La Data Protection Commission (DPC) ha sido la autoridad que ha interpuesto la sanción a Meta, por ser la autoridad del país en el que Meta tiene su sede en territorio europeo, Irlanda. El motivo de la sanción ha sido la transferencia ilícita de datos desde la Unión Europea a Estados Unidos, de forma continuada y durante años.
El contexto de la resolución se remonta al inicio de la investigación en agosto de 2020 por parte de la DPC que, tras ser suspendida por la existencia de otros procedimientos judiciales relacionados, se resolvió en un proyecto de decisión en julio de 2022. En dicho proyecto, la DPC consideró que Meta había incurrido en una infracción del artículo 46.1 del Reglamento General de Protección de Datos (RGPD) al llevar a cabo transferencias de datos personales desde territorio europeo a Estados Unidos, sin cumplir con ninguna de las condiciones que las legitiman. Por ello, la DPC consideraba necesario imponer a Meta la suspensión de las transferencias de datos a Estados Unidos.
Este proyecto de la DPC se consultó con el resto de autoridades de protección interesadas en la Unión Europea, iniciándose un procedimiento de cooperación previsto en el RGPD, por la enorme magnitud de la investigación. La gran mayoría de estas autoridades estuvieron de acuerdo con la decisión de la DPC, aunque algunas de ellas consideraban que debía imponerse mayores sanciones administrativas, sobre lo que no hubo acuerdo.
Por este desacuerdo, la investigación se puso en manos del Comité Europeo de Protección de Datos (CEPD, o EDPB, por sus siglás en inglés) que, finalmente en abril de 2023, resolvió que Meta había de ser sancionado con: i) la suspensión a seguir llevando a cabo transferencias de datos desde la UE a Estados Unidos; ii) el pago de una multa administrativa de 1.200 millones de euros; iii) parar el tratamiento de datos personales en Estados Unidos, aun siendo datos ya transferidos, en el plazo de 6 meses desde el momento de la resolución.
Tras la resolución del CEPD, la DPC concluyó su resolución definitiva, ajustándose a lo considerado por el primero, el 12 de mayo de 2023.