El puente de Facebook sobre el GDPR llega al Tribunal Supremo de Austria

This page has been translated automatically. Read the original or leave us a message if something is not right.
Sun, 14/03/2021 - 11:21
Thumbnail

Eludir el consentimiento GDPR de Facebook a través de un "deber de publicidad contractual" ante el Tribunal Supremo austriaco, con un alto potencial de referencia al TJUE

Según informan la Agencia de Prensa Austriaca (APA) y Der Standard, un caso que puede determinar la legalidad de los negocios de Facebook en Europa ha llegado al Tribunal Supremo de Austria (OGH). Tanto Facebook como el Sr. Schrems han presentado recursos contra una sentencia anterior del Tribunal Regional Superior de Viena (OLG Wien). Entre otras cuestiones, la supuesta "elusión" de las estrictas normas de consentimiento del RGPD se convirtió en el centro del caso. Se pidió al Tribunal Supremo que remitiera el caso al Tribunal de Justicia de las Comunidades Europeas (TJUE) para que lo aclarara.

El "bypass del consentimiento" de Facebook. Cuando el RGPD entró en vigor, una de las grandes ventajas fue la obligación de contar con un claro consentimiento expreso cuando las empresas quieran procesar los datos de los usuarios. Además del consentimiento, hay otras cinco bases legales para procesar datos según el artículo 6(1) del GDPR. Una de estas bases es el procesamiento que es "necesario para la ejecución de un contrato". El 25.5.2018 a medianoche, cuando el GDPR entró en vigor, Facebook simplemente ha nombrado cosas como "publicidad personalizada" en sus términos y condiciones. Facebook argumenta ahora que tiene el "deber de proporcionar publicidad personalizada" a los usuarios, por lo que no necesita el consentimiento del usuario para procesar sus datos personales.

¿La gran diferencia entre el consentimiento y el contrato? El GDPR tiene normas muy estrictas sobre el consentimiento. Los usuarios deben estar plenamente informados, tener la posibilidad de elegir libremente si están de acuerdo o no y deben poder consentir específicamente cada tipo de tratamiento. Además, los usuarios pueden retirar su consentimiento en cualquier momento y sin coste alguno. Los contratos, sin embargo, dependen de cada legislación nacional y suelen ser mucho más flexibles. Los usuarios no deben haber entendido un contrato para estar obligados, los detalles pueden estar ocultos en "términos y condiciones" y pueden venir en una base de "tómalo o déjalo".

Katherina Raabe-Stuppnig, LGP, en representación del Sr. Schrems "Facebook simplemente está tratando de reetiquetar el consentimiento inválido para eludir el GDPR. Todas las demás empresas obtienen un consentimiento adecuado; sólo Facebook cree que puede eludirlo" y, además,"sólo porque se traslade una declaración de consentimiento a un contrato, debe seguir tratándose como consentimiento. Siempre se han tenido que interpretar los contratos principalmente en función de su verdadera finalidad. Por lo tanto, el consentimiento en un contrato debe interpretarse precisamente como consentimiento."

El64% de los usuarios ve un "consentimiento", el 1,6% un "contrato publicitario". noyb ha encargado un estudio al Instituto Gallup, en el que se preguntó a 1.000 usuarios austriacos de Facebook sobre su comprensión del acuerdo. Alrededor de dos tercios interpretaron la página en cuestión como una búsqueda de consentimiento por parte de Facebook, sólo un 10% vio un "contrato", de los cuales sólo 16 usuarios entendieron que implicaba una obligación de proporcionar publicidad personalizada (en total, un 1,6%), tal y como afirmaba Facebook. Sin embargo, los dos tribunales inferiores de Austria consideraron que la afirmación de que un término es un "contrato" o un "consentimiento" queda a discreción de Facebook. En consecuencia, no vieron ningún problema con la desviación de Facebook, pero también sostuvieron que la cuestión debe ser aclarada por el Tribunal Supremo.

¿Desvirtuando el GDPR? El enfoque de Facebook también puede verse como una clara señal de ignorar (al menos el espíritu de) el GDPR, mientras que Facebook afirma ser totalmente compatible. Der Standard citó a la miembro liberal del Parlamento Europeo Sofie in 't Veld, que negoció el GDPR y dijo "El requisito de pedir el consentimiento debe mantenerse firme. Las cláusulas contractuales no pueden utilizarse como una cláusula de escape para ese requisito, o de hecho para cualquier otra base jurídica para el tratamiento de datos. El GDPR está claramente diseñado para dar a los usuarios el control sobre sus datos. No para permitir que Facebook estafe a los usuarios con sus datos personales"

Inactividad de la Autoridad de Protección de Datos. El mismo asunto fue planteado por noyb ante la Comisión de Protección de Datos de Irlanda (CPD) hace más de dos años y medio. Sin embargo, las tres investigaciones sobre el supuesto "consentimiento forzado" avanzaron lentamente y se consideró que la cuestión central de un "bypass" estaba fuera del ámbito del procedimiento. En el caso austriaco, Facebook argumentó que el "bypass" se aplicó después de haber mantenido diez reuniones con el CPD que desarrolló el "bypass" con la empresa de medios sociales. El CPD lo ha negado, pero se ha negado a revelar los detalles de las diez reuniones confidenciales con Facebook en el período previo al RGPD. Dos de los casos irlandeses son ahora objeto de una revisión judicial ante el Tribunal Superior de Irlanda, y el tercer caso está en apelación ante el Tribunal Administrativo Federal de Austria (BVwG).

Un historial prometedor. El Tribunal Supremo austriaco ha remitido anteriormente casos similares al TJUE (véase, por ejemplo, C-18/18 - Glawischnig-Piesczek, C-498/16 - Schrems). El TJUE, a su vez, ha fallado anteriormente en su mayoría contra Facebook en asuntos de privacidad (véase, por ejemplo, C-40/17 - Fashion ID o C-210/16 - Wirtschaftsakademie Schleswig-Holstein), sobre todo dos casos contra Facebook sobre transferencias de datos entre la UE y los EE.UU., denominados "Schrems I" y "Schrems II". Por lo tanto, no es improbable que a Facebook le esperen graves problemas. El Tribunal Supremo austriaco no celebra audiencias orales y suele decidir sobre las referencias al TJUE en cuestión de meses y en una decisión escrita. Sin embargo, el propio TJUE tarda hasta un año y medio en realizar todas las audiencias y tomar una decisión.

Share