Un documento presentado ante la Securities and Exchange Commission (SEC), de EE. UU., la compañía de Mark Zuckerberg advierte de las implicaciones que puede llegar a tener la conocida como decisión Schrems II, una sentencia emitida en 2020 por el Tribunal de Justicia de la Unión Europea (TJUE) que establece que el mecanismo de transferencia de datos personales entre la UE y los EE. UU. no es válido, y advierte: si no se logra un sistema para compartir información podría verse comprometido el futuro de Facebook e Instagram en Europa.
La advertencia de la compañía ante la SEC es clara. En su escrito subraya la importancia del Privacy Shield (Escudo Privacidad), el marco en el que se basa para los datos transferidos desde la UE a Estados Unidos, y recuerda que fue invalidado en julio de 2020 por el TJUE.
La multinacional también apunta que “las otras bases» de las que echa mano Meta para «transferir dichos datos, como las Cláusulas Contractuales Estándar (CEE), han sido sometidas a un escrutinio normativo y judicial” y que ha recibido un aviso de las autoridades irlandesas precisamente sobre ese trasvase. Con todos los antecedentes claros, la compañía de Zuckerberg advierte:
“Si no se adopta un nuevo marco de transferencia transatlántica de datos y no podemos seguir recurriendo a los CCE o a otros medios alternativos de transferencia de datos de Europa a Estados Unidos, es probable que no podamos ofrecer varios de nuestros productos y servicios más importantes, como Facebook e Instagram, en Europa, lo que afectaría de forma negativa a nuestro negocio, situación financiera y resultados de las operaciones”.
El escrito llega en un momento clave. Como recuerda la propia multinacional, poco después de la sentencia del TJUE —en agosto de 2020—, la Comisión de Protección de Datos de Irlanda (IDPC) le remitió una notificación en la que señala que la dependencia de Meta Platforms Ireland de las cláusulas contractuales estándar relacionadas con los datos de los usuarios europeos no cumplen con el Reglamento General de Protección de Datos (GDPR), por lo que proponía que la transferencia de información de la UE a la EE. UU. se suspendiese. Aquello era una decisión preliminar. La empresa cree que la definitiva llegará en no mucho, durante la primera mitad de 2022.
Su postura la explica, en gran medida, el papel fundamental que tienen esas operaciones en el funcionamiento y modelo de negocio de Meta. Más concretamente, en la publicidad. De hecho, la compañía lo deja claro en el texto que ha remitido a la SEC estadounidense:
“Si no podemos transferir datos entre los países y regiones en los que operamos o si se nos restringe la posibilidad de compartir los datos entre nuestros productos y servicios, esto podría afectar a nuestra capacidad para prestar nuestros servicios, a la forma en que los prestamos o a nuestra capacidad para orientar los anuncios, lo que podría afectar negativamente a nuestros resultados financieros”.
En julio de 2020 el TJUE basó su decisión en que los EE. UU. no dan garantías suficientes para proteger la privacidad de los datos, lo que le llevó a declarar inválido el acuerdo de Escudo de Privacidad de 2016 entre Europa y Estados Unidos, el mismo por el que empresas como Apple o Google podían llevar datos de usuarios europeos al otro lado del Atlántico.
El pronunciamiento llegó tras una reclamación de un usuario de Facebook, Maximilian Schrems, quien pidió que no se realizasen transferencias de sus datos personales de Facebook Ireland a los servidores de Facebook Inc al considerar que en EE. UU. no se ofrecían las garantías suficientes.
En su pronunciamiento, el Tribunal concluye que el país que recibe los datos debe ofrecer un “nivel de protección sustancialmente equivalente al garantizado dentro de la Unión” y que su normativa no es lo suficientemente estricta para ajustarse al nivel requerido por el Reglamento General de Protección de Datos (RGPD). Años atrás, en 2015, el Tribunal ya había tumbado el marco anterior que daba amparo a la transferencia de información, el conocido como protocolo Safe Harbor.
Meta no es, en cualquier caso, la única multinacional tecnológica estadounidense que se ha visto afectada por los cambios en el marco normativo de la UE. Hace poco, por ejemplo, la autoridad de protección de datos de Austria concluía que Google Analytics es ilegal por infringir precisamente el RGPD. Su decisión se basa en la resolución de 2020 del TJUE y, además de la prohibición, podría derivar también en una cuantiosa multa de hasta 20 millones de euros.
Cuando se conoció el pronunciamiento austriaco, Schrems mostró su confianza en que se sucedan «decisiones similares en todos los Estados Miembros». La prohibición de Google Analytics aún no es firme de todos modos y la herramienta seguirá funcionando. Desde Google detallaban de hecho hace un par de semanas que «el caso afecta únicamente a un editor en particular».
A la espera de lo que decidan el resto de tribunales y el pronunciamiento del Supervisor de Protección de Datos europeo, sobre la mesa habría diferentes soluciones a medio o largo plazo, como que las empresas de EE. UU. deban revisar el uso de los datos de sus usuarios europeos o lograr un nuevo tratado entre Europa y Estados Unidos para la transferencia de información.
Mark Zuckerberg está en riesgo de perder su lugar en el top 10 de las personas más ricas del mundo