La Comisión de Protección de Datos de Irlanda (DPC, por sus siglas en inglés) sancionó a Meta Platforms Ireland Limited con 1.200 millones de euros en mayo de 2023. No es la primera vez que se impone a Meta una sanción millonaria: Instagram recibió una multa de 405 millones en septiembre de 2022 y WhatsApp otra de 225 millones en septiembre 2021. El mazazo es fuerte, pero no tanto como podría suponerse, pues representa menos del 4 % de los ingresos de Meta en Europa en 2023.
La DPC determinó que Meta Ireland infringió el artículo 46.1 del RGPD al continuar transfiriendo datos personales de la UE/EEE a EE. UU. después de la Sentencia Schrems II del TJUE en julio de 2020. Aunque Meta Ireland basó estas transferencias en las Cláusulas Contractuales Tipo aprobadas por la Comisión Europea, complementadas con medidas adicionales, la DPC las consideró insuficientes para proteger los derechos de los afectados frente a posibles accesos por parte de agencias de inteligencia estadounidenses.
Además de la sanción económica, que sigue siendo la más alta impuesta bajo el RGPD hasta la fecha, la DPC impuso a Meta un plazo de cinco meses para suspender las transferencias de datos personales de usuarios de la UE a EE. UU., y de seis meses para eliminar o repatriar toda la información allí almacenada. La decisión afecta exclusivamente al servicio de Facebook, no a Instagram ni a WhatsApp.
Meta recurrió la decisión ante el Tribunal General de la UE (caso T-325/23), argumentando que la sanción era «injustificada e innecesaria» y que el problema radicaba en conflictos entre leyes de la UE y EE. UU., no en sus prácticas. La apelación ha suspendido la ejecución de la multa y las órdenes de suspensión y eliminación de datos, permitiendo que Meta continúe operando mientras se resuelve el litigio. A fecha de diciembre de 2024, el caso sigue pendiente de resolución.
Más información de interés
