L'autoritat irlandesa de protecció de dades (DPC) té jurisdicció sobre les operacions europees de totes les grans plataformes de xarxes socials. Ha emès tres de les majors multes de transferència de dades tranatlàntiques de la història de GDPR:
- TikTok: €345 milions (2023) per transferències de dades europees als EUA sense base legal adequada
- LinkedIn: €60 milions (2022) per exportació il·legal de dades de membres europeus
- Meta/WhatsApp: €405 milions (2021) més €17 milions (2021) per transferències il·legals a EUA
Cada una d'aquestes multes es basa en la mateixa qüestió central: les transferències de dades europees als EUA violen la GDPR.
Schrems II: El Veredicte sobre les Transferències USA
En 2020, la Cort de Justícia Europea (CJUE) va dictaminar en el cas Schrems II que la majoria de transferències de dades europees als EUA no compleixen amb les proteicions de la GDPR perquè:
- Els EUA realitzen vigilància massiva de dades estrangeres sense límits legals
- Les empreses Americans han de lliurar dades als governs sense recurs legal per als Europeans
- Les "Clàusules Contractuals Estàndard" (SCCs) no poden eliminar aquests riscos legals
Schrems II no prohibeix totes les transferències USA, però requereix "mesures tècniques" addicionals com encriptació o anonimització — que TikTok, LinkedIn i Meta no estaven fent.