En un movimiento que probablemente ampliará el escrutinio de las grandes empresas de tecnología y las plataformas en línea, el Tribunal de Justicia de la Unión Europea (TJUE) ha dictaminado que las autoridades nacionales antimonopolio pueden examinar si dichas organizaciones están operando de acuerdo con la Protección General de Datos de la UE. Reglamento (GDPR), y asestó un golpe potencialmente fatal a toda la base legal de Meta para la publicidad dirigida.
La sentencia reivindica al organismo antimonopolio de Alemania, el Bundeskartellamt, que usó sus poderes para abordar las preocupaciones sobre cómo Meta, el operador de Facebook, Instagram y WhatsApp, había manejado los datos de los usuarios alemanes en el pasado. Esto resultó previamente en una orden de que Meta debe dejar de recopilar estos datos sin el consentimiento del usuario sobre la base de que al hacerlo abusó de su posición dominante en el mercado.
Meta, que está lista para lanzar un competidor de Twitter llamado Threads de manera inminente, impugnó esta acción, lo que llevó al caso judicial.
En la sentencia, el TJUE afirmó: “En el contexto del examen de un abuso de posición dominante por parte de una empresa, puede ser necesario que la autoridad de competencia del Estado miembro en cuestión también examine si la conducta de esa empresa cumple con reglas distintas que las relativas al derecho de la competencia, como las normas establecidas por el RGPD.”
Señaló que si dicha autoridad identifica que se ha violado el RGPD, sin embargo, no anula la autoridad de la autoridad nacional de protección de datos (DPA) del estado miembro.
El TJUE señaló además que con el tratamiento de datos de categoría especial por parte de Meta –aquellos relativos a características tales como el origen racial o étnico, las opiniones políticas, las creencias religiosas, la identidad de género y la orientación sexual (cuyo tratamiento está en principio prohibido por el RGPD)– los tribunales nacionales pueden determinar si los datos recopilados pueden permitir que se revele esa información, ya sea que se trate o no de un usuario de un producto Meta.
En cuanto a si se permite o no excepcionalmente el tratamiento de dichos datos porque el interesado haya hecho pública “manifiestamente” esa información, el TJUE aclara además que el hecho de que alguien utilice sitios web o aplicaciones que revelen dicha información no significa que la esté haciendo. público bajo el RGPD. Lo mismo se aplica cuando ingresan información en un sitio web a menos que hayan acordado explícitamente que sus datos sean accesibles al público de antemano, dijo el tribunal.
Anuncios dirigidos no justificables
En cuanto al tratamiento de datos no sensibles utilizados por Meta para publicidad dirigida, el TJUE consideró si éste está amparado o no por justificaciones en el RGPD que permitan el tratamiento de datos en ausencia de consentimiento.
El artículo 6(1)(b) del RGPD establece que la práctica sólo podría justificarse a condición de que si los datos no son procesados, el contrato entre el usuario y el operador del servicio no puede cumplirse.
Esta necesidad contractual para el procesamiento de datos generalmente se entiende de manera más restringida. Por ejemplo, permite que un minorista en línea proporcione la dirección de un cliente a un servicio de mensajería, lo que es claramente un procesamiento de datos necesario según los términos del contrato entre la tienda y el cliente.
Meta se basó en el Artículo 6(1)(b) como su principal justificación para el procesamiento de datos para publicidad dirigida al afirmar que la publicidad dirigida era parte del servicio que contractualmente les debe a sus usuarios, una cláusula que introdujo como parte de un cambio en sus términos. of service (ToS) realizado al filo de la medianoche del 25 de mayo de 2018, que es el segundo preciso en que el RGPD entró en vigor por primera vez.
Max Schrems, fundador del grupo de campaña de protección de datos con sede en Austria NOYB, argumentó que Meta parecía haber adoptado la opinión de que simplemente podía “agregar elementos aleatorios” al contrato, es decir, sus términos de servicio, cubriendo publicidad personalizada, para evitar ofrecer a los usuarios un sí. o sin opción de consentimiento.
“En lugar de tener una opción de ‘sí/no’ para anuncios personalizados, simplemente movieron la cláusula de consentimiento en los términos y condiciones. Esto no solo es injusto sino claramente ilegal. No tenemos conocimiento de ninguna otra empresa que haya tratado de ignorar el RGPD de una manera tan arrogante”, dijo Schrems.
En la práctica, dijo el TJUE, existen serias dudas sobre si la oferta de contenido personalizado o el uso constante y fluido de los servicios de Meta son capaces de cumplir con el artículo 6(1)(b)
La confianza de Meta en el artículo 6 (1) (b) había sido rechazada previamente por el Consejo Europeo de Protección de Datos (EDPB) en enero de 2023. Después de esto, cambió su argumento para centrar el artículo 6 (1) (f), que se refiere a los legítimos intereses para el tratamiento de datos.
Pero el TJUE también lo ha cerrado, afirmando además que la publicidad personalizada y dirigida tampoco puede justificar el tratamiento de los datos de los usuarios sin su consentimiento como interés legítimo.
Schrems explicó que si bien el TJUE no ha dictaminado que puedan existir intereses legítimos en determinadas circunstancias, la sentencia ha aclarado que ningún interés puede anular los derechos de un usuario cuando los controladores proporcionan anuncios. Esto, dijo, parece significar que ningún controlador de datos que opere en la UE ahora puede ejecutar publicidad dirigida basada en otra cosa que no sea el consentimiento otorgado libremente.
Schrems explicó que, en última instancia, Meta esencialmente había tratado de eludir el RGPD utilizando cinco de las seis bases legales para el procesamiento de datos cubiertas por el artículo 6 (1) del RGPD, todas las cuales han sido cubiertas en la sentencia del TJUE.
“Este es un gran golpe para Meta, pero también para otras empresas de publicidad en línea. Aclara que varias teorías legales de la industria para eludir el RGPD son nulas y sin valor”, dijo.
Dio la bienvenida a la decisión general del TJUE, que dijo que aclaró que Meta no puede eludir el RGPD cambiando párrafos en sus documentos legales como lo desee.
“Esto significará que Meta tiene que buscar el consentimiento adecuado y no puede usar su posición dominante para obligar a las personas a aceptar cosas que no quieren. Esto también tendrá un impacto positivo en los litigios pendientes entre NOYB y Meta en Irlanda”, dijo Schrems.
Computer Weekly entiende que Meta está evaluando el fallo y tendrá más que decir a su debido tiempo. No había respondido a una solicitud de comentarios al momento de escribir.
La CE adoptará nuevas reglas para fortalecer los casos transfronterizos de GDPR
Al mismo tiempo, la Comisión Europea (CE) ha propuesto hoy una nueva ley que, según dijo, agilizará la cooperación entre las autoridades de protección de datos (DPA) de los estados miembros cuando se traten casos transfronterizos de GDPR.
Entre las propuestas se encuentra la obligación de que la APD líder en una investigación resuma los temas clave para sus contrapartes en toda la UE para reducir el alcance de los desacuerdos y permitir la creación de consenso.
Para los ciudadanos individuales de la UE, las propuestas aclararán lo que deben hacer al presentar una queja ante su DPA nacional en virtud del RGPD, y sus derechos procesales durante una investigación, con la esperanza de brindar una resolución más rápida de los casos y una mayor seguridad jurídica para todos.
“Hace cinco años entró en vigor la ley de protección de datos más ambiciosa e innovadora del mundo. Cinco años después, el RGPD se ha convertido en una legislación histórica en la UE, inspirando estándares globales. Está claro que la aplicación de GDPR funciona, pero los procedimientos en casos transfronterizos aún pueden mejorarse”, dijo el comisionado de justicia de la CE, Didier Reynders.
“Hoy, hemos presentado esta propuesta para demostrar que podemos hacerlo mejor para tener un manejo más rápido y eficiente de los casos. Hemos escuchado las voces del Consejo Europeo de Protección de Datos, las autoridades de protección de datos, la sociedad civil y la industria. Nuestra propuesta responde a sus llamados y se basa en nuestros propios hallazgos para proteger mejor el derecho a la privacidad de los europeos, brindar seguridad jurídica a las empresas y optimizar la cooperación entre las autoridades de protección de datos sobre el terreno”.