Recordatorio: hoy es la fecha límite para que el principal regulador de privacidad de Meta en Europa adopte una decisión final sobre una queja de casi una década contra las transferencias de datos personales de Facebook de la UE a los EE. UU. que podría obligar a la empresa a detener el flujo de datos. .
La Comisión Irlandesa de Protección de Datos (DPC) confirmó a TechCrunch que adoptará su decisión final hoy.
Sin embargo, entendemos que habrá más demoras (de poco más de una semana) antes de que se haga pública la decisión. La fecha en que nos dijeron que la orden se publicará oficialmente es el 22 de mayo, suponiendo que los detalles no se filtren de antemano.
El retraso en la publicación de la decisión adoptada se debe a que Meta tendrá tiempo para revisar el documento para identificar información confidencial y/o comercialmente sensible que podría querer redactar, nos dijeron, y debido a un feriado público que afecta a otro regulador de la UE involucrado.
La fecha del 12 de mayo para la adopción de la decisión final del DPC sobre la denuncia sigue un cronograma establecido por una decisión de resolución de disputas tomada por el Junta Europea de Protección de Datos el mes pasado.
Aplicando mecanismos integrados en el Reglamento General de Protección de Datos (GDPR), la Junta intervino para resolver el desacuerdo entre varios reguladores de la UE sobre el contenido de la decisión: tomar una decisión vinculante sobre las transferencias de Meta y otorgar al DPC un mes para implementarla.
Todavía no sabemos qué se ha decidido ya que la decisión de resolución de disputas de la Junta no se ha hecho pública ya que estamos esperando la decisión final del DPC (que la implementará), por lo que el destino de los flujos de datos europeos de Facebook aún está en juego. .
Dicho esto, se espera que se ordene a Meta que suspenda los flujos de datos, dado que la empresa recibió una orden de suspensión preliminar del DPC, en el otoño de 2020.
En ese momento, la empresa obtuvo una suspensión del procedimiento del DPC, lo que ayudó a retrasar el cronograma de aplicación del RGPD hasta que los tribunales irlandeses desestimaron la impugnación de Meta. Posteriormente se produjeron más demoras, cuando el proyecto de decisión del DPC sobre el caso enfrentó objeciones de otras autoridades de protección de datos de la UE, y esas disputas finalmente se resolvieron con la decisión vinculante del EDPB el mes pasado.
Esto significa que el proceso regulatorio al menos se está quedando sin camino (pero espere que Meta impugne cualquier orden de suspensión en los tribunales irlandeses).
La compañía ha tratado continuamente de restar importancia a la saga, alegando en su última declaración que “se relaciona con un conflicto histórico entre las leyes de la UE y los EE. UU., que está en proceso de ser resuelto”. Que es una referencia a un proyecto de acuerdo entre los legisladores de la UE y los EE. UU. para un nuevo marco de transferencia de datos transatlánticos de alto nivel destinado a resolver el conflicto entre las prácticas de vigilancia de los EE. UU. y los derechos de protección de datos de la UE.
Sin embargo, este marco de privacidad de datos UE-EE. UU., como se ha llamado al acuerdo, aún está en proceso de revisión por parte de las instituciones de la UE, que han expresado su preocupación de que no tiene garantías lo suficientemente sólidas. Y, justo esta semana, los legisladores en el Parlamento Europeo reiteraron un llamamiento a la Comisión para que se tome más tiempo para mejorar la propuesta – lo que sugiere que podría haber más demoras en la adopción de un acuerdo en el que Meta parece estar apostando para salvar sus transferencias de datos.
Si bien la cuestión de la suspensión de datos es el tema principal de este caso de GDPR, otros elementos importantes a tener en cuenta en la decisión final de Irlanda a finales de este mes incluyen si se ordenará o no a Meta que elimine los datos de los usuarios europeos si se descubre que se han transferido ilegalmente a los Estados Unidos
En marzo, MLex informó que al menos dos autoridades de protección de datos estaban presionando para eso, y que Meta estaba presionando a las instituciones de la UE contra tal movimiento.
Además de eso, los documentos internos filtrados el año pasado sugirieron que las prácticas de gestión de datos del gigante tecnológico son, para decirlo cortésmente, un desastre. Entonces, la facilidad con la que Meta podría identificar y aislar los datos de los usuarios europeos, si se le ordenara eliminarlos, es una gran consideración/complicación (costosa).
¿Por qué es esto tan importante? Bueno, como recordatorio, recientemente nos enteramos en el descubrimiento de un tribunal federal que Facebook parece no tener forma de purgar retroactivamente los datos de los usuarios. Dijeron que tomará hasta un año obtener todos los datos de un usuario. Este documento filtrado llegó a eso. 2/4 pic.twitter.com/g9kTTsYklY
—Jason Kint (@jason_kint) 11 de mayo de 2023
Meta, por supuesto, también podría recibir una multa si se descubre que ha transferido datos ilegalmente.
El RGPD permite multas de hasta el 4% de la facturación anual global, aunque, hasta la fecha, Meta ha tenido un éxito considerable al recibir multas muy por debajo del máximo teórico.
El grupo de defensa de los derechos de privacidad, noyb, cuyo fundador, Max Schrems, está detrás de la queja contra los flujos de datos entre la UE y los EE. UU. de Facebook, escribió al EDPB en enero para quejarse del monto de la multa que recibió el DPC a principios de este año. , sobre el procesamiento ilegal de datos de anuncios, argumentando que la sanción de 390 millones de euros era insignificante frente a la escala de las infracciones (de hecho, sugirió que se quedó corta en más de 3500 millones de euros).
De hecho, Irlanda había propuesto un nivel de multa mucho más bajo por esa infracción, de entre 28 y 36 millones de euros, pero el regulador se vio obligado a aumentarlo para implementar la decisión vinculante del EDPB.
Sin esa intervención de la Junta, Meta se habría enfrentado a una aplicación aún más débil de GDPR por procesar ilegalmente millones de datos personales de europeos para publicidad conductual. Por lo tanto, será interesante ver qué nivel de penalización (si corresponde) se incluye en la decisión final de Irlanda sobre las transferencias de datos de Facebook.
Dicho esto, las sanciones financieras impuestas a los gigantes tecnológicos suelen ser menos interesantes que las órdenes operativas que tienen la posibilidad de forzar cambios en los modelos comerciales abusivos. Y aunque Meta sigue extrayendo datos de los usuarios europeos para la orientación de anuncios de comportamiento, al menos se vio obligado a ofrecer una opción de exclusión como resultado de la aplicación del RGPD antes mencionada. Algo que nunca ha ofrecido antes.
Cómo se podría obligar a Meta a modificar su modelo de negocio para corregir las transferencias de datos transatlánticas ilegales es una pregunta abierta.
Pero no hay duda de que hará todo lo posible para luchar contra cualquier orden de suspensión en los tribunales, por lo que es posible que encuentre una manera de retrasar el tener que actuar el tiempo suficiente para que los postes de la portería se muevan con la llegada de un nuevo acuerdo de adecuación de datos de EE. UU. .
Si no, los costos serán reales.
En una llamada de ganancias con inversionistas el mes pasado, la compañía admitió que una orden para suspender los flujos de datos desde Europa podría afectar el 10% de sus ingresos publicitarios globales.
Obviamente, espera que no llegue a eso, y confía en que el nuevo mecanismo de transferencia de datos UE-EE. UU. se adopte justo a tiempo. (Un portavoz de la compañía se negó a discutir las contingencias si se le ordena suspender los flujos de datos, señalando el “progreso” que han hecho los políticos hacia un nuevo pacto).
Pero incluso si el acuerdo de alto nivel llega lo suficientemente pronto como para evitar el cierre de Facebook en Europa este año, Schrems sugiere que es “probable” que el nuevo marco de alto nivel sea anulado por el tribunal superior del bloque, como lo fueron los dos acuerdos anteriores. – por lo que estima que Meta solo se compraría otros “dos años más o menos” antes de que el problema vuelva a surgir.
Para una solución a más largo plazo, sugirió que Meta necesitará federar la infraestructura de Facebook. Pero una remodelación tan importante de su negocio obviamente también sería muy costosa.