El Tribunal General de la Unión Europea (TGUE) ha condenado a la Comisión Europea a indemnizar con 400 euros a un ciudadano alemán por la transferencia no autorizada de datos personales a Estados Unidos, ocurrida a través del sitio web de la Conferencia sobre el Futuro de Europa.
En su sentencia, asunto T-354/22, el TGUE subraya que se trata de una infracción del derecho a la protección de datos personales en la Unión.
El caso se remonta a 2021 y 2022, cuando el demandante se registró en el evento «GoGreen» utilizando la plataforma de autenticación EU Login y la opción de conectarse con su cuenta de Facebook.
Según el tribunal, esta funcionalidad permitió la transferencia de datos personales, incluyendo la dirección IP del usuario, a Meta Platforms, una empresa estadounidense.
Para el TGUE la conexión con Facebook, no gantizaba las salvaguardias
El tribunal concluyó que la Comisión facilitó esta transferencia al ofrecer el hipervínculo “conectarse con Facebook”, sin garantizar las salvaguardias adecuadas exigidas por el Reglamento General de Protección de Datos (RGPD).
Al momento de la transferencia, no existía un marco legal que reconociera a Estados Unidos como un país con un nivel de protección de datos adecuado, y la Comisión tampoco demostró la existencia de cláusulas contractuales que justificaran la acción.
Por su parte, el demandante también señaló transferencias de datos hacia Amazon Web Services a través de Amazon CloudFront, pero el tribunal desestimó esta reclamación al demostrar que los datos permanecieron en servidores europeos o que el propio interesado simuló su ubicación en Estados Unidos mediante ajustes técnicos.
El fallo del TGUE establece que la Comisión incurrió en una violación suficientemente grave de las normas de protección de datos, lo que generó una situación de inseguridad para el demandante respecto al uso de su información personal.
El tribunal concluyó que existía una relación de causalidad directa entre la infracción y los perjuicios inmateriales sufridos, justificando así la indemnización solicitada.
Este caso pone en evidencia las exigencias del RGPD para las instituciones de la Unión y la importancia de garantizar un tratamiento seguro y legal de los datos personales, especialmente en contextos internacionales.
