El uso de servicios de Meta, como Facebook, conlleva implicaciones significativas en materia de protección de datos que las organizaciones no pueden pasar por alto. A pesar de las ventajas operativas que ofrecen estas plataformas, también generan riesgos importantes en términos de privacidad. Esto es especialmente relevante cuando su implementación involucra transferencias internacionales de datos.
Las entidades deben ser conscientes de que el carácter voluntario de estas funcionalidades no elimina su responsabilidad de garantizar que los datos de los usuarios estén protegidos. Cada decisión tecnológica debe ir acompañada de un análisis riguroso de los riesgos asociados y de la implementación de medidas adecuadas para evitar vulneraciones de derechos. Integrar servicios como los de Meta sin esta cautela, no solo pone en peligro la privacidad de los usuarios, sino que también expone a estas entidades a posibles consecuencias legales, como veremos a continuación.
Por ejemplo, en este caso que os traemos, la Comisión Europea, encargada de velar por la correcta aplicación del Reglamento General de Protección de Datos (RGPD), ha infringido sus propias normas. El incidente se originó cuando un ciudadano alemán intentó registrarse en un evento organizado por la UE utilizando el sistema EU Login. Este sistema ofrece varias opciones de autenticación, entre ellas el inicio de sesión mediante Facebook. Aunque el uso de esta opción era voluntario, al seleccionarla, se produjo la transferencia de ciertos datos personales del usuario, como su dirección IP, identificador de usuario y otros metadatos asociados, a servidores de Meta Platforms ubicados fuera del Espacio Económico Europeo (EEE), específicamente en Estados Unidos.
Este inicio de sesión implica una transferencia internacional de datos porque, al usar este servicio, ciertos datos personales del usuario se envían automáticamente a los servidores de Facebook. Dado que Meta tiene servidores ubicados en Estados Unidos, estos datos se transfieren fuera del Espacio Económico Europeo (EEE).
El tribunal ha determinado que esta transferencia internacional de datos carecía de las salvaguardias exigidas por el RGPD. En particular, la Comisión Europea no había implementado medidas para garantizar que los datos transferidos estuvieran protegidos frente a potenciales accesos no autorizados por parte de autoridades estadounidenses, algo que se considera crítico tras la anulación del Privacy Shield por el caso Schrems II, en el cual se concluyó que Estados Unidos no ofrecía un nivel adecuado de protección para los datos personales de los ciudadanos europeos.
Como consecuencia de este incumplimiento, el tribunal ha ordenado una compensación simbólica de 400 euros a favor del ciudadano alemán que presentó la denuncia, subrayando que incluso las instituciones de la UE deben cumplir estrictamente con las normas del RGPD que se aplican a todos los actores dentro del Espacio Económico Europeo (EEE).
La decisión del tribunal resalta un principio fundamental del RGPD: la protección de los datos personales no depende de si una opción es voluntaria o no, sino de las consecuencias que esta genera. Al ofrecer el inicio de sesión mediante Facebook, la Comisión habilitó indirectamente la posibilidad de que los datos personales de los usuarios fueran transferidos fuera del Espacio Económico Europeo, lo que implica riesgos inherentes, dado que las leyes de protección de datos en terceros países, como Estados Unidos, no siempre ofrecen un nivel equivalente de protección al exigido en la UE.
El RGPD exige que cualquier transferencia de datos personales a países fuera del Espacio Económico Europeo cuente con garantías adecuadas. En este caso, no se demostró que existieran.
El caso también deja en evidencia cómo plataformas externas, como Facebook, recopilan datos automáticamente al integrar sus servicios con sitios web de terceros, generando una transferencia automática de información que, en ausencia de medidas de control adecuadas, puede vulnerar los derechos de los usuarios.
Redactado por Carlota Moreno, a fecha 28 de enero de 2025.