noyb win: Los anuncios personalizados en Facebook, Instagram y WhatsApp declarados ilegales por falta de consentimiento

El modelo de nego­cio de Meta, decla­rado ilegal en la UE según WSJ. Face­book, Insta­gram y What­sApp ya no pueden publi­car anun­cios perso­na­li­za­dos sin el consen­ti­mi­ento del usua­rio

Según informa The Wall Street Jour­nal, la EDPB ha deci­dido que Meta no puede obli­gar a los usua­rios a acep­tar anun­cios perso­na­li­za­dos. En mayo de 2018, cuando el GDPR entró en vigor en la UE, Meta Ireland Ltd. creyó que podía «eludir» el requi­sito de obte­ner el consen­ti­mi­ento expreso de los usua­rios, simple­mente añadi­endo una dispo­si­ción en los térmi­nos y condi­ci­o­nes. El 25 de mayo de 2018, la orga­ni­za­ción de dere­chos digi­ta­les noyb presentó denun­cias ante las Auto­ri­da­des de Protec­ción de Datos (APD) perti­nen­tes. Ahora, 4,5 años después, la Junta Euro­pea de Protec­ción de Datos (EDPB) consi­deró ilegal la supu­esta «elusión» del GDPR por parte de Meta. La JEPD también rechazó la opinión de la Comi­sión Irlan­desa de Protec­ción de Datos (CPD), que ante­ri­or­mente se había puesto de parte de Meta, tras tardar cuatro años en inves­ti­gar el caso.

• Repor­taje exclu­sivo del Wall Street Jour­nal
• Recla­ma­ci­o­nes origi­na­les del 25 de mayo de 2018
• Ante­ce­den­tes de la apro­ba­ción del «bypass del consen­ti­mi­ento» por parte de la DPC
• Ante­ce­den­tes de cómo el CPD presi­onó al EDPB en interés de Meta
• Direc­tri­ces 2/2019 del EDPB sobre el artí­culo 6, apar­tado 1, letra b) del GDPR

Hechos clave. Estos son los hechos clave:

• La infor­ma­ción actual se basa en la infor­ma­ción del Wall Street Jour­nal, según la cual la EDPB estaba"dicta­mi­nando que la ley de priva­ci­dad de la UE no permite que las plata­for­mas Meta, como Insta­gram y Face­book, utili­cen sus térmi­nos de servi­cio como justi­fi­ca­ción para permi­tir dicha publi­ci­dad."
• Esta deci­sión se basa en las quejas presen­ta­das por noyb el 25 de mayo de 2018, el día en que entró en vigor el GDPR.
• El EDPB ha emitido una deci­sión que requi­ere que el CPD irlan­dés (el regu­la­dor de Meta en la UE) emita una deci­sión final en el plazo de un mes.
• La deci­sión del EDPB no se dirige a las partes ante el proce­di­mi­ento, sino al CPD irlan­dés.
• De este modo, el EDPB ha anulado un proyecto de deci­sión ante­rior del DPC irlan­dés que consi­de­raba que la elusión del GDPR por parte de Meta era legal.
• La deci­sión del EDPB exige que Meta no pueda utili­zar datos perso­na­les para anun­cios basa­dos en un supu­esto «contrato». Por lo tanto, los usua­rios deben tener una opción de consen­ti­mi­ento sí/no.
• La deci­sión EDPB no prohíbe otras formas de publi­ci­dad (como los anun­cios contex­tu­a­les, basa­dos en el conte­nido de una página).
• La deci­sión del EDPB en sí no se publicó, pero se publi­cará junto con la deci­sión final del CPD en enero de 2023.
• La EDPB también soli­citó una multa sustan­cial, cuyo importe exacto aún se desco­noce.

Meta quería «saltarse» el consen­ti­mi­ento. El RGPD permite seis bases jurí­di­cas para el trata­mi­ento de datos, una de las cuales es el consen­ti­mi­ento en virtud del artí­culo 6, apar­tado 1, letra a). Meta intentó eludir el requi­sito de consen­ti­mi­ento para el segui­mi­ento y la publi­ci­dad en línea argu­men­tando que los anun­cios forman parte del «servi­cio» que contrac­tu­al­mente debe a los usua­rios. El supu­esto cambio de base jurí­dica se produjo exac­ta­mente el 25 de mayo de 2018 a medi­a­no­che, cuando comenzó a apli­carse el GDPR. La llamada «nece­si­dad contrac­tual» en virtud del artí­culo 6, apar­tado 1, letra b), suele enten­derse de forma restric­tiva y, por ejem­plo, permi­ti­ría a una tienda online reen­viar la direc­ción a un servi­cio postal, ya que es estric­ta­mente nece­sa­rio para entre­gar un pedido. Meta, sin embargo, opinó que podría limi­tarse a añadir elemen­tos alea­to­rios al contrato (como publi­ci­dad perso­na­li­zada), para evitar una opción de consen­ti­mi­ento sí/no para los usua­rios.

Max Schrems:"En lugar de tener una opción de sí/no para los anun­cios perso­na­li­za­dos, simple­mente tras­la­da­ron la cláu­sula de consen­ti­mi­ento a los térmi­nos y condi­ci­o­nes. Esto no sólo es injusto, sino clara­mente ilegal. No cono­ce­mos ninguna otra empresa que haya inten­tado igno­rar el GDPR de una forma tan arro­gante."

Se espera una multa sustan­cial. Además de un cese gene­ral de los anun­cios perso­na­li­za­dos, la EDPB ha insis­tido en una multa masiva para Meta, según el WSJ. Después de todo, la compañía ha basado la mayor parte del proce­sa­mi­ento de datos comer­ci­a­les en una base legal que fue clara­mente descar­tada por la EDPB en Direc­tri­ces explí­ci­tas en 2019, lo que ha llevado a viola­ci­o­nes clara­mente inten­ci­o­na­les de la ley. Meta ya ha sido golpe­ada con más de 1.000 millo­nes de euros en multas GDPR hasta ahora. Meta tiene que pagar esta multa al Estado irlan­dés.

Max Schrems: «Este proce­di­mi­ento consume muchos recur­sos de nues­tra asoci­a­ción, finan­ci­ada medi­ante dona­ci­o­nes. El caso llegará proba­ble­mente después a los tribu­na­les. Sin embargo, la multa será para Irlanda, el Estado que se ha puesto de parte de Meta y ha estado retra­sando el proce­di­mi­ento durante más de cuatro años»

DPC y Meta coope­ra­ron en el «bypass». En el trans­curso del proce­di­mi­ento, Meta ha contado con diez reuni­o­nes confi­den­ci­a­les con el CPD irlan­dés en las que éste supu­es­ta­mente ha permi­tido a Meta utili­zar este «bypass». Más tarde se reveló que el CPD ha inten­tado incluso influir en las direc­tri­ces perti­nen­tes del EDPB en interés de Meta. No obstante, las demás APD euro­peas recha­za­ron la opinión del CPD ya en 2018 y de nuevo en la deci­sión final del EDPB. El caso duró más de 4,5 años y dio lugar a cien­tos de pági­nas de infor­mes y presen­ta­ci­o­nes, a pesar de que el caso se refe­ría a una cues­tión jurí­dica bastante simple.

Max Schrems:"Este caso trata de una cues­tión jurí­dica senci­lla. A pesar de la lenti­tud del proce­di­mi­ento, esta­mos satis­fe­chos con la deci­sión de la EDPB."

Conse­cu­en­cia: no habrá anun­cios perso­na­li­za­dos. La deci­sión signi­fica que Meta debe permi­tir a los usua­rios dispo­ner de una versión de todas las apli­ca­ci­o­nes que no utilice datos perso­na­les para anun­cios. La deci­sión segui­ría permi­ti­endo a Meta utili­zar datos no perso­na­les (como el conte­nido de una histo­ria) para perso­na­li­zar anun­cios o pedir a los usua­rios su consen­ti­mi­ento para anun­cios medi­ante una opción de sí/no. Los usua­rios deben poder reti­rar su consen­ti­mi­ento en cual­quier momento y Meta no puede limi­tar el servi­cio. Aunque esto limi­tará drás­ti­ca­mente los bene­fi­cios de Meta en la UE, no prohi­birá total­mente los anun­cios. En cambio, la deci­sión pondrá a Meta al mismo nivel que otros sitios web o apli­ca­ci­o­nes, que deben ofre­cer una opción de sí/no a los usua­rios.

Max Schrems:«Esto supone un duro golpe para los bene­fi­cios de Meta en la UE. Ahora hay que pregun­tar a los usua­rios si quie­ren que sus datos se utili­cen para anun­cios o no. Deben tener una respu­esta de 'sí o no’ y pueden cambiar de opinión en cual­quier momento». La deci­sión también garan­tiza la igual­dad de condi­ci­o­nes con otros anun­ci­an­tes que también nece­si­tan obte­ner el consen­ti­mi­ento expreso"

Próxi­mos pasos. La deci­sión del EDPB se entre­gará al CPD irlan­dés. La deci­sión debe noti­fi­carse a Meta en Irlanda y a noyb en Austria en el plazo de un mes (es decir, en enero de 2023). Meta puede enton­ces recur­rir la deci­sión, pero las posi­bi­li­da­des de ganar dicho recurso son míni­mas tras una deci­sión del EDPB. También hay dos casos simi­la­res ante el Tribu­nal de Justi­cia de la UE (TJUE) sobre el bypass de consen­ti­mi­ento de Meta, que pueden zanjar defi­ni­ti­va­mente la cues­tión y todos los recur­sos. Los usua­rios también pueden empren­der acci­o­nes por el uso ilegal de sus datos durante los últi­mos 4,5 años.