El regulador de datos irlandés ha impuesto a Meta la mayor multa europea por privacidad de la historia. Los mil doscientos millones, conforme la cantidad que se ha conocido esta mañana, superan a los setecientos cuarenta y seis con los que fue sancionada Amazon en dos mil veintiuno, asimismo por temas relacionados con la privacidad. La sanción es por la carencia de garantías de seguridad para los ciudadanos europeos en el traslado de sus datos a EE UU. Como otras grandes tecnológicas, Meta tiene su sede europea en Irlanda, con lo que sus organismos nacionales se hacen cargo de la regulación.

La resolución coincide con el quinto aniversario de la entrada en vigor del Reglamento General de Protección de Datos (RGPD) de la Unión Europea y ha sido festejada por el Consejo de Reguladores Europeos (EDPB, por sus iniciales en inglés). La multa récord, la mayor hasta la data en materia de RGPD de la UE, supone una “señal fuerte a las organizaciones de que las violaciones graves [de las normas europeas] tienen consecuencias de alto alcance”, ha valorado la presidente de los reguladores europeos, Andrea Jelinek. Las infracciones cometidas por la sede europea de Meta en Irlanda “son muy graves”, puesto que se trata de trasferencias de datos “sistemáticas repetitivas y continuas”, ha dicho Jelinek en un comunicado. “Facebook tiene millones de usuarios en Europa, así que el volumen de transferencia de datos personales es masivo”, ha insistido.

La multa surge de las revelaciones de Edward Snowden en dos mil trece. Los documentos que filtró probaban que los servicios secretos de EE UU habían accedido a datos de ciudadanos de otros países por medio de compañías como Google o Facebook. Una demanda del letrado y activista austriaco Max Schrems está en el origen del caso por el traslado de datos.

Meta ya ha contestado que este inconveniente no es solo de su organización y que tienen previsto recurrir a la multa “injustificada e innecesaria”: “No se trata de las prácticas de privacidad de una empresa, existe un conflicto de leyes fundamental entre las reglas del gobierno de EE UU sobre el acceso a los datos y los derechos de privacidad europeos, que se espera que los legisladores resuelvan este verano”, han publicado en un weblog de la compañía el presidente de Asuntos Globales de Meta, Nick Clegg, y la jefe del Departamento Legal, tras conocer la resolución. Ese pacto entre autoridades que espera Meta es el DPF, el Data Privacy Framework, que va a deber regir el traslado de datos entre la UE y EE UU.

También para los representantes de la industria resulta esencial que se cierre cuanto antes el pacto de datos transatlántico por el hecho de que, conforme la Asociación de Industria de Computadoras y Comunicaciones (CCIA), la resolución adoptada ahora “ignora la realidad” y, en los hechos, “hace ilegal la manera que funciona internet, desde videoconferencias a la navegación por internet o el procesamiento de pagos en línea”.

“Esta incertidumbre legal persistirá mientras el nuevo mecanismo de transferencia de datos [entre EEUU y Europa] no sea formalmente aprobada por los Estados miembros”, ha advertido el directivo para Europa de la CCIA, Alexandre Roure.

Desde Bruselas, un portavoz de la Comisión Europea ha dicho que el Ejecutivo europeo “toma nota” de la resolución de Irlanda y ha confirmado que el marco de protección de datos entre Estados Unidos y la UE habría de estar listo “de aquí al verano”.

“Eso garantizará la seguridad y las garantías jurídicas que buscan las empresas, a la par que se garantiza la protección estricta de la vida privada de los ciudadanos”, ha señalado el portavoz, Christian Wigand. “Las garantías que hemos negociado con EEUU y que queremos implementar responden a las cuestiones identificadas específicamente en este caso”, ha indicado.

“Para entender la importancia de estas prácticas, hay que recordar que transferencia es, no solo el envío de datos a EE UU, sino el simple acceso desde EE UU a los datos alojados en servidores europeos”, afirma Jorge García Herrero, letrado experto en protección de datos.

El regulador asimismo pretende prohibir a Meta el traslado de datos de Europa a EE UU, y que borre los que ya se han mandado. Se espera, no obstante, que Meta pueda eludir estas consecuencias por el hecho de que los gobiernos europeo y estadounidense deben firmar el DPF, el pacto que regule este trasvase de datos entre continentes. “Esa orden de no enviar más datos a EE UU en el futuro puede que no sea particularmente significativa porque prevemos un nuevo acuerdo de datos EE UU-UE muy pronto”, afirma Johnny Ryan, responsable de Derechos de la Información en el Irish Council for Civil Liberties. La medida prevé un tiempo de 6 meses de transición y probablemente Meta recurra, lo que prolongará su entrada en práctica.

La multa, conforme la agencia irlandesa, se fundamenta en el uso de una herramienta llamada cláusula estándar establecido [SCC, en sus siglas en inglés] para desplazar los datos europeos a Estados Unidos y que no “afronta los riesgos a las libertades y derechos fundamentales” de los usuarios de Facebook en la UE.

En enero, Irlanda ya sancionó a Meta con trescientos noventa millones por el modo perfecto en que forzaba a sus usuarios de Facebook e Instagram a admitir sus términos de servicio para utilizar sus redes. Esta vez la sanción se refiere solo a Facebook.

Otro detalle substancial de la resolución sobre el borrado de datos ya enviados: “Eso es una nueva bomba en sí misma: parece obvio que Meta no tiene sus sistemas diseñados de modo que se pueda extirpar limpiamente la parte europea”, agrega García Herrero. Pero en Meta ya informan que esa condición está supeditada al pacto supuestamente inminente entre Gobiernos: “Nos complace que el DPC [el regulador irlandés] también haya confirmado en su decisión que no habrá suspensión de las transferencias u otra acción requerida de Meta, como el requisito de eliminar los datos de los interesados de la UE una vez que se haya resuelto el conflicto de leyes subyacente. Esto significará que si el DPF entra en vigencia antes de que expiren los plazos de implementación, nuestros servicios pueden continuar como lo hacen hoy sin ninguna interrupción o impacto en los usuarios”.