Por orden de la Unión Europea, Irlanda aplicó este lunes una multa récord a Meta, la empresa controlante de Facebook, Instagram y WhatsApp, por supuesta violación del régimen de protección de datos personales, al no haber suspendido envíos de datos a los Estados Unidos para su negocio de anuncios personalizados.
"La multa de 1.200 millones de euros se produjo por aplicación del Reglamento General de Protección de Datos de la Unión Europea (RGPD)", informa a iProUP Agustín Allende, de Creris Latam.
"Además, la resolución ordena a Meta frenar el envío de datos personales de europeos hasta que Washington provea suficientes chequeos que garanticen un adecuado tratamiento de la información remitida", agrega.
Multa a Meta: respuesta de la compañía
"Meta acaba de anunciar que apelará la decisión adoptada para que sea revisada por los tribunales judiciales europeos", relata Allende.
Según el experto, "la compañía considera injusto haber sido elegida como infractora, cuando miles de otras empresas utilizan el mismo mecanismo legal, cláusulas tipo de transferencia, para poder prestar servicios en la Unión Europea".
"De todos modos, no implica una disrupción para Meta, dado que la decisión involucra períodos de implementación a ser cumplidos durante todo este año", alerta Allende.
Los expertos llaman a actualizar la Ley de Datos Personales
La transferencia de datos gira alrededor del corazón del negocio de las redes sociales: la publicidad personalizada. Las ganancias de las plataformas por la los anuncios online son astronómicas, tal como puntualiza Allende:
- El negocio de las redes sociales movió u$s173.000 millones en 2022
- Esto es producto del proceso de monetización de tales plataformas
- Se apoya en anuncios redireccionados en forma personalizada de las grandes marcas
- La potencial audiencia es de 3.600 millones de usuarios, la mitad de la población mundial
Allende asegura que "la disputa data de mayo de 2018, con el inicio de la vigencia del nuevo reglamento general de protección de datos de la Unión Europea".
"Meta omitió la obligación de contar con el consentimiento expreso de los usuarios respecto a recibir publicidad personalizada (opt-in), mediante la inclusión de una cláusula en los términos y condiciones del servicio", señala.
En este sentido, remarca que "se interpuso un reclamo ante la autoridad de protección de datos personales de ese país, pero intervinieron otras diez naciones europeas y objetaron la decisión adoptada por Irlanda que hizo lugar a la posición de Meta".
Multa a Meta: de qué la acusa la Unión Europea
La nueva acusación a Meta es por la supuesta "violación del régimen de transferencia internacional de datos personales bajo las cláusulas contractuales estándar que sirvieron de base para que los datos de usuarios europeos de los servicios de Meta fueran transferidos a los Estados Unidos", indica Allende.
Según el experto, "esta decisión aduce que Meta de Irlanda continuó transfiriendo datos personales de europeos a Estados Unidos con posterioridad a la sentencia del Tribunal Superior Europeo en el caso Schrems II, de julio de 2020".
Cada vez que se accede a un archivo online hay una posible transferencia de datos personales internacional
Además, resalta que en ese fallo "se consideró ilegítimo el tratado que avalaba transferencia internacional entre la Unión Europea y Estados Unidos, conocido como Privacy Shield".
"Dichas transferencias fueron llevadas a cabo apoyadas en cláusulas actualizadas en 2021 por la Comisión Europea y otras medidas adoptadas por Meta, pero sin cubrir los riesgos para los derechos de los titulares de los datos que señaló el Tribunal Superior Europeo en el caso Schrems II", explica.
"Esta resolución surge del procedimiento de cooperación previsto por las autoridades de protección de datos personales europeos, bajo el cual se acordó que había habido un incumplimiento por Meta respecto de las transferencias internacionales de información que debían ser suspendidas", aclara Allende.
Sin embargo, advierte el experto, " en cuanto a la multa a ser aplicada hubo criterios dispares: la autoridad irlandesa sostuvo que no correspondía aplicar ninguna multa puesto que la sanción era suficiente con la suspensión ordenada a la transferencia internacional de datos, pero otros países consideraron que debía aplicarse una penalidad pecuniaria".
"Esta discrepancia generó la intervención del Comité Europeo de Protección de Datos, el que adoptó su decisión el mes pasado para guiar el criterio a ser adoptado por la autoridad irlandesa.", afirma, y enumera las siguientes resoluciones sobre Meta Irlanda:
- Debe suspender cualquier futura transferencia de datos a EEUU durante cinco meses desde que le es notificada la resolución.
- Se le debe aplicar una multa por 1.200 millones de euros
- Se le debe ordenar que cese el tratamiento ilegal, incluyendo almacenamiento en Estados Unidos de datos personales de usuarios europeos que hayan sido transferidos en violación al RGPD, dentro de un plazo de 6 meses de notificada la decisión
"Mientras tanto esta sanción es decretada, las negociaciones entre la Unión Europea y Estados Unidos avanzan buscando encontrar un instrumento idóneo, que permita el libre flujo de datos entre ambos bloques", sostiene Allende.
Argentina forma parte de un "exclusivo club" de países cuya normativa de protección de datos es aceptada por la UE, pero debe ser actualizada
El experto plantea que "resulta oportuno preguntarse si la UE adoptará un criterio tan intransigente respecto a las transferencias internacionales dirigidas a China, destino que no se destaca por el respeto a la privacidad principalmente en lo que concierne a los tratamientos a cargo de las autoridades estatales".
"Pese a las divergencias existentes en cuanto al tratamiento de datos personales en ambos lados del Atlántico, Meta ha logrado recibir penalidades récords, tanto en la Unión Europea, con la reciente sanción que destrona del ranking a la recibida por Amazon por más de 700 millones de euros; como en EEUU, donde fue multada con u$s5.000 millones por el escándalo de Cambridge Analytica", remarca.
Multa a Meta: qué puede pasar en Argentina
"Los conflictos planteados en materia de transferencias internacional de datos personales deben estar en el radar de todas las organizaciones, puesto que en todas ellas siempre hay alguna transferencia internacional de datos personales involucradas en sus operaciones", subraya Allende.
Según el experto, la habitualidad del mecanismo "está presente en la actividad diaria: por ejemplo, el acceso a un archivo alojado en un servidor en la nube en muchos casos involucra una transferencia internacional de datos".
Además, advierte que "esta sanción aplicada no viene a aportar seguridad jurídica para emplear mecanismo de cláusulas contractuales que impliquen" flujos trasnacionales de datos..
"En el actual contexto, resulta más que gravitante la posición de aquellos pocos y exclusivos países que ostentan la condición de ser considerados con ley adecuada a los fines de las transferencias internacionales con la Unión Europea", manifiesta.
"La Argentina es considerada desde hace 20 años dentro ese exclusivo grupo, que conforman Canadá, Suiza, Japón, Israel, Corea del Sur, Reino Unido y Uruguay", confía el experto, a la vez que alerta: "Es necesario actualizar la ley de protección de datos personales a la nueva realidad tecnológica".