El Data Protection Commissioner, autoridad irlandesa de protección de datos, ha puesto una multa de 1.200 millones de euros por infracción del RGPD, al considerar que no se protegen los datos de los usuarios en sus transferencias internacionales de datos (TID) entre sus servidores en la UE y los ubicados en EE.UU.
Este es un problema que se viene arrastrando desde el primer acuerdo para la transferencia internacional de datos entre EE.UU y la UE (SafeHarbor), que fue tumbado por la justicia europea y que provocó el nacimiento de un nuevo acuerdo llamado Privacy Shield y que también fue anulado por el Tribunal de Justicia de la Unión Europea.
Ante esta situación Meta, matriz de Facebook, ha venido reiterando que el problema no es su política de privacidad, sino la existencia de un conflicto entre la legislación norteamericana y los derechos de los ciudadanos europeos a la protección de datos. Otro de sus argumentos es que se está mezclando es la política de protección de datos de la empresa con un problema de seguridad nacional.
Independientemente de si se trata o no de un problema de política de privacidad empresarial, lo que es cierto es que la legislación europea y la norteamericana entran en conflicto en cuanto a lo que resulta o no legal a la hora de acceder a datos privados de ciudadanos ubicados en servidores de empresas privadas, cosa que en la UE es ilegal si no hay una orden judicial y en EE.UU. está permitido a agencias gubernamentales sin necesidad de dicha orden, cuando consideran que está en riesgo la seguridad nacional.
También es cierto que esto no es un caso único de Facebook y en principio parece que va a ser la única a la que se le va a obligar a suspender sus transferencias internacionales de datos entre EE.UU. y la UE, para lo cual deberán separar los datos de sus usuarios de la UE, cosa que en la práctica no se augura que sea fácil. No deja de ser llamativo que en la práctica Instagram o Whatsapp también estarían afectadas, pero al no haberse denunciado las prácticas de estas empresas (al igual que muchas otras grandes tecnológicas con sede o filial en EE.UU.) y no haber intención del regulador irlandés de actuar de oficio, parece que no se aplicarán, en principio, más sanciones a empresas que realmente están haciendo lo mismo.
Meta tiene sus esperanzas puestas en un nuevo acuerdo que parece estar a punto de producirse entre EE.UU. y la UE, pero lo cierto es que dicho acuerdo nacerá con dudas en lo que se refiere a su longevidad, puesto que, mientras la legislación de alguno de los dos lados del atlántico no cambie sustancialmente (cosa que no ha sucedido en el acuerdo que se está preparando), el problema de fondo continuará existiendo y si volvemos a un escenario de denuncia por parte de la organización activista que ha actuado en las dos ocasiones anteriores (sentencias Schrems I y Schrems II), podríamos encontrarnos con una Schrems III y la historia volverá a repetirse.
Fuentes: Data Protection Commissioner – El País – El confidencial
Enlaces a la noticia completa: