La empresa matriz de Facebook, Meta, ha sido multada con un récord de 1.3 millones de dólares por los reguladores de protección de datos de la Unión Europea por transferir los datos personales de los usuarios de la región a Estados Unidos.
En una decisión vinculante tomada por el Comité Europeo de Protección de Datos (CEPD), se ordenó al gigante de las redes sociales que cumpla con el GDPR y elimine los datos almacenados y procesados ilegalmente en un plazo de seis meses.
Además, a Meta se le ha dado cinco meses para suspender cualquier transferencia futura de los datos de los usuarios de Facebook a los EE.UU. Instagram y WhatsApp, que también son propiedad de la compañía, no están sujetos a la orden.
«El CEPD encontró que la infracción de Meta IE es muy grave ya que se refiere a transferencias que son sistemáticas, repetitivas y continuas», dijo Andrea Jelinek, presidenta del CEPD, en un comunicado.
«Facebook tiene millones de usuarios en Europa, por lo que el volumen de datos personales transferidos es enorme. La multa sin precedentes es una fuerte señal para las organizaciones de que las infracciones graves tienen consecuencias de largo alcance».
Las autoridades europeas de protección de datos han enfatizado repetidamente la falta de protecciones de privacidad equivalentes a las de GDPR en los Estados Unidos, lo que podría permitir a los servicios de inteligencia estadounidenses acceder a los datos pertenecientes a los europeos en virtud de que se envían a servidores ubicados en los Estados Unidos.
El fallo se deriva de una queja legal presentada por el activista de privacidad austriaco Maximilian Schrems, fundador de NOYB, hace casi una década en junio de 2013 por preocupaciones de que los datos de los usuarios de la UE no están suficientemente protegidos de las agencias de inteligencia de Estados Unidos cuando se transfieren a través del Atlántico.
«La solución más simple serían limitaciones razonables en la ley de vigilancia de Estados Unidos», dijo Schrems. «Hay un entendimiento en ambos lados del Atlántico de que necesitamos una causa probable y la aprobación judicial de la vigilancia.
«Sería hora de otorgar estas protecciones básicas a los clientes de la UE de los proveedores de nube de Estados Unidos. Cualquier otro gran proveedor de nube de Estados Unidos, como Amazon, Google o Microsoft, podría ser golpeado con una decisión similar bajo la ley de la UE.
«Meta planea confiar en el nuevo acuerdo para las transferencias en el futuro, pero es probable que esto no sea una solución permanente», agregó Schrems. «En mi opinión, el nuevo acuerdo tiene tal vez un diez por ciento de posibilidades de no ser asesinado por el TJUE. A menos que se arreglen las leyes de vigilancia de Estados Unidos, Meta probablemente tendrá que mantener los datos de la UE en la UE».
Schrems también acusó a la Comisión de Protección de Datos de Irlanda (DPC) de intentar constantemente bloquear el caso para que no siguiera adelante y tratar de proteger a Meta de ser abofeteada con una multa y tener que eliminar los datos que ya se han transferido, los dos últimos de los cuales han sido anulados por el CEPD.
Meta, en respuesta, dijo que tiene la intención de apelar el fallo, calificando la multa de «injustificada e innecesaria» y que existe un «conflicto fundamental de leyes» entre las normas del gobierno de Estados Unidos sobre el acceso a los datos y los derechos de privacidad europeos.
«Sin la capacidad de transferir datos a través de las fronteras, Internet corre el riesgo de dividirse en silos nacionales y regionales, restringiendo la economía global y dejando a los ciudadanos de diferentes países sin poder acceder a muchos de los servicios compartidos en los que hemos llegado a confiar», dijeron Nick Clegg y Jennifer Newstead de Meta.
El año pasado, la compañía advirtió que si se le ordenaba suspender las transferencias a los Estados Unidos, podría tener que dejar de ofrecer «varios de nuestros productos y servicios más importantes» en la UE. Según el Wall Street Journal, se espera que se finalice un nuevo acuerdo transatlántico de transferencia de datos como reemplazo del Escudo de privacidad a finales de este año.
La multa constituye la más grande jamás impuesta bajo las leyes de privacidad GDPR de la UE, eclipsando la multa de € 746 millones ($ 886.6 millones en ese momento) previamente repartida a Amazon en julio de 2021 por violaciones de privacidad similares.
El desarrollo también marca la tercera multa monetaria emitida por el DPC solo este año. En enero, el organismo de control impuso una multa de 390 millones de euros por su mal manejo de la información de los usuarios para publicar anuncios en Facebook e Instagram.
Dos semanas después, fue multado con 5,5 millones de euros por violar las leyes de protección de datos al obligar a sus usuarios a «dar su consentimiento para el procesamiento de sus datos personales para la mejora y seguridad del servicio» y «condicionar la accesibilidad de sus servicios a que los usuarios acepten los Términos de servicio actualizados».
Fuente: https://thehackernews.com