La Autoridad de Protección de Datos de Irlanda multa a Meta por transferir datos a los EE. UU. y suspende esas transferencias

23-05-2023 — AR/2023/057

La autoridad irlandesa multa a Meta Platforms Ireland Ltd. (la matriz de Facebook, WhatsApp e Instagram en Europa) con 1.200 millones de euros por no reforzar la protección de los datos de usuarios europeos en las transferencias a sus servidores de fuera de la UE.

La Autoridad de Protección de Datos de Irlanda, por decisión fechada el 12-5-2023,  ha sancionado a Meta Platforms Ireland Ltd. con una multa de 1.200 millones de euros por no reforzar adecuadamente las «cláusulas contractuales tipo» para proteger los datos de sus usuarios en Europa de la interferencia de las autoridades estadounidenses cuando los transfiere a los EE. UU.

En el procedimiento sancionador ha tenido que intervenir el Comité Europeo de Protección de Datos (CEPD) con una resolución vinculante (Binding Decision 1/2023) ante la oposición ejercida por las autoridades de protección de datos de Austria, Hamburgo, Alemania, España y Francia a la propuesta de resolución.

Con esta son nueve las ocasiones en las que interviene el CEPD por la oposición de otras autoridades de control a la propuesta de resolución sancionadora (ocho de las cuales se han planteado frente a la autoridad de control irlandesa y siete de ellas en asuntos referidos a los servicios de Meta: Facebook, WhatsApp e Instagram).

La sanción

Esta es la sanción más alta que se ha impuesto hasta el momento por infracciones del reglamento general de protección de datos1  (RGPD).

La decisión afirma que Meta ha infringido el artículo 46 del RGPD al continuar transfiriendo datos personales del Espacio Económico Europeo a los EE. UU. después de las sentencias del Tribunal de Justicia de la Unión Europea (TJUE) de 2015 y 2020.

Sentencias del TJUE por los «casos Schrems»

Estas sentencias, conocidas como «sentencias Schrems» por el apellido del recurrente, concluyeron que:

  • las transferencias a otros Estados solo pueden hacerse si el país de destino dispone de garantías adecuadas para un nivel de protección de datos esencialmente equivalente al que asegura la Unión Europea, y
  • la legislación de los EE. UU. atribuye a ciertas agencias (FBI, CIA y la NSA) unas competencias extraordinarias de investigación que limitan los derechos de los interesados de forma desproporcionada y, además, no ofrece recursos legales efectivos para su defensa ante una autoridad independiente.

Según estas sentencias, las cláusulas contractuales tipo no bastan para compensar estas carencias en el nivel de protección de datos y Meta tenía que haber implementado medidas de protección adicionales para compensarlas.

Alegaciones de Meta

Meta solicitó en el procedimiento que se considerara la Orden Ejecutiva 14086 del Presidente de los EE. UU. sobre el refuerzo de las salvaguardias de las actividades de inteligencia de señales, publicada el 7-10-2022, y el reglamento del Fiscal General de los Estados Unidos que regula el Tribunal de Revisión de Protección de Datos instituido por esa orden ejecutiva.

Los organismos de la UE consideraron que estas dos normas constituían un paso decisivo para  alcanzar un acuerdo entre la UE y los EE. UU. y, de hecho, la Comisión Europea puso en marcha el proceso para emitir una decisión de adecuación del marco de protección de datos entre los EE. UU. y la UE el 13-12-2022, que facilitaría las transferencias internacionales de datos.

Sin embargo, esta decisión de adecuación todavía no está aprobada.

En todo caso, no podemos olvidar que el 14-2-2023 la comisión LIBE notificó a la Comisión Europea una moción sobre el marco de privacidad de datos entre los EE. UU. y la UE instándole que continuara con las negociaciones para alcanzar un nivel de protección equivalente. En definitiva, la comisión LIBE considera insuficientes las salvaguardias aprobadas por el Presidente de los EE. UU. para lograr la protección adecuada.

Consideraciones de las autoridades europeas

El CEPD y la Autoridad de Protección de Datos de Irlanda no han considerado oportuno analizar la suficiencia de las garantías de estas normas y se han limitado a afirmar que no pueden tener efectos retroactivos para alterar las circunstancias y conclusiones definidas al inicio del procedimiento sancionador.

La autoridad irlandesa, por ello, impone una multa de 1.200 millones de euros a Meta y, además, le ordena suspender las transferencias internacionales de datos a los EE. UU. y cesar de tratar ilegalmente los datos.

Esta orden de suspensión será efectiva en un plazo de cinco meses contados desde la notificación de la resolución sancionadora. Meta tiene, por tanto, un plazo de tiempo muy corto para buscar una solución a las transferencias de datos, o estaría forzada a suspender su actividad en la UE.

Situación actual de la decisión de adecuación y sus efectos

El proceso de decisión de adecuación de las transferencias de datos a los EE. UU., anunciado en diciembre de 2022 por la Comisión, que establecería la suficiencia de la mejora de la protección de datos de los ciudadanos europeos con la Orden Ejecutiva 14086 y el Reglamento del Tribunal de Revisión de Protección de Datos, requiere aún una valoración oficial de estas normas, pendiente de resolución en la Comisión Europea.

Sin embargo, la imposición de estas sanciones incrementa de forma muy notable la presión sobre las empresas españolas, y europeas en general, puesto que pone de manifiesto que las autoridades de control, y en concreto nuestra Agencia Española de Protección de Datos, no van a respetar la conclusión del proceso de decisión de adecuación para decidir acerca de si existe o no una infracción de protección de datos cuando se confía en las reformas citadas de los EE. UU.


1 Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE.
Iniciativas relacionadas