El 12 de Mayo de 2023 es la fecha límite para que el principal regulador de privacidad de Meta en Europa adopte una decisión final sobre una queja de casi una década contra las transferencias de datos personales de Facebook de la UE a USA que podría obligar a la empresa a detener el flujo de datos.
La Comisión Irlandesa de Protección de Datos (DPC) confirmó que adoptará su decisión final hoy.
Sin embargo, es normal que haya más demoras (poco más de una semana) antes de que se haga pública la decisión. La fecha de publicación oficial es el 22 de mayo, suponiendo que los detalles no se filtren.
El retraso en la publicación de la decisión adoptada se debe a que Meta tendrá tiempo para revisar el documento para identificar información confidencial y/o comercialmente sensible que podría querer redactar, por un lado, y debido a un festivo público que afecta a otro regulador de la UE involucrado.
La fecha del 12 de mayo para la adopción de la decisión final del DPC sobre la denuncia sigue un cronograma establecido por una decisión de resolución de disputas tomada por el Junta Europea de Protección de Datos el mes pasado.
Aplicando mecanismos integrados en el Reglamento General de Protección de Datos (GDPR), la Junta intervino para resolver el desacuerdo entre varios reguladores de la UE sobre el contenido de la decisión: tomar una decisión vinculante sobre las transferencias de Meta y otorgar al DPC un mes para implementarla.
Todavía no se conoce la decisión de resolución de disputas de la Junta por no haberse hecho pública a la espera de la decisión final del DPC (que la implementará), por lo que el destino de los flujos de datos europeos de Facebook aún está en juego. .
Dicho esto, se espera que se ordene a Meta que suspenda los flujos de datos, dado que la compañía recibió una orden de suspensión preliminar del DPC, en el otoño de 2020.
En ese momento, la empresa obtuvo una suspensión del procedimiento del DPC, lo que ayudó a retrasar el cronograma de aplicación del GPRD hasta que los tribunales irlandeses desestimaron la impugnación de Meta. Posteriormente se produjeron más demoras, cuando el proyecto de decisión del DPC sobre el caso enfrentó objeciones de otras autoridades de protección de datos de la UEy que fueron resueltas finalmente por la decisión vinculante del EDPB el mes pasado.
Esto significa que el proceso de objeciones a la regulación se está quedando sin camino, pero es espera que Meta impugne cualquier orden de suspensión en los tribunales irlandeses.
La compañía ha tratado continuamente de restar importancia a la situación, alegando en su última declaración que «se relaciona con un conflicto histórico entre las leyes de la UE y los USA, que está en proceso de ser resuelto». Que es una referencia a un proyecto de acuerdo entre ambos legisladores para un nuevo marco de transferencia de datos transatlánticos de alto nivel destinado a resolver el conflicto entre las prácticas de vigilancia de los Estados Unidos y los derechos de protección de datos de la UE.
Sin embargo, este marco de privacidad de datos UE-EEUU, como se ha llamado al acuerdo, aún está en proceso de revisión por parte de las instituciones de la UE, que han expresado su preocupación de que no tiene garantías lo suficientemente sólidas. Y, justo esta semana, los legisladores en el Parlamento Europeo reiteraron un llamamiento a la Comisión para que se tome más tiempo para mejorar la propuesta, lo que sugiere que podría haber más demoras en la adopción de un acuerdo en el que Meta parece estar apostando para salvar sus transferencias de datos.
Si bien la cuestión de la suspensión de datos es el tema principal de este caso de GDPR, otros elementos importantes a tener en cuenta en la decisión final de Irlanda incluyen si se ordenará o no a Meta que elimine los datos de los usuarios europeos si se descubre que se han transferido ilegalmente a los EEUU.
En marzo, MLex informó que al menos dos autoridades de protección de datos estaban presionando para ello, y que Meta estaba presionando a las instituciones de la UE contra tal movimiento.
Además de eso, los documentos internos filtrados el año pasado sugirieron que las prácticas de gestión de datos del gigante tecnológico son, por decirlo cortésmente, un desastre. Por tanto, la facilidad con la que Meta podría identificar y aislar los datos de los usuarios europeos, si se le ordenara eliminarlos, es una gran consideración/complicación (y muy cara).
¿Por qué esto es tan importante? Bueno, como recordatorio, recientemente nos enteramos del descubrimiento de un tribunal federal de que Facebook parece no tener forma de purgar retroactivamente los datos de los usuarios. Dijeron que tomaría hasta un año obtener todos los datos de un usuario.
Jason Kint (@jason_kint) 11 de mayo de 2023
Meta, por supuesto, también podría recibir una multa si se descubre que ha transferido datos ilegalmente.
El GPRD puede imponer multas de hasta el 4% de la facturación anual global, aunque, hasta la fecha, Meta ha tenido un éxito considerable al recibir multas muy por debajo del máximo teórico.
El grupo de defensa de los derechos de privacidad, noyb, cuyo fundador, Max Schrems, está detrás de la queja contra la transferencia de datos entre la UE y los EEUU de Facebook, escribió al EDPB (European Data Protection Board) en enero para quejarse del importe de la multa que recibió el DPC a principios de este año. , sobre el procesamiento ilegal de datos de anuncios, argumentando que la sanción de 390 millones de euros era insignificante frente a la escala de las infracciones (de hecho, sugirió que se quedó corta en más de 3500 millones de euros).
De hecho, Irlanda había propuesto un nivel de multa mucho más bajo por esa infracción, de entre 28 y 36 millones de euros, pero el regulador se vio obligado a aumentarlo para implementar la decisión vinculante del EDPB.
Sin esa intervención de la Junta, Meta se habría enfrentado a una aplicación aún más débil de GDPR por procesar ilegalmente millones de datos personales de europeos para publicidad conductual. Por lo tanto, será interesante ver qué nivel de penalización (si corresponde) se incluye en la decisión final de Irlanda sobre las transferencias de datos de Facebook.
Dicho esto, las sanciones financieras impuestas a los gigantes tecnológicos suelen ser menos interesantes que las órdenes operativas que tienen la posibilidad de forzar cambios en los modelos comerciales abusivos. Y aunque Meta sigue extrayendo datos de los usuarios europeos para la orientación de anuncios de comportamiento, al menos se vio obligado a ofrecer una opción de exclusión como resultado de la aplicación del GPRD antes mencionada. Algo que nunca ha hecho antes.
Cómo se podría obligar a Meta a modificar su modelo de negocio para corregir las transferencias de datos transatlánticas ilegales es una pregunta abierta.
Pero no hay duda de que hará todo lo posible para luchar contra cualquier orden de suspensión en los tribunales, por lo que es posible que encuentre una manera de retrasar el tener que actuar el tiempo suficiente para que el marco total de la portería se mueva con la llegada de un nuevo acuerdo de adecuación de datos de EEUU.
Si no, los costes serán reales y significativos.
En una presentación de beneficios con inversionistas el mes pasado, la compañía admitió que una orden para suspender los flujos de datos desde Europa podría afectar al 10% de sus ingresos publicitarios globales.
Obviamente, espera que no llegar a eso, y confía en que el nuevo mecanismo de transferencia de datos UE-EEUU se adopte justo a tiempo. Un portavoz de la compañía se negó a discutir las contingencias si se le ordena suspender los flujos de datos, señalando el «progreso» que han hecho los políticos hacia un nuevo pacto.
Pero incluso si el acuerdo de alto nivel llega lo suficientemente pronto como para evitar el cierre de Facebook en Europa este año, Schrems sugiere que es «probable» que el nuevo marco de alto nivel sea anulado por el tribunal superior del bloque, como lo fueron los dos acuerdos anteriores, por lo que estima que Meta solo «compraría otros dos años más o menos» de dilatación antes de que el asunto vuelva a surgir.
Para una solución a largo plazo, sugirió que Meta necesitará federar la infraestructura de Facebook. Pero una remodelación tan importante de su negocio obviamente también sería muy costosa.
