PROGRAMMATIC SPAIN

View Original

El modelo de publicidad dirigida de Meta se enfrenta a restricciones en Europa

Los reguladores de privacidad de la Unión Europea han dictaminado que Meta no debe exigir a los usuarios que acepten anuncios personalizados basados en su actividad online, según hemos podido saber de algunas personas familiarizadas con la decisión, un fallo que podría limitar los datos a los que Meta puede acceder para vender dichos anuncios.

Un Consejo que representa a todos los reguladores de privacidad de la UE aprobó el lunes una serie de decisiones que dictaminan que la ley de privacidad de la UE no permite a las plataformas Meta, como Instagram y Facebook, utilizar sus términos de servicio como justificación para permitir dicha publicidad.

Las nuevas decisiones de la UE pueden recurrirse, lo que podría llevar a su suspensión a la espera de un litigio potencialmente largo. Sin embargo, si se confirman, podrían dificultar que Meta y otras plataformas muestren a los usuarios anuncios basados en lo que pulsan y ven dentro de las propias Apps de esas plataformas. Meta lleva años permitiendo a los usuarios optar por no recibir anuncios personalizados basados en datos de otros sitios web y Apps, pero no ha dado esa opción para los anuncios basados en datos sobre la actividad del usuario en sus propias plataformas, como los vídeos que ve un usuario de Instagram.

Si una parte significativa de sus usuarios opta por no participar en este tipo de segmentación, Facebook e Instagram acabarían disponiendo de menos información con la que crear audiencias para los anuncios personalizados que, según analistas y personas cercanas a la empresa, constituyen la mayor parte de sus ingresos.

Las resoluciones de la junta del lunes, que aún no se han hecho públicas, no ordenan directamente a Meta que cambie sus prácticas, sino que piden a la Comisión de Protección de Datos de Irlanda que emita órdenes públicas que reflejen sus decisiones, junto con multas significativas. Irlanda es el principal regulador de la privacidad de Meta, ya que allí se encuentra su sede europea. Meta también podrá recurrir la decisión irlandesa, así como la de la UE.

"Esta no es la decisión final y es demasiado pronto para especular", dijo un portavoz de Meta, añadiendo que la legislación de la UE podría permitir otras justificaciones legales para orientar sus anuncios. "Hemos colaborado plenamente con la CPD en sus investigaciones y seguiremos colaborando con ellos mientras finalizan su decisión".

La empresa ha argumentado anteriormente que adaptar los anuncios que vende basándose en los datos que tiene sobre el comportamiento online de los usuarios es una parte necesaria del servicio personalizado que ofrece. También ha dicho que tiene opciones para que los usuarios controlen cómo utiliza sus datos.

Un portavoz de la Comisión de Protección de Datos de Irlanda dijo que no sería apropiado comentar el contenido de las decisiones. Una portavoz del Consejo Europeo de Protección de Datos, el organismo que representa a todos los reguladores de la privacidad de la UE, confirmó que el Consejo había tomado decisiones el lunes, pero declinó comentar su contenido.

Una eventual decisión de la Comisión de Protección de Datos irlandesa probablemente no especificaría cómo tiene que cumplirla Meta. Pero si la sentencia se mantiene, podría llevar a Meta a solicitar el consentimiento de los usuarios para los anuncios dirigidos, o a ofrecerles una opción de exclusión. La empresa se negó a decir lo que podría hacer.

Cualquier repercusión de la decisión vendría a sumarse al golpe que recibió Meta cuando Apple exigió el año pasado a los desarrolladores de Apps para iPhone que preguntaran a los usuarios si querían que se rastreara su uso. Muchos usuarios de iPhone rechazaron ese seguimiento, lo que privó a Meta de una importante fuente de datos que utilizaba para orientar los anuncios. La empresa dijo que el cambio redujo sus ingresos un 8% en 2021, y todavía está lidiando con su impacto.

Las decisiones de la UE muestran lo que los abogados de privacidad describen como una creciente voluntad de los reguladores del bloque para frenar lo que a menudo se llama "publicidad comportamental". Este negocio, valorado en decenas de miles de millones de dólares al año, consiste en mostrar a los usuarios anuncios digitales segmentados en función de perfiles e inferencias extraídos de la actividad digital de esos usuarios en Apps y sitios web.

Según Dominique Shelton Leipzig, socia de ciberseguridad y privacidad de datos de Mayer Brown, una nueva ley de privacidad de California también permite a los usuarios optar por no participar en lo que denomina publicidad comportamental contextual cruzada. "Lo que estamos viendo ahora es un enfoque más agudo de los reguladores hacia el seguimiento del comportamiento", dijo la Sra. Shelton Leipzig el mes pasado.

El GDPR de la UE comenzó a ser aplicable en 2018, y la aplicación se ha intensificado en el último año y medio. Amazon fue multada con alrededor de 786 millones de dólares el año pasado en Luxemburgo por violaciones relacionadas con su publicidad, una decisión que ha apelado.

Irlanda, por su parte, ha multado a Meta con más de 900 millones de dólares en otros cuatro casos en los últimos 15 meses, y actualmente tiene abiertas otras 10 investigaciones sobre la empresa. Meta sigue recurriendo dos de esas decisiones y estudia apelar la más reciente. A 31 de diciembre de 2021, la filial irlandesa de la empresa había destinado casi 3.000 millones de euros, unos 3.150 millones de dólares, a multas relacionadas con la privacidad en la UE, lo que supone un aumento de 1.970 millones de euros con respecto al año anterior, según un reciente expediente corporativo irlandés.

Lo que está en juego en las decisiones de Meta es un concepto denominado necesidad contractual. GDPR prohíbe sobre todo a las empresas obligar a los usuarios a facilitar información personal para utilizar sus servicios. Una excepción es cuando esa información es necesaria para ejecutar un contrato: una App de reparto de comida necesita la dirección de tu casa para entregarte la pizza que has pedido.

Meta decidió basarse en esa disposición contractual de GDPR cuando entró en vigor en 2018, lo que provocó las quejas del activista austriaco de privacidad Max Schrems. El regulador de privacidad irlandés inicialmente estuvo de acuerdo con Meta en que la compañía puede usar esa disposición de GDPR, según una copia de uno de sus borradores de decisiones que se filtró el año pasado. Pero al menos 10 reguladores de la privacidad de la UE pusieron objeciones a sus decisiones. Sus disputas acabaron ante el EDPB, del que son miembros todos los reguladores de la privacidad de la UE. El Consejo anuló la posición de Irlanda sobre la publicidad basada en el comportamiento y le ordenó imponer multas disuasorias, según explicaron personas familiarizadas con las decisiones.

El EDPB ha anulado decisiones anteriores, incluidas las de Irlanda, y se está convirtiendo en una fuerza propia en la aplicación de la legislación europea sobre privacidad. La junta, que cuenta con personal que ayuda a investigar y redactar sus decisiones, ha manifestado recientemente que necesita más recursos.

Algunos abogados que representan a empresas afirman que la aplicación de las normas de privacidad de la UE a través del EDPB puede estar yendo demasiado lejos. "La dirección de la marcha parece ser una interpretación más absolutista y draconiana del GDPR", dijo Ross McKean, un abogado de privacidad de DLA Piper, hablando antes de las decisiones de la UE.

Fuente: The Wall Street Journal