Se prohíbe a Meta utilizar datos personales con fines publicitarios
Meta ha sufrido una importante derrota que podría socavar gravemente su negocio publicitario en Facebook e Instagram, después de que los reguladores de la Unión Europea determinaran que había obligado ilegalmente a los usuarios a aceptar de hecho anuncios personalizados. La decisión, que incluye una multa de 390 millones de euros (414 millones de dólares), puede obligar a Meta a introducir costosos cambios en su negocio basado en la publicidad en la Unión Europea, uno de sus mayores mercados.
Según ha confirmado el CPD irlandés, la Junta Europea de Protección de Datos (JEPD) ha rechazado que el CPD irlandés y Meta se salten GDPR basándose en las denuncias de noyb contra Facebook e Instagram. Meta tiene ahora prohibido eludir GDPR a través de una cláusula en los términos y condiciones. Meta tiene que obtener el consentimiento "opt-in" para la publicidad personalizada y debe proporcionar a los usuarios una opción de "sí/no".
"Creemos firmemente que nuestro enfoque respeta GDPR, por lo que estamos decepcionados por estas decisiones", declaró Facebook en un comunicado.
Meta quería "saltarse" GDPR: GDPR permite seis bases legales para procesar datos, una de las cuales es el consentimiento en virtud del artículo 6, apartado 1, letra a). Meta intentó eludir el requisito de consentimiento para el seguimiento y la publicidad online argumentando que los anuncios forman parte del "servicio" que contractualmente debe a los usuarios. El supuesto cambio de base jurídica se produjo exactamente el 25 de mayo de 2018 a medianoche, cuando entró en vigor GDPR. La llamada "necesidad contractual" en virtud del artículo 6, apartado 1, letra b), suele entenderse de forma restrictiva y, por ejemplo, permitiría a una tienda online reenviar la dirección a un servicio postal, ya que es estrictamente necesario para entregar un pedido. Meta, sin embargo, opinó que podría limitarse a añadir elementos aleatorios al contrato (como publicidad personalizada), para evitar una opción de consentimiento sí/no para los usuarios.
"En lugar de tener una opción de 'sí/no' para los anuncios personalizados, simplemente trasladaron la cláusula de consentimiento a los términos y condiciones. Esto no sólo es injusto, sino claramente ilegal. No conocemos ninguna otra empresa que haya intentado ignorar el GDPR de una forma tan arrogante."Max Schrems, activista austriaco de protección de datos de noyb
Mientras que DPC pedía entre 28 y 36 millones de euros de multa. Además del cese general de los anuncios personalizados, la EDPB ha insistido en una multa masiva para Meta. Después de todo, la empresa ha basado la mayor parte del tratamiento de datos comerciales en una violación intencionada de la ley. La EDPB ya ha emitido directrices sobre el asunto en 2019. Meta ya ha sido golpeada con más de 900 millones de euros en multas GDPR en otros casos antes. La multa va a parar al Estado irlandés, no al denunciante, a la Noyb o a la EDPB. El Departamento de Protección de Datos había pedido anteriormente entre 28 y 36 millones de euros en un proyecto de decisión (véase la página 87), solo el 10 % de la sentencia definitiva del EDPB.
Max Schrems: "La sanción irá a parar a Irlanda, el Estado que se ha puesto de parte de Meta y ha retrasado la ejecución durante más de cuatro años. Este caso será probablemente recurrido por Meta, lo que supondrá más costes para noyb".
DPC y Meta cooperaron y consiguieron que EDPB les anulara. En el transcurso del procedimiento, Meta se ha amparado en diez reuniones confidenciales con el DPC irlandés en las que éste ha permitido a Meta utilizar este "bypass". Más tarde se reveló que el CPD ha intentado incluso influir en las directrices pertinentes del EDPB en interés de Meta. No obstante, las demás APD europeas rechazaron la opinión del CPD internamente en 2018, en las Directrices en 2019 y de nuevo en la decisión final del EDPB en diciembre de 2022.
Helen Dixon, directora de la Comisión de Protección de Datos de Irlanda, dijo que los reguladores deben ser "intermediarios honestos" y no ceder a las demandas de los activistas de la privacidad que presionan para que se dicten resoluciones que no resistan los desafíos legales. "No conseguiremos resultados simplemente intentando reescribir el RGPD tal y como nos hubiera gustado que se redactara", declaró Dixon en una entrevista.
El caso se prolongó durante cuatro años y medio, con cientos de páginas de informes y escritos, a pesar de que se trataba de una cuestión jurídica bastante simple.
Max Schrems: "Este caso trata de una simple cuestión jurídica. Meta afirma que el "bypass" se hizo con la bendición del CPD. Durante años, el CPD ha alargado el procedimiento y ha insistido en que Meta podía eludir el RGPD, pero ahora ha sido desautorizado por las demás autoridades de la UE. En general, es la cuarta vez consecutiva que el CPD irlandés es desautorizado".
¿El CPD ve ganada la cuestión de la "transparencia"? En el comunicado de prensa del CPD, la cuestión central de si Meta puede acceder a los datos de los usuarios con fines publicitarios queda enterrada en un debate menor sobre la transparencia, en el que encontró una infracción.
Meta dispone de tres meses para explicar cómo cumplirá la sentencia. La decisión no especifica qué debe hacer la empresa, pero podría dar lugar a que Meta permita a los usuarios elegir si quieren que sus datos se utilicen para esas promociones personalizadas.
“Ha habido una falta de claridad reguladora en este asunto, y el debate entre reguladores y responsables políticos en torno a qué base legal es la más apropiada en una situación dada ha estado en marcha durante algún tiempo", dijo Meta en su declaración.
Consecuencia: sin anuncios personalizados, menos beneficios. La decisión significa que Meta deberá permitir a los usuarios disponer de una versión de todas sus aplicaciones que no utilice datos personales para anuncios en un plazo de tres meses. La decisión seguiría permitiendo a Meta utilizar datos no personales (como el contenido de una historia) para personalizar anuncios o pedir a los usuarios su consentimiento a los anuncios mediante una opción de "sí/no". Los usuarios deben poder retirar su consentimiento en cualquier momento y Meta no puede limitar el servicio si los usuarios deciden hacerlo. Aunque esto limitará drásticamente los beneficios de Meta en la UE, no prohibirá totalmente los anuncios. En cambio, la decisión pondrá a Meta al mismo nivel que otros sitios web o aplicaciones, que deben ofrecer una opción de "sí/no" a los usuarios.
Max Schrems: "Es un duro golpe para los beneficios de Meta en la UE. Ahora hay que preguntar a los usuarios si quieren que sus datos se utilicen para anuncios o no. Deben tener una opción de 'sí o no' y pueden cambiar de opinión en cualquier momento". La decisión también garantiza la igualdad de condiciones con otros anunciantes que también necesitan obtener el consentimiento expreso."
La sentencia pone en riesgo entre el 5 y el 7 por ciento de los ingresos publicitarios totales de Meta, según Dan Ives, analista de Wedbush Securities. "Esto podría suponer un duro golpe", dijo.
El CPD censura la decisión del demandante y del público, garantizando que Meta y el CPD controlen la narrativa de los medios. En un movimiento sorprendente, el CPD ha informado hoy a noyb de que, a pesar de ser una de las dos partes en el procedimiento, no dará a conocer la decisión a noyb. De repente, el DPC alegó la supuesta "confidencialidad" de la decisión como razón. La decisión se comunicará al demandante en una fase posterior, posiblemente incluso después de que haya expirado el plazo para recurrir. Esto es contrario a la información previa del DPC de que las partes recibirían la decisión antes de cualquier publicación por parte del DPC.
Max Schrems: "Que el EDPB revoque la decisión es un duro golpe para el DPC, que ahora parece intentar influir en la percepción pública de este caso. En diez años de litigios nunca he visto que una decisión se notifique sólo a una parte, pero no a la otra. El CPD juega un juego de relaciones públicas muy diabólico. Al no permitir que noyb o el público lean la decisión, intenta dar forma a la narrativa de la decisión conjuntamente con Meta. Parece que la cooperación entre Meta y el regulador irlandés sigue viva, a pesar de haber sido desautorizada por la DPC".
Próximos pasos: DPC demanda a la EDPB, Meta probablemente recurrirá. Se espera que Meta recurra la decisión ante los tribunales irlandeses, pero las posibilidades de ganar tal recurso son mínimas tras una decisión vinculante del EDPB. También hay dos casos similares ante el Tribunal de Justicia de la UE (TJUE) sobre el bypass de consentimiento de Meta, que podrían zanjar definitivamente la cuestión y todos los recursos. De forma paralela, el DPC también anunció que podría demandar al EDPB por un asunto relacionado, ya que el EDPB exigió al DPC que tomara nuevas medidas de investigación sobre Meta, más allá de las denuncias decididas por noyb. El DPC considera que la EDPB no tiene estas competencias e intentará que se anule esta decisión. Los usuarios también pueden emprender acciones por el uso ilegal de sus datos durante los últimos 4,5 años.
Fuentes: noyb / The New York Times