La Comisión de Protección de Datos (DPC) de Irlanda ha finalizado su investigación sobre Meta Platforms Ireland Limited (antes conocido como Facebook Ireland Limited), concluyendo con una multa de 1200 millones de Euros por incumplir el Reglamento General de Protección de Datos (RGPD).
El conflicto surgió cuando Meta Ireland continuó transfiriendo datos personales desde la UE/EEE a los EE. UU., a pesar del fallo de la Corte de Justicia de la Unión Europea. Aunque Meta Ireland llevó a cabo estas transferencias basándose en las Cláusulas Contractuales Tipo actualizadas por la Comisión Europea en 2021 y medidas suplementarias adicionales implementadas por ellos mismos, la DPC consideró que estas acciones no abordaban adecuadamente los riesgos para los derechos fundamentales y libertades de los sujetos de datos identificados por la CJEU.
La DPC, tras una exhaustiva investigación iniciada en agosto de 2020, determinó que las transferencias de datos violaban el Artículo 46(1) del RGPD y deberían suspenderse. Tras colaborar con sus homólogos de la UE/EEE se llegó al acuerdo de que Meta Ireland no estaba cumpliendo con el RGPD.
Un pequeño grupo de las autoridades de control propuso que Meta Ireland debía recibir una multa administrativa y tomar medidas para abordar los datos personales que ya se habían transferido ilegalmente a los EE. UU. La DPC inicialmente discrepó, pero después de un proceso de consulta informal y una decisión del Supervisor Europeo de Protección de Datos (EDPB), adoptó la decisión final el 12 de mayo de 2023.
La DPC, cumpliendo con las obligaciones del RGPD y la decisión del EDPB, ha emitido una orden a Meta Ireland para suspender cualquier futura transferencia de datos personales a los EE. UU. en un plazo de cinco meses, ha impuesto una multa administrativa de 1200 millones de Euros, y ha exigido a Meta Ireland que cese el procesamiento ilegal de datos personales de usuarios de la UE/EEE en los EE. UU. en un plazo de 6 meses.
Este es un hito significativo en la aplicación del RGPD, destacando la responsabilidad de las empresas en proteger los datos personales y las consecuencias de no cumplir con el mismo.