A lo largo de los últimos años, hemos visto cómo la Unión Europea (UE) ha ampliado considerablemente su marco regulatorio. Hace aproximadamente una década apareció en escena el Reglamento General de Protección de Datos (RGPD), una de las legislaciones de privacidad y seguridad más estrictas del mundo.

La nueva normativa, que llegó para sustituir a la antigua Directiva de Protección de Datos de 1995, estableció varias obligaciones para las compañías que manejan datos en la UE, así como sanciones para los infractores. Lo que probablemente nadie anticipaba era que la propia Comisión Europea (CE) acabaría siendo sancionada.

Sanción para la UE por infringir el RGPD

El Tribunal General de la Unión Europea condenó este miércoles a la Comisión Europea a indemnizar con 400 euros a un ciudadano alemán por vulnerar el RGPD. La sentencia subraya que la infracción fue lo suficientemente importante como para justificar una sanción económica, aunque, como podemos ver, de una cuantía reducida.

Pero, ¿cómo llegamos hasta este punto? El demandante alegó que durante 2021 y 2022 visitó varias la página de la Unión Europea “Conference on the Future of Europe”. Al intentar inscribirse en un evento llamado “GoGreen” fue redirigido al servicio de autenticación EU Login, y acabó iniciando sesión a través de su cuenta de Facebook.

Así se ve en la actualidad la página EU Login

El damnificado señaló que aceptó las cookies esenciales, pero que datos personales como su dirección IP, dirección de correo electrónico, nombre, apellidos y foto de perfil, fueron recopilados por Facebook, y transferidos a centros de datos de la empresa estadounidense Meta. En este sentido, dijo que perdió el control de sus datos personales.

La Comisión rechazó las mencionadas alegaciones, sosteniendo que no llevó a cabo transferencias de datos a Meta, y que tampoco era obligatorio utilizar Facebook en EU Login. El método expuesto todavía existe, permite a los usuarios iniciar sesión a través de servicios externos como Facebook o Google con el objetivo de evitar crear una cuenta.

El demandante solicitó recibir dos indemnizaciones: una de 800 euros y otra de 400 euros, ambas por haber sufrido moral por las prácticas de la Comisión Europea. Como señalamos arriba, uno de los órganos del Tribunal de Justicia de la Unión Europea ha dictaminado el pago de 400 euros al damnificado, desestimando uno de sus pedidos.

La normativa de protección de datos actual establece que las transferencias de datos entre países deben realizarse con ciertas garantías. Para la justicia, la Comisión no demostró que se hubieran implementado las garantías adecuadas para la transferencia de datos a Facebook. El intercambio se realizó en base a las condiciones de la firma estadounidense.

Imágenes | Christian Lue | Carl Gruner

