Uno de los mayores escándalos de los últimos años es el llamado caso Cambridge Analytica en el que Facebook (ahora Meta) jugó un papel trascendental. Les dejo aquí un enlace a un artículo de Xataka, en el que se resume el caso con detalle.
Meta lleva años en el punto de mira, tanto de las autoridades de los Estados Unidos como de la Unión Europea. De hecho, Mark Zuckerberg (fundador y CEO) ha tenido que comparecer ante el Congreso y el Senado de los Estados Unidos, así como ante el Parlamento europeo, para dar más de una explicación. Pues bien, ahora son las autoridades judiciales de la Unión las que quieren echarle el lazo.
Los antecedentes se remontan a septiembre de 2015, cuando la autoridad de protección de datos belga inició un procedimiento ante los tribunales belgas contra varias empresas del grupo Facebook (Facebook INC, Facebook Ireland Ltd. ―que es el establecimiento principal del grupo en la Unión Europea― y Facebook Belgium BVBA). La autoridad belga advertía que Facebook insertaba «cookies» en los dispositivos de los usuarios, sin su consentimiento, cuando navegaban por un sitio web en el dominio Facebook.com o cuando accedían a sitios web de terceros. Facebook no solo insertaba cookies, también recopilaba datos de los usuarios mediante plugins sociales y píxeles en sitios web de terceros.
La filial belga de Facebook se defendió alegando que, en virtud del Reglamento General de Protección de Datos, la única autoridad facultada para incoar un procedimiento en relación con el tratamiento transfronterizo de datos es la Comisión de Protección de Datos de Irlanda, ya que la sede europea de la empresa está en Dublín. Pues bien, el Abogado General del Tribunal de Justicia de la Unión Europea, Michal Bobek, emitió una primera opinión, según la cual las autoridades nacionales de protección de datos, incluso cuando no actúen como autoridad principal, pueden ejercitar acciones judiciales ante los tribunales de su respectivo Estado en caso de tratamiento transfronterizo de datos cuando:
1º) Las autoridades nacionales de protección de datos actúen fuera del ámbito material del RGPD.
2º) En la investigación de tratamientos transfronterizos de datos efectuados por autoridades públicas, en interés público, en el ejercicio de poderes públicos o por responsables del tratamiento que no tengan un establecimiento en la Unión.
3º) Por razones de urgencia.
4º) Cuando intervengan como consecuencia de la decisión de la autoridad de protección de datos principal de no tratar un caso.
La función del Abogado General consiste en proponer al Tribunal de Justicia de la Unión Europea, con absoluta independencia, una solución jurídica al asunto del que se ocupa. Aunque su opinión no es vinculante para los jueces, en este caso, el TJUE emitió su sentencia el 15 de junio de 2021 (asunto C-645/19, Facebook Ireland Ltd y otros v. Gegevensbeschermingsautoriteit), confirmando en gran medida la postura del Abogado General.
Dicha sentencia permite a las autoridades nacionales actuar en circunstancias específicas, lo que ha fortalecido el control descentralizado de las transferencias internacionales de datos y ha influido en casos posteriores contra Meta, como multas por violaciones del RGPD en tratamientos transfronterizos.
