Por Laura del Carre
El mes de mayo ha traído una de las sanciones más mediáticas en materia de protección de datos desde “Schrems I” y “Schrems II”. De nuevo, Meta tiene que asumir una multa, esta vez de 1.200 millones, así como una doble orden de cese de transferencia y cumplimiento del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (en adelante, “RGPD”).
Si rebobinamos un poco hasta 2015, recordaremos el famoso caso “Schrems I” y las consecuencias que tuvo sobre el antiguo marco de garantías para las transferencias internacionales a Estados Unidos, conocido como “Safe Harbor” o acuerdos de Puerto Seguro. Fue un duro golpe para la seguridad jurídica de los responsables de tratamiento, originado con el polémico caso Snowden, pero no iba a ser el último. Unos pocos años después, el Tribunal de Justicia de la Unión Europea (en adelante, el “TJUE”) volvió a la carga con la segunda parte: el caso "Schrems II", que supuso el tiro de gracia que no necesitaban las empresas. Poca vida tuvo el acuerdo sustituto, el Privacy Shield, cuando cuatro años después de su aprobación, fue sentenciado a muerte. El problema radicaba esencialmente en la incompatibilidad de la regulación estadounidense, por lo que respecta al acceso y uso de los datos, con las garantías de protección que exige el RGPD: los motivos “justificados” y “enmarcados en un determinado contexto” de seguridad nacional, lucha contra el terrorismo y los ciberataques, no convencieron.
A raíz de la nulidad del Privacy Shield, y encontrándose en un momento de incertidumbre con respecto a la regulación de las transferencias internacionales de datos, Meta optó, como varias otras compañías, por enmarcar sus transferencias bajo el amparo de las Cláusulas Contractuales Tipo (en adelante, “CCT”) en su versión revisada y aprobada en 2021. De hecho, Meta tomó medidas adicionales al estándar de las CCT. A priori uno podría haber considerado que, al menos, existía debida diligencia y cierto interés por parte de la compañía en conformarse a los requerimientos del RGPD. Después de todo, la alternativa era enfrentarse a una orden de cese por incumplimiento.
Sin embargo, la Autoridad de Protección de Datos irlandesa (en adelante, “DPC”) ha considerado esta estrategia insuficiente para cubrir las deficiencias que se identificaron con la invalidación del Privacy Shield. La decisión, resultado de la participación de todas las Autoridades de Protección de Datos europeas, cubre tres puntos que intentaremos resumir a continuación:
a. Orden de cese de transferencias
Aunque la cuantía de la multa resulta ser un titular muy jugoso, posiblemente el punto más interesante de análisis en esta decisión sea la orden de cese de transferencias.
Es cierto que esta decisión viene en un momento de incertidumbre por lo que respecta a las transferencias internacionales de datos, puesto que las empresas se encuentran en un limbo entre el invalidado Privacy Shield y el aún inoperativo Data Privacy Framework. Por tanto, lo polémico de la decisión no viene porque haya establecido la insuficiencia de la legislación estadounidense (eso era una obviedad de la que partíamos), sino por la inadecuación de las CCT y la imposibilidad de acogerse a alguna de las excepciones que prevé el artículo 49 del RGPD.
Esto deja a Meta sin herramientas para continuar con sus operaciones y con su modelo de negocio, planteando una pérdida económica que bien podría superar los importes máximos impuestos por el RGPD.
Todo esto resulta en una obligación de paralizar toda transferencia a Estados Unidos, en un plazo de doce semanas, a contar desde el fin del plazo de apelación. Sobra decir que, aunque la orden no es realmente de cese “inmediato” en el sentido estricto de la palabra, traducido a la idiosincrasia de una empresa del tamaño de Meta, es casi como si lo fuera.
b. Orden de cumplimiento con los requisitos del RGPD
Habiéndose declarado ilegales las transferencias internacionales realizadas hasta la fecha, la decisión determina la necesidad absoluta de alinearse con los requerimientos del RGPD, a la mayor brevedad.
En este sentido, la DPC no ha sido particularmente explícita en cuanto a cómo proceder; no ha expresado mediada específica concreta de borrado, devolución u otro mecanismo correctivo, más allá de dar la orden de cese “de todo tratamiento ilegítimo, incluyendo el almacenamiento de los datos en Estados Unidos”.
Aunque a primera lectura, esta orden podría interpretarse en el sentido de un borrado de los datos transferidos o incluso una devolución de estos a servidores en Europa, en opinión de algunos expertos estas soluciones no parecen tener mucho sentido cuando tratamos de compañías como la sancionada. En cambio, se ha llegado a plantear la opción de anonimizar o encriptar los datos como medida correctiva.
c. Imposición de multa
Como último punto de estudio está la multa: 1.200 millones de euros que, incluso para el volumen de facturación de Meta, es una sanción apreciable.
Por otro lado, el importe resulta aún más sorprendente si tenemos en cuenta que, en origen, la DPC no tenía intención de multar económicamente. En este punto, la intervención de la Comisión Europea de Protección de Datos (en adelante, la “CEPD”) fue clave, al ser ella la que instó a la DPC a determinar una sanción pecuniaria, por un importe de entre el 20% y el 100% del máximo previsto por el RGPD y en consideración del volumen total facturado por la empresa a nivel mundial.
En efecto, considerando el volumen masivo de datos tratados, así como la extensión en el tiempo de las transferencias, la CEPD consideró que Meta “había cometido una infracción de naturaleza, gravedad y duración significativa”.
Al margen de la exposición que hemos hecho aquí de las claves de la decisión, recomendamos encarecidamente a todo aquel que disponga de tiempo, la lectura completa del texto que ponemos a disposición aquí .
Es muy probable que Meta recurra la sanción y, con acierto, las entidades expertas en la materia vaticinan que la cuestión vuelva al TJUE. Aunque la sanción de la DPC es sólo vinculante para la entidad irlandesa de Meta, lo cierto es que esta sanción ha puesto en el punto de mira a todos los prestadores de servicios de comunicaciones, que ahora necesitan reevaluar su estrategia comercial y sus comunicaciones con las matrices estadounidenses.
Si hay algo claro es que en un mundo tan globalizado y con unas relaciones comerciales tan estrechas con Estados Unidos, es inviable que las transferencias internacionales se frenen en seco sin disponer de mecanismos de garantía adecuados. Desde un punto de vista económico, ninguna gran empresa lo aceptaría. No es competitivo.
Quizás a la tercera vaya la vencida y podamos contar con un marco suficientemente garantista al amparo del Data Privacy Framework.