quejas denoyb : El modelo de negocio de Meta, declarado ilegal en la UE según WSJ. Facebook, Instagram y WhatsApp ya no pueden publicar anuncios personalizados sin el consentimiento del usuario
Según informa The Wall Street Journal, la EDPB ha decidido que Meta no puede obligar a los usuarios a aceptar anuncios personalizados. En mayo de 2018, cuando el GDPR entró en vigor en la UE, Meta Ireland Ltd. creyó que podía "eludir" el requisito de obtener el consentimiento expreso de los usuarios, simplemente añadiendo una disposición en los términos y condiciones. El 25 de mayo de 2018, la organización de derechos digitales noyb presentó denuncias ante las Autoridades de Protección de Datos (APD) pertinentes. Ahora, 4,5 años después, la Junta Europea de Protección de Datos (EDPB) consideró ilegal la supuesta "elusión" del GDPR por parte de Meta. La JEPD también rechazó la opinión de la Comisión Irlandesa de Protección de Datos (CPD), que anteriormente se había puesto de parte de Meta, tras tardar cuatro años en investigar el caso.
- Reportaje exclusivo del Wall Street Journal
- Reclamaciones originales del 25 de mayo de 2018
- Antecedentes de la aprobación del "bypass del consentimiento" por parte de la DPC
- Antecedentes de cómo el CPD presionó al EDPB en interés de Meta
- Directrices 2/2019 del EDPB sobre el artículo 6, apartado 1, letra b) del GDPR
Hechos clave. Estos son los hechos clave:
- La información actual se basa en la información del Wall Street Journal, según la cual la EDPB estaba"dictaminando que la ley de privacidad de la UE no permite que las plataformas Meta, como Instagram y Facebook, utilicen sus términos de servicio como justificación para permitir dicha publicidad."
- Esta decisión se basa en las quejas presentadas por noyb el 25 de mayo de 2018, el día en que entró en vigor el GDPR.
- El EDPB ha emitido una decisión que requiere que el CPD irlandés (el regulador de Meta en la UE) emita una decisión final en el plazo de un mes.
- La decisión del EDPB no se dirige a las partes ante el procedimiento, sino al CPD irlandés.
- De este modo, el EDPB ha anulado un proyecto de decisión anterior del DPC irlandés que consideraba que la elusión del GDPR por parte de Meta era legal.
- La decisión del EDPB exige que Meta no pueda utilizar datos personales para anuncios basados en un supuesto "contrato". Por lo tanto, los usuarios deben tener una opción de consentimiento sí/no.
- La decisión EDPB no prohíbe otras formas de publicidad (como los anuncios contextuales, basados en el contenido de una página).
- La decisión del EDPB en sí no se publicó, pero se publicará junto con la decisión final del CPD en enero de 2023.
- La EDPB también solicitó una multa sustancial, cuyo importe exacto aún se desconoce.
Meta quería "saltarse" el consentimiento. El RGPD permite seis bases jurídicas para el tratamiento de datos, una de las cuales es el consentimiento en virtud del artículo 6, apartado 1, letra a). Meta intentó eludir el requisito de consentimiento para el seguimiento y la publicidad en línea argumentando que los anuncios forman parte del "servicio" que contractualmente debe a los usuarios. El supuesto cambio de base jurídica se produjo exactamente el 25 de mayo de 2018 a medianoche, cuando comenzó a aplicarse el GDPR. La llamada "necesidad contractual" en virtud del artículo 6, apartado 1, letra b), suele entenderse de forma restrictiva y, por ejemplo, permitiría a una tienda online reenviar la dirección a un servicio postal, ya que es estrictamente necesario para entregar un pedido. Meta, sin embargo, opinó que podría limitarse a añadir elementos aleatorios al contrato (como publicidad personalizada), para evitar una opción de consentimiento sí/no para los usuarios.
Max Schrems:"En lugar de tener una opción de sí/no para los anuncios personalizados, simplemente trasladaron la cláusula de consentimiento a los términos y condiciones. Esto no sólo es injusto, sino claramente ilegal. No conocemos ninguna otra empresa que haya intentado ignorar el GDPR de una forma tan arrogante."
Se espera una multa sustancial. Además de un cese general de los anuncios personalizados, la EDPB ha insistido en una multa masiva para Meta, según el WSJ. Después de todo, la compañía ha basado la mayor parte del procesamiento de datos comerciales en una base legal que fue claramente descartada por la EDPB en Directrices explícitas en 2019, lo que ha llevado a violaciones claramente intencionales de la ley. Meta ya ha sido golpeada con más de 1.000 millones de euros en multas GDPR hasta ahora. Meta tiene que pagar esta multa al Estado irlandés.
Max Schrems: "Este procedimiento consume muchos recursos de nuestra asociación, financiada mediante donaciones. El caso llegará probablemente después a los tribunales. Sin embargo, la multa será para Irlanda, el Estado que se ha puesto de parte de Meta y ha estado retrasando el procedimiento durante más de cuatro años"
DPC y Meta cooperaron en el "bypass". En el transcurso del procedimiento, Meta ha contado con diez reuniones confidenciales con el CPD irlandés en las que éste supuestamente ha permitido a Meta utilizar este "bypass". Más tarde se reveló que el CPD ha intentado incluso influir en las directrices pertinentes del EDPB en interés de Meta. No obstante, las demás APD europeas rechazaron la opinión del CPD ya en 2018 y de nuevo en la decisión final del EDPB. El caso duró más de 4,5 años y dio lugar a cientos de páginas de informes y presentaciones, a pesar de que el caso se refería a una cuestión jurídica bastante simple.
Max Schrems:"Este caso trata de una cuestión jurídica sencilla. A pesar de la lentitud del procedimiento, estamos satisfechos con la decisión de la EDPB."
Consecuencia: no habrá anuncios personalizados. La decisión significa que Meta debe permitir a los usuarios disponer de una versión de todas las aplicaciones que no utilice datos personales para anuncios. La decisión seguiría permitiendo a Meta utilizar datos no personales (como el contenido de una historia) para personalizar anuncios o pedir a los usuarios su consentimiento para anuncios mediante una opción de sí/no. Los usuarios deben poder retirar su consentimiento en cualquier momento y Meta no puede limitar el servicio. Aunque esto limitará drásticamente los beneficios de Meta en la UE, no prohibirá totalmente los anuncios. En cambio, la decisión pondrá a Meta al mismo nivel que otros sitios web o aplicaciones, que deben ofrecer una opción de sí/no a los usuarios.
Max Schrems:"Esto supone un duro golpe para los beneficios de Meta en la UE. Ahora hay que preguntar a los usuarios si quieren que sus datos se utilicen para anuncios o no. Deben tener una respuesta de 'sí o no' y pueden cambiar de opinión en cualquier momento". La decisión también garantiza la igualdad de condiciones con otros anunciantes que también necesitan obtener el consentimiento expreso"
Próximos pasos. La decisión del EDPB se entregará al CPD irlandés. La decisión debe notificarse a Meta en Irlanda y a noyb en Austria en el plazo de un mes (es decir, en enero de 2023). Meta puede entonces recurrir la decisión, pero las posibilidades de ganar dicho recurso son mínimas tras una decisión del EDPB. También hay dos casos similares ante el Tribunal de Justicia de la UE (TJUE) sobre el bypass de consentimiento de Meta, que pueden zanjar definitivamente la cuestión y todos los recursos. Los usuarios también pueden emprender acciones por el uso ilegal de sus datos durante los últimos 4,5 años.