El Tribunal General de la Unión Europea (TGUE) condenó a la Comisión Europea a indemnizar con 400 € a un ciudadano alemán, Thomas Bindl, por la transferencia no autorizada de sus datos personales a Estados Unidos. La sentencia fue recurrida ante el Tribunal de Justicia de la Unión Europea por ambas partes (recursos C-206/25 P de la Comisión y C-211/25 P de Thomas Bindl, interpuestos en marzo de 2025).
El caso se remonta a 2021 y 2022, cuando el demandante se registró en el evento «GoGreen» organizado en el marco de la Conferencia sobre el Futuro de Europa. Para acceder, utilizó la plataforma de autenticación «EU Login» de la Comisión Europea, optando por la opción «conectarse con Facebook». Esta funcionalidad permitió la transferencia de datos personales, incluida la dirección IP del usuario y datos técnicos sobre el navegador y el terminal, a Meta Platforms con sede en Estados Unidos.
Se deduce que la Comisión Europea, a través del hipervínculo «conectarse con Facebook», creó las condiciones que permitieron que se transfirieran datos personales del interesado a Meta Platforms, sin implementar las salvaguardas exigidas por el RGPD. Hay que aclarar que, en el momento de los hechos, no existía una decisión de adecuación que reconociera a Estados Unidos como un país con un nivel de protección de datos equivalente al de la Unión Europea. En ausencia de dicha decisión, la transferencia de datos personales a un tercer país u organización internacional solo puede realizarse mediante garantías adecuadas (artículo 48.1 del RGPD).
El tribunal consideró que la transferencia de datos a Meta Platforms constituyó una violación “suficientemente grave” del RGPD. Esta infracción generó una situación de inseguridad para el interesado, quien sufrió perjuicios inmateriales derivados de la incertidumbre sobre el uso de su información personal. El TGUE estableció una relación de causalidad directa entre la acción de la Comisión Europea y el daño causado, justificando la indemnización de 400 €.
El interesado también denunció posibles transferencias de datos a Amazon Web Services mediante el servicio Amazon CloudFront, que se basa en un mecanismo de enrutamiento que dirige la solicitud del usuario hacia el servidor periférico que ofrece el menor tiempo de latencia, siguiendo un principio de proximidad con el terminal del usuario. Si no está disponible el servidor periférico con menor latencia, la conexión se establece con el siguiente servidor con menor latencia, y así sucesivamente. En este caso, la red de servidores incluía Estados Unidos, México, Canadá, Europa e Israel.
La Comisión Europea logró acreditar que, en el momento de los hechos, la dirección IP del interesado estaba atribuida a un servidor ubicado en Múnich (Alemania) y que dicho servidor pertenecía a una empresa alemana. Por tanto, los datos personales no fueron transferidos fuera de la Unión Europea. Por ello, el tribunal desestimó esta reclamación.
Conclusión
Este caso pone de manifiesto los riesgos asociados con la integración de servicios de terceros, como las opciones de autenticación a través de redes sociales.
Lo ideal es registrarse directamente en el sitio web. Es cierto que resulta más cómodo emplear una red social existente que registrarse en otro sitio web, pero ello conlleva riesgos de que la información personal generada en ese sitio web se comparta con terceros, encubriendo una transferencia de datos fuera de la Unión Europea, con lo que ello conlleva para la protección de datos, cuando no hay garantías adecuadas.
Para más información, pueden consultar la sentencia del TGUE de 8 de enero de 2025 (asunto T‑354/22, Thomas Bindl vs. Comisión Europea).
No se pierda nuestro podcast sobre el artículo
