de aplicar y totalmente imposibles para determinados servicios, como Facebook y Google Analytics. Por lo tanto, utilizar determinados proveedores de servicios es una violación del GDPR, y las empresas que confían en ellos están caminando sobre hielo delgado con sus transferencias de datos.

Tras una década y dos sentencias históricas, el CPD redactó finalmente una decisión para suspender las transferencias de datos de Facebook y la presentó al Consejo Europeo de Protección de Datos (la institución de la UE donde se sientan todas las autoridades de protección de datos). La JEPD resolvió el asunto el mes pasado y ha publicado hoy su decisión, junto con la decisión posterior y definitiva del CPD sobre el caso.

Aparte de Facebook, han ocurrido muchas más cosas después de Schrems II. La ONG de defensa de la privacidad noyb (de la que es miembro el propio Schrems) presentó un conjunto estratégico de denuncias contra Google Analytics en un intento de empujar a las autoridades europeas hacia una aplicación estricta de la sentencia Schrems II. Esto llevó a que varias autoridades fallaran en contra de Google Analytics, prácticamente prohibiéndolo en sus Estados miembros.

Entre el caso de Facebook y las decisiones sobre Google Analytics, no es de extrañar que las transferencias de datos sean un tema candente en estos momentos.

La decisión

El contenido jurídico de la decisión del CPD no es nada nuevo. Las premisas de la decisión proceden directamente de la sentencia Schrems II y ya fueron aclaradas por otras autoridades al tratar el asunto Google Analytics:

  • En primer lugar, EE.UU. no es un destino seguro para las transferencias de datos.
  • En segundo lugar, las cláusulas contractuales estándar (una salvaguardia contractual en virtud del RGPD) son insuficientes para proteger los datos personales transferidos a EE.UU.. Los contratos con las empresas no resuelven el verdadero problema porque no limitan el poder del gobierno para llevar a cabo la vigilancia
  • en tercer lugar, al transferir datos a EE.UU., deben aplicarse salvaguardias suplementarias además de las salvaguardias exigidas en general por el GDPR. Esta es la única manera de mantener la confidencialidad de los datos personales.

El CPD consideró que las cláusulas contractuales estándar en vigor para la transferencia de datos (incluidas las cláusulas más recientes redactadas en 2021 por la Comisión de la UE) no contienen ninguna salvaguardia efectiva contra la vigilancia estadounidense. El CPD también sostuvo que Meta Ireland no aplicó salvaguardias suplementarias efectivas para sus transferencias de datos a Meta Platforms en los EE.UU.. Por lo tanto, las transferencias de datos son ilegales en virtud del GDPR.

Aunque el contenido jurídico de la decisión no es en absoluto nuevo, el alto perfil del caso lo convierte en muy importante.

Los demandados en los casos de Google Analytics eran empresas que utilizaban el servicio en su sitio web. Todas ellas eran de poca monta en comparación con Meta: una enorme empresa multinacional con vastos recursos, mucha influencia política y un negocio de cumplimiento de millones de dólares. Incluso el gobierno estadounidense se implicó en el caso y presentó alegaciones apoyando los argumentos de Meta.

Y sin embargo, Meta perdió. Estaban en juego miles de millones de ingresos y, sin embargo, la empresa no pudo garantizar la transferencia de datos a Estados Unidos a pesar de sus enormes recursos y conocimientos técnicos. Esto demuestra sin lugar a dudas que determinadas transferencias de datos no pueden cumplir el RGPD pase lo que pase.

La implicación de la EDPB también es muy importante en este caso. Como ya hemos mencionado, hubo algunas idas y venidas entre el CPD y el EDPB, al igual que en el caso de la publicidad dirigida de Meta (escribimos sobre ello aquí).

Lo más importante es que ninguna autoridad europea se opuso al cierre de las transferencias de datos de Meta. Hubo cierto desacuerdo sobre la multa (que el CPD no quiso imponer) y sobre otros aspectos de la decisión, razón por la que intervino la JEPD. Sin embargo, todos estuvieron de acuerdo en el punto crucial: Las transferencias de datos de Meta son ilegales.

Así que el EDPB encontró una posición común sobre las transferencias de datos. Esto significa que todas las autoridades de privacidad de la UE lo hicieron, porque son las personas que se sientan en el EDPB.

Esto ya estaba claro de antemano: como explicamos, el EDPB desempeñó un papel indirecto en las decisiones sobre Google Analytics al coordinar la respuesta a nivel europeo. Pero con Meta la EDPB se implicó directamente e incluso presionó para que se impusiera una multa de diez dígitos. El mensaje nunca ha sido tan claro: se acabó el juego. Ha llegado el momento de tomarse en serio el GDPR.

La multa en sí es también un aspecto interesante de la decisión. No solo porque es enorme, sino también por cómo se ha calculado. No se basó en la facturación anual global de Meta Platforms Ireland, sino en la de todo el grupo Meta. Así pues, la multa impuesta a Meta Platforms Ireland era proporcional a las enormes cantidades de dinero obtenidas por todo el grupo de empresas de Meta.

Si los reguladores mantienen este enfoque en el futuro, las empresas multinacionales no podrán limitar el riesgo de cumplimiento invocando el tamaño relativamente pequeño de sus filiales europeas.

También cabe señalar que las multas del GDPR están limitadas a "solo" el 4% de la facturación anual global de una empresa. Por otra parte, la nueva Ley de Servicios Digitales y la Ley de Mercados Digitales de la UE permiten multas de hasta el 6% y el 10%, respectivamente. Si los reguladores mantienen el mismo enfoque, podríamos ver multas muy elevadas en el futuro.

(Actualización: las nuevas directrices de la BEPD sobre el cálculo de multas confirman este enfoque para las infracciones del RGPD).

¿Y ahora qué?

Meta dispone ahora de seis meses para poner fin a sus transferencias de datos y borrar los datos personales ya transferidos a los EE.UU. (el calendario es en realidad un poco más complicado, pero eso es lo esencial).

Como explicamos no hace mucho, esto no significa que Facebook vaya a cerrar mañana. La posibilidad de un apagón de Facebook en Europa es real, pero depende de algunos factores.

La UE y EE.UU. han dado pasos hacia un nuevo marco de transferencia de datos (llamado Marco Transatlántico de Privacidad de Datos) entre la UE y EE.UU.. Sobre la base de este marco, la Comisión de la UE redactó posteriormente una decisión de adecuación para EE.UU., es decir, una decisión que da luz verde a un país como destino seguro para los datos y facilita enormemente las transferencias de datos. El proyecto está pendiente de la aprobación de los Estados miembros y es probable que se apruebe (a pesar de la opinión abrumadoramente negativa del Parlamento Europeo).

Si se aprueba antes del plazo impuesto por el CPD, la decisión de adecuación salvará a Meta por la campana. Pero esto parece complicado.

El nuevo marco de transferencia de datos se basa en un complejo sistema de supervisión de las actividades de los servicios de inteligencia estadounidenses sobre datos extranjeros. Este sistema tiene que estar plenamente implantado antes de que se pueda ultimar la decisión de adecuación. Por ejemplo, aún no se ha nombrado a los miembros del Tribunal de Revisión de la Protección de Datos, y la UE no ha sido designada "Estado calificador" (es decir, entidad u organización internacional a la que se aplica el sistema). Es difícil saber si seis meses serán suficientes para que EE.UU. termine de aplicar el sistema y para que la Comisión finalice la decisión de adecuación.

Si la decisión se adopta más tarde, las cosas serán más complicadas para Meta. La empresa tiene intención de impugnar la decisión y solicitar la suspensión de la orden del CPD. Esto podría dar más tiempo a la empresa.

Así que el tan temido apagón de Facebook depende en última instancia del momento en que se adopte la decisión de adecuación y del resultado de las futuras acciones legales de Meta.

Por supuesto, hay más en juego que Facebook. Innumerables empresas europeas dependen de proveedores de servicios con sede en EE.UU., y no todas las transferencias de datos requeridas cumplen con el GDPR.

El futuro de la transferencia de datos entre la UE y EE.UU. depende en última instancia del Marco Transatlántico de Privacidad de Datos. El panorama no es demasiado halagüeño: el Tribunal de Justicia de la UE ya invalidó dos marcos de este tipo porque no protegían adecuadamente los datos europeos, y el nuevo marco seguramente también será objeto de escrutinio. En otras palabras, Schrems III ya está en el horizonte.

Es difícil saber cómo se desarrollará Schrems III: el nuevo marco es sin duda un paso adelante respecto al pasado, pero algunas de sus partes podrían seguir siendo problemáticas para el Tribunal de Justicia. Y, desde luego, no ayuda que el Parlamento Europeo haya votado en contra del proyecto por abrumadora mayoría. Aunque el voto del Parlamento no es vinculante, podría empujar al Tribunal a un examen más estricto del nuevo marco.

En resumen: ocho años después de Schrems I, el futuro de las transferencias de datos entre la UE y EE.UU. sigue siendo incierto.

Conclusiones

Ha tardado una década más de lo debido, pero nos alegramos de que por fin se aplique correctamente la ley de privacidad contra Meta.

También nos alegra poder contarles este caso en nuestro blog. Esperamos que, reduciendo al mínimo la jerga jurídica, podamos hacer que nuestra audiencia se apasione por la ley de privacidad tanto como nosotros.

Nuestra pasión por la privacidad es lo que dio vida a Simple Analytics. Creemos que todos deberíamos ser respetuosos con la privacidad e intentar hacer más con menos datos personales. En lo que respecta a la analítica web, Simple Analytics le permite hacer precisamente eso al proporcionarle información sin recopilar datos personales en absoluto. La privacidad es nuestra prioridad, no una ocurrencia tardía.

Creemos que Internet debe ser un lugar independiente y amigable para los visitantes. Si está de acuerdo, ¡pruébenos!