El TJUE declara ilegal en gran medida el enfoque del GDPR de Meta/Facebook

El TJUE declara ilegal el enfoque GDPR de Meta.
El TJUE se une a la opinión de noyb y EDPB sobre el "bypass GDPR" de Meta

El RGPD permite seis bases jurídicas para el tratamiento de datos personales. El TJUE se ha pronunciado hoy sobre todas ellas, aclarando aún más la interpretación del RGPD. El TJUE ha cerrado en gran medida las puertas a que Meta utilice los datos personales más allá de lo estrictamente necesario para proporcionar los productos básicos (como la mensajería o el intercambio de contenidos): todos los demás tratamientos (como la publicidad y el intercambio de datos personales) requieren el consentimiento libre y justo de los usuarios.

Esta primera declaración se basa en la retransmisión en directo de la sentencia y en el comunicado de prensa del TJUE y se actualizará cuando esté disponible el texto completo de la sentencia.

• Sentencia en alemán y francés
• Comunicado de prensa del TJUE
• Decisión anterior del TJUE que dio lugar a una multa de 320 millones de euros
• Antecedentes del planteamiento de "consentimiento forzado" de Meta
• Antecedentes sobre el paso de Meta al "interés legítimo

Primera declaración. noyb todavía tiene que estudiar los detalles de esta enorme sentencia. De la lectura en directo de la sentencia, parece que a Meta/Facebook se le prohibió utilizar cualquier cosa que no fuera el consentimiento para operaciones cruciales de las que depende para obtener beneficios en Europa.

Max Schrems:"Acogemos con satisfacción la decisión del TJUE. Aclara aún más que Meta no puede simplemente eludir el GDPR con algunos párrafos en sus documentos legales. Esto significará que Meta tiene que buscar el consentimiento adecuado y no puede utilizar su posición dominante para obligar a la gente a aceptar cosas que no quieren. Esto también tendrá un impacto positivo en el litigio pendiente entre noyb y Meta en Irlanda."

Meta quería "saltarse" el GDPR. El artículo 6, apartado 1, del RGPD permite seis bases jurídicas para el tratamiento de datos, una de las cuales es el consentimiento en virtud del artículo 6, apartado 1, letra a), pero Meta quería eludir el requisito de consentimiento a través de las otras cinco bases jurídicas. El TJUE se ha ocupado básicamente de todas ellas, citando en la sentencia desde la letra a) del apartado 1 del artículo 6 hasta la letra f). Meta intentó principalmente eludir el requisito de consentimiento para el rastreo y la publicidad en línea argumentando que los anuncios forman parte del "servicio" que debe contractualmente a los usuarios. El supuesto cambio de base jurídica se produjo exactamente el 25 de mayo de 2018 a medianoche, cuando entró en vigor el GDPR. La llamada "necesidad contractual" en virtud del artículo 6, apartado 1, letra b), suele entenderse de forma restrictiva y, por ejemplo, permitiría a una tienda online reenviar la dirección a un servicio postal, ya que es estrictamente necesario para entregar un pedido. Meta, sin embargo, opinó que podría limitarse a añadir elementos aleatorios al contrato (como publicidad personalizada), para evitar una opción de consentimiento sí/no para los usuarios.

Max Schrems: "En lugarde tener una opción de 'sí/no' para los anuncios personalizados, simplemente trasladaron la cláusula de consentimiento a los términos y condiciones. Esto no sólo es injusto, sino claramente ilegal. No conocemos ninguna otra empresa que haya intentado ignorar el GDPR de una forma tan arrogante."

La jugada de Meta con el "interés legítimo" también fracasó. Después de la sentencia del TJUE, prohibiendo el "bypass" bajo el artículo 6(1)(b), Meta ha pasado al artículo 6(1)(f) GDPR esta primavera. El TJUE también parece echar por tierra las esperanzas de Meta de limitarse a un supuesto "interés legítimo" para la publicidad en virtud del artículo 6, apartado 1, letra f) del RGPD. Aunque el TJUE no ha descartado que pueda existir un interés legítimo (por ejemplo, para la seguridad de la red), la sentencia aclara que no existe un "interés legítimo" que anule los derechos de los usuarios cuando los responsables del tratamiento intentan ofrecer publicidad. Básicamente, esto limita la posibilidad de que cualquier controlador de la UE publique anuncios si no es con el consentimiento libre (sí/no) del usuario.

Max Schrems:"Es un duro golpe para Meta, pero también para otras empresas de publicidad en línea. Aclara que varias teorías legales de la industria para eludir el GDPR son nulas y sin valor."