En los últimos días, Meta ha informado a millones de europeos de que su política de privacidad vuelve a cambiar. Solo al examinar más detenidamente los enlaces de la notificación quedó claro que la empresa planea utilizar años de publicaciones personales, imágenes privadas o datos de seguimiento en línea para una "tecnología de IA" indefinida que puede ingerir datos personales de cualquier fuente y compartir cualquier información con "terceros" indefinidos. En lugar de pedir a los usuarios su consentimiento (opt-in), Meta argumenta que tiene un interés legítimo que prevalece sobre el derecho fundamental a la protección de datos y la privacidad de los usuarios europeos. Una vez que sus datos están en el sistema, los usuarios no parecen tener opción de eliminarlos nunca ("derecho al olvido"). noyb ha presentado ya denuncias en 11 países europeos, pidiendo a las autoridades que pongan en marcha un procedimiento de urgencia para detener este cambio inmediatamente, antes de que entre en vigor el 26 de junio de 2024.
- 11 denuncias (presentadas en Austria, Bélgica, Francia, Alemania, Grecia, Italia, Irlanda, Países Bajos, Noruega (con NCC)*, Polonia y España)
- Resumen de los (falsos) giros de Meta en relación con Meta AI
Todos los datos no son públicos para una futura "tecnología de IA" indefinida. A diferencia de la ya problemática situación de las empresas que utilizan ciertos datos (públicos) para entrenar un sistema de IA específico (por ejemplo, un chatbot), la nueva política de privacidad de Meta básicamente dice que la empresa quiere tomar todos los datos públicos y no públicos de los usuarios que ha recopilado desde 2007 y utilizarlos para cualquier tipo indefinido de "tecnología de inteligencia artificial" actual y futura. Esto incluye las numerosas cuentas "inactivas" de Facebook con las que los usuarios apenas interactúan ya, pero que siguen conteniendo enormes cantidades de datos personales. Además, Meta afirma que puede recopilar información adicional de cualquier "tercero" o raspar datos de fuentes en línea. La única excepción parecen ser los chats entre particulares, pero incluso los chats con una empresa están permitidos. Los usuarios no reciben ninguna información sobre los fines de la "tecnología de IA", lo que va en contra de los requisitos del GDPR. En teoría, la política de privacidad de Meta permitiría cualquier finalidad. Este cambio es especialmente preocupante porque afecta a los datos personales de unos 4.000 millones de usuarios de Meta, que se utilizarán para tecnología experimental esencialmente sin límite. Al menos los usuarios de la UE/EEE deberían (en teoría) estar protegidos de tal abuso por el GDPR.
Max Schrems: "Meta está diciendo básicamente que puede utilizar 'cualquier dato de cualquier fuente para cualquier propósito y ponerlo a disposición de cualquier persona en el mundo', siempre y cuando se haga mediante 'tecnología de IA'. Esto es claramente lo contrario del cumplimiento del GDPR. el término "tecnología de IA" es extremadamente amplio. Al igual que "utilizar sus datos en bases de datos", no tiene un límite legal real. Meta no dice para qué utilizará los datos, por lo que podría tratarse de un simple chatbot, de publicidad personalizada extremadamente agresiva o incluso de un dron asesino. Meta también afirma que los datos de los usuarios pueden ponerse a disposición de cualquier "tercero", es decir, de cualquier persona del mundo."
¿Los intereses de Meta prevalecen sobre los derechos de los usuarios? Normalmente, el tratamiento de datos personales en la Unión Europea es ilegal por defecto. Por lo tanto, Meta debe basarse en uno de los seis fundamentos jurídicos previstos en el artículo 6, apartado 1, del GDPR para tratar datos personales. Aunque la opción lógica sería el consentimiento expreso, Meta alega de nuevo que tiene un "interés legítimo" que prevalece sobre los derechos fundamentales de los usuarios. Meta ya argumentó esto anteriormente en el contexto del uso de todos los datos personales para publicidad, y fue rechazado por el Tribunal de Justicia(véase C-252/21). Ahora Meta utiliza la misma base jurídica para justificar un uso aún más amplio y agresivo de los datos personales de los ciudadanos.
Max Schrems: "El Tribunal de Justicia Europeo ya ha dejado claro que Meta no tiene un 'interés legítimo' que anule el derecho de los usuarios a la protección de datos cuando se trata de publicidad. Sin embargo, la empresa está tratando de utilizar los mismos argumentos para el entrenamiento de la indefinida 'tecnología de IA'. Parece que Meta vuelve a ignorar descaradamente las sentencias del TJUE"
La objeción es una farsa. Meta incluso intenta responsabilizar a los usuarios del cuidado de su privacidad dirigiéndoles a un formulario de objeción (opt-out) que los usuarios deben rellenar si no quieren que Meta utilice todos sus datos. Aunque en teoría un formulario de exclusión voluntaria podría implementarse de tal manera que sólo requiriera un clic (como el botón "darse de baja" de los boletines informativos), Meta hace que sea extremadamente complicado oponerse, incluso exigiendo razones personales. Un análisis técnico de los enlaces de exclusión mostró incluso que Meta requiere un inicio de sesión para ver una página que, de otro modo, sería pública. En total, Meta exige a unos 400 millones de usuarios europeos que "se opongan", en lugar de pedirles su consentimiento.
Max Schrems: "Trasladar la responsabilidad al usuario es completamente absurdo. La ley exige a Meta que obtenga su consentimiento, no que ofrezca un formulario de exclusión oculto y engañoso. Si Meta quiere utilizar tus datos, tiene que pedirte permiso. En lugar de eso, hacen que los usuarios rueguen que se les excluya. Nos sorprendió especialmente que Meta se tomara la molestia de crear montones de pequeñas distracciones para asegurarse de que sólo un pequeño número de usuarios se molestara realmente en oponerse"
El CPD irlandés es cómplice (otra vez). Según los informes, esta flagrante violación del GDPR se basa (de nuevo) en un "acuerdo" con la Comisión Irlandesa de Protección de Datos (la DPC es el regulador de Meta en la UE). La CPD ya había llegado anteriormente a un acuerdo con Meta que permitía a la empresa eludir el RGPD y que terminó con una multa de 395 millones de euros contra Meta después de que la Junta Europea de Protección de Datos (JEPD) desautorizara a la CPD irlandesa.
Max Schrems: "Parece que la nueva dirección del CPD sigue haciendo "tratos" ilegales con grandes empresas tecnológicas de Estados Unidos. Es alucinante que el CPD siga dejando sin control el uso indebido de los datos personales no públicos de unos 400 millones de usuarios europeos."
Fecha límite: 26 de junio: Procedimiento de urgencia solicitado. Dado que el tratamiento por parte de Meta de la "tecnología de inteligencia artificial" no revelada ya está previsto que entre en vigor el 26 de junio de 2024, y que Meta afirma que no existe la opción de excluirse posteriormente para que se eliminen sus datos (tal y como prevé el artículo 17 del RGPD y el "derecho al olvido"), noyb ha solicitado un "procedimiento de urgencia" en virtud del artículo 66 del RGPD. Las autoridades de protección de datos (APD) de 11 países europeos (Alemania, Austria, Bélgica, España, Francia, Grecia, Italia, Irlanda, Noruega, Países Bajos y Polonia) recibieron dicha solicitud en nombre de los interesados locales. El artículo 66 permite a las APD dictar paralizaciones preliminares en situaciones como la descrita y permite una decisión a escala de la UE a través del EDPB. El CPD irlandés y Meta Ireland ya han sido objeto de dos "decisiones vinculantes urgentes" por parte del EDPB (véase la Decisión vinculante urgente 01/2023 y la Decisión vinculante urgente 01/2021) en situaciones similares con anterioridad.
Max Schrems: "Esperamos que las autoridades de fuera de Irlanda tomen medidas rápidas y al menos detengan este proyecto para realizar una investigación completa. La Oficina Europea de Protección de Datos ya ha emitido dos decisiones de urgencia de este tipo contra Meta y el Comisario de Protección de Datos irlandés. Es triste ver que esta medida parece necesaria una y otra vez"
Problemas adicionales. Además de la falta de base jurídica para succionar más de una década de datos de los usuarios, Meta ha dicho anteriormente que es técnicamente incapaz de distinguir entre los datos de los usuarios de la UE/EEE y los de otros países donde las personas no gozan de la protección del GDPR. Meta también ha dicho que no puede distinguir entre datos sensibles en virtud del artículo 9 del GDPR, como la etnia, las opiniones políticas, las creencias religiosas (para las que el argumento del "interés legítimo" no está disponible en virtud de la ley), y otros datos para los que teóricamente se podría alegar un "interés legítimo". Con la introducción de su tecnología de IA, Meta parece haber infringido varias otras disposiciones del RGPD, incluidos los principios del RGPD, las normas de transparencia y las normas operativas. En conjunto, las denuncias de noyb enumeran violaciones de al menos los artículos 5, apartados 1 y 2, 6, apartado 1, 9, apartado 1, 12, apartados 1 y 2, 13, apartados 1 y 2, 17, apartado 1, letra c), 18, apartado 1, letra d), 19, 21, apartado 1, y 25 del RGPD.
Max Schrems: "Con el planteamiento de utilizar simplemente cualquier dato con cualquier fin para cualquier 'tecnología de IA', Meta ha abandonado claramente casi todo el marco del GDPR. Hemos contado violaciones de al menos diez artículos de la ley"
Próximos pasos. Las APD pertinentes tendrán que tomar ahora una decisión rápida sobre si iniciar un procedimiento de urgencia o tramitar las denuncias en un procedimiento normal. Hace dos días, la APD noruega ya publicó una entrada en su blog en la que argumentaba que es "dudoso " ("tvilsomt") que el planteamiento de Meta sea legal. Un procedimiento de urgencia podría llevar a una rápida prohibición provisional y a una decisión final de la DPA en cuestión de meses. Aunque las denuncias de hoy son un primer paso, parece plausible que otras organizaciones sigan el ejemplo con requerimientos judiciales, demandas civiles o incluso demandas colectivas, si Meta sigue adelante con sus planes. Esto podría sumir a Meta en otra ronda de problemas legales en la Unión Europea. Sólo las acciones de noyb contra Meta han dado lugar hasta ahora a multas administrativas de más de 1.500 millones de euros.
*La denuncia en Noruega se presentó conjuntamente con el Consejo Noruego del Consumidor ("NCC"). Más información en www.forbrukerradet.no.