Lo que los 1.200M de multa histórica a Meta dicen del futuro de muchas tecnológicas

"Meta se ha quedado sin opciones". A Max Schrems le ha costado 10 años pronunciar esta frase, pero finalmente lo ha conseguido. El activista y abogado austriaco explica así a El Confidencial la principal implicación de la multa histórica de 1.200 millones de euros que impuso ayer a regañadientes el regulador de privacidad irlandés. Una demanda impuesta por Schrems en 2013 contra Facebook (Meta) por transferir datos de usuarios de forma irregular entre Europa y EEUU fue el germen de esta sanción, la mayor impuesta en el continente desde la aprobación del Reglamento General de Protección de Datos (RGPD). Irónicamente, la multa no afecta a WhatsApp e Instagram, pero sí a miles de tecnológicas que están ahora en el punto de mira por hacer igual que Facebook: transferir datos entre ambas regiones de forma ilegal.

"Técnicamente, WhatsApp e Instagram hacen lo mismo, deberían haber sido multadas también. El problema es que nadie ha cursado una demanda y el regulador irlandés no está interesado en actuar de oficio", explica Schrems al otro lado del teléfono desde Viena, quien califica la sanción de "enorme bofetada" para la red social. Facebook tampoco ha escatimado en calificativos minutos después de conocerse la multa.

TE PUEDE INTERESAR

El abogado más odiado por las tecnológicas de EEUU: "Cometen ilegalidades con tu 'e-mail"

Mario Escribano

"Esta decisión es errónea, injustificada y establece un peligroso precedente para las innumerables empresas que transfieren datos entre EEUU y Europa", ha dicho el presidente de asuntos globales de la compañía, Nick Clegg, y la jefa legal, Jennifer Newstead, en un comunicado conjunto. Facebook tiene cinco meses para cumplir las exigencias del regulador irlandés, entre ellas, detener por completo el intercambio de datos de usuarios.

El caso contra Facebook que ha desembocado ahora en multa millonaria arrancó justo hace una década, tras las revelaciones de Edward Snowden sobre cómo la Agencia de Seguridad Nacional (NSA) estadounidense espiaba los datos en internet de millones de ciudadanos. Facebook, Gmail, Instagram, PayPal... El gobierno tenía acceso a la vida online de millones de personas sin su conocimiento y permiso. Max interpuso una demanda por el tratamiento que Facebook hacía de estos datos, iniciando una batalla legal que ha vivido varios hitos clave.

El primero fue en octubre 2015, cuando, a raíz de la demanda interpuesta por Schrems, el Tribunal de Justicia de la UE (TJUE) invalidó el llamado Safe Harbour, el acuerdo mediante el cual EEUU y Europa tenían vía libre para intercambiar datos de ciudadanos sin ningún tipo de límite. Ese acuerdo fue sustituido poco después por el Privacy Shield, que entró en vigor en julio de 2016. Schrems se puso de nuevo en modo rodillo y volvió a suceder. El TJUE tumbó el Privacy Shield por considerarlo insuficiente para salvaguardar la privacidad de los ciudadanos europeos, en un caso que pasó a conocerse como Schrems II.

EEUU y Europa comenzaron a negociar entonces un tercer acuerdo de intercambio de datos, algo sin lo que miles de empresas no pueden operar. A finales del año pasado, el presidente de EEUU, Joe Biden, y Ursula von der Leyen, presidenta de la Unión Europea, anunciaron un acuerdo preliminar que ha pasado ya varias revisiones y debería entrar en efecto este verano o, como muy tarde, en octubre. Es la esperanza a la que se aferra Facebook y el resto de compañías afectadas para evitar tener que transformar su negocio, aunque muchos juristas están convencidos de que la historia se va a volver a repetir.

"Se lo van a cargar otra vez, no hay ninguna duda. La problemática de fondo no ha cambiado. El Parlamento Europeo ya ha informado de forma negativa sobre el acuerdo. Se aprobará este año, pero da igual, en dos o tres años el TJUE lo invalidará igual que hizo en las dos ocasiones anteriores", explica a este diario Jorge García Herrero, abogado especializado en privacidad de datos.

Que este acuerdo salga o no adelante es crucial tanto para Facebook como para miles de empresas. Meta tiene ahora hasta el 12 de octubre para dejar de usar el actual sistema de intercambio de datos (una herramienta legal llamada cláusulas estándar contractuales, o SCCs, en sus siglas en inglés). Y hasta el 12 de noviembre para eliminar o mover a Europa los datos de usuarios transferidos a EEUU. Si todo marcha, justo en octubre debería estar aprobado el nuevo acuerdo entre Biden y Von der Leyen, por lo que Facebook se salvaría por los pelos, aunque solo de forma temporal. Sin embargo, cualquier retraso en el acuerdo de transferencia dejaría a la red social y a miles de empresas sin cobertura legal y solo con dos opciones: eliminar los datos transferidos o dividirse en dos, una unidad en EEUU, con servidores locales para almacenar los datos de los estadounidenses, y otra unidad en Europa con servidores aquí, para almacenar los de los europeos. ¿Viable?

"Es prácticamente imposible que Facebook pueda separar sus datos internos para distinguir los usuarios de EEUU de los europeos. Los almacena en un punto único y separarlos es como encontrar una aguja en un pajar", explica García Herrero. "Tampoco los va a borrar, así que solo le queda esperar a que se apruebe el nuevo acuerdo y ganar tiempo". Herrero, igual que advierte Facebook o el propio Max Schrems, reconoce que miles de empresas se enfrentan al mismo problema. ¿Cómo intercambiar datos si la ley no lo permite? Y, ¿por qué solo se ha multado a Facebook si Google, Amazon, Apple y miles de empresas más incumplen también la regulación?

"Las compañías llevan incumpliendo la ley desde hace casi tres años, tras la desaparición del Privacy Shield. Nosotros hemos puesto más de un centenar de demandas, pero son procesos lentos y muchas veces las autoridades de privacidad, como la de Irlanda, no quieren actuar. Con esta multa, es posible que esos procesos ahora se aviven y que las empresas se tomen el asunto mucho más en serio", avisa Schrems.

Lo ocurrido con el regulador de privacidad irlandés, la Data Protection Commission (DPC), ejemplifica lo complejo que es multar a un gigante como Facebook la cantidad de 1.200 millones. La puesta en marcha del Reglamento General de Protección de Datos (RGPD) en mayo de 2018 obligó a cada país a velar por su cumplimiento. Irlanda, donde mantienen su sede europea la mayoría de las grandes tecnológicas de EEUU, se convirtió en el centro de atención y de las críticas. Las autoridades de privacidad de otros países le han acusado durante años de hacer la vista gorda ante las prácticas de algunos de los gigantes digitales que tienen sede en Dublín por los beneficios fiscales que se les ofrecen.

"La DPC irlandesa ha intentado bloquear constantemente y durante 10 años que este caso saliera adelante", se queja Schrems. Ha tenido que ser la acción del European Data Protection Board (EDPB), la asociación europea de autoridades de privacidad de cada país de la UE y, en concreto, la presión de Alemania, Francia, España y Austria, la que ha forzado a la DPC a imponer la multa, pese a considerarla injusta para Facebook. La gran ironía de todo esto: será el gobierno irlandés el que se embolse los 1.200 millones de euros con los que se negaba sancionar a Facebook. Tras la multa, la batalla legal no ha hecho más que empezar.