multa de 1.200 millones de euros del GDPR a Meta por la vigilancia masiva de EE.UU. La decisión requirió 10 años y 3 procedimientos judiciales contra el CPD irlandés.
Hoy, un caso de una década de duración (2013 - 2023) sobre la implicación de Meta en la vigilancia masiva estadounidense ha dado lugar a una primera decisión directa. Meta debe detener cualquier nueva transferencia de datos personales europeos a Estados Unidos, dado que Meta está sujeta a las leyes de vigilancia estadounidenses (como la FISA 702). El EDPB había anulado en gran medida la decisión del CPD irlandés, insistiendo en una multa récord y en que los datos transferidos previamente deben ser devueltos a la UE.
- Dado que múltiples medios de comunicación han roto el embargo del CPD para las 12:00 CET, la siguiente información ya no está embargada
- Comunicado de prensa del CPD irlandés
- Decisión del EDPB en el asunto
Golpe importante para Meta. Desde las revelaciones de Edward Snowden sobre la ayuda de las grandes tecnológicas estadounidenses al aparato de vigilancia masiva de la NSA, Facebook (ahora Meta) fue objeto de litigios en Irlanda. Durante diez años, Meta no ha tomado ninguna precaución material, sino que se ha limitado a ignorar al Tribunal de Justicia de la Unión Europea (TJUE) y a la Junta Europea de Protección de Datos (JEPD). Ahora Meta no sólo tiene que pagar una multa récord de 1.200 millones de euros, sino que además debe devolver todos los datos personales a sus centros de datos de la UE.
Max Schrems:"Nos alegramos de esta decisión tras diez años de litigios. La multa podría haber sido mucho mayor, dado que la multa máxima es de más de 4.000 millones y que Meta ha infringido a sabiendas la ley para obtener beneficios durante diez años. A menos que se arreglen las leyes de vigilancia estadounidenses, Meta tendrá que reestructurar fundamentalmente sus sistemas"
FISA 702 sujeta a reautorización. El actual conflicto entre las leyes de privacidad de la UE y las leyes de vigilancia de EE.UU. son también un problema para todos los demás grandes proveedores de nube de EE.UU., como Microsoft, Google o Amazon. La ley de vigilancia estadounidense subyacente (FISA 702) debe ser reautorizada antes de diciembre de 2023. El apetito por cambios materiales puede ser mayor para las grandes tecnológicas estadounidenses, ahora que se ha producido la primera multa importante de las autoridades de protección de datos de la UE. Numerosas decisiones de Francia, Italia y Austria consideraron ilegal el uso de los servicios estadounidenses, pero no incluyeron una multa importante.
Max Schrems:"La solución más sencilla sería establecer limitaciones razonables en la legislación estadounidense sobre vigilancia. A ambos lados del Atlántico se entiende que necesitamos una causa probable y la aprobación judicial de la vigilancia. Sería hora de conceder estas protecciones básicas a los clientes de la UE de proveedores de servicios en la nube estadounidenses. Cualquier otro gran proveedor estadounidense de servicios en la nube, como Amazon, Google o Microsoft, podría verse afectado por una decisión similar en virtud de la legislación de la UE."
Violaciones anteriores: es improbable que prospere el recurso. Esperamos que Meta presente un recurso ante los tribunales irlandeses y, potencialmente, ante los tribunales europeos, aunque las posibilidades de que esta decisión sea materialmente revocada son escasas: El TJUE ya ha decidido que no existía una base jurídica válida para las transferencias de datos UE-EE.UU. en dos casos entre 2007 y 2023. Tampoco hay opción de que un nuevo acuerdo legalice anteriores violaciones de la ley.
Max Schrems:"Meta recurrirá esta decisión, pero no hay ninguna posibilidad real de que se anule materialmente. Las violaciones anteriores no pueden superarse con un nuevo acuerdo entre la UE y EE.UU.. Meta puede, como mucho, retrasar un poco el pago de la multa"
Futuras transferencias: Las esperanzas de Meta en un nuevo acuerdo UE-EE.UU. se tambalean. Para todas las transferencias futuras, Meta espera ahora pasar a un nuevo acuerdo de transferencia de datos entre la UE y EE.UU.. El nuevo acuerdo ya ha sido duramente criticado por el Parlamento Europeopero es probable que entre en vigor después del verano. Sin embargo, estas esperanzas pueden quebrarse pronto. No es improbable que el nuevo acuerdo sea invalidado por el TJUE, al igual que los dos acuerdos anteriores entre la UE y EE.UU. ("Escudo de Privacidad" y "Puerto Seguro"). Estas invalidaciones tienen efecto retroactivo.
Max Schrems:"Meta planea basarse en el nuevo acuerdo para las transferencias en el futuro, pero es probable que esto no sea una solución permanente. Enmi opinión, el nuevo acuerdo tiene tal vez un diez por ciento de posibilidades de no ser anulado por el TJUE. A menos que se arregle la legislación estadounidense sobre vigilancia, es probable que Meta tenga que mantener los datos de la UE en la UE"
Diez años, tres procedimientos judiciales y millones en costes legales. El papel del CPD irlandés en este procedimiento es excepcional, ya que ha intentado sistemáticamente impedir que el caso siguiera adelante; en 2013 rechazó la denuncia original por "frívola", lo que obligó al Sr. Schrems a llegar hasta el TJUE. A continuación, el CPD consideró que no podía emprender acciones, dado que Meta hacía uso de las denominadas "cláusulas contractuales tipo", lo que fue rechazado de nuevo por el TJUE, que dijo al CPD que debía emprender acciones. Por último, el CPD intentó proteger a Meta de una multa y de la supresión de los datos ya transferidos, sólo para ser revocado por el TJUE. En total, estos procedimientos han supuesto unos costes de más de 10 millones de euros; la multa, sin embargo, irá a parar al Estado irlandés.
Max Schrems: "Nos ha costado diez años de litigios contra el CPD irlandés llegar a este resultado. Tuvimos que incoar tres procedimientos contra el DPC y arriesgar millones de costes procesales. El regulador irlandés ha hecho todo lo posible por evitar esta decisión, pero los tribunales y las instituciones europeas la han anulado sistemáticamente. Es un poco absurdo que la multa récord vaya a parar a Irlanda, el Estado miembro de la UE que hizo todo lo posible para que no se emitiera esta multa"
Periodo de aplicación, sin cese inminente de servicios. Anteriormente, Facebook / Meta difundió el rumor de que dejaría de prestar servicios en Europa. Dado que Europa es, con mucho, la mayor fuente de ingresos fuera de los EE.UU. y Meta ya ha construido centros de datos locales en la UE, estos anuncios son poco creíbles. La solución a largo plazo parece ser algún tipo de "red social federada" en la que la mayoría de los datos personales permanecerían en la UE, mientras que sólo continuarían las transferencias "necesarias", por ejemplo cuando un europeo envía un mensaje directo a un amigo estadounidense. Aunque Meta sólo dispone de un breve plazo de aplicación para encontrar una solución, conocía la situación jurídica desde hace diez años y ya recibió un proyecto de decisión en 2022.
Max Schrems:"Las amenazas vacías de Facebook de que dejará de prestar servicios en Europa son irrisorias. Es, con diferencia, el mayor mercado para ellos fuera de Estados Unidos. Una posible opción de cara al futuro sería una red social 'federada', en la que los datos europeos permanezcan en sus centros de datos en Europa, a menos que los usuarios chateen con un amigo estadounidense, por ejemplo"
Es posible que se produzcan más ligitaciones. Demanda colectiva pendiente en los Países Bajos. En virtud de una reciente sentencia del TJUE, los usuarios también podrán reclamar daños emocionales por violaciones menores de sus derechos de protección de datos, como someterlos a vigilancia masiva estadounidense. Este en dar lugar a reclamaciones que pueden superar con creces la sanción actual. Por ejemplo la organización neerlandesa de defensa de los consumidores Consumentenbond está inscribiendo a usuarios neerlandeses de Facebook para que presenten sus reclamaciones por las transferencias de datos entre la UE y EE.UU. Si los usuarios no piden una compensación justa no cambio real. En la actualidad, las autoridades no son muy activas a la hora de hacer cumplir el RGPD, por lo que las organizaciones de defensa de los derechos de los consumidores y los usuarios tienen que actuar. Por eso Animo a todos los usuarios de Facebook en los Países Bajos a registrar sus reclamaciones por posibles daños y perjuicios. Además, este verano también debe aplicarse la Directiva de Recurso Colectivo de la UE, que permitirá por primera vez las acciones colectivas de los usuarios europeos por infracciones del RGPD.
Max Schrems:"Esta decisión puede dar lugar a litigios civiles contra Meta en Europa. Este verano la UE también implementa un nuevo sistema de "acciones colectivas", que puede ser utilizado para violaciones del GDPR."