Meta, la empresa matriz de Facebook, recibió el lunes (22 de mayo) una multa récord de 1200 millones de euros en virtud del RGPD por transferencias ilegales de datos a los EE. UU. por parte del organismo de control de protección de datos de Irlanda.
Sin embargo, quedan dudas sobre las consecuencias de la decisión para la privacidad del usuario, ya que se firmará un nuevo acuerdo de transferencia de datos UE-EE. UU. antes de que Meta tenga que eliminar los datos de los usuarios de los servidores de EE. UU.
Además, al igual que con multas récord anteriores para grandes empresas de tecnología de EE. UU. bajo GDPR, Facebook todavía tiene numerosas oportunidades para apelar la multa, tanto bajo la ley irlandesa como en el Tribunal de Justicia de la Unión Europea.
Según las condiciones de la multa, Meta tiene hasta el 12 de noviembre de este año para retroceder o eliminar los datos de los usuarios de los servidores de EE. UU., pero es poco probable que tenga que cumplir. Desde marzo de 2022, los funcionarios de la UE y los EE. UU. acordaron los términos políticos del marco de privacidad de datos (DPF) de la UE y los EE. UU., un acuerdo de transferencia de datos establecido para armonizar la legislación GDPR con la recopilación de datos de los EE. UU.
Originalmente programado para ser firmado en julio de este año, Estelle Massé, activista de la ONG de privacidad digital Access Now, le dijo a EUobserver que es probable que se posponga hasta octubre, aún a tiempo para que Facebook no tenga que eliminar los datos de los usuarios de la UE.
“Este [decision] podría no significar mucho para los derechos de las personas”, dijo Massé. “En la práctica, significaría que en realidad Facebook no tendría que hacer nada, porque tendrían una nueva base legal bajo la cual los datos pueden moverse a los EE. UU. y permanecer allí”.
La multa de 1.200 millones de euros es obviamente una gran cantidad de dinero, pero Massé espera que las acciones de Meta no sufran el revés. “Han estado reservando dinero durante bastante tiempo para prepararse para esta multa”, dijo. “Según lo que les dijeron a sus inversores hace apenas un mes, y lo que esperaban [from this fine]espero que las acciones de Facebook suban hoy”.
En abril de este año, Meta emitió una advertencia en su informe de ganancias que hasta el 10 por ciento de sus ingresos publicitarios globales podrían estar en riesgo por la multa emitida por los reguladores irlandeses. “Obviamente, siempre reservaron dinero para esta y muchas otras multas. Creo que habían reservado 1.600 millones de euros, por lo que 1.200 millones de euros fue un buen regalo”, bromeó Massé.
Y eso es si tienen que pagar la suma total en absoluto. De todas las multas sin precedentes emitidas por los legisladores nacionales en virtud del RGPD desde 2016, casi todas aún están en proceso de apelación. “Pasamos la marca de 4.000 millones de euros de multas emitidas bajo el RGPD. Pero si tuviéramos que investigar y comparar cuánto de estas multas se han pagado realmente, no hemos llegado a los 4.000 millones de euros”.
“Es un progreso en el nivel fino”, dijo Massé. Pero al mismo tiempo, puede que no haga mucho por la protección de los datos del usuario.
“Concretamente, el RGPD se trata de proteger las violaciones de protección de datos para las personas. Y lo que se nos dice, como personas, con esta decisión, es que esta empresa ha estado moviendo sus datos ilegalmente, actualmente está reteniendo sus datos en algún lugar ilegalmente, y ahora le damos seis meses para arreglar esa solución, ya sea eliminándola o devolviéndola a donde sea legal para la empresa tenerla, pero la letra pequeña es que dentro de seis meses, podrán mantenerla allí. Entonces significa que estamos aceptando que la situación ilegal continúe durante seis meses más hasta que ya no sea ilegal que hagan eso”, dijo.
Aunque no todo está perdido. El defensor de la privacidad Max Schrems, quien presentó una queja ante los reguladores de protección de datos irlandeses hace una década y ha seguido litigando, dijo en un comunicado que es improbable que el nuevo DPF UE-EE. UU. celebre ante el Tribunal de Justicia de las Comunidades Europeas (TJUE).
“Meta planea confiar en el nuevo acuerdo para las transferencias en el futuro, pero es probable que esto no sea una solución permanente. En mi opinión, el nuevo acuerdo tiene quizás un diez por ciento de posibilidades de no ser eliminado por el TJUE. A menos que se arreglen las leyes de vigilancia de EE. UU. , Meta probablemente tendrá que mantener los datos de la UE en la UE”, dijo Schrems.
También cree que las amenazas de Meta de retirar servicios de la UE como resultado de la regulación de protección de datos son “ridículas”. Europa es el mercado más grande para el gigante de las redes sociales fuera de los EE. UU., por lo que retirarse es una “amenaza vacía”, dijo.
GDPR ha estado en vigor desde 2016, lo que debería haberle dado a Meta, y a otras grandes empresas de tecnología, tiempo suficiente para solucionar los problemas de transferencia de datos. “No me voy a arrepentir de que no estén listos para cumplir con la ley que sabían que venía”, dijo Massé.