La Autoridad Irlandesa de Protección de Datos regala 3.970 millones de euros a Meta? La Autoridad supuestamente no puede beneficiarse financieramente de las violaciones del GDPR por parte de Meta en cuenta.
El 04.01.2023, la Comisión Irlandesa de Protección de Datos (DPC) anunció una multa de 390 millones de euros contra Meta por publicidad personalizada ilegal en Facebook e Instagram. Un primer análisis de las decisiones revela ahora que la DPC ha hecho la vista gorda ante los ingresos generados por la violación del GDPR a la hora de calcular su multa. Y ello a pesar de que una mayoría de 2/3 de todas las autoridades de la UE (el EDPB) había ordenado al CPD irlandés que tuviera en cuenta los miles de millones de euros de ingresos ilícitos de Meta. La maniobra del CPD ahorró a Meta casi 4.000 millones de euros.
- carta de noyb a la EDPB en la que se expone el incumplimiento de la decisión de la EDPB por parte del CPD (PDF)
- Cuadro con las cifras pertinentes (PDF)
- Información pública de Facebook sobre usuarios e ingresos (véase "Diapositivas de ganancias")
Antecedentes: La violación del GDPR por parte de Meta. En una batalla de cuatro años y medio sobre la falta de base jurídica para ofrecer publicidad personalizada en la UE, noyb se anotó una importante victoria. La Junta Europea de Protección de Datos (JEPD) anuló el elemento central de un proyecto de decisión anterior del CPD irlandés y sostuvo que Meta no tenía una base jurídica adecuada para procesar datos personales con fines de publicidad basada en el comportamiento. El intento de Meta de colar un "acuerdo" en los términos y condiciones de Facebook e Instagram se consideró ilegal. Cualquier procesamiento basado en este "bypass" desde el 25 de mayo de 2018 fue, por lo tanto, ilegal. El EDPB dijo al DPC que una multa adicional debe "cocompensar las ganancias derivadas de la infracción" y ordenó al CPD que "imponer una multa que supere esa cantidad".
Novedades: ¿El CPD es incapaz de estimar los ingresos ilícitos de Meta? El 5 de diciembre de 2022, la Junta Europea de Protección de Datos (JEPD) ordenó al CPD que cuantificara cuántos ingresos había generado Meta al infringir el RGPD, y que tuviera en cuenta esa suma en su multa. Sinembargo, el CPD se limitó a ignorar los ingresos ilícitos obtenidos por Meta y alegó que"la Comisión es incapaz de determinar una estimación de los mismos" y que, por tanto, "no puede tenerlos en cuenta". Y ello a pesar de estar facultada para exigir dicha información a Meta en virtud del artículo 58, apartado 1, del RGPD.
Max Schrems, Presidente de noyb: "Todos conocemos los enormes ingresos de Meta. Es sorprendente que el CPD no lo haya tenido en cuenta. El CPD ni siquiera hizo uso de sus competencias legales para pedir a Meta la información. Por ello, investigamos la información disponible públicamente y descubrimos que este factor por sí solo debería haber aumentado la multa en 3.970 millones de euros"
Antecedentes de las multas del RGPD. El artículo 83 del RGPD establece las normas aplicables a las multas. Por lo general, todas las multas deben ser"efectivas, proporcionadas y disuasorias", deben tener en cuenta los"beneficios financieros obtenidos... de la infracción", pero también tienen un límite máximo del 4 % del volumen de negocios global del último año. En el caso de Meta, esto equivaldría a una multa máxima de 4.360 millones de euros. En consecuencia, la EDPB pidió al CPD que investigara los "beneficios financieros" obtenidos por Meta por infringir el artículo 6, apartado 1, del RGPD durante unos 4,5 años, ya que una multa inferior a estos beneficios difícilmente podría ser"efectiva, proporcionada y disuasoria".
Max Schrems: "Ellímite máximo del 4% del volumen de negocios global fue fácilmente superado por los ingresos procedentes del tratamiento ilícito en los últimos 4,5 años. Es fácil demostrar a partir de información pública que el factor de los ingresos por sí solo habría exigido imponer la multa máxima."
Información pública y una hoja de cálculo. Meta, al ser una empresa que cotiza en bolsa, publica la mayoría de los datos financieros relevantes. Según informes de la propia Meta, ingresó 84.700 millones de euros (91.590 millones de dólares) por publicidad en el continente europeo entre el tercer trimestre de 2018 y el tercer trimestre de 2022. Ajustado por el número de usuarios solo en la UE, esto ascendió a aproximadamente 72.500 millones de euros (78.400 millones de dólares). Aunque la "publicidad basada en el comportamiento" no representa todos los ingresos de la publicidad global de Meta, está claro que, en cualquier escenario realista, los ingresos procedentes de la "publicidad basada en el comportamiento" en la UE superan la multa máxima de 4 360 millones de euros.
Max Schrems:"Al no comprobar siquiera la información disponible públicamente, el CPD regaló 3 970 millones de euros a Meta. Nos llevó una hora y una hoja de cálculo hacer el cálculo. Estoy seguro de que a los contribuyentes irlandeses no les importaría tener ese dinero extra, si un empleado del CPD se hubiera limitado a abrir un buscador e investigar un poco"
Meta sigue ganando hasta 68 170 millones de euros por infringir el RGPD. Incluso si se hubiera impuesto la multa máxima del 4%, Meta todavía habría ganado hasta 68.000 millones de euros por la violación del GDPR desde 2018, si se asume que básicamente cada anuncio en Meta es actualmente "publicidad conductual". Esto se debe principalmente a que el procedimiento fue retrasado masivamente por el CPD y duró 4,5 años, mientras que la multa máxima solo puede calcularse sobre la base de un único año. También es probable que la infracción de Meta superara el 4% en cada año, lo que significa que los ingresos superaron con creces la multa máxima por año.
Max Schrems:"En resumidas cuentas, a Meta le salió absolutamente rentable violar el GDPR y el CPD irlandés hizo que a Meta le saliera aún más rentable violar la legislación de la UE."
Carta a la EDPB. noyb ha enviado ahora una carta a la EDPB detallando el problema en la decisión del CPD y todos los cálculos. noyb pide a la EDPB que se asegure de que su decisión sea plenamente confirmada por el CPD.