Hoy se debe tomar una decisión importante sobre la legalidad de las transferencias de datos entre la UE y los EE. UU. de Facebook.
Recordatorio: hoy es la fecha límite para que el principal regulador de privacidad de Europa, Meta, tome una decisión final sobre una queja de casi una década contra las transferencias de datos personales de Facebook de la UE a EE. datos. .
La Comisión Irlandesa de Protección de Datos (DPC) ha confirmado a TechCrunch que adoptará su decisión final hoy.
Sin embargo, entendemos que habrá un retraso adicional (algo más de una semana) antes de que se haga pública la decisión. La fecha en que nos dijeron que la orden se lanzará oficialmente es el 22 de mayo, suponiendo que los detalles no se filtren de antemano.
El retraso en la publicación de la decisión adoptada se debe a que Meta tendrá tiempo de revisar el documento para identificar cualquier información confidencial y/o comercialmente sensible que desee redactar, nos dijeron, y debido a un día festivo que afecta a otro regulador europeo involucrado.
La fecha del 12 de mayo para la adopción de la decisión final del DPC sobre la denuncia sigue un cronograma establecido por una decisión de resolución de disputas tomada por el Junta Europea de Protección de Datos mes pasado.
Aplicando los mecanismos integrados en el Reglamento General de Protección de Datos (GDPR), el Consejo intervino para resolver el desacuerdo entre una serie de reguladores de la UE sobre el contenido de la decisión: emitir una decisión vinculante sobre las transferencias de Meta y otorgar al DPC un mes para Impleméntalo.
Todavía no sabemos qué se ha decidido ya que la decisión de resolución de disputas del Consejo no se ha hecho pública mientras esperamos la decisión final del DPC (que la hará cumplir), por lo que el destino de las fuentes de datos europeas de Facebook todavía está en juego. .
Dicho esto, generalmente se espera que se ordene a Meta que suspenda las fuentes de datos, dado que tLa empresa recibió una orden de suspensión preliminar del DPC en el otoño de 2020.
En ese momento, la empresa ganó una suspensión de los procedimientos del DPC, lo que ayudó a retrasar el cronograma de GDPR hasta que los tribunales irlandeses desestimaron el desafío de Meta. Posteriormente se produjeron más demoras, cuando el proyecto de decisión del DPC sobre el caso enfrentó objeciones de otras autoridades de protección de datos de la UE. – con esas disputas finalmente resueltas por la decisión vinculante de la Junta Europea de Protección de Datos el mes pasado.
Eso significa que el proceso regulatorio está al menos fuera de control (pero se espera que Meta desafíe cualquier orden de suspensión en los tribunales irlandeses).
La compañía ha tratado continuamente de restar importancia a la saga, diciendo en su última declaración que «se relaciona con un conflicto histórico entre las leyes europeas y estadounidenses, que está en proceso de ser resuelto». Que se refiere a un proyecto de acuerdo entre los legisladores de la UE y los EE. UU. para un nuevo marco de transferencia de datos transatlánticos de alto nivel destinado a resolver el conflicto entre las prácticas de vigilancia de los EE. UU. y los derechos de protección de datos de la UE.
Sin embargo, este marco de privacidad de datos UE-EE. UU., como se ha denominado el acuerdo, aún está siendo revisado por las instituciones de la UE que han expresado su preocupación de que no tiene garantías lo suficientemente sólidas. Y, justo esta semana, los legisladores del Parlamento Europeo reiteraron un llamamiento a la Comisión para que se tome más tiempo para mejorar la propuesta – lo que sugiere que podría haber más demoras en la aprobación de un acuerdo en el que Meta parece estar apostando para salvar sus transferencias de datos.
Aunque el tema de la suspensión de datos es el tema principal en este caso de GDPR, oLes principaux éléments à surveiller dans la décision finale de l’Irlande plus tard ce mois-ci incluent la question de savoir si Meta sera ou non condamné à supprimer les données des utilisateurs européens s’il s’avère qu’elles ont été illégalement transférées En los Estados Unidos.
En marzo, Mlex informó que al menos dos autoridades de protección de datos estaban presionando para esto, y que Meta estaba presionando a las instituciones europeas contra tal movimiento.
Además de eso, los documentos internos filtrados el año pasado sugieren que las prácticas de gestión de datos del gigante tecnológico son, por decirlo cortésmente, un desastre. Por lo tanto, la facilidad con la que Meta podría identificar y aislar los datos de los usuarios europeos, si se le ordenara eliminarlos, es una consideración/complicación importante (costosa).
Meta, por supuesto, también podría ser multada si se descubre que ha transferido datos ilegalmente.
El RGPD permite sanciones de hasta el 4% de la facturación anual global, aunque hasta la fecha Meta ha logrado un éxito considerable al recibir multas muy por debajo del máximo teórico.
El grupo de derechos de privacidad noyb, cuyo fundador, Max Schrems, está detrás de la queja contra los feeds de datos UE-EE. el procesamiento ilegal de datos publicitarios, argumentando que la multa de 390 millones de euros era irrisoria en comparación con la escala de las infracciones (de hecho, sugirió que era más de 3.500 millones de euros menos).
De hecho, Irlanda había propuesto un nivel de multa mucho más bajo por esta infracción (entre 28 y 36 millones de euros), pero el regulador se vio obligado a aumentarlo para implementar la decisión vinculante del SEPD.
Sin esta intervención del Consejo, Meta se habría enfrentado a una aplicación aún más débil de GDPR por procesar ilegalmente los datos personales de millones de europeos con fines de publicidad conductual. Por lo tanto, será interesante ver qué nivel de penalización (si corresponde) se incluye en la decisión final de Irlanda sobre las transferencias de datos de Facebook.
Dicho esto, las sanciones financieras impuestas a los gigantes tecnológicos suelen ser menos atractivas que las órdenes operativas que tienen la capacidad de forzar cambios en los modelos comerciales abusivos. Y mientras Meta continúa extrayendo datos de usuarios europeos para la orientación de anuncios de comportamiento, al menos se ha visto obligado a ofrecer una opción de exclusión como resultado de la aplicación de GDPR antes mencionada. Algo que nunca ha ofrecido antes.
Cómo se podría obligar a Meta a cambiar su modelo de negocio para arreglar las transferencias de datos transatlánticas ilegales es una pregunta abierta.
Pero sin duda hará todo lo posible para luchar contra cualquier orden de suspensión en los tribunales, por lo que es posible que encuentre una manera de retrasar el requisito de actuar el tiempo suficiente para que los postes de la portería se muevan con la llegada de un nuevo acuerdo de EE. UU. sobre la adecuación de datos. . .
De lo contrario, los costos serán reales.
Durante una llamada de ganancias con inversionistas el mes pasado, la compañía admitió que una orden para suspender las fuentes de datos de Europa podría alcanzar el 10% de sus ingresos publicitarios globales.
Claramente, espera que no llegue a eso, y confía en la adopción del nuevo mecanismo de transferencia de datos UE-EE.UU. justo a tiempo. (Un portavoz de la compañía se negó a discutir las contingencias si se le ordenara suspender las fuentes de datos, señalando el «progreso» que han hecho los legisladores hacia un nuevo pacto).
Pero incluso si el acuerdo de alto nivel llega lo suficientemente pronto como para evitar que Facebook cierre en Europa este año, Schrems sugiere que es «probable» que el nuevo marco de alto nivel sea anulado por el tribunal supremo del bloque, como lo fueron los dos acuerdos anteriores: por lo que estima que Meta solo compraría “dos años más o menos” antes de que el problema vuelva a ocurrir.
Para una solución a más largo plazo, sugirió que Meta necesitará federar la infraestructura de Facebook. Pero una remodelación tan significativa de su actividad obviamente también sería muy costosa.