Togas.biz

En las últimas semanas, la gigante tecnológica META –propietaria de Facebook, Whatsapp, Messenger e Instagram– ha visto fuertemente cuestionados diversos ámbitos de su actividad, por su posible incompatibilidad con las diversas normativas de privacidad que, como empresa global, afectan a sus servicios a los usuarios de sus redes y soluciones de mensajería.

Decisiones recientemente adoptadas por las autoridades estadounidenses

La reciente decisión del Data Protection Commission irlandesa (IDPC) hecha pública el pasado 22 de mayo, y que más adelante se comenta, ha atraído toda la atención tanto del público en general como de los especialistas en la materia, pero META no sólo está teniendo contenciosos con las autoridades europeas de privacidad.

Así, la Federal Trade Comission[1] adscrita al Gobierno de los Estados Unidos, ha acusado recientemente a META de incumplir el acuerdo de privacidad alcanzado con Facebook en 2020, al haber estado monetizando los datos personales de sus usuarios menores de edad en contra de dichos acuerdos. Mediante su comunicado de 3 de mayo de 2023, la FTC ha explicado que META no ha cumplido con las medidas de seguridad que se acordó implementar para la app Messenger Kids, puesto que ha permitido llamadas grupales de menores con “contactos no aprobados previamente” por sus padres o tutores legales.

Como consecuencia, la FTC ha propuesto múltiples obligaciones de privacidad a META mediante un acuerdo de obligaciones que deberá cumplir en su totalidad, so pena de incurrir en multas que, por lo general, suelen ser de cuantía muy relevantes e incluso superiores a las normalmente impuestas por las autoridades europeas.

La decisión de la autoridad irlandesa de protección de datos

Sin embargo, la atención mediática se ha centrado en la multa impuesta por la IDPC[2] a META Ireland, y que se ha convertido en la mayor sanción administrativa impuesta hasta la fecha en todo el territorio de la Unión Europea desde la entrada en vigor del Reglamento General de Protección de Datos (RGPD).

La IDPC fundamenta su decisión[3] en una cuestión que no sólo afecta a META, sino a la práctica totalidad de transferencias de datos personales hacia los Estados Unidos. Dicha decisión deja constancia de la falta de garantías para la privacidad de los ciudadanos de la Unión Europea que se deriva de dichas transferencias de datos personales, lo que implica un incumplimiento muy grave de las obligaciones que, en esta materia, establece el RGPD, por lo que META ha sido sancionada a pagar una multa administrativa de 1.200 millones de euros.

Dicha sanción viene acompañada de medidas adicionales, en particular la obligación de META de suspender en un plazo de 5 meses sus transferencias internacionales a EE.UU. y ajustarlas a las obligaciones de privacidad establecidas por la normativa europea. Para una lectura minuciosa de la presente decisión, véase el presente enlace de nuestros compañeros de Fieldfisher Reino Unido.

¿Por qué múltiples empresas estadounidenses que proveen servicios a organizaciones en la UE incumplen las garantías de privacidad europeas en lo que se refiere a transferencias internacionales de datos?

El quid es la normativa estadounidense FISA (Ley de Vigilancia de Inteligencia Extranjera), normativa estadounidense a la que sen encuentran sujetas tanto META como muchas otras empresas norteamericanas proveedoras de servicios de comunicación por medios electrónicos. El objetivo principal de esta ley es regular la vigilancia y recopilación de información sobre actividades extranjeras que puedan suponer una amenaza para la seguridad nacional de los Estados Unidos. En base a esta normativa, le gobierno americano puede tener acceso, de forma general e indiscriminada, a datos personales de ciudadanos europeos, sin que éstos puedan ejercer las garantías que la normativa europea les otorga, y que son las siguientes: que dicho acceso está justificado por razones de necesidad, que sea proporcional a dicha necesidad, que esté supervisado por una autoridad independiente, y que se pueda impugnar ante tribunales de justicia independientes.

La normativa americana, en su estado actual, no da respuesta efectiva a estas garantías esenciales de privacidad que la normativa europea exige. La decisión de la IDPC hace un análisis de la nueva normativa EEUU acordada a nivel político y hecha pública el pasado mes de octubre, y conocida como Privacy Framework, normativa diseñada para que los accesos a datos por parte del gobierno americano respeten dichas garantías esenciales europeas de privacidad. Por desgracia, según constata la autoridad irlandesa, el Privacy Framework, a pesar de estar aprobado, no está implementado: faltan por poner en marcha muchas de las medidas que contiene y diseñadas para respetar dichas garantías (en particular, falta que el gobierno estadounidense reconozca a la Unión Europea como “qualifiied country”, es decir, como zona territorial cuyos ciudadanos estarán legitimados para poder utilizar los medios de protección incluidos en el nuevo Privacy Framework).

De acuerdo con lo anterior, los datos personales de interesados europeos que son actualmente transferidos a EE.UU. pueden ser plenamente accesibles por las autoridades gubernamentales norteamericanas de seguridad, si así lo requieren, sin respeto a las garantías europeas de privacidad. Conforme al estado actual de la normativa americana, y hasta que no se implemente de forma completa el nuevo Privacy Framework, ni META ni sus usuarios en la Unión Europea tienen posibilidad alguna de oponerse rente forma efectiva fa requerimientos de acceso de datos por Parte del gobierno americano, ni disponen de mecanismos efectivos para que dichos accesos respeten los principios de privacidad europeos (ni tan siquiera a través de las conocidas Cláusulas Contractuales Estándar aprobadas por la propia UE, aunque la decisión de la IPDC no se pronuncia de forma expresa sobre este aspecto concreto).

Agradecemos a las abogadas Patricia Sánchez de la Torre y Sonia Gracia Castellón, quienes colaboraron con la redacción de este artículo.

Carlos Pérez Sanz



[1] Autoridad reguladora de la protección de los datos personales de EE.UU. (Federal Trade Commission)

[2] Autoridad de Protección de Datos de Irlanda (Data Protection Commission)

[3] https://edpb.europa.eu/our-work-tools/our-documents/binding-decision-board-art-65/binding-decision-12023-dispute-submitted_en