En su sentencia de hoy en el asunto C-446/21 (Schrems contra Meta), el Tribunal de Justicia de la Unión Europea (TJUE) ha respaldado plenamente una demanda interpuesta contra Meta, en relación con su servicio de Facebook. El Tribunal se pronunció sobre dos cuestiones: En primer lugar, la limitación masiva del uso de datos personales para la publicidad en línea. En segundo lugar, limitar el uso de datos personales disponibles públicamente a los fines inicialmente previstos para su publicación.
Primera declaración. Acaba de publicarse el primer resumen del TJUE de la sentencia en el asunto C-446/21 (Schrems/Meta). Actualice esta página para conocer las novedades. Aunque todavía estamos analizando los detalles, esperamos que la reacción inicial que figura a continuación recoja las principales conclusiones:
Katharina Raabe-Stuppnig, abogada que representa al Sr. Schrems:"Estamos muy satisfechos por la sentencia, aunque este resultado era muy esperado"
Primera cuestión: El uso de datos para publicidad debe "minimizarse". Hasta ahora, Meta utiliza todos los datos personales que ha recopilado para publicidad. Por ejemplo, los datos de los usuarios de Facebook pueden remontarse hasta 2004 e incluir datos introducidos por el usuario, por otros usuarios o datos recopilados a través del seguimiento en línea o el seguimiento en aplicaciones móviles. Para evitar estas prácticas, el RGPD estableció el principio de "minimización de datos" en su artículo 5.1.c, que obliga a limitar el tratamiento a los datos estrictamente necesarios. Hasta ahora, Meta y muchos actores del espacio publicitario en línea se han limitado a ignorar esta norma y no han previsto ningún plazo de supresión o limitación en función del tipo de datos personales. La aplicación del "principio de minimización de datos" restringe radicalmente el uso de datos personales para publicidad. El principio de minimización de datos se aplica con independencia de la base jurídica utilizada para el tratamiento, por lo que ni siquiera un usuario que consienta la publicidad personalizada podrá ver sus datos personales utilizados indefinidamente. En línea con la práctica habitual del TJUE, el Tribunal dejó en manos de los tribunales nacionales los detalles de cómo aplicar el principio de minimización de datos.
Katharina Raabe-Stuppnig: "Básicamente, Meta lleva 20 años creando una enorme reserva de datos sobre los usuarios, que crece día a día. Sin embargo, la legislación de la UE exige la "minimización de datos". Tras esta sentencia, sólo una pequeña parte de los datos de Meta podrá utilizarse con fines publicitarios, incluso cuando los usuarios den su consentimiento. Esta sentencia se aplica también a cualquier otra empresa de publicidad en línea que no aplique prácticas estrictas de supresión de datos"
Segunda cuestión: La crítica pública no permite el tratamiento. En virtud del artículo 9, apartado 1, letra e) del RGPD, la información que "se haga manifiestamente pública" puede ser tratada por una empresa, porque el legislador supone que el interesado aceptó su uso. El Sr. Schrems argumentó que sus comentarios públicos se hicieron años después de que tuviera lugar el tratamiento de otra información. Sus comentarios posteriores no podían considerarse un acuerdo con el tratamiento de otra información años atrás y no pueden haber "viajado" atrás en el tiempo. Otras partes en el procedimiento también cuestionaron si la mera mención de un hecho durante un debate público equivaldría a hacer "manifiestamente pública" dicha información.
Katharina Raabe-Stuppnig: "Tendría un enorme efecto amedrentador sobre la libertad de expresión, si se perdiera el derecho a la protección de datos en el momento en que se criticara en público el tratamiento ilícito de datos personales. Celebramos que el TJUE haya rechazado esta idea"
Antecedentes:
Historia del caso. El asunto se refiere a un procedimiento civil entre Max Schrems, como particular, y Meta Ireland Platforms Limited (como operador de "Facebook") ante los tribunales austriacos. El caso se presentó por primera vez en 2014 y se vio por primera vez en su totalidad en Austria en 2020 y se refiere a un gran número de violaciones del GDPR, incluida la falta de base legal para la publicidad y similares. El Tribunal Supremo austriaco ha remitido cuatro cuestiones al TJUE en 2021. Sin embargo, como otro caso (C-252/21 Bundeskartellamt) abarcaba en parte cuestiones similares, el TJUE "pausó" el caso entre el Sr. Schrems y Meta hasta 2024. Las cuestiones originales 1 y 3 se "ganaron" (indirectamente) porque el TJUE se puso de parte del Sr. Schrems en el asunto C-252/21 Bundeskartellamt. El resto del asunto se juzgó en Luxemburgo el 8 de febrero de 2024, pero se limitó a las dos cuestiones restantes (cuestiones originales 2 y 4) que aún no se habían resuelto en el asunto C-252/21 Bundeskartellamt. Las cuestiones pendientes eran las siguientes
- Cuestión original 2: "¿Debe interpretarse el artículo 5, apartado 1, letra c), del RGPD (minimización de datos) en el sentido de que todos los datos personales que obren en poder de una plataforma como la del litigio principal (a través, en particular, del interesado o de terceros dentro y fuera de la plataforma) pueden ser agregados, analizados y tratados con fines de publicidad dirigida sin restricción en cuanto al tiempo o al tipo de datos?"
- Pregunta original 4: "¿Debe interpretarse el artículo 5, apartado 1, letra b), del RGPD, en relación con su artículo 9, apartado 2, letra e), en el sentido de que una declaración realizada por una persona sobre su propia orientación sexual a efectos de una mesa redonda permite el tratamiento de otros datos relativos a la orientación sexual con el fin de agregarlos y analizarlos a efectos de publicidad personalizada?"
Minimización de datos. La pregunta original 2 se refiere al planteamiento de Meta de afirmar que todos los datos personales van a parar esencialmente a un gran "fondo común de datos" y pueden utilizarse para publicidad personal indefinidamente -sin limitación alguna-, ya que esto parece una violación evidente del principio de minimización de datos. Aunque en algunos casos existe un límite claro para la supresión (por ejemplo, cuando finaliza una obligación legal de conservar registros), la cuestión es más compleja cuando se trata de publicidad. Las empresas deben desarrollar protocolos de gestión de datos para eliminar gradualmente los datos innecesarios o dejar de utilizarlos
Mayor uso de datos sensibles. La pregunta original 4 se refiere al argumento del Tribunal de Primera Instancia (y en parte de Meta) de que el Sr. Schrems mencionó su orientación sexual en un acto celebrado en Viena y, por tanto, puede haber consentido (implícitamente) el tratamiento de cualquier dato personal relativo a la orientación sexual (y, de hecho, a la vida sexual, que está protegida por separado en el artículo 9 del RGPD) para publicidad que tuvo lugar años antes de la declaración pública. Hay acuerdo en que estas declaraciones se hicieron públicas. Sin embargo, el Sr. Schrems niega que Meta pudiera haber tratado otros datos -muy personales- en los años anteriores. El Sr. Schrems subraya que el principio de "limitación de la finalidad" se aplica paralelamente y que la información compartida con el fin de criticar el tratamiento ilícito por parte de Meta no puede permitir (retroactivamente) el uso de datos personales para una finalidad completamente distinta, como la publicidad.
