¿Cumple GDPR la publicidad dirigida de Meta?

Image of Carlo Cilento

Publicado el 10 dic 2022 y editado el 15 ago 2023 por Carlo Cilento

Este artículo se ha traducido automáticamente. Cambia a la versión en inglés para ver el original.

Tal como informó el Wall Street Journal, la Junta Europea de Protección de Datos concluyó que Meta ha estado elaborando ilegalmente perfiles de usuarios para publicidad dirigida en sus plataformas. La decisión puede ser recurrida, pero es poco probable que sea revocada. Por el momento no hay información sobre sanciones, pero dada la cantidad de datos personales involucrados, podríamos ver una fuerte multa.

La decisión se deriva de una denuncia presentada en 2018 por la ONG de privacidad noyb y prácticamente anula una resolución anterior de la autoridad irlandesa de protección de datos (DPC). Aunque la decisión aún no se ha publicado, el panorama es bastante sencillo, ya que parte de la información sobre la denuncia está disponible públicamente desde hace tiempo.

En este blog, explicaremos el asunto con Meta y por qué es consecuencia de un problema más amplio con el modelo de negocio que hay detrás de las redes sociales.

  1. La decisión
  2. Los datos no son una mercancía
  3. Actualización
  4. Conclusiones
Logo of the Government of the United KingdomThe UK Government chose Simple AnalyticsJoin them

Entremos de lleno.

La decisión

Para ser claros, la EDPB no dijo que la publicidad dirigida en plataformas de medios sociales sea ilegal en sí misma. La Junta consideró que Meta estaba elaborando perfiles de usuarios ilegalmente porque abusaba de una base jurídica específica en virtud del RGPD: la ejecución de un contrato. Esto puede parecer un detalle menor, pero no lo es. Analicemos la cuestión.

Como explicamos en nuestro blog, en virtud del RGPD, todo responsable del tratamiento de datos necesita una base jurídica para procesar los datos, es decir, una justificación como el consentimiento del interesado o una obligación legal. El RGPD incluye una lista cerrada de seis bases jurídicas, cada una con sus propios requisitos.

Desde la entrada en vigor del GDPR en 2018, Meta ha estado utilizando el cumplimiento de un contrato como base legal para servir a los usuarios anuncios personalizados basados en su actividad en línea. Al hacerlo, Meta estaba alegando esencialmente que la publicidad personalizada es una parte esencial de su contrato con el usuario (es decir, los términos de servicio de Facebook e Instagram). Noyb afirmó que Meta estaba abusando del fundamento jurídico del contrato y emprendió acciones legales en 2018, presentando la denuncia que condujo a la decisión de la EDPB.

La sentencia en sí no sorprende en absoluto. La jurisprudencia europea ha aclarado desde hace tiempo que el fundamento jurídico del contrato solo cubre las actividades de tratamiento que son estrictamente necesarias para la ejecución del contrato. Obviamente, este no es el caso de la publicidad dirigida. Además, el propio EDPB aclaró en sus directrices que el contrato no es una base jurídica adecuada para la publicidad basada en el comportamiento en línea.

Pero, ¿por qué Meta no podría basarse en otra base jurídica? Es un poco complicado, así que vamos a ser breves e incluir más detalles en las notas. En pocas palabras, no basarse en un contrato habría obligado a Meta a recabar el consentimiento del usuario. Se trata de una propuesta delicada, ya que el usuario podría rechazar la publicidad selectiva u optar por no recibirla. Como los usuarios de Internet son cada vez más conscientes de su privacidad, esto podría afectar gravemente a los ingresos publicitarios de la empresa.

(Nota: Meta sigue sin basarse en el consentimiento para la elaboración de perfiles. Para más detalles, véanse las actualizaciones más abajo)

En resumen, Meta ha eludido las normas y se ha salido con la suya durante cuatro años.

Los datos no son una mercancía

Meta no es la única gran empresa tecnológica que tiene problemas con el GDPR. Por ejemplo, TikTok tuvo problemas con la DPA italiana debido a las bases legales no hace mucho tiempo. Google Analytics también está teniendo su buena ración de problemas y está prácticamente prohibido en varios Estados miembros, por diferentes razones (escribimos sobre esto en nuestro blog).

El meollo de la cuestión es que el RGPD (y el marco de protección de datos de la UE en general) trata la privacidad y la protección de datos como derechos fundamentales, mientras que las redes sociales (y muchas otras empresas tecnológicas) encarnan un modelo de negocio centrado en la vigilancia que trata los datos personales como una mercancía.

Estas perspectivas son radicalmente incompatibles. Desde un punto de vista puramente económico, la elaboración de perfiles es realmente necesaria para la ejecución del contrato porque es una parte crucial del modelo de negocio de Meta: si la empresa no pudiera obtener beneficios del contrato, no podría prestar el servicio, ni tendría ningún incentivo para hacerlo. Pero según el RGPD, la privacidad y la protección de datos son derechos no negociables. El tratamiento de datos personales no puede justificarse solo porque forme parte de un modelo de negocio, por muy extendido y exitoso que esté.

Algunos críticos del RGPD afirman que el Reglamento es impracticable y está fuera de contacto con una economía impulsada por los datos, pero no es así. Las instituciones europeas son muy conscientes del papel crucial de los datos. Por eso el RGPD se esfuerza por lograr un equilibrio entre los derechos de protección de datos y otros derechos fundamentales, incluida la libertad de empresa.

Pero el RGPD también traza una línea entre una economía basada en los datos y una economía de la vigilancia, y esta línea se ha aplicado con razón contra Meta.

Actualización

Hay bastantes actualizaciones desde que publicamos este blog:

  • el CPD impuso multas por un total de 390 millones de euros por las infracciones del RGPD cometidas por Facebook e Instagram
  • el EDPB resolvió un caso similar contra Whatsapp, propiedad de Meta. El Departamento de Protección de Datos impuso a Whatsapp una multa de sólo 5 millones de euros.
  • el EDPB ordenó al DPC que siguiera investigando las operaciones de tratamiento de datos de Meta. El DPC considera que el EDBP carece de autoridad para hacerlo y anunció acciones legales contra la orden ante el Tribunal de Justicia de la UE.
  • el Tribunal de Distrito de Ámsterdam declaró ilegal la elaboración de perfiles específicos por parte de Meta en una reciente demanda colectiva(analizamos este caso en detalle)
  • a partir del 5 de abril, Meta se basa en el interés legítimo para la publicidad dirigida. noyb no está satisfecha con la nueva base jurídica (creemos que con razón) y tiene intención de impugnarla.

390 millones de euros puede parecer mucho, pero en realidad no lo es. Los componentes más importantes de las multas giran en torno a la falta de transparencia. La falta de base jurídica, que es posiblemente el mayor problema, le costó a Meta un total de 120 millones de euros entre las infracciones de Facebook e Instagram. A modo de comparación, la DPA belga multó a Amazon con 746 millones de euros por infracciones similares.

Es difícil decir cómo se desarrollará la acción legal del DPC contra la EDPB, pero seguramente aumentará la ya alarmante fricción entre el DPC y sus homólogos europeos.

Por último, en un caso no relacionado que gira en torno a las transferencias de datos, el CPD impuso a Meta una multa de 1.200 millones de euros (¡no, no es una errata!) y le ordenó suspender las transferencias de datos estadounidenses para Facebook. Esto podría dar lugar a un apagón de Facebook en Europa. Ni que decir tiene que debatimos en detalle este importante caso.

Conclusiones

La decisión del EDPB demuestra una vez más que el GDPR puede ser una herramienta eficaz para hacer cumplir la privacidad frente a los modelos empresariales basados en la vigilancia. Pero la aplicación es solo una parte del cuadro. Los consumidores son cada vez más conscientes de los problemas de privacidad y las empresas están empezando a ver el valor de una buena gobernanza de los datos respetuosa con la privacidad.

La adopción de herramientas que respeten la privacidad puede contribuir en gran medida a crear una Internet sin vigilancia. Con Simple Analytics intentamos facilitarlo. Creemos que se puede obtener información de la analítica web sin necesidad de recoger datos personales o instalar cookies en el ordenador de los visitantes.

Creemos en una web independiente y respetuosa con los visitantes. Si está de acuerdo, ¡pruébenos!

GA4 es complejo. Prueba Simple Analytics

GA4 es como estar en la cabina de un avión sin licencia de piloto

Iniciar prueba de 14 días