Opiniones en Europa acerca de la decisión del DPC irlandés sobre las transferencias internacionales de datos de Meta
25/05/2023Sin duda, la publicación el lunes de la decisión de la Comisión de Protección de Datos de Irlanda (Data Protection Commission - DPC) sobre las transferencias internacionales de datos de Meta Irlanda (anteriormente Facebook) tiene consecuencias contundentes. Aunque el total de la multa (1.200 millones de euros) acapara titulares, la resolución también incluyó una orden que requiere que Meta suspenda futuras transferencias y cumpla requisitos en sus operaciones de procesamiento, cesando el procesamiento ilegal de datos de usuarios de la UE / EEE. Si bien a primera vista, la decisión del lunes solo es vinculante para Meta, la resolución no solo tendrá implicaciones para esta compañía, y que también irá más allá de las transferencias de datos a los Estados Unidos.
A continuación, miembros de nuestro equipo europeo proporcionan sus opiniones iniciales sobre las implicaciones de la decisión.
Paul Voigt de Taylor Wessing Alemania
Los reguladores alemanes han sido clave, argumentando a favor de las enmiendas de la decisión inicial del DPC irlandés. También han estado presionando fuertemente por una multa muy alta a Meta. Según las autoridades alemanas, se habría sentado un mal precedente si Meta no hubiera sido multada: esto se debe a que Meta conocía los problemas relacionados con sus transferencias de datos a los Estados Unidos, pero optó por continuar con ellas.
Los reguladores alemanes criticaron la posición de Meta ya que, en lugar de tomar medidas, Meta prefirió esperar hasta el próximo Marco de Privacidad de Datos entre la UE y los Estados Unidos (que, al aprobarse, permitirá las transferencias transfronterizas de datos de la UE a los Estados Unidos en el futuro). Además de la multa, los reguladores alemanes también abogaron por la obligación de Meta de eliminar los datos que ya habían sido transferidos ilegalmente a los Estados Unidos. La obligación de eliminar datos puede seguir siendo un problema para Meta, incluso después de que el Marco de Privacidad de Datos se convierta en una ley, como una solución de transmisión de datos disponible para las transferencias de datos entre el EEE y EE. UU.
Esto significa que, si bien los reguladores alemanes no han ejecutado activamente los requisitos de Schrems II, y hasta ahora los reguladores alemanes no han emitido multas relevantes por dicho incumplimiento, la cuestión de las transferencias transfronterizas de datos sigue siendo una prioridad clave para los reguladores alemanes de protección de datos.
Teresa Pereyra de ECIJA España
En el momento de redactar este informe, la AEPD (Agencia Española de Protección de Datos) no ha emitido ningún pronunciamiento, u opinión sobre la decisión del DPC sobre Meta, ni se espera que lo haga (más allá de un comunicado de prensa o similar anunciando la publicación de la decisión) en un futuro próximo. De hecho, la AEPD hasta ahora no ha emitido ningún dictamen, decisión o evaluación de la sentencia Schrems II.
Sin embargo, cabe destacar que la AEPD es la autoridad supervisora más activa de la Unión Europea (emitiendo el 40,2% del total de sanciones impuestas en 2022 en el Espacio Económico Europeo), aunque sería poco probable que emitiera sanciones tan significativas como la impuesta a Meta. La AEPD española fue la primera autoridad en sancionar a Facebook en Europa, aunque no ha evaluado ni sancionado las transferencias internacionales de datos de Facebook en sus últimas resoluciones.
Aunque la AEPD no ha iniciado hasta ahora una acción regulatoria sobre la legalidad de las transferencias internacionales de datos, esto no significa que no vaya a sancionar a las entidades en esta área de cumplimiento en el futuro. En nuestra experiencia y de observar la práctica sancionadora de la AEPD, consideramos que, al tomar sus decisiones, se centra especialmente en las prácticas de diligencia de las entidades investigadas. Por lo tanto, nuestra recomendación es que las empresas se centren en mantener medidas para demostrar el cumplimiento del principio de responsabilidad bajo el RGPD y mantener registros asociados.
Marc Schuler de Taylor Wessing Francia
En el marco del litigio sometido al CNIL (Commission Nationale de l'Informatique et des Libertés), se opuso enérgicamente al proyecto de decisión emitido por el DPC. Abogó por la imposición de una multa administrativa a Meta además de la suspensión de las transferencias de dato, considerando que tal multa debe tener efectos punitivos y actuar como un incentivo para el cumplimiento para otros controladores que transfieren datos personales en condiciones similares. La CNIL francesa insistió además en el hecho de que la infracción era una violación particularmente grave en vista del impacto de las prácticas de Meta en la privacidad de los interesados, exponiendo un volumen masivo de datos personales a los programas de vigilancia del Gobierno de los Estados Unidos, y también que tal infracción debería considerarse deliberada.
La CNIL ha demostrado, en decisiones previas, su capacidad para imponer fuertes multas y órdenes en casos de infracción de RGPD. También ha emitido cartas de requerimiento a los publicadores de sitios web en relación con el uso de Google Analytics en la medida en que resultó en la transferencia de datos personales a los Estados Unidos sin las garantías adecuadas.
Otto Sleeking de Taylor Wessing Holanda
Dado que la decisión del DPC irlandés de multar a Meta se basó en la decisión vinculante de resolución de litigios del CEPD de 13 de abril de 2023, es pertinente para todos los Estados miembros de la UE. Dicho esto, es difícil imaginar que la Autoridad Neerlandesa de Protección de Datos (Autoriteit Persoonsgegevens, AP) imponga multas como estas en un futuro próximo. Por un lado, la AP holandesa no suele imponer multas rápidamente, y cuando se aplican multas, generalmente son bastante bajas en comparación con las multas en otros Estados miembros de la UE (es especial Francia y Alemania).
Por lo tanto, no esperamos que esta “supermulta” desencadene inmediatamente un enfoque diferente para los Países Bajos. Además, la AP holandesa no ha sido muy explícito sobre el tema de las transferencias internacionales de datos desde la decisión Schrems II, y aún no ha tomado una decisión sobre el uso de Google Analytics, por ejemplo. También parece poco probable una suspensión de las transferencias de datos, aunque esto parece una consecuencia lógica de no cumplir con la ley sobre transferencias de datos.
Esperamos que, independientemente de la decisión del DPC irlandés, la APD holandesa continúe evaluando las transferencias de datos caso por caso. Por lo tanto, las empresas deben seguir pudiendo transferir datos fuera de la UE, siempre que sigan todos los pasos necesarios, como aplicar evaluaciones de riesgos de transferencia y utilizar resguardos adecuados además de los SCC (Standard Contractual Clauses) apropiados cuando sea necesario.
Victoria Hordern, Taylor Wessing Reino Unido
Es poco probable que el Reino Unido adopte el mismo enfoque que el DPC al tratar con las transferencias internacionales de datos. Dado que el Reino Unido ya no es miembro de la UE, la decisión del DPC no vincula al regulador del Reino Unido, el ICO (Information Commissioner's Office).
Sabemos que ICO aún no ha tomado medidas de cumplimiento regulatorio contra una empresa por incumplimiento de las normas sobre transferencias internacionales de datos. El ambiente de la orientación de ICO y la dirección de la reforma de la ley de protección de datos del Gobierno del Reino Unido también sugiere que el regulador no priorizará las investigaciones o la aplicación de la normativa en el área de transferencias internacionales de datos a menos que exista un daño significativo.
En otras palabras, es poco probable que el incumplimiento técnico de las normas (en ausencia de un perjuicio evidente) atraiga por sí mismo el escrutinio de la ICO. Por lo tanto, aunque las empresas británicas que transfieren datos a Estados Unidos deben atenerse a la ley para establecer los resguardos adecuados (como un mecanismo de transferencia contractual reconocido) y llevar a cabo evaluaciones del riesgo de transferencia, es poco probable que cualquier denuncia equivalente presentada ante la ICO sobre transferencias a Estados Unidos dé lugar a un escrutinio y aplicación tan detallados.
¿Qué significa esto?
Esta decisión se ha hecho esperar, aunque la sentencia final no era inesperada dada la posición de la CEPD, la sentencia Schrems II del Tribunal de Justicia de la UE y el estado actual de la legislación estadounidense. Esta medida reglamentaria catapulta las transferencias internacionales de datos al primer puesto de prioridad para las autoridades de protección de datos de la UE y convierte el cumplimiento de la normativa en un campo minado.
Es importante recordar que esta sentencia no prohíbe en sí misma las transferencias de datos a Estados Unidos. Pero sí señala que existen múltiples desafíos para (i) una transferencia de datos a EE.UU. cuando el destinatario es un proveedor de servicios de comunicaciones electrónicas en virtud de la s. 702 de la FISA, o (ii) una transferencia de datos a cualquier otro país no perteneciente al EEE y no adecuado con una legislación o práctica equivalente.
Sin embargo, como demuestra nuestra encuesta realizada a expertos de países europeos, es poco probable que la decisión del CPD provoque una oleada de acciones equivalentes en toda Europa. La decisión confirma que las empresas europeas que transfieren datos personales a EE.UU. pueden seguir basándose en las cláusulas contractuales de la UE, siempre que lleven a cabo evaluaciones del impacto de la transferencia y, en caso necesario, apliquen las medidas complementarias adecuadas. Al hacerlo, querrán diferenciar sus circunstancias en la medida de lo posible de las de Meta. Con el tiempo, las transferencias de datos de la UE a los EE.UU. deberían ser más fluidas una vez que esté disponible el Marco de Privacidad de Datos, aunque el propio DPF está, por supuesto, abierto a desafíos.
El equipo de expertos en protección de datos de ECIJA - Taylor Wessing está disponibles para ayudar con cualquier pregunta.
Área de Comunicaciónes de ECIJA
Telf: + 34 91.781.61.6
