NOTICIA: Se prohíbe a Meta (Facebook e Instagram) utilizar datos personales con fines publicitarios. Golpe importante al modelo de negocio de Meta en Europa, tras el litigio de noyb . Multa para Meta multiplicada por más de diez, de 32 a 390 millones de euros. Tercer caso pendiente sobre WhatsApp.
Tal y como ha confirmado el CPD irlandés, la Junta Europea de Protección de Datos (JEPD) ha rechazado que el CPD irlandés y Meta se salten el RGPD basándose en las denuncias de noyb contra Facebook e Instagram. Meta tiene ahora prohibido saltarse el GDPR a través de una cláusula en los términos y condiciones. Meta debe obtener el consentimiento"para la publicidad personalizada y debe ofrecer a los usuarios una opción de "sí/no". La decisión sobre un tercer caso paralelo sobre WhatsApp se retrasa hasta mediados de enero.
- Vídeo explicativo sobre el bypass de Meta (de diciembre de 2022)
- Denuncias originales de noyb de 2018
- Reportaje anterior sobre las primeras informaciones sobre la decisión de la EDPB (Reuters)
Hechos clave:
- Dos denuncias presentadas por noyb en nombre de un usuario austriaco y belga el 25 de mayo de 2018 (el día en que entró en vigor el GDPR) han sido resueltas hoy.
- Una tercera queja sobre WhatsApp en nombre de un usuario alemán se retrasó a mediados de enero, según un correo electrónico del CPD.
- Meta intentó "eludir" el requisito de consentimiento del GDPR añadiendo una cláusula a los términos y condiciones de la publicidad.
- En diciembre de 2022, la JEPD revocó un proyecto de decisión anterior del CPD irlandés que consideraba que la elusión del RGPD por parte de Meta era legal.
- La decisión final exige que Meta no pueda utilizar datos personales para anuncios basados en un supuesto "contrato". Por lo tanto, los usuarios deben disponer de una opción de consentimiento sí/no ("opt-in"), de lo contrario Meta no podrá utilizar sus datos para anuncios personalizados.
- La decisión no prohíbe otras formas de publicidad (como los anuncios contextuales, basados en el contenido de una página).
- Además de constatar que el uso de datos personales por parte de Meta era ilegal desde mayo de 2018.
- La multa a Facebook e Instragram asciende a 380 millones de euros. Es de esperar una multa adicional para WhatsApp en el procedimiento paralelo.
Meta quería "saltarse" el GDPR. El GDPR permite seis bases legales para procesar datos, una de las cuales es el consentimiento en virtud del artículo 6, apartado 1, letra a). Meta intentó eludir el requisito de consentimiento para el seguimiento y la publicidad en línea argumentando que los anuncios forman parte del "servicio" que contractualmente debe a los usuarios. El supuesto cambio de base jurídica se produjo exactamente el 25 de mayo de 2018 a medianoche, cuando entró en vigor el GDPR. La llamada "necesidad contractual" en virtud del artículo 6, apartado 1, letra b), suele entenderse de forma restrictiva y, por ejemplo, permitiría a una tienda online reenviar la dirección a un servicio postal, ya que es estrictamente necesario para entregar un pedido. Meta, sin embargo, opinó que podría limitarse a añadir elementos aleatorios al contrato (como publicidad personalizada), para evitar una opción de consentimiento sí/no para los usuarios.
Max Schrems: "En lugarde tener una opción de 'sí/no' para los anuncios personalizados, simplemente trasladaron la cláusula de consentimiento a los términos y condiciones. Esto no sólo es injusto, sino claramente ilegal. No conocemos ninguna otra empresa que haya intentado ignorar el GDPR de una forma tan arrogante."
380 millones de euros en multas, el CPD quería de 28 a 36 millones de euros. Además del cese general de los anuncios personalizados, la DPC ha insistido en una multa masiva para Meta. Después de todo, la empresa ha basado la mayor parte del tratamiento de datos comerciales en una violación intencionada de la ley. La EDPB ya ha emitido directrices al respecto en 2019. Meta ya ha sido golpeada con más de 900 millones de euros en multas GDPR en otros casos antes. La multa va a parar al Estado irlandés, no al denunciante, a la Noyb o a la EDPB. El Departamento de Protección de Datos había pedido anteriormente entre 28 y 36 millones de euros en un proyecto de decisión, solo el 10 % de la sentencia definitiva del Tribunal Europeo de Protección de Datos.
Max Schrems: "La sanción irá a Irlanda, el Estado que se ha puesto del lado de Meta y ha retrasado la aplicación durante más de cuatro años. Este caso será probablemente recurrido por Meta, lo que supondrá más costes para noyb"
DPC y Meta cooperaron y consiguieron que EDPB les anulara. En el transcurso del procedimiento, Meta se ha amparado en diez reuniones confidenciales con el DPC irlandés en las que éste ha permitido a Meta utilizar este "bypass". Más tarde se reveló que el CPD ha intentado incluso influir en las directrices pertinentes del EDPB en interés de Meta. No obstante, las demás APD europeas rechazaron la opinión del CPD internamente en 2018, en las Directrices en 2019 y de nuevo en la decisión final del EDPB en diciembre de 2022. El caso se prolongó durante cuatro años y medio, con cientos de páginas de informes y escritos, a pesar de que se trataba de una cuestión jurídica bastante simple.
Max Schrems:"Este caso trata de una simple cuestión jurídica. Meta afirma que el "bypass" se hizo con la bendición del CPD. Durante años, el CPD ha alargado el procedimiento y ha insistido en que Meta podía eludir el RGPD, pero ahora ha sido desautorizado por las demás autoridades de la UE. Es la cuarta vez consecutiva que el CPD irlandés es desautorizado."
¿El CPD ve una victoria en el tema de la "transparencia"? En la declaración a los medios del CPD, la cuestión central de si Meta puede acceder a los datos de los usuarios con fines publicitarios queda enterrada en un debate menor sobre la transparencia, en el que encontró una violación.
"Es bastante patético que el CPD afirme ahora que otras autoridades estaban de acuerdo en una cuestión menor de transparencia, para lo que sólo habría sido necesario cambiar algunos textos de la página web de Meta. La cuestión central era que Meta procesó ilegalmente los datos de los usuarios durante más de cuatro años, el CPD protegió a Meta y consiguieron que se votara en contra a nivel de la UE."
Consecuencia: sin anuncios personalizados, menos beneficios. La decisión significa que Meta deberá permitir a los usuarios disponer de una versión de todas sus aplicaciones que no utilice datos personales para anuncios en un plazo de tres meses. La decisión seguiría permitiendo a Meta utilizar datos no personales (como el contenido de una historia) para personalizar anuncios o pedir a los usuarios su consentimiento a los anuncios mediante una opción de "sí/no". Los usuarios deben poder retirar su consentimiento en cualquier momento y Meta no puede limitar el servicio si los usuarios deciden hacerlo. Aunque esto limitará drásticamente los beneficios de Meta en la UE, no prohibirá totalmente los anuncios. En cambio, la decisión pondrá a Meta al mismo nivel que otros sitios web o aplicaciones, que deben ofrecer una opción de "sí/no" a los usuarios.
Max Schrems:"Es un duro golpe para los beneficios de Meta en la UE. Ahora hay que preguntar a los usuarios si quieren que sus datos se utilicen para anuncios o no. Deben tener una opción de 'sí o no' y pueden cambiar de opinión en cualquier momento". La decisión también garantiza la igualdad de condiciones con otros anunciantes que también necesitan obtener el consentimiento expreso."
El CPD censura la decisión del demandante y del público, garantizando que Meta y el CPD controlen la narrativa de los medios. En un movimiento sorprendente, el CPD ha informado hoy a noyb de que, a pesar de ser una de las dos partes en el procedimiento, no dará a conocer la decisión a noyb. De repente, el DPC alegó la supuesta "confidencialidad" de la decisión como razón. La decisión se comunicará al demandante en una fase posterior, posiblemente incluso después de que haya expirado el plazo de recurso. Esto es contrario a la información previa del DPC de que las partes recibirían la decisión antes de cualquier publicación por parte del DPC.
Max Schrems:"Que el EDPB revoque la decisión es un duro golpe para el DPC, no parece que al menos intenten ganarse la percepción pública de este caso. En diez años de litigios nunca he visto que una decisión se notifique sólo a una de las partes, pero no a la otra. El DPC juega un juego de relaciones públicas muy diabólico. Al no permitir que noyb o el público lean la decisión, intenta dar forma a la narrativa de la decisión conjuntamente con Meta. Parece que la cooperación entre Meta y el regulador irlandés sigue viva, a pesar de haber sido desautorizada por el EDPB"
Próximos pasos: DPC demanda a la EDPB, Meta probablemente recurrirá. Se espera que Meta recurra la decisión ante los tribunales irlandeses, pero las posibilidades de ganar dicho recurso son mínimas tras una decisión vinculante del EDPB. También hay dos casos similares ante el Tribunal de Justicia de la UE (TJUE) sobre el bypass de consentimiento de Meta, que podrían zanjar definitivamente la cuestión y todos los recursos. Por otra parte, el DPC también anunció que podría demandar al EDPB por una serie de cuestiones, ya que el EDPB exigió al DPC que tomara nuevas medidas de investigación sobre Meta, más allá de las denuncias resueltas por noyb. El DPC considera que el EDPB no tiene estos poderes e intentará que se anule esta decisión. De este modo, los usuarios también podrán emprender acciones por el uso ilegal de sus datos durante los últimos 4,5 años.