Anoten en su calendario amigos europeos: el 4 de julio pronto podría celebrarse como el Día de la Independencia del capitalismo de vigilancia Meta… Una sentencia largamente esperada emitida hoy por el Tribunal de Justicia de la Unión Europea (TJUE) parece haber aplastado por completo la capacidad del gigante de las redes sociales para continuar burlando la ley de privacidad de la UE al negar a los usuarios la libre elección sobre su seguimiento y creación de perfiles.
La decisión se remonta a una orden pionera del organismo de control antimonopolio de Alemania, la Oficina Federal de Cárteles (FCO), que ha pasado años investigando las actividades de Facebook, argumentando que las violaciones de la privacidad también deben tratarse como un abuso de explotación de la competencia.
En su orden de febrero de 2019, la FCO le dijo a Facebook (como todavía lo estaba Meta en ese momento) que dejara de combinar los datos de los usuarios en su propio conjunto de plataformas sociales sin su consentimiento. Meta buscó bloquear la orden en los tribunales alemanes, lo que finalmente desencadenó la llamada remisión de «superperfil» de Meta al TJUE en marzo de 2021.
Ahora tenemos la vista desde el máximo tribunal y, bueno, eso no provocará ninguna celebración en Meta HQ, eso es seguro.
El TJUE no solo estuvo de acuerdo en que las autoridades de competencia pueden tener en cuenta la protección de datos en sus evaluaciones antimonopolio (lo que suena raro pero es realmente vital porque trabajar juntos en lugar de los silos regulatorios es el camino hacia el poder de supervisión efectivo de la plataforma), pero señaló que el consentimiento es la única base legal adecuada para el contenido «personalizado» centrado en el seguimiento y la elaboración de perfiles y la publicidad comportamental que Meta monetiza.
Aquí está la parte relevante del comunicado de prensa:
En lo que respecta de manera más general al procesamiento realizado por Meta Platforms Ireland, incluido el procesamiento de datos «no sensibles», el Tribunal examina si está cubierto por las justificaciones, establecidas en el RGPD, que permiten el procesamiento de datos realizado en ausencia del consentimiento de la persona interesada para ser legalizados. En este contexto, considera que la necesidad de la ejecución del contrato en el que el interesado es parte sólo puede justificar la práctica impugnada a condición de que el tratamiento de los datos sea objetivamente esencial para que el objeto principal del contrato no puede llevarse a cabo si el procesamiento en cuestión no tiene lugar. Sujeto a verificación por parte del tribunal remitente, el Tribunal de Justicia expresa dudas sobre la capacidad del contenido personalizado o el uso consistente y homogéneo de los servicios propios del grupo Meta para cumplir con estos criterios.
El consentimiento según la ley europea de protección de datos significa que los usuarios deben tener la opción de optar por no participar en este tipo de seguimiento sin tener que renunciar al acceso al servicio principal. Y esa es exactamente la elección que Meta ha negado históricamente a sus usuarios. (Aunque, ¡sorpresa, sorpresa!, solo unas semanas antes de la sentencia del TJUE, sin duda anticipándose a lo que estaba por venir, anunció nuevos controles para permitir a los usuarios limitar su seguimiento entre sitios, aunque con algunas funciones reducidas si optan por dejar de rastrear, por lo que queda por ver si el intento de Meta de adelantarse a la decisión fue lo suficientemente lejos).
El año pasado, un abogado del TJUE adoptó una opinión similar sobre los méritos de la remisión de superperfiles de Meta. Pero aunque la opinión del Abogado General ante el Tribunal no era jurídicamente vinculante, la decisión de hoy es auténtico ley dura. Y eso significa que ni Meta ni las autoridades de protección de datos de la UE pueden ignorarlo.
Este último punto es importante porque la renuencia de algunas DPA a hacer cumplir enérgicamente el Reglamento General de Protección de Datos (GDPR) del bloque sobre los gigantes tecnológicos que incumplen las reglas que se supone que deben supervisar ha provocado gritos de que el reglamento falló, o al menos fue bloqueado irremediablemente por compras del foro.
No hay duda de que hacer cumplir el RGPD en Big Tech fue un proceso muy laborioso. Un importante fallo de la DPA irlandesa en enero finalmente falló en contra de la afirmación de Meta de basarse en la necesidad contractual para ejecutar su publicidad conductual. Pero han pasado más de cuatro años desde que se presentó la denuncia original para obtener esa orden (que Meta también está apelando ahora, por lo que el proceso tampoco ha terminado).
Luego, en marzo, en respuesta a un plazo de cumplimiento en la orden de la Comisión de Protección de Datos de Irlanda (DPC), Meta anunció que cambiaría la base legal que reclama para el procesamiento de datos para anuncios por otra base no basada en el consentimiento, conocida como Interés legítimo.
Entonces, después de años de quejas de privacidad, investigación regulatoria y (eventual) cumplimiento por parte de Meta, Meta siempre ha optado por contra ofreciendo a los usuarios una opción clara de sí/no sobre su seguimiento, presumiblemente anticipando poder girar el proceso de seguimiento de su reclamo LI (y evitar tener que reformar su modelo comercial hostil a la privacidad) durante algún tiempo, unos cuatro años.
Sin embargo, el TJUE parece haber lanzado una llave inglesa en esta última táctica de evasión de GDPR ya que las APD de la UE no pueden ignorar la dirección de la Corte. Por lo tanto, Irlanda no debería simplemente quedarse de brazos cruzados y dejar que Meta lo haga alegando una base legal de interés legítimo que el TJUE ha señalado como inapropiada en este contexto. Y, bueno, cuando los usuarios tienen el poder de negar el capitalismo de vigilancia, lo hacen en masa. (Ver, por ejemplo: El impacto de la transparencia de seguimiento de aplicaciones de Apple en la actividad publicitaria de Meta.)
La claridad del TJUE sobre cómo se debe aplicar el RGPD a los modelos comerciales con publicidad como el de Meta podría finalmente cerrar este capítulo sobre el capitalismo de vigilancia.
En su comunicado de prensa sobre la sentencia, la Corte escribe (con énfasis): “[T]La publicidad personalizada con la que la red social online Facebook financia su actividad no puede justificar, como interés legítimo perseguido por Meta Platforms Ireland, el tratamiento de los datos en cuestión, en ausencia del consentimiento del interesado.
Nos hemos puesto en contacto con el DPC irlandés para obtener una respuesta al fallo del TJUE y actualizaremos este informe si recibimos uno.
El TJUE también optó por subrayar la necesidad de garantizar que la calidad del consentimiento sea válida, es decir, que la elección que se le ofrece sea realmente libre (y no manipulada, como por el uso de motivos oscuros o penalizando al usuario, como con un servicio por debajo de la media para denegar el acceso a sus datos)- dado el desequilibrio entre el poder de mercado de una red social dominante y sus usuarios, señalando en su declaración insiste en que «depende del operador probar».
Además, el Tribunal confirmó que Meta no puede simplemente eludir la obligación legal de obtener el consentimiento explícito de los usuarios para procesar las llamadas categorías sensibles de datos personales (como creencias políticas, orientación sexual, raza o etnia, etc.) – con la conclusión de el Tribunal de Justicia el hecho de que los usuarios visiten o interactúen con los servicios de la web no significa que hayan hecho públicos de forma manifiesta sus datos sensibles (lo que supondría una renuncia a la obligación de obtener un consentimiento explícito).
Este elemento del fallo podría impulsar una nueva ola de litigios contra Meta por procesar datos confidenciales de los usuarios sin obtener su consentimiento explícito, ya que Facebook claramente se ocupa de muchas de estas cosas, nuevamente sin pedir permiso explícitamente.
Fotograma del comunicado de prensa del TJUE:
Además, el Tribunal observa que el tratamiento de datos llevado a cabo por Meta Platforms Ireland también parece referirse a categorías especiales de datos que pueden revelar, entre otras cosas, el origen racial o étnico, las opiniones políticas, las creencias religiosas o la orientación sexual, y cuyo tratamiento es en principio prohibido por el RGPD. Corresponderá al órgano jurisdiccional remitente evaluar si efectivamente algunos de los datos recabados permiten la divulgación de dicha información, si esta información se relaciona con un usuario de dicha red social o con cualquier otra persona física.
Max Schrems, el abogado y activista de los derechos de privacidad que encabezó la denuncia original contra el «consentimiento forzado» de Meta, denominado hoy «el día en que el RGPD colapsó para Meta», argumentando que el tribunal ha cerrado la puerta a todas las «lagunas» que la compañía los abogados han tratado de presionar durante los últimos cinco años.
En una declaración más completa, cabeza – La organización sin fines de lucro de derechos de privacidad Schrem – dijo que el TJUE había declarado «ilegal» el enfoque GDPR de Meta.
“noyb aún tiene que estudiar los detalles de este juicio masivo. De la lectura en vivo del holding, parece que a Meta/Facebook no se le permitió usar nada más que el consentimiento para operaciones cruciales en las que se basa para obtener ganancias en Europa”, también escribió, y Schrems afirmó que Meta ahora tendrá que “buscar consentimiento y no puede usar su posición dominante para obligar a las personas a aceptar cosas que no quieren».
«También tendrá un impacto positivo en el litigio en curso entre noyb y Meta en Irlanda», agregó, refiriéndose a la decisión antes mencionada en Irlanda sobre la base legal de Meta para los anuncios.
BEUC, la organización europea de consumidores, también acogió con satisfacción el fallo del TJUE, sugiriendo que «allanaba el camino para una aplicación más efectiva contra las plataformas digitales dominantes».
Por su parte, Meta aún tiene que ofrecer muchas respuestas. «Estamos evaluando la decisión de la corte y tendremos más que decir a su debido tiempo», dijo un vocero de la compañía.
Meta también señaló un precedente entrada en el blog, publicado después del aviso de violación de GDPR en enero y actualizado en marzo cuando se trasladó a LI, donde la compañía luego escribió: “Para cumplir, desde el miércoles 5 de abril, estamos modificando la base legal que usamos para procesar ciertos datos de primera parte. en Europa de la “necesidad contractual” a los “intereses legítimos”. El RGPD establece claramente que no existe jerarquía entre las bases legales, y ninguna debe considerarse más válida que otra.