Por qué Meta está en un mundo de problemas

Image of Carlo Cilento

Publicado el 9 ago 2023 por Carlo Cilento

Este artículo se ha traducido automáticamente. Cambia a la versión en inglés para ver el original.

Este es el segundo blog de una serie de dos partes sobre Bundeskartellamt, una sentencia muy importante contra Meta que pasó desapercibida para los medios de comunicación.

En otro blog, explicamos cómo la sentencia podría cambiar las reglas del juego de la analítica basada en cookies. Pero la sentencia es mucho más que eso. Hoy analizaremos lo que ha dicho el Tribunal de Justicia sobre el modelo de negocio de Facebook y las competencias de las autoridades antimonopolio.

Spoiler: todo son malas noticias para las grandes tecnológicas.

  1. ¿De qué trata el caso y qué dice?
  2. Meta y publicidad dirigida: ¡otra vez!
  3. La ejecución de un contrato, o por qué el TJUE tenía razón
  4. El interés legítimo tampoco funciona
  5. ¿Qué hay del consentimiento?
  6. El Bundeskartellamt ya está causando estragos
  7. Protección de datos y derecho de la competencia
  8. ¿Qué significa todo esto para Meta y las grandes tecnológicas?
  9. Conclusión
Logo of the Government of the United KingdomThe UK Government chose Simple AnalyticsJoin them

¿De qué trata el caso y qué dice?

En nuestro primer blog explicamos que la sentencia se refiere a un caso entre Meta y la autoridad alemana de defensa de la competencia (Bundeskartellamt). La autoridad consideró que Meta estaba abusando de su posición dominante en el mercado de las redes sociales al imponer políticas de privacidad contrarias al GDPR.

La Bundeskartellamt ordenó a Meta cambiar su política de privacidad para los usuarios alemanes. Meta impugnó la decisión y obtuvo una aún peor del Tribunal de Justicia.

En la sentencia, el Tribunal tocó puntos muy sensibles para Meta:

  • Las herramientas de seguimiento de Meta recogen un montón de datos sensibles (como explicamos en nuestro otro blog sobre la decisión)
  • elconsentimiento es prácticamente obligatorio para la publicidad dirigida, y debe cumplir normas bastante estrictas para plataformas enormes como Facebook
  • las autoridades de competencia pueden tener en cuenta las infracciones del RGPD para evaluar el abuso de posición dominante.

Meta y publicidad dirigida: ¡otra vez!

En el asunto Bundeskartellamt, el Tribunal de Justicia de la Unión Europea (TJUE) examinó detenidamente las bases jurídicas de Meta para la publicidad dirigida. Las cuestiones jurídicas pueden parecer muy técnicas, pero no te equivoques: en el fondo, este caso trata de la legitimidad del modelo de negocio de Facebook y, por extensión, de otros "servicios gratuitos" de las grandes tecnológicas a los que pagas con tus datos.

Por tanto, no se trata de la letra pequeña de la política de privacidad de Meta. La sentencia es un gran problema en el gran esquema de las cosas. He aquí por qué.

Facebook obtiene la mayor parte de sus ingresos de la publicidad dirigida. Esta publicidad requiere la elaboración de perfiles agresivos de los usuarios en función de su comportamiento dentro y fuera de las plataformas.

Según las normas generales del GDPR, estos datos de perfilado necesitan una justificación legal ("base legal"), como una obligación legal, el cumplimiento de un contrato o el consentimiento del usuario (que es una de varias bases legales, y no siempre es necesaria para procesar datos personales, como explicamos en un blog anterior).

A la gente no le gusta el rastreo y la elaboración de perfiles invasivos, por lo que Meta no quiso dar a los usuarios una opción real y justa al respecto. Por eso evitó basarse en el consentimiento hasta ahora.

Hasta abril de este año, Meta utilizaba la base jurídica de la necesidad contractual para ofrecer publicidad dirigida en Facebook e Instagram. En otras palabras, alegaba que proporcionar publicidad dirigida era estrictamente necesario para cumplir sus condiciones de servicio con el usuario.

El Consejo Europeo de Protección de Datos (es decir, la institución de la UE que reúne a todas las autoridades europeas de protección de la intimidad) no estuvo de acuerdo. Meta fue multada con un total de 390 millones de euros y obligada a cambiar en abril su base jurídica por el "interés legítimo " en su nueva política de privacidad.

La ejecución de un contrato, o por qué el TJUE tenía razón

El TJUE examinó detenidamente las prácticas publicitarias de Meta y las consideró innecesarias para la ejecución del contrato con el usuario. En otras palabras, confirmó que la necesidad contractual no podía justificar la publicidad dirigida.

El TJUE ya se había pronunciado al respecto, pero la sentencia sigue siendo importante porque tiene la última palabra sobre la interpretación del RGPD (y de la legislación de la UE en general). El EDPB es muy influyente, pero la palabra del TJUE básicamente prevalece sobre todo lo demás.

Así pues, el Bunderskartellamt no dice nada nuevo sobre la necesidad contractual, pero confirma "oficialmente" la posición del TJUE. Después de que el TJUE adoptara la misma postura, simplemente no queda espacio para argumentar a favor de la necesidad contractual.

Esto no afecta realmente a Meta, puesto que ya ha abandonado la necesidad contractual. Pero es una mala noticia para las grandes tecnológicas, porque otras empresas que utilizan un modelo de negocio de pago por tus datos lo tendrán muy, muy difícil para argumentar que la necesidad contractual es una base jurídica válida para la publicidad.

Adiós, necesidad contractual. No te echaremos de menos.

El interés legítimo tampoco funciona

Pero, ¿qué pasa con la nueva base jurídica de Meta: el interés legítimo? Seguro que funciona, ¿verdad?

Pues no: la sentencia del Bundeskartellamt también ha echado por tierra el interés legítimo. Explicar por qué convertiría este blog en un libro, pero digamos que cuanto más invasivo es el tratamiento de datos, más improbable es que el interés legítimo sea una base jurídica válida. Y la elaboración de perfiles de Meta no puede ser más invasiva.

En realidad, era obvio desde el principio que el interés legítimo no era una base jurídica viable en este caso. Meta lo sabía y sólo cambió su política de privacidad para ganar tiempo.

El Bundeskartellamt se lo pondrá más difícil a Meta para ganar tiempo porque presionará a los reguladores (léase: la autoridad irlandesa de protección de datos) para que fallen en contra de Meta cuando surja la cuestión del interés legítimo. Noyb -la ONG de defensa de la privacidad que condujo a la multa de 390 millones de euros- tiene intención de volver a denunciar a Meta por su nueva política de privacidad.

No debería sorprender, pues, que Meta anunciara recientemente su intención de basarse en el consentimiento para ofrecer publicidad dirigida.

¿Qué hay del consentimiento?

En esencia, la sentencia del Bundeskartellamt examina todos los fundamentos jurídicos plausibles de la publicidad selectiva y sólo deja a salvo la base del consentimiento.

Pero el TJUE no se limitó a decir "sí, el consentimiento estará bien para esto; estamos de acuerdo". El Tribunal subrayó que el consentimiento tiene que ser una elección real del usuario y no puede ser extorsionado por una plataforma, algo que a Meta y otros monopolistas les encanta hacer. En particular, las prácticas de recopilación de consentimiento de los monopolistas deben ser examinadas muy, muy cuidadosamente para garantizar que el consentimiento es libre y no extorsionado.

Leyendo entre líneas, el TJUE estaba pensando claramente en el futuro. Sabía que Meta cambiaría al consentimiento en algún momento y esperaba que la empresa extorsionara el consentimiento mediante una propuesta de "lo tomas o lo dejas" a sus usuarios. En otras palabras, o das tu consentimiento para que te hagan perfiles publicitarios o no podrás estar en Facebook, lo siento.

Al insistir en que el consentimiento debe ser libre y no instrumental, el TJUE dio a entender claramente que lo siguiente que quiere ver es un consentimiento real y significativo, y que espera lo mismo de las autoridades de protección de la intimidad y de otros tribunales. Esto es un problema para Meta, porque a la gente no le gusta que le hagan perfiles y suele decir "no" cuando se le ofrece una opción real y justa.

Para ser justos, hay cierto margen para discutir sobre el consentimiento libre. Sobre el papel, el GDPR deja cierto margen de maniobra para extorsionar el consentimiento debido a la (exasperantemente vaga) redacción del artículo 7(4). Pero las observaciones "preventivas" del TJUE sobre el consentimiento sugieren que es probable que el Tribunal adopte una postura más dura y no permita a las empresas forzar el consentimiento mediante un enfoque de "lo tomas o lo dejas", especialmente cuando se trata de monopolios como Meta.

¿En qué situación queda la publicidad selectiva en las plataformas sociales? ¿Cómo puede justificarse con arreglo al RGPD?

La necesidad contractual queda fuera de juego, al igual que el interés legítimo. El consentimiento estará sujeto a normas muy estrictas, lo que dará lugar a elevadas tasas de exclusión y a una pérdida de ingresos. ¿Cómo justificarán las grandes tecnológicas el modelo de negocio de pago por tus datos? ¿Es posible a estas alturas?

El Bundeskartellamt ya está causando estragos

La decisión del Bundeskartellamt ya está afectando a la publicidad dirigida. Un mes después de la sentencia, Meta anunció su intención de cambiar al consentimiento como base jurídica para la publicidad dirigida, lo que confirma aún más que su nueva estrategia de cumplimiento basada en el interés legítimo ya está muerta.

Además, dos semanas después de la sentencia, el organismo noruego de control de la privacidad (Datatilsynet) prohibió provisionalmente la publicidad dirigida en Facebook e Instagram.

La orden es una decisión urgente que se saltó los criterios de jurisdicción normales del GDPR. Por este motivo, la autoridad solicitará la confirmación de su decisión al Consejo Europeo de Protección de Datos, la organización que reúne a todas las autoridades de protección de la intimidad de la UE y el EEE. De confirmarse la decisión, no sería de extrañar que otras autoridades siguieran el ejemplo de Datatylsinet y cerraran la publicidad de Meta hasta que esta dé curso a su anunciado paso al consentimiento.

Protección de datos y derecho de la competencia

Lo creas o no, la sentencia no se queda ahí. Sí, se podría escribir un libro sobre ello.

En opinión del Tribunal, una autoridad de defensa de la competencia puede tener en cuenta la violación del GDPR para evaluar un abuso de posición dominante, siempre que exista cierto grado de colaboración con la autoridad competente en materia de privacidad.

Esta indicación es algo vaga. Por lo tanto, podría llevar un tiempo averiguar qué significa exactamente y qué tipos de infracciones del GDPR pueden considerarse. Tal vez las autoridades antimonopolio podrían empezar a examinar las infracciones del RGPD relacionadas con políticas de privacidad y condiciones de uso injustas, básicamente el tipo de cosas que difuminan las líneas entre las leyes de privacidad y las de protección de los consumidores. Pero esto se basa realmente en mis sentimientos, así que tómenlo con un grano de sal.

Sin duda, el Bundeskartellamt significa problemas para las grandes tecnológicas. Los gigantes tecnológicos suelen ocupar una posición dominante en uno o varios mercados. Por ejemplo, Google es un monopolio en los mercados de los motores de búsqueda y la publicidad en línea, y Meta es prácticamente un monopolio en las redes sociales (TikTok es posiblemente un competidor, pero si se analiza más de cerca, podría ser un mercado ligeramente diferente).

Las grandes tecnológicas tienen poco o ningún respeto por la ley de privacidad. A veces hay pocas o ninguna alternativa a sus servicios, por lo que pueden imponer condiciones horribles a los usuarios y salirse con la suya porque los usuarios no tienen a dónde ir. También les encanta violar la legislación antimonopolio en cuanto tienen ocasión: al fin y al cabo, así es como se convirtieron en monopolistas.

Si la privacidad y la legislación antimonopolio empiezan a solaparse, tendrán problemas. Por eso el Bundeskartellamt podría cambiar las reglas del juego a largo plazo y desempeñar un papel importante en los casos antimonopolio.

¿Qué significa todo esto para Meta y las grandes tecnológicas?

En primer lugar, la nueva política de privacidad de Meta está muerta después de sólo 4 meses.

Pero el Bundeskartellamt es mucho, mucho más grande que Meta. La conclusión es que las grandes tecnológicas no pueden salir impunes del GDPR. Este es el supuesto implícito pero coherente que subyace a todas las conclusiones del Tribunal, desde las bases jurídicas de la publicidad hasta el solapamiento entre la legislación antimonopolio y la de protección de la intimidad. Cada palabra de esta sentencia es una mala noticia para las grandes tecnológicas.

A partir de ahora será más difícil que nunca argumentar que el modelo de negocio generalizado de pago por tus datos puede cumplir el RGPD, a menos que se ofrezca a los usuarios una opción justa y significativa de exclusión voluntaria. En ese caso, muchos usuarios se negarán, con consecuencias catastróficas para los ingresos. Así pues, la sentencia supone un duro golpe para el modelo de negocio de datos como pago que suelen utilizar las grandes tecnológicas.

Por si fuera poco, las autoridades de competencia pueden tener en cuenta las infracciones del GDPR a la hora de evaluar los abusos de posición dominante. Esto es una mala noticia para las grandes empresas tecnológicas, ya que a menudo están en el punto de mira de las autoridades de protección de datos y de la competencia.

Conclusión

Ya es un lugar común que la aplicación del RGPD es deficiente. Las decisiones a menudo tardan mucho porque las autoridades de protección de la intimidad carecen crónicamente de fondos y están sobrecargadas de trabajo, y un sinfín de casos transfronterizos se retrasan o descarrilan por completo debido a la ineficaz cooperación entre las autoridades.

Pero hay un resquicio de esperanza. Puede que no veamos tantas decisiones como serían necesarias, pero las que vemos suelen ser bastante buenas.

Muchos reguladores entienden que el RGPD no es una lista de papeleo que una empresa tiene que hacer, sino más bien una ley importante que desempeña un papel crucial en la protección del derecho fundamental a la privacidad. Esperan que las organizaciones cumplan con el espíritu del reglamento y no las dejan escapar por tecnicismos. Si hace algo mal, probablemente no podrá librarse del problema con un abogado.

El Bundeskartellamt es un buen ejemplo de aplicación de la normativa. Demuestra que el TJUE se toma en serio el RGPD y sugiere que el Reglamento podría finalmente enseñar los dientes a las grandes empresas de tecnología en un futuro próximo, lo cual es una mala noticia para las grandes empresas de tecnología y una buena noticia para todos los demás.

Mientras tanto, las organizaciones también pueden contribuir al avance de la UE hacia la privacidad. Muchos servicios generalizados y ávidos de datos cuentan con excelentes alternativas respetuosas con la privacidad, y Google Analytics debería ser uno de los principales candidatos a abandonar.

Hemos creado Simple Analytics porque creemos que la analítica web no tiene por qué ser invasiva. Estamos orgullosos de proporcionar a nuestros clientes toda la información que necesitan para hacer crecer su negocio y fomentar su presencia en línea, todo ello sin recopilar datos personales ni rastrear a los usuarios. Si esto le parece bien, ¡pruébenos!

GA4 es complejo. Prueba Simple Analytics

GA4 es como estar en la cabina de un avión sin licencia de piloto

Iniciar prueba de 14 días