El RGPD contempla seis bases jurídicas para el tratamiento de datos personales. En el asunto Meta contra Bundeskartellamtel TJUE se ha pronunciado hoy sobre todas ellas, aclarando aún más la interpretación del RGPD. El TJUE ha cerrado en gran medida las puertas a que Meta utilice los datos personales más allá de lo estrictamente necesario para proporcionar los productos básicos (como la mensajería o el intercambio de contenidos): todos los demás tratamientos (como la publicidad y el intercambio de datos personales) requieren el consentimiento libre y leal de los usuarios.
- Sentencia en Alemán y Francés
- Comunicado de prensa del TJUE
- Decisión previa del TJUE que dio lugar a una multa de 320 millones de euros
- Antecedentes del planteamiento de "consentimiento forzado" de Meta
- Antecedentes sobre el paso de Meta al "interés legítimo"
Primera declaración. noyb todavía tiene que estudiar los detalles de esta enorme sentencia. De la lectura en directo de la sentencia, parece que a Meta/Facebook se le prohibió utilizar cualquier cosa que no fuera el consentimiento para operaciones cruciales de las que depende para obtener beneficios en Europa.
Max Schrems:"Acogemos con satisfacción la decisión del TJUE. Aclara aún más que Meta no puede simplemente eludir el GDPR con algunos párrafos en sus documentos legales. Esto significará que Meta tiene que buscar el consentimiento adecuado y no puede utilizar su posición dominante para obligar a la gente a aceptar cosas que no quieren. Esto también tendrá un impacto positivo en el litigio pendiente entre noyb y Meta en Irlanda."
Meta quería "saltarse" el GDPR. El artículo 6, apartado 1, del RGPD permite seis bases jurídicas para el tratamiento de datos, una de las cuales es el consentimiento en virtud del artículo 6, apartado 1, letra a), pero Meta quería eludir el requisito de consentimiento a través de las otras cinco bases jurídicas. El TJUE se ha ocupado básicamente de todas ellas, citando en la sentencia desde la letra a) del apartado 1 del artículo 6 hasta la letra f). Meta intentó principalmente eludir el requisito de consentimiento para el rastreo y la publicidad en línea argumentando que los anuncios forman parte del "servicio" que debe contractualmente a los usuarios. El supuesto cambio de base jurídica se produjo exactamente el 25 de mayo de 2018 a medianoche, cuando entró en vigor el GDPR. La llamada "necesidad contractual" en virtud del artículo 6, apartado 1, letra b), suele entenderse de forma restrictiva y, por ejemplo, permitiría a una tienda online reenviar la dirección a un servicio postal, ya que es estrictamente necesario para entregar un pedido. Meta, sin embargo, opinó que podría limitarse a añadir elementos aleatorios al contrato (como publicidad personalizada), para evitar una opción de consentimiento sí/no para los usuarios.
Max Schrems:"En lugar de tener una opción de 'sí/no' para los anuncios personalizados, simplemente trasladaron la cláusula de consentimiento a los términos y condiciones. Esto no sólo es injusto, sino claramente ilegal. No conocemos ninguna otra empresa que haya intentado ignorar el GDPR de una forma tan arrogante."
La jugada de Meta con el "interés legítimo" también fracasó. Después de la sentencia del TJUE, prohibiendo el "bypass" bajo el artículo 6(1)(b), Meta ha pasado al artículo 6(1)(f) GDPR esta primavera. El TJUE también parece echar por tierra las esperanzas de Meta de limitarse a un supuesto "interés legítimo" para la publicidad en virtud del artículo 6, apartado 1, letra f) del RGPD. Aunque el TJUE no ha descartado que pueda existir un interés legítimo (por ejemplo, para la seguridad de la red), la sentencia aclara que no existe un "interés legítimo" que anule los derechos de los usuarios cuando los responsables del tratamiento intentan ofrecer publicidad. Esto limita básicamente la posibilidad de que cualquier controlador de la UE ofrezca publicidad personalizada si no es con el consentimiento libre (sí/no) del usuario.
Max Schrems:"Es un duro golpe para Meta, pero también para otras empresas de publicidad en línea. Aclara que varias teorías legales de la industria para eludir el GDPR son nulas y sin valor."