La autoridad de control irlandesa, la Data Protection Commission (en adelante, DPC) ha sancionado con 1.200 millones a Meta por realizar transferencias de datos internacionales a Estados Unidos.
Las transferencias de datos a Estados Unidos son controvertidas por la preocupación que suscita la privacidad y los datos personales de los ciudadanos europeos. La protección de estos derechos en la Unión Europea se protege con normas estrictas como el Reglamento General de Protección de Datos. Por el contrario, en Estados Unidos además de tener un nivel de protección menor, también tienen un mayor nivel de medidas de vigilancia por parte de las agencias de inteligencia. Estas tienen permitido recoger datos masivos con fines de seguridad e, incluso, pueden llegar a tener acceso a datos de ciudadanos de otros países a través de compañías como Google o Facebook. Esto conlleva que desde Europa haya una gran preocupación por una vigilancia tan invasiva.
Hasta 2020, la Unión Europea y Estados Unidos regulaban las transferencias de datos a través del Privacy Shield (Escudo de Privacidad). En el año 2020 el Tribunal de Justicia de la Unión Europea invalidó el Privacy Shield en la sentencia Schrems II argumentando que el acceso indiscriminado de las agencias de inteligencia a los datos de los ciudadanos europeos era desproporcionado.
Desde entonces se está trabajando en alcanzar un nuevo acuerdo para regular las transferencias, pero por el momento no existe dicho acuerdo.
Meta y otras empresas han seguido realizando transferencias internacionales de datos amparándose en otros instrumentos tales como las Cláusulas Contractuales Tipo aprobadas por la Comisión Europea.
Es preciso recordar que las transferencias internacionales no son únicamente la transmisión de datos, sino también el acceso a los datos desde fuera del Espacio Económico Europeo. Esto implica que, aunque un proveedor de datos estadounidense tenga alojados los datos en Europa, si accede a los mismos desde Estados Unidos se estará produciendo una transferencia internacional de datos.
En esta sanción determina que ni las Cláusulas Contractuales Tipo, ni ninguno de los mecanismos de transferencia previstos en la normativa son suficientes para que se considere una transferencia internacional de datos válida a Estados Unidos porque no compensan por sí solas las deficiencias de la legislación estadounidense.
La DPC ha examinado las Cláusulas Contractuales Tipo, las evaluaciones de impacto sobre las transferencias y las medidas adicionales de Meta y concluye que no proporcionan una protección equivalente a los datos tratados en la Unión Europea, porque si el Gobierno de Estados Unidos hace una petición, Meta está obligada a revelar los datos personales de sus usuarios.
En conclusión, hasta que no haya un nuevo marco regulador de las transferencias internacionales a Estados Unidos, las empresas que realicen transferencias a este país estarán expuestas a sanciones por parte de las autoridades de control al tratarse de un incumplimiento de la normativa de protección de datos.
