La empresa matriz de Facebook, Meta, se enfrenta a multas por un total de 390 millones de euros (345 millones de libras esterlinas) después de que los reguladores europeos descubrieran que había estado procesando ilegalmente los datos personales de los clientes para ofrecer publicidad dirigida en sus sitios de redes sociales de Facebook e Instagram desde 2018.
La Comisión de Protección de Datos de Irlanda le ha dado a la compañía tres meses para cumplir con las leyes de protección de datos de Europa después de que los reguladores descubrieran que la confianza de Meta en un “contrato” con sus usuarios para entregar publicidad personalizada violaba el Reglamento General de Protección de Datos (GDPR) de Europa.
La decisión sigue a las quejas de Noyb, el grupo de campaña dirigido por el abogado austriaco Max Schrems, que argumentó que Meta había tratado de “eludir” los requisitos de consentimiento de GDPR al hacer que el consentimiento fuera parte de sus términos y condiciones.
“Este es un gran golpe para las ganancias de Meta en la UE”, dijo.
Meta se enfrenta a multas de 210 millones de euros por infracciones de Facebook y 180 millones de euros por infracciones de Instagram. Se espera que una tercera queja contra WhatsApp genere más multas este mes.
Facebook dijo en un comunicado que estaba “totalmente en desacuerdo” con la decisión del DPC y planeaba apelar el contenido de las sentencias y las multas.
“Creemos que cumplimos totalmente con GDPR al confiar en la Necesidad Contractual para los anuncios de comportamiento dada la naturaleza de nuestros servicios”, dijo.
Intervención del Consejo Europeo de Protección de Datos
El DPC de Irlanda se vio obligado a tomar medidas contra Meta después de que la Junta Europea de Protección de Datos (EDPB) anulara la conclusión del DPC de que la confianza de Meta en la necesidad contractual para procesar datos personales en Europa es compatible con el RGPD.
En una decisión vinculante del 5 de diciembre de 2022, el EDPB determinó que el uso de un contrato por parte de Meta como base legal para el procesamiento de datos infringía el artículo 6 del RGPD, que exige que los datos se procesen legalmente.
Se exigió al DPC que aumentara sustancialmente las multas propuestas contra Facebook y Meta para reflejar la naturaleza más grave de las infracciones identificadas por el EDPB.
Meta Ireland cambió sus términos de servicio cuando el RGPD entró en vigor el 25 de mayo de 2018, para permitirle confiar en un contrato con sus usuarios para brindar servicios personalizados y publicidad como base legal para procesar sus datos bajo el RGPD.
Facebook e Instagram debían presionar “Acepto” para aceptar los nuevos términos si querían acceder a Facebook e Instagram, según un comunicado del DPC.
Quejas de Schrems
Noyb presentó quejas el mismo día, acusando a Facebook e Instagram de intentar “eludir” los requisitos de consentimiento de GDPR.
Según las denuncias, Meta argumentó que los anuncios dirigidos eran parte del servicio que contractualmente les debe a los usuarios.
Esto iba más allá de la forma estrecha en que normalmente se entiende la Necesidad Contractual, así como lo estrictamente necesario para prestar los servicios a los usuarios, según las denuncias.
Las denuncias argumentaban que Meta estaba “obligando” a los usuarios a dar su consentimiento para el procesamiento de sus datos al condicionar la accesibilidad de sus servicios a la aceptación de los términos de Facebook e Instagram.
“En lugar de tener una opción de ‘sí/no’ para los anuncios personalizados, simplemente trasladaron la cláusula de consentimiento a los términos y condiciones. Esto no solo es injusto sino claramente ilegal”, dijo Schrems en un comunicado.
“No tenemos conocimiento de ninguna otra empresa que haya tratado de ignorar el RGPD de una manera tan arrogante”, agregó.
Meta no cumplió con su obligación de ser transparente
Un proyecto de decisión de la DPC encontró que Meta había incumplido su obligación de ser transparente con sus clientes sobre cómo procesaba sus datos, el propósito del procesamiento de sus datos y cuál era la base legal para el procesamiento de datos.
Sin embargo, el DPC concluyó que el RGPD no impedía que Meta Ireland se basara en un contrato como base legal para procesar los datos de los usuarios, y no requería que Meta confiara en el consentimiento de los usuarios.
Los servicios de Facebook e Instagram incluyen brindar servicios personalizados y publicidad personalizada a los usuarios, dijo Meta.
“Desde el punto de vista del DPC, esta realidad es fundamental para el trato alcanzado entre los usuarios y su proveedor de servicios elegido, y forma parte del contrato celebrado en el momento en que los usuarios aceptan los Términos de servicio”, dijo en un comunicado.
Otros reguladores de la UE, conocidos como Autoridades de Supervisión Preocupadas (CSA), revisaron el proyecto de decisión del DPC como parte del proceso de adjudicación.
Coincidieron con la DPC en que Meta no cumplió con sus obligaciones de transparencia, pero no pudieron llegar a un acuerdo con la DPC sobre la vigencia del contrato de Meta.
Un total de 10 CSA argumentaron que no se debe permitir que Meta use un contrato como base legal para procesar datos porque no se puede decir que la entrega de publicidad personalizada sea “necesaria” para cumplir el contrato de Facebook con sus usuarios.
Tras el proceso de consulta, el DPC remitió los puntos en disputa al EDPB para una decisión final.
La junta encontró que, como cuestión de principio, Meta Ireland no tenía derecho a basarse en su contrato con los usuarios como base legal legal para procesar datos personales para publicidad de comportamiento.
En su decisión del 5 de diciembre de 2022, el EDPB acordó que Meta Ireland había incumplido sus obligaciones de transparencia y descubrió que, además, había violado el principio de equidad en el procesamiento de los datos de sus clientes.
DPC disputa la orden de EDPB de investigar Facebook e Instagram
El DPC dijo que desafiaría una nueva orden del EDPB para exigirle que realice una nueva investigación sobre las operaciones de procesamiento de datos de Facebook e Instagram, centrándose en categorías especiales de datos.
El DPC argumenta que el EDPB no tiene la autoridad para ordenar a los reguladores nacionales de protección de datos que participen en lo que llama una investigación “abierta y especulativa”.
“La dirección es… problemática en términos jurisdiccionales, y no parece consistente con la estructura de los arreglos de cooperación y consistencia establecidos por GDPR”, dijo.
El DPC dijo que presentaría una acción de anulación de la orden del EDPB de iniciar más investigaciones sobre Meta en el Tribunal de Justicia de la Unión Europea.
DPC ‘cooperó’ con Meta
Schrems dijo que el DPC y Meta habían cooperado con Meta, a través de una serie de 10 reuniones confidenciales, para permitirle usar un contrato con sus usuarios para “eludir” GDPR.
Los documentos obtenidos por Noyb en virtud de la libertad de información muestran que el DPC también intentó introducir el uso de disposiciones de “libertad para contratar” en las pautas propuestas por EDPB que habrían beneficiado a Facebook.
Estas propuestas, realizadas por la DPC, tras recibir la denuncia de Noyb contra Meta, fueron rechazadas por otras autoridades de protección de datos.
Tras la decisión del DPC, Meta ahora debe permitir que los usuarios tengan versiones de Facebook e Instagram que no usen datos personales dentro de tres meses, dijo Schrems.
La decisión aún permitirá que Meta use datos no personales, como el contenido de una historia leída por un usuario para personalizar los anuncios, o para dar a los usuarios una opción de “sí/no” para dar su consentimiento a la publicidad, dijo.
Meta para apelar
Meta manifestó en un comunicado que pretende apelar los fallos de la DPC y las multas.
La compañía dijo que estaría evaluando una variedad de opciones que le permitirían continuar ofreciendo servicios totalmente personalizados a los usuarios.
Agregó que las sugerencias de Schrems y otros de que Meta ya no puede ofrecer anuncios personalizados en toda Europa a menos que primero se haya buscado el acuerdo de cada usuario eran incorrectas.
Un portavoz de Meta dijo: “Estas decisiones no impiden la publicidad dirigida o personalizada en nuestra plataforma. Las decisiones se refieren únicamente a qué base legal utiliza Meta al ofrecer cierta publicidad”.
La compañía dijo en un comunicado que ha habido falta de claridad regulatoria y debate entre los reguladores y los legisladores sobre la base legal para compartir datos durante algún tiempo, y que los casos en curso en los tribunales de la UE pueden llegar a veredictos diferentes.
“Dado que los propios reguladores no estuvieron de acuerdo entre sí sobre el tema hasta las etapas finales de estos procesos en diciembre, es difícil entender cómo podemos ser criticados por el enfoque que hemos adoptado hasta la fecha”, dijo.
“Creemos que cumplimos plenamente con el RGPD al basarnos en la Necesidad contractual para los anuncios de comportamiento dada la naturaleza de nuestros servicios. Como resultado, apelaremos el fondo de la decisión”, agregó.
Cuestiones legales
El abogado de protección de datos Dai Davis dijo que no estaba seguro de que Meta ganara una apelación.
La primera pregunta para un tribunal es si Meta puede demostrar que tiene un contrato con los usuarios. “O tienen un acuerdo contractual que dice: ‘Nos obligamos a enviarte publicidad que creemos que será de tu interés a partir de un análisis de tu actividad en Facebook’, o no lo hacen”, dijo.
El contrato también debe ser justo y transparente. “Tienes que dejar en claro cuáles son las obligaciones para las que estás procesando los datos y que es transparente para el usuario que estás recopilando datos para cumplir con el contrato”, dijo Davis.
Si Meta se da la libertad de cambiar su contrato con los usuarios cuando quiera, eso también plantea dudas sobre si el contrato es legalmente vinculante.
Eddie Powell, socio y abogado regulador del bufete de abogados Fladgate, dijo que esa decisión era “una muy mala noticia para Meta”. “La DPC fue anulada por la UE, que determinó que la práctica de Meta de obligar a los usuarios a aceptar anuncios personalizados como parte del contrato de servicio de Facebook o Instagram era una violación adicional del RGPD”, dijo. “Como resultado, la DPC ha incrementado su multa contra Meta a 390 millones de euros”.
“La orden de que no se puede obligar a los usuarios de Facebook e Instagram a aceptar que sus datos se utilicen para publicar anuncios personalizados debe reducir enormemente el atractivo de las plataformas para los anunciantes”, dijo. “Es probable que demasiados usuarios, si se les da la opción, rechacen los anuncios personalizados”.
Meta, sin embargo, dijo en un comunicado que tenía una variedad de opciones para procesar legalmente los datos de los usuarios además de pedir su consentimiento. “Estas decisiones no impiden la publicidad dirigida o personalizada en nuestra plataforma”, dijo.