Las batallas regulatorias de Meta hacen sonar la alarma para las grandes tecnológicas

Las batallas regulatorias de Meta hacen sonar la alarma para las grandes tecnologías

Por Danny Bradbury • 22 de junio de 2023

Meta ha estado librando batallas legales en varios frentes durante el año pasado, con algunas victorias y algunos reveses. Uno de estos casos podría tener ramificaciones más amplias para la industria tecnológica.

En Estados Unidos, el gigante de las redes sociales ganó por primera vez un caso antimonopolio contra la FTC en febrero. ganar el derecho a comprar la startup de realidad virtual Within Unlimited. Entonces eso rechazar otra demanda antimonopolio comprada por 48 estados por sus adquisiciones de WhatsApp e Instagram. Eso no augura nada bueno para la FTC, que actualmente está llevando a cabo un caso histórico sobre el mismo tema.

La suerte reciente de Meta en Europa ha sido menos positiva. El principal regulador de datos del bloque, la Comisión de Protección de Datos de Irlanda, fue no conocido históricamente por sus agresivas normas de privacidad de datos. Eso ha cambiado recientemente a medida que el DPC ha dado un paso adelante repetidamente con más penalizaciones. Después varias multas contra Meta Desde el otoño de 2021, el DPC lanzó una bomba financiera en mayo. Él multado El gigante de las redes sociales recibe 1.2 millones de euros por violar los principios del RGPD al transferir datos recopilados de usuarios europeos de Facebook a EE. UU.

Cuando los SSC no son suficientes

La UE y los EE. UU. no cuentan actualmente con un acuerdo de adecuación para la transferencia de datos entre los dos países, aunque están trabajando en uno. Anteriormente hubo dos acuerdos de este tipo: el acuerdo de Puerto Seguro de 2000 y el Escudo de Privacidad. Ambos fueron anulados después de que el abogado y activista de la privacidad austriaco Max Schrems los desafiara.

En cambio, Facebook ha confiado en Cláusulas contractuales tipo (SCC), que son acuerdos modelo para acuerdos bilaterales de intercambio de datos entre organizaciones de la UE y EE. UU. La Comisión Europea los actualizó en junio de 2021.

En su fallo de mayo, la DPC determinó que si bien los SSC ofrecen cierta protección para los datos de los usuarios de la UE, solo se aplican a las partes contratadas. El gobierno de Estados Unidos no es signatario de estos contratos, lo que significa que no puede evitar que aplique sus agresivas políticas de recopilación de datos y vigilancia masiva a los datos de los usuarios.

El pasado mes de octubre, la Casa Blanca intentó abordar esta cuestión en su Orden ejecutiva sobre la mejora de las salvaguardias para las actividades de inteligencia de señales de los Estados Unidos. Esto establece un Tribunal de Revisión de Protección de Datos para revisar caso por caso la sustracción de datos por parte del gobierno de EE. UU. Los individuos o gobiernos en los estados calificados podrían quejarse ante el Tribunal sobre la recopilación de datos de sus residentes después de haberlos transferido a los EE. UU.

El problema, según la DPC, es que la UE aún no es considerada un estado calificado, lo que significa que sus residentes aún no pueden aprovechar las ventajas de la Corte. Eso deja sus datos vulnerables en EE.UU., sin importar lo que diga la SCC.

Habiendo dictaminado que las SCC eran insuficientes cuando se trata de Estados Unidos, la DPC concluyó que las transferencias no están permitidas. Junto con la multa, exigió que Meta dejara de transferir datos de usuarios de la UE a EE. UU. en un plazo de cinco meses. También debe hacer que todos los datos actuales sobre los usuarios de la UE cumplan con GDPR dentro de seis meses (lo que significa eliminarlo).

Efectos más amplios

La decisión de la DPC elimina efectivamente el SSC como herramienta para las empresas que desean enviar datos de residentes de la UE a los EE. UU. La sección 10.11 de la sentencia de la DPC advierte que las ramificaciones de este caso podrían extenderse mucho más allá de Meta. Decía:

“…el análisis de esta Decisión expone una situación por la cual cualquier plataforma de Internet que entre dentro de la definición de proveedor de servicios de comunicaciones electrónicas sujeto al programa FISA 702 PRISM puede igualmente incumplir los requisitos del Capítulo V GDPR y la Carta de Derechos Fundamentales de la UE con respecto a sus transferencias de datos personales a EE.UU.”

¿Qué tan catastrófico podría ser esto para el sector tecnológico? Meta ya lo ha hecho prevenido que podría tener que cerrar muchos de sus servicios en Europa si no se le permite transferir datos a casa. Otras empresas que dependen del contenido generado por el usuario y de gráficos sociales probablemente tendrán el mismo problema.

¿Y ahora qué?

Meta todavía tiene opciones. No necesita cumplir con los requisitos de eliminación de datos hasta este octubre y es atractivo el fallo

Una opción podría ser que empresas como Meta y otras inviertan más en centros de datos con sede en la UE para almacenar datos de los residentes de la UE localmente, resolviendo el problema de la soberanía de los datos.

La ventana también brinda tiempo para trabajar en un tercer acuerdo de adecuación entre Europa y Estados Unidos. Ese acuerdo ya está en marcha y podría completarse este verano. Mucho dependerá de la capacidad de la UE para convertirse en un estado calificado para que sus ciudadanos puedan presentar quejas ante el Tribunal de Revisión de Protección de Datos.

Más problemas por delante

Mientras tanto, Meta se enfrenta a nuevas acciones en Europa. La Comisión Europea dijo en diciembre del año pasado que el negocio de anuncios clasificados en línea Marketplace de la compañía violó las reglas antimonopolio. Combinarlo con el servicio de red social le da una ventaja injusta, se quejaron los reguladores. La UE también acusó a la empresa de utilizar datos en línea de otros servicios.

Si ese caso tiene éxito, Facebook se enfrenta a una multa de hasta el 10% de sus ingresos, lo que podría ponerlo en peligro de pagar 11.8 millones de dólares en multas. Meta ha impugnado las solicitudes de información de la UE en ese caso, pero el Tribunal General lo rechazó, allanando el camino para que el caso proceda.

“Muévete rápido y rompe cosas” solía ser el eslogan interno de Meta. Podría haber renunciado a eso, pero aún se adhiere a una regla más general adoptada por el sector tecnológico en general: “Actuar primero y pedir perdón después”.

Las empresas tecnológicas han considerado las sanciones incurridas bajo esta doctrina más amplia como un costo de hacer negocios en un sector de alto crecimiento y de alto riesgo. A medida que los reguladores impongan multas cada vez más altas e incluso consideren dividir las empresas de tecnología, eso podría cambiar.

danny bradbury

Danny Bradbury ha sido periodista impreso especializado en tecnología desde 1989 y escritor independiente desde 1994. Ha escrito para publicaciones nacionales en ambos lados del Atlántico y ha ganado premios por su trabajo de periodismo de investigación en ciberseguridad.

Lea más de Danny Bradbury

La seguridad cibernética 15 de enero de 2026

De la seguridad perimetral a la identidad como bandera de seguridad

De la seguridad perimetral a la identidad como seguridad

Hoy en día, es imposible ver un evento de seguridad sin ver la frase "confianza cero". Es una palabra de moda, sí, pero...

danny bradbury

La seguridad cibernética 18 December 2025

Cómo navegar por el laberinto de cumplimiento de IA en EE. UU.

Cómo navegar por el laberinto del cumplimiento normativo de la IA en EE. UU.

En materia de regulación, el término «Estados Unidos» es un oxímoron. Las leyes estatales están lejos de estar unificadas, y cada jurisdicción tradicionalmente...

danny bradbury

La seguridad cibernética 20 November 2025

Lo que las brechas de seguridad de Salesforce nos enseñan sobre la responsabilidad compartida

2025 no ha sido un buen año para los clientes de Salesforce. Un grupo criminal sin escrúpulos lanzó una serie de ataques contra sus clientes, afectando finalmente a...

danny bradbury