Introducción
Recientemente, este 25 de mayo, el Reglamento General de Protección de Datos Europeo (GDPR, por sus siglas en inglés) celebró su quinto aniversario desde su entrada. A lo largo de estos años, esta regulación ha sido largamente interpretada por autoridades de protección de datos, profesionales de la materia, empresas y tribunales, generando no pocas polémicas y más dudas sobre su aplicación en un entorno altamente contextualizado y donde la innovación tecnológica supone un gran reto para su aplicación uniforme. A pesar de ello, el GDPR se ha mantenido como el estándar de oro en materia de protección de datos personales. De hecho, muchos países han tomado como referencia el GDPR al rediseñar sus marcos legales en privacidad.1
En vísperas de este aniversario, la Comisión de Protección de Datos (DPC, por sus siglas en inglés) de Irlanda, como autoridad competente para Meta Platforms Inc. (antes conocida como Facebook) concluyó una investigación de oficio a través de la cual sancionó a Meta por incumplimiento del GDPR en la prestación de los servicios de la plataforma Facebook.2 El resultado de esta investigación no sólo se destacó por la cuantía de la sanción económica que es ya histórica, pues asciende a más de 1.2 billones de euros, sino también por la orden de cesamiento en transferencia y tratamiento de datos de Europa hacia Estados Unidos, y por el hecho de que la autoridad irlandesa finalmente demostró firmeza frente a uno de los gigantes tecnológicos bajo su supervisión.3
Esta decisión tiene implicaciones importantes para la transferencia de datos personales de Europa a Estados Unidos y plantea desafíos para otras grandes empresas tecnológicas. En este artículo, exploraremos la resolución de la DPC, proporcionando los antecedentes relevantes y analizando posibles próximos pasos.
El presente: la investigación de la DPC en Irlanda
La investigación de la DPC se inició en 2020 como resultado de la sentencia del Tribunal de Justicia de la Unión Europea (TJUE) en el caso C-311/18 Data Protection Commissioner v Facebook Ireland Limited and Maximillian Schrems, emitida el 16 de julio de 2020. Los resultados de esta investigación eran muy esperados, debido a sus posibles consecuencias en el ámbito de transferencia de datos desde Europa hacia Estados Unidos, un contexto en el que se enmarca la prestación de servicios en la plataforma de Facebook, propiedad de Meta.4
Además de penalizar económicamente a Meta, la resolución de la DPC le impone a esa compañía una serie de medidas cuyo propósito es que los servicios de Facebook cumplan con el GDPR, en específico con su Capítulo V relativo a la transferencia internacional de datos. Esto, por un lado, implica que Meta debe suspender las futuras transferencias internacionales de datos y debe ajustar sus actividades de tratamiento de datos para garantizar su licitud. En caso contrario, Meta deberá detener el almacenamiento de datos en los Estados Unidos. Ambas órdenes están sujetas a dos periodos de gracia, de cinco y seis meses respectivamente.
El tema no es menor. Se trata de la tercera multa impuesta a Meta en Europa desde principios de 2023, y la cuarta en seis meses.5 Para comprender plenamente estos elementos, es necesario recapitular los principales eventos que han llevado hasta el día de hoy. A continuación, se proporcionará un breve repaso de esta saga.
Los antecedentes
Todo se remonta a 2013, cuando Edward Snowden, un ex contratista de la National Security Agency filtró información sobre las actividades de vigilancia llevadas a cabo por el gobierno de su país.6 En medio de este escándalo de espionaje, el entonces estudiante de derecho austriaco —y ahora activista en privacidad— Max Schrems, presentó una queja7 ante la DPC en donde cuestionaba legalidad de las transferencias de datos personales realizadas por Facebook desde la Unión Europea hacia los Estados Unidos en el marco del acuerdo Safe Harbor, un instrumento jurídico utilizado como mecanismo de protección en transferencias internacionales de datos entre Europa y Estados Unidos.
Dado que la DPC se negó a investigar esta denuncia, Schrems apeló la decisión frente tribunales irlandeses, quienes remitieron el asunto al TJUE para que éste respondiera si una autoridad de protección de datos europea (en este caso, la DPC) debía conducir una investigación a petición de parte sobre la aplicabilidad de un instrumento legal como el Safe Harbor, sobre la presunción de que las leyes del país con quien se había firmado dicho acuerdo (los Estados Unidos) no ofrecían un nivel adecuado de protección a los derechos fundamentales de privacidad y protección de datos previstos por la Carta Europea de Derechos Fundamentales. En octubre de 2015, el TJUE no sólo confirmó tal hipótesis, sino que además invalidó el acuerdo internacional referido. Este primer fallo es hoy conocido popularmente como Schrems I.8
Como consecuencia, la Comisión Europea y los Estados Unidos firmaron un nuevo mecanismo de autocertificación llamado Privacy Shield,9 cuya intención era proporcionar garantías adecuadas para las transferencias de datos personales.
Schrems presentó su denuncia una vez más frente a la DPC argumentando que Facebook continuaba con el tratamiento de sus datos, transfiriéndoles ahora sobre la base de cláusulas tipo de protección de datos10 (SCC, por sus siglas en inglés) y cuestionando la efectividad del nuevo acuerdo para la transferencia transatlántica. Los expedientes fueron enviados una vez más al TJUE en abril de 2018 y dos años después, en julio de 2020, el más alto tribunal regional invalidó el Privacy Shield —a este segundo fallo judicial se le conoce como Schrems II—.11
Esta sentencia es tanto una pieza esencial de la jurisprudencia europea en protección de datos como un elemento fundamental para comprender la decisión de la DPC del pasado 22 de mayo. En dicha sentencia, el TJUE analizó los contenidos del Privacy Shield a la luz del GDPR, por lo que respecta a los principios relativos al tratamiento de datos, como a los derechos de los titulares de datos y a las salvaguardas en caso de transferencia.
Entre otros hallazgos, el Tribunal consideró que el nivel de protección a la privacidad de los datos provenientes de Europa almacenados en Estados Unidos no era equivalente al garantizado dentro de la Unión Europea. De hecho, el TJUE opinaba que buena parte del entramado legal en Estados Unidos impedía que los titulares de datos europeos vieran sus derechos tutelados de manera efectiva y que las autoridades nacionales gozaban de suficientes mecanismos para acceder a los datos sin recursos de apelación efectivos al alcance de los titulares de datos que preservaran su privacidad. En particular, y como vuelve a ser de relevancia el día de hoy, dos elementos resultaron críticos en el análisis del TJUE: los poderes instruidos bajo la Federal Intelligence Surveillance Act (FISA), en su sección 702,12 y la figura de electronic communications service provider (ECSP).
La Sección 702 de la FISA13 permite al gobierno estadounidense llevar a cabo una vigilancia selectiva de personas extranjeras situadas fuera de su territorio, con la asistencia obligada de un ECSP para adquirir información de inteligencia extranjera. A su vez, el término “proveedor de servicios de comunicaciones electrónicas” es importante en el contexto de la Sección 702 de la FISA porque se refiere a empresas que prestan servicios de comunicaciones electrónicas al público, como proveedores de correo electrónico, de servicios de Internet y plataformas de redes sociales. Es decir, para que una agencia de cumplimiento de la ley en Estados Unidos solicite la información extranjera, la empresa objetivo de la solicitud debe encuadrar en la definición prevista por la ley para un ECSP.
Es importante destacar que el TJUE no invalidó las cláusulas tipo de protección de datos (las cuales fueron objeto de revisión por la Comisión Europea y adaptadas en junio de 2021 a los diferentes escenarios posibles de tratamiento de datos).14 Sin embargo, el Comité Europeo de Protección de Datos (EDPB, por sus siglas en inglés) complementó esta decisión15 al establecer que el uso de tales cláusulas debía estar sujeto a un examen más riguroso que incluyera el análisis de las leyes aplicables en el país a donde se exportaran los datos, la determinación de posibles mecanismos de protección adicionales que incluían medidas legales, técnicas y organizativas, y una evaluación de riesgo que identificara riesgos residuales. Parte integral de este examen sería la evaluación de impacto de transferencia (Transfer Impact Assessment).16
Meta realizó todas esas medidas. El gigante californiano realizó un rediseño de sus políticas, implementó una copiosa serie de medidas legales, técnicas y organizativas para cumplir con los requisitos de medidas suplementarias de seguridad en las transferencias. Igualmente, la empresa adoptó las nuevas SCC, proporcionó una cantidad significativa de información a los titulares de datos sobre las condiciones de las transferencias y los mecanismos a su alcance para protegerles;17 asimismo, ofreció un panorama sobre los cambios en la práctica de las agencias de inteligencia y aplicación de la ley, y proporcionó información sobre su cumplimiento con el marco legal estadounidense.
El primer proyecto de la decisión de la DPC fue publicado en julio de 2022, el cual sometió a las otras autoridades de protección de datos europeas siguiendo el mecanismo de cooperación previsto en el RGPD. Múltiples autoridades interesadas plantearon objeciones relativas a las medidas correctivas y, en ausencia de consenso, la DPC remitió las objeciones al EDPB. La versión revisada de este proyecto, publicado el 22 de mayo, recoge todos los procedimientos arriba referidos, las últimas etapas ventiladas frente a Meta y Schrems18 y los comentarios de la EDPB (en representación de algunas de las autoridades interesadas).
Aunque los razonamientos de la DPC son numerosos y merecen su lectura por separado, vale la pena apuntar, en contraste con las medidas ofrecidas por Meta mencionadas antes, que las medidas suplementarias no se estimaban efectivas,19 las SCC por sí mismas no podían considerarse un elemento definitivo para garantizar la seguridad de las libertades de los individuos pues constituían un documento contractual vinculante sólo entre las partes que les firmaran; que el cambio en las prácticas recientes de las agencias estadunidenses no representa una transformación real del marco legal y que el estado de las leyes en Estados Unidos aún suponía un riesgo para la privacidad de los datos provenientes de la Unión Europea, tal y como indicó el TJUE en Schrems II.
Es importante destacar que una de las preocupaciones vertidas por la EDPB —y por diversas autoridades de protección de datos formularon sus críticas sobre el proyecto inicial de la DPC era la falta de sanción económica en el proyecto inicial de la DPC. Sobre ello, las autoridades alemana, austriaca, española y francesa enfatizaron la importancia de la multa20 no sólo para castigar a la entidad sancionada, sino para tener un efecto disuasorio en otras posibles infractoras.21
El futuro
Es previsible que Meta apele la decisión de la DPC y que soliciten a las cortes regionales la suspensión de las medidas ordenadas por la DPC, lo cual requerirá una audiencia donde tanto la DPC como la EDPB deberán estar presentes. Como la misma empresa ya anunció a través de un comunicado,22 Meta considera que el elemento fundamental que subyace en este asunto es un conflicto entre las leyes aplicables en Europa y en Estados Unidos, lo cual es actualmente materia de discusión entre las autoridades de los dos bloques y escapa del control de la compañía.
En efecto, el actual debate parlamentario en la Unión Europea gira en torno al proyecto de EU-US Data Privacy Framework23 que muchos esperan ver concluido satisfactoriamente este verano.
En ese sentido, uno de los posibles escenarios paralelos para Meta junto a los recursos legales contra la DPC, es la esperanza de que dicho marco legal sea aprobado y, con ello, la suspensión de transferencias y de actividades de tratamiento de datos europeos en Estados Unidos no se vea interrumpido conforme a lo ordenado por la autoridad de protección de datos ya que dichas transferencias se estarían desarrollando en cumplimiento con dicho marco legal.
Lo contrario supondría una verdadera encrucijada para el modelo de negocio de Meta y su red social Facebook. Como ya se dijo, no es la primera vez que las prácticas de esta empresa son objeto de escrutinio y crítica de los reguladores en Europa.24
Otro tema en vilo y que toca el punto medular de los desafíos a la transferencia de datos transatlántica, es la revisión de la Sección 702 de FISA. Esta disposición legal necesita ser reautorizada por el Congreso de Estados Unidos y hay quienes han solicitado su reforma25 principalmente con el objetivo de hacer obligatoria la existencia de una orden judicial que autorice a las autoridades nacionales a utilizar este recurso para hacerse de inteligencia extranjera, limitar el ámbito de recolección de datos y garantizar mecanismos de defensa efectivos frente a los tribunales especializados.26
Es innegable que esta decisión producirá incertidumbre en aquellas firmas internacionales que colectan datos a través de fronteras y que posiblemente utilizan servicios provenientes de los Estados Unidos —incluso servicios de almacenamiento de datos y de cómputo en la nube en dicho país—. Debemos recordar que muchos de los elementos pugnados por la DPC y el EDPB son materia de crítica en el contexto particular de la infractora, de la operación de su plataforma y prácticas en materia de privacidad. Por otro lado, las medidas adicionales de protección de transferencias del EDPB son todavía parte esencial del programa de cumplimiento en materia de protección de datos y el análisis de riesgo debe considerarse como un pilar que subsiste previo al desarrollo de transferencias internacionales. No es secreto que estos mecanismos técnicos y legales deben ser inherentes y son inseparables de cualquier actividad comercial que impacte un derecho fundamental como el derecho a la privacidad.
Mario Tavares Moyrón. Abogado especialista en regulación de nuevas tecnologías y privacidad. Twitter: @MaeseTM. Las opiniones expresadas representan exclusivamente al autor.
1 Carrillo, A., y Jackson, M. Follow the Leader? A Comparative Law Study of the EU’s General Data Protection Regulation’s Impact in Latin America, De Gruyter, 26 de mayo de 2022.
2 Es importante distinguir que la materia de la investigación se refiere únicamente a Facebook.
3 Desde la entrada en vigor del RGPD, la autoridad de control irlandesa ha sido criticada fuertemente por sus pares europeos (particularmente en Alemania) por su supuesta lentitud en la resolución de sus asuntos y por la falta de severidad en sus sanciones. Como ejemplo, véase la siguiente nota.
4 Data Protection Commission announces conclusion of inquiry into Meta Ireland, Comisión de Protección de Datos, Irlanda, 22 de mayo de 2023.
5 “RGPD: Meta condamné à une amende de 1,2 milliard d’euros, la plus élevée jamais infligée en Europe”, La Tribune, 22 de mayo de 2023.
6 “Edward Snowden: the whistleblower behind the NSA surveillance revelations”, The Guardian, 11 de junio de 2013.
7 La queja original se encuentra aquí.
8 Véase Schrems I. Para leer la sentencia completa, se puede consultar el siguiente enlace.
9 Véase Privacy Shield Program Overview.
10 Las Standard Contractual Clauses son una serie de términos contractuales que se incluyen como parte de un acuerdo de tratamiento de datos o de un contrato comercial, para el efecto de establecer las obligaciones de protección de datos y condiciones mínimas previstas por las partes en una actividad de tratamiento de datos sujeta a transferencia internacional, donde una de las partes se encuentra fuera de la Zona Económica Europea o no ha sido beneficiaria de una decisión de adecuación (artículo 45, RGPD). Véase “Standard contractual clauses for data transfers between EU and non-EU countries”.
11 La sentencia completa, así como la opinión del abogado general del Tribunal, se encuentran en el siguiente enlace. Una muy buena guía para entender esta sentencia se encuentra disponible aquí cortesía de Data Guidance.
13 Véase “Fisa section 702”.
14 Véase “Standard contractual clauses for data transfers between EU and non-EU countries”.
15 Los lineamientos para la implementación de medidas suplementarias para asegurar el cumplimiento con el nuvel europeo de protección de datos personales fueron adoptadas en noviembre de 2020 por el EDPB y están disponibles para su consulta en el siguiente enlace.
16 What exactly is a “Transfer Impact Assessment” (TIA), and where the heck did it come from?, The National Law Review, 30 de marzo de 2022.
17 Véase el detalle de la última promoción procesal de Meta en el procedimiento frente a la DPC en el punto 9.70 de la decisión de la DPC en el siguiente enlace.
18 La organización de defensa de derechos digitales encargada de seguir estos casos es NOYB, fundada por Max Schrems.
19 En la lógica los lineamientos de la EDPB referidos en la nota 15, las medidas técnicas son las de mayor importancia dentro de todas las medidas suplementarias. La DPC anota que las medidas técnicas ofrecidas por Meta no son suficientes a la luz del programa PRISM – FISA Sección 702 (véase la sección 7.195 de la decisión).
20 El monto de la multa se fijó con base en el artículo 83 del RGPD y tomando en cuenta los Lineamientos sobre el cálculo de multas administrativas del EDPB.
21 Véanse las secciones 154, 155 y 156 de la “Decisión vinculante 1/2023 sobre el litigio presentado por la autoridad supervisora irlandesa sobre transferencias de datos por Meta Platforms Ireland Limited para su servicio Facebook”.
22 Véase “Our Response to the Decision on Facebook’s EU-US Data Transfers”.
23 Véase “ European Parliament resolution of 11 May 2023 on the adequacy of the protection afforded by the EU-US Data Privacy Framework”.
24 Tavares Moyron, M., y Jiménez Domínguez, L. “Facebook ante la justicia alemana o cómo reinventar el derecho de la competencia y a la privacidad”, El Juego de la Corte, nexos, julio 16 de 2020.
25 Véase “FISA Section 702: Reform or Sunset”.
26 El Tribunal de Vigilancia de Inteligencia Exterior, es un tribunal especial establecido por FISA cuya función es revisar y autorizar solicitudes de vigilancia de inteligencia extranjera realizadas por agencias de inteligencia y aplicación de la ley. Más al respecto en el siguiente enlace.