El Tribunal General de la Unión Europea (TGUE) condenó a la Comisión Europea a indemnizar a un ciudadano alemán por la transferencia no autorizada de sus datos personales a Estados Unidos con 400 €.
El caso se remonta a los años 2021 y 2022, cuando el demandante se registró en el evento «GoGreen», organizado en el marco de la Conferencia sobre el Futuro de Europa. Para acceder, utilizó la plataforma de autenticación «EU Login», optando por conectarse a través de su cuenta de Facebook. Esta funcionalidad, según el TGUE, permitió la transferencia de datos personales, incluida la dirección IP del usuario, a Meta Platforms, con sede en Estados Unidos.
Se deduce que la Comisión Europea, a través del hipervínculo «conectarse con Facebook», creó las condiciones que permitieron que se transfiriera la dirección IP del interesado a Meta Platforms, sin implementar las salvaguardas exigidas por el RGPD. Hay que aclarar que, en el momento de los hechos, no existía una decisión de adecuación que reconociera a Estados Unidos como un país con un nivel de protección de datos equivalente al de la Unión Europea. En ausencia de dicha decisión, la transferencia de datos personales a un tercer país u organización internacional solo puede realizarse cuando se ofrecen garantías adecuadas y siempre que los interesados cuenten con derechos exigibles y acciones legales efectivas (artículo 48.1 del RGPD).
El tribunal consideró que la transferencia de datos a Meta Platforms constituyó una violación “suficientemente grave” del RGPD. Esta infracción generó una situación de inseguridad para el interesado, quien sufrió perjuicios inmateriales derivados de la incertidumbre sobre el uso de su información personal. El TGUE estableció una relación de causalidad directa entre la acción de la Comisión Europea y el daño causado, justificando la indemnización de 400 €.
El interesado también denunció posibles transferencias de datos a Amazon Web Services mediante el servicio Amazon CloudFront, que se basa en un mecanismo de enrutamiento que dirige la solicitud del usuario hacia el servidor periférico que ofrece el menor tiempo de latencia, siguiendo un principio de proximidad con el terminal del usuario. Si no está disponible el servidor periférico con menor latencia, la conexión se establece con el siguiente servidor con menor latencia, y así sucesivamente. En este caso, la red de servidores incluía Estados Unidos, México, Canadá, Europa e Israel.
La Comisión Europea logró acreditar que, en el momento de los hechos, la dirección IP del interesado estaba atribuida a un servidor ubicado en Múnich (Alemania) y que dicho servidor pertenecía a una empresa alemana. Por tanto, los datos personales no fueron transferidos fuera de la Unión Europea. Por ello, el tribunal desestimó esta reclamación.
Conclusión
Este caso destaca los riesgos asociados con la integración de servicios de terceros, como las opciones de autenticación a través de redes sociales.
Lo ideal es registrarse directamente en el sitio web. Es cierto que resulta más cómodo emplear una red social existente que registrarse en otro sitio web, pero ello conlleva riesgos de que la información personal generada en ese sitio web se comparta con terceros, encubriendo una transferencia de datos fuera de la Unión Europea, con lo que ello conlleva para la protección de datos, cuando no hay garantías adecuadas.
Para más información, pueden consultar la sentencia del TGUE de 8 de enero de 2025 (asunto T‑354/22, Thomas Bindl vs. Comisión Europea).
No se pierda nuestro podcast sobre el artículo
