Meta Ireland ha sido multada con 1.200 millones de euros por la Comisión de Protección de Datos de Irlanda por incumplimiento del RGPD en relación a las transferencias de datos entre la UE/EEE y EEUU
Meta Platforms Ireland Limited (“Meta Ireland”, anteriormente Facebook Ireland Limited) ha sido multada con 1.200 millones de euros por la DPC en Irlanda por transferir datos personales de la UE/EEE a EEUU en relación a la plataforma de Facebook sin implementar medidas adicionales adecuadas. La DPC, que actúa como la autoridad de control principal para Meta en la UE, consideró que el gigante tecnológico no había cumplido con los requisitos del Artículo 46 (1) del RGPD en conexión con la sentencia del TJUE en el caso Schrems II. Según el comunicado de la DPC, Meta cuenta con cinco meses para “suspender cualquier transferencia de datos a EEUU” y con seis meses para cesar “el tratamiento ilegítimo de datos, incluido el almacenamiento en EEUU de datos de usuarios europeos que hayan sido transferidos sin cumplir con el RGPD”. En consecuencia, Meta tendrá que mover los datos personales de usuarios europeos que actualmente estén almacenados en sus servidores en EEUU.
La DPC determinó que Meta no contaba con las garantías adecuadas para transferir datos personales a Estados Unidos y que no había abordado de forma adecuada los riesgos vinculados a las mismas.
Tras la sentencia del TJUE en el caso Schrems II, cualquier transferencia de datos personales a un tercer país que se base en Cláusulas Contractuales Tipo o Normas Corporativas Vinculantes deberá acompañarse de la necesaria evaluación de riesgos para identificar si el país de destino garantiza un nivel de protección de datos equivalente a aquel proporcionado por el RGPD y para determinar las medidas adicionales que deberán aplicarse a fin de proteger los derechos y libertades de los interesados. Conforme al DPC, si bien Meta utilizaba estas herramientas, las mismas se habían implementado de forma que no abordaban los riesgos vinculados a la transferencia.
La naturaleza de las transferencias y la gran cantidad de datos afectados fueron elementos decisivos en la resolución
En la publicación del CEPD, Andrea Jelinek, la presidenta del CEPD indicó que la infracción cometida por Meta “es muy grave porque afecta a transferencias sistemáticas, repetitivas y continuas. Facebook tiene millones de usuarios en Europa, con lo que el volumen de datos personales transferidos es masivo. Esta multa sin precedentes es un claro mensaje para las organizaciones sobre las consecuencias que pueden derivarse de las infracciones graves”. Este caso también muestra que la utilización de Cláusulas Contractuales Tipo junto a una evaluación de riesgos no son necesariamente garantías suficientes para asegurar la legitimidad de las transferencias internacionales. El responsable deberá llevar a cabo un análisis caso por caso que tome en cuenta todos los elementos clave de la transferencia concreta, incluida la naturaleza y finalidad de la misma y el tipo y cantidad de datos transferidos, con el objetivo de confirmar que las medidas implementadas proporcionan una protección efectiva frente a los riesgos identificados.
La resolución de la DPC puede tener implicaciones significativas para otras empresas.
Las transferencias internacionales de datos personales se encuentran en el foco de las autoridades de control europeas en relación a la aplicación del RGPD y el hecho de que esta multa sea la más alta de todas la sanciones impuestas bajo el RGPD demuestra la importancia de que las empresas y organizaciones que transfieran datos a terceros países prioricen sus prácticas de cumplimiento en este campo. Mientras que la UE y EEUU están trabajando en un nuevo marco de privacidad, las Cláusulas Contractuales Tipo o las Normas Corporativas Vinculantes junto a la evaluación de riesgos as actualmente el único mecanismo que puede garantizar la transferencia legítima de datos a EEUU o a cualquier otro país fuera de la UE/EEE.