• 16/4/2026
ALERTA

Facebook en problemas: un país le pone límites para usar datos de usuarios

El problema es de gran alcance, porque implica a todas las empresas norteamericanas que tienen datos de usuarios europeos en servidores en EEUU
iProfesional | Tecnología | Redes sociales
Por iProfesional
11/09/2020 - 09:21hs
Facebook en problemas: un país le pone límites para usar datos de usuarios

La Comisión de Protección de Datos (DPC) de Irlanda envió un requerimiento a Facebook a finales de agosto pasado para que la red social fundada por Mark Zuckerberg deje de enviar datos de ciudadanos europeos a servidores informáticos ubicados en Estados Unidos, según informó el diario The Wall Street Journal.

La amenaza para la compañía norteamericana si no cumple el requerimiento de Irlanda --donde tiene su base europea por motivos fiscales-- es la posibilidad de ser multada con una cantidad de hasta el 4% de su facturación anual, unos 2.800 millones de dólares.

El conflicto, que lleva varios años, saltó por los aires en julio pasado a raíz de una sentencia del Tribunal de Justicia de la Unión Europea (CJEU) que estableció que las leyes de vigilancia de gran alcance de Estados Unidos entran en conflicto con los derechos de los ciudadanos europeos, que quedan desprotegidos frente al escrutinio de la Agencia de Seguridad Nacional (NSA), cuyas actividades fiscalizadoras denunció en 2013 el desarrollador informático Edward Snowden.

La legislación estadounidense limita su protección de datos a los ciudadanos de Estados Unidos y no a los europeos, que al no tener la posibilidad de saber si están siendo vigilados, ni siquiera pueden acudir a los tribunales. El CJEU interpretó que este hecho supone una violación de derechos fundamentales de la Unión Europea.

El regulador irlandés de protección de datos ha dado de plazo a Facebook hasta la semana próxima para responder a su orden. Cuando la DPC reciba una respuesta de la compañía norteamericana, tiene previsto enviar una nueva versión de la orden a los 26 reguladores de la privacidad de la Unión Europea para que la aprueben de forma conjunta.

El problema es de gran alcance, porque aunque por el momento sólo tiene a Facebook en el foco, implica a todas las empresas norteamericanas que tienen datos de usuarios europeos en servidores ubicados dentro de Estados Unidos.

A raíz de la decisión del tribunal de justicia, la Comisión Europea busca ahora establecer una nueva forma en que las empresas norteamericanas puedan trabajar y cumplir las exigencias del tribunal.

Una posibilidad, poco probable, es que Estados Unidos modifique su legislación sobre vigilancia de forma que respete los requisitos del CJEU. De hecho, el Gobierno de Estados Unidos considera que su normativa está ajustada correctamente, por lo que no parece haber muchas opciones de una solución por esta vía.

Las relaciones entre Europa y Estados Unidos en protección de datos se regularon a finales de los años 90 mediante un protocolo mutuo denominado Safe Harbor (puerto seguro), por el que las empresas norteamericanas que enviaban a su país datos de ciudadanos europeos se acogían a cláusulas que suponían, en la práctica, acatar las normas de privacidad europeas.

Pero en el 2015, la lucha de un ciudadano austríaco, Max Schrems, contra la política de privacidad de datos de Facebook se saldó con otra sentencia histórica del Tribunal de Justicia de la UE que tumbó Safe Harbor porque permitía que la información de un europeo en Facebook quedara expuesta al Gobierno de Estados Unidos.

Para tratar de solucionar el contratiempo, la Unión Europea y Estados Unidos acordaron un nuevo protocolo llamado Escudo de Privacidad, que establecía incluso un protector de los derechos de los ciudadanos europeos ante la administración estadounidense.

El posterior Reglamento General de Protección de Datos (RGPD) aprobado por la UE en el 2018 ha sido la puntilla para el sistema. Los datos de los europeos tienen que estar en Europa. Las implicaciones pueden afectar a muchas otras compañías tecnológicas norteamericanas.

Antecedentes de una pelea por la privacidad

La Justicia europea derrumbó el principal mecanismo legal que emplean miles de compañías para mandar datos desde la Unión Europea a los Estados Unidos. 

En una sentencia dictada en julio, el Tribunal de Justicia de la UE (TJUE) ha puesto en cuestión la seguridad de esa fórmula de transferencia de datos para los ciudadanos europeos, conocida como Escudo de Privacidad. 

La Corte de Luxemburgo advierte en especial de que la normativa no pone límites a algunos programas de vigilancia de la Administración norteamericana, de modo que "no existen garantías para las personas no nacionales" de los Estados Unidos que puedan ser objeto de control.

La decisión de la UE supone una medida de profundo calado para las empresas. "La justicia acaba de practicar un corte brutal entre EE UU y la UE, un corte que afecta a toda la economía digital", asegura Natalia Martos, fundadora y CEO del bufete Legal Army. Miles y miles de compañías que usamos a diario, explica la abogada (Amazon, Facebook, entre otras) usan este procedimiento para el envío de datos.

image placeholder
La Justicia Europea da un golpe a la economía digital al declarar ilegal el acuerdo entre la UE y EE UU para transferir de datos

El Tribunal de la UE ha resuelto el caso emprendido por el austriaco Maximillian Schrems contra Facebook. El activista emprendió una guerra jurídica contra el gigante norteamericano al rechazar que sus datos personales puedan ser transferidos por la filial irlandesa de Facebook a sus servidores norteamericanos, donde son objeto de tratamiento, alegando que las prácticas de los Estados Unidos no ofrecen la protección suficiente para el ciudadano europeo.

La justicia europea le da razón e invalida el llamado Escudo de Privacidad. Se trata de un mecanismo fijado en 2016 para proteger los datos personales de los europeos que se mandaban al otro lado del Atlántico para uso comercial después de que la justicia rechazara la fórmula que le precedió, el llamado Puerto Seguro.

El Escudo de Privacidad permite que los datos personales se transfieran de una empresa de la UE a otra de los Estados Unidos, únicamente si dicha empresa procesa (es decir, usa, almacena y transfiere posteriormente) los datos personales con arreglo a una serie de normas de protección y salvaguardias bien definidas. La protección conferida a los datos personales se aplica con independencia de si se es o no ciudadano de la Unión Europea. 

El tribunal cree, sin embargo, que esas salvaguardas no son suficientes. La justicia europea señala que, como ocurría con el mecanismo anterior, existe el riesgo de "injerencias en los derechos fundamentales de las personas" cuyos datos se transfieren a causa de "la primacía de las exigencias relativas a la seguridad nacional, el interés público y el cumplimiento de la ley estadounidense".

El tribunal, en cambio, sí valida las transferencias basadas en cláusulas estándar derivadas del Reglamento general de protección de datos europeo. Martos, en todo caso, las sigue poniendo en duda, porque el tribunal no se pronuncia al respecto y estas cláusulas exigen un tratamiento de país seguro para el estado receptor de los datos. "Dado que la corte ya ha dicho que EE UU no lo es, será difícil que estas cláusulas operan. Pero todas las empresas de norteamericanas intentarán usarlas o la economía digital entre EE UU y la UE se caerá".

Limitación

El tribunal también considera que las limitaciones a la protección de datos "no están reguladas conforme a las exigencias" que cabría esperar para que fueran equivalentes al derecho comunitario. Y finalmente se detiene en la cuestión de ciertos programas de vigilancia de los Estados Unidos de los que podrían ser "potencialmente objeto" ciudadanos de otro país. 

"Si bien la misma normativa establece exigencias que las autoridades estadounidenses debe respetar al aplicar los programas de vigilancia de que se trata, no confiere a los interesados derechos exigibles a las autoridades estadounidenses ante los tribunales", añade la justicia de la UE. Por todas esas razones, el TJUE decide declarar "inválida" la "decisión del Escudo de privacidad.

image placeholder
La decisión de la UE supone una medida de profundo calado para las empresas

La sentencia es un mazazo para miles de empresas que usan ese mecanismo para transferir datos desde la UE a Estados Unidos. Y no solo tecnológicas o redes sociales, sino empresas de servicios, consultoría, finanzas, márketing o firmas de abogados. "Estados Unidos tendrá que llevar a cabo una serie de reformas de vigilancia para volver a un estatus privilegiado", afirmó en declaraciones a AFP Schrems, quien consideró la sentencia una victoria "al 100%". En cambio, desde el lobby de las tecnológicas en Bruselas se la lamentó la decisión al considerar que crea "incertidumbre legal para miles de compañías" que se basan en el Escudo de Privacidad. 

"Confiamos en que los legisladores desarrollarán una solución sostenible rápidamente, en línea con la ley de la UE, para asegurar la continuidad de los flujos de datos que apuntalan la economía transatlántica", afirmó.

Temas relacionados
redes sociales facebook tecnologia internet