Facebook vuelve a ser sancionado. En este caso, con 1.200 millones de euros. Los datos de los europeos, sólo deben emplearse en Europa, y no en EE UU.
Europa vs EE UU Nuestros datos, el arma arrojadiza. Es la nueva contienda del siglo XXI: el poder del dato. Detrás de los parámetros legales que justifican dicha sanción, se intuye una evidente pugna por la geopolítica del algoritmo, el gobierno de las cookies, por el mando mundial en el neuromarketing.
Ahora bien, para entender y evitar así la parálisis por tanto análisis, primero hay que conceptualizar. Hay que partir de un parámetro básico esencial: el algoritmo, como tal, es “información pública” para el ámbito español (artículo 13 de la Ley 19/2013 de 9 de diciembre). Este matiz es fundamental a efectos de entender posteriores interpretaciones prácticas diarias (cfr. Resolución CTBG 058/ de 20 de mayo de 2021 y GAIP n.200 de 21 de junio de 2017).
En el ámbito europeo, la multinacional estadounidense Meta Platforms, propietaria de Facebook, Instagram y WhatsApp, ha sido sancionada con una multa de 1.200 millones de euros por la Comisión de Protección de Datos de Irlanda (DPC). La sanción, además de la obligación de pago, conlleva, a su vez, la suspensión de cualquier transferencia futura de datos personales a los EE UU durante los cinco meses siguientes a partir de la fecha de notificación de la decisión del DPC.
Este contexto actual coincide con el quinto aniversario de la entrada en vigor del Reglamento General de Protección de Datos (RGPD) de la UE. Entre otras sanciones, permite imponer multas de hasta el 4% de los ingresos anuales de una empresa por las infracciones más graves.
En este sentido, la sanción se centra, principalmente, en el siguiente parámetro legal: ” si bien Meta Ireland efectuó esas transferencias sobre la base de cláusulas contractuales estándar (SCC) actualizadas que fueron adoptadas por la Comisión Europea en 2021 junto con medidas complementarias adicionales que implementó Meta Ireland, el DPC entiende que estos matices no abordan los riesgos para los derechos y libertades fundamentales de los interesados identificados por el Tribunal de Justicia de la Unión Europea (TJUE) en su sentencia”, además de tratarse de transferencias “sistemáticas, repetitivas y continuas”.
Dicha sanción se basa en la vulneración del artículo 46 RGPD en los siguientes términos. “La decisión registra que Meta Ireland infringió dicho precepto cuando continuó transfiriendo datos personales de la UE/EEE a los EE.UU. tras la emisión de la sentencia del TJUE en el asunto Comisionado de protección de datos contra Facebook Ireland Limited y Maximillian Schrems”, expone la autoridad sancionatoria irlandesa.
A su vez, dicha sanción se ve aumentada por el gran almacenamiento de datos que tiene dicha empresa en Europa, “Facebook tiene millones de usuarios en Europa, por lo que el volumen de datos personales transferidos es enorme. La multa sin precedentes es una fuerte señal para las organizaciones de que las infracciones graves tienen consecuencias de largo alcance”, añadió.
Desde la multinacional americana han anunciado que la empresa apelará la sentencia, incluida la multa “injustificada e innecesaria”, solicitando la suspensión de las órdenes por vía judicial. Eso sí, dicha sanción no conlleva una interrupción inmediata de Facebook en Europa.
“El DPC inicialmente reconoció que Meta había continuado con sus transferencias de datos UE-EE.UU. de buena fe, y que una multa sería innecesaria y desproporcionada (…) Esta decisión es defectuosa, injustificada y sienta un precedente peligroso para las innumerables empresas que transfieren datos entre la UE y los EE.UU.”, alega la multinacional americana.
En realidad, el casus belli responde a un enquistado conflicto internacional de leyes. Por un lado, las reglas del Gobierno de los EE UU sobre el acceso a los datos y, por otro lado, los derechos de privacidad europeos.
No cabe duda de que nos enfrentamos a un contexto crucial en el devenir de la logística 3.0. Internet se basa en la universalización —que no globalización— de su operativa. Si se opta por una regionalización del uso del dato, la actual operativa de internet perdería gran parte de su valor añadido.
Por ello, la inseguridad jurídica actual seguirá persistiendo mientras este nuevo mecanismo de transferencia de datos no haya sido aprobado formalmente por los Estados miembros de la UE.
Sin seguridad jurídica, se genera inseguridad general. Europa quiere hacerse valer frente al resto del Mundo a través de los derechos fundamentales. Por otro lado, EE UU prioriza de otra manera, tomando como referencia sólo el crecimiento económico.
En definitiva, la geopolítica del dólar vs la geoestrategia del derecho. En resumen, nos sobran estadísticas y nos faltan estadistas.
Pedro Fdez-VIllamea Alemán. Responsable Legal & Compliance Gees-Spain. Formador y consultor legal y estratégico.