Anoten en su calendario amigos europeos: el 4 de julio pronto podría celebrarse como el día de la independencia del capitalismo-de-vigilancia-de-Meta… Una sentencia largamente esperada dictada hoy por el Tribunal de Justicia de la Unión Europea (TJUE) parece haber aplastado por completo la capacidad del gigante de las redes sociales para seguir burlando la ley de privacidad de la UE al negar a los usuarios la libre elección sobre su seguimiento y creación de perfiles.
El fallo se remonta a una orden pionera del organismo de control antimonopolio de Alemania, la Oficina Federal de Cárteles (FCO), que pasó años investigando el negocio de Facebook, argumentando que el daño a la privacidad también debe tratarse como un abuso de competencia explotadora.
En su orden de febrero de 2019, el FCO le dijo a Facebook (como todavía lo era Meta en ese entonces) que dejara de combinar datos de usuarios en su propio conjunto de plataformas sociales sin su consentimiento. Meta intentó bloquear la orden en los tribunales alemanes, lo que finalmente provocó la remisión del llamado “superperfil” de Meta al TJUE en marzo de 2021.
Ahora tenemos la opinión de la corte superior y, bueno, no va a provocar ninguna celebración en Meta HQ, eso es seguro.
El TJUE no solo ha acordado que las autoridades de competencia pueden tener en cuenta la protección de datos en sus evaluaciones antimonopolio (lo que suena raro pero realmente es vital porque el trabajo conjunto en lugar de los silos regulatorios es el camino hacia la supervisión efectiva del poder de la plataforma), sino que ha señalado que el consentimiento es el única base legal apropiada para el contenido ‘personalizado’ y la publicidad conductual basados en el seguimiento y la creación de perfiles que Meta monetiza.
Aquí está la parte relevante del comunicado de prensa:
En lo que respecta de manera más general a la operación de procesamiento llevada a cabo por Meta Platforms Ireland, incluido el procesamiento de datos “no sensibles”, el Tribunal examina a continuación si esto está cubierto por las justificaciones, establecidas en el RGPD, que permiten el procesamiento de datos realizado en ausencia del consentimiento del titular de los datos para ser legalizados. En ese contexto, considera que la necesidad de la ejecución del contrato en el que el interesado es parte puede justificar la práctica en cuestión únicamente a condición de que el tratamiento de datos sea objetivamente indispensable de modo que no pueda lograrse el objeto principal del contrato si no se produce el tratamiento en cuestión. Sujeto a la verificación por parte del tribunal nacional, el Tribunal de Justicia expresa dudas sobre si el contenido personalizado o el uso constante y fluido de los propios servicios del grupo Meta son capaces de cumplir con esos criterios.
El consentimiento bajo la ley de protección de datos de la UE significa que a los usuarios se les debe ofrecer la opción de negar este tipo de seguimiento sin tener que renunciar al acceso al servicio principal. Y esta es exactamente la elección que Meta ha negado históricamente a sus usuarios. (Aunque, ¡sorpresa, sorpresa!, solo unas pocas semanas antes de la sentencia del TJUE, sin duda anticipándose a lo que se avecinaba, anunció nuevos controles para permitir a los usuarios limitar su seguimiento entre sitios, aunque con cierta reducción en la funcionalidad si niegan el seguimiento, por lo que queda por ver si el intento de Meta de adelantarse a la decisión ha ido lo suficientemente lejos).
El año pasado, un asesor del TJUE tuvo una opinión similar sobre el fondo de la remisión de superperfiles de Meta. Pero si bien la opinión del abogado general ante el Tribunal no era legalmente vinculante, el fallo de hoy es ley dura de buena fe. Y eso significa que ni Meta ni las autoridades de protección de datos de la UE pueden ignorarlo.
Esto último es importante porque la renuencia de ciertas DPA a hacer cumplir enérgicamente el Reglamento General de Protección de Datos (GDPR) del bloque sobre los gigantes tecnológicos que se burlan de las reglas que se supone que deben supervisar ha provocado gritos de que la regulación ha fallado, o al menos ha sido bloqueada irremediablemente por Centro comercial.
No hay duda de que la aplicación de GDPR en Big Tech ha sido un proceso muy laborioso. Una decisión importante de la DPA de Irlanda en enero finalmente falló en contra de la afirmación de Meta de basarse en la necesidad contractual para ejecutar su publicidad conductual. Pero pasaron más de cuatro años desde que se presentó la denuncia original para llegar a esa orden (que Meta ahora también está apelando, por lo que el proceso tampoco está aún concluido).
Luego, en marzo, en respuesta a un plazo de cumplimiento en la orden de la Comisión de Protección de Datos de Irlanda (DPC), Meta anunció que cambiaría la base legal que reclama para el procesamiento de datos para anuncios a otra base no basada en el consentimiento, conocida como interés legítimo.
Entonces, después de años de quejas por abuso de la privacidad, investigación regulatoria y (eventual) cumplimiento, Meta aún optó por no ofrecer a los usuarios una opción clara de sí/no sobre su seguimiento, presumiblemente anticipando poder derivar el proceso de supervisión de su reclamo LI (y evitar tener para reformar su modelo de negocio hostil a la privacidad) durante otros cuatro años más o menos.
Sin embargo, el TJUE parece haber echado una llave inglesa en esa última táctica de evasión del RGPD, ya que las APD de la UE no pueden ignorar la dirección del Tribunal. Por lo tanto, Irlanda no debería quedarse de brazos cruzados y dejar que Meta lo haga alegando una base legal de interés legítimo que el TJUE ha señalado que es inapropiada en este contexto. Y, bueno, cuando los usuarios tienen el poder de negar el capitalismo de vigilancia, lo hacen en masa. (Véase, por ejemplo: El impacto de la transparencia de seguimiento de aplicaciones de Apple en el negocio de anuncios de Meta.)
La claridad del TJUE sobre cómo se debe aplicar el RGPD en modelos comerciales financiados con publicidad como el de Meta puede finalmente cerrar este capítulo sobre el capitalismo de vigilancia.
En su comunicado de prensa sobre la sentencia, la Corte escribe (con énfasis): “[T]La publicidad personalizada con la que la red social en línea Facebook financia su actividad no puede justificar, como un interés legítimo perseguido por Meta Platforms Ireland, el procesamiento de los datos en cuestión, en ausencia del consentimiento del interesado”.
Nos comunicamos con el DPC irlandés para obtener una respuesta al fallo del TJUE y actualizaremos este informe si recibimos uno.
El TJUE también ha optado por resaltar la necesidad de garantizar que la calidad del consentimiento sea válida, es decir, que la elección ofrecida sea realmente libre (no manipulada, como mediante el uso de patrones oscuros o penalizando de otro modo al usuario, como con un servicio por debajo de la media para negar el acceso a sus datos), dado el desequilibrio entre el poder de mercado de una red social dominante y sus usuarios, señalando en su comunicado de prensa que “esto es para que el operador lo pruebe”.
Además, el Tribunal ha confirmado que Meta no puede simplemente eludir el requisito legal de obtener el consentimiento explícito de los usuarios para procesar las llamadas categorías sensibles de datos personales (como creencias políticas, orientación sexual, origen racial o étnico, etc.), y el Tribunal concluyó el hecho de que los usuarios visiten o interactúen con los servicios de la web no significa que hayan hecho públicos de forma manifiesta sus datos sensibles (lo que suprimiría la obligación de obtener el consentimiento explícito).
Este elemento de la sentencia podría impulsar una nueva ola de litigios contra Meta por procesar datos confidenciales de los usuarios sin obtener su consentimiento explícito, ya que Facebook claramente procesa montones de esas cosas, siempre sin pedir permiso explícito.
Nuevamente del comunicado de prensa del TJUE:
Además, el Tribunal observa que la operación de procesamiento de datos llevada a cabo por Meta Platforms Ireland también parece afectar a categorías especiales de datos que pueden revelar, entre otras cosas, el origen racial o étnico, las opiniones políticas, las creencias religiosas o la orientación sexual, y cuyo procesamiento está en principio prohibido por el RGPD. Corresponderá al órgano jurisdiccional remitente determinar si algunos de los datos recabados pueden permitir efectivamente revelar tal información, con independencia de que dicha información se refiera a un usuario de esa red social oa cualquier otra persona física.
Max Schrems, el abogado y defensor de los derechos de privacidad que estuvo detrás de la denuncia original contra el “consentimiento forzado” de Meta, calificó el día de hoy como “el día del colapso del RGPD para Meta”, argumentando que el tribunal cerró la puerta a todas las “lagunas” que los abogados de la empresa tienen. buscado presionar en los últimos cinco años.
En una declaración más completa, noyb – Los derechos de privacidad de Schrem sin fines de lucro – dijo que el TJUE ha declarado “ilegal” el enfoque GDPR de Meta.
“noyb todavía tiene que estudiar los detalles de este juicio masivo. A partir de la lectura en vivo del holding, parece que a Meta/Facebook se le prohibió usar cualquier cosa que no sea el consentimiento para operaciones cruciales en las que se basa para obtener ganancias en Europa”, también escribió, y Schrems argumentó que Meta ahora tendrá que “buscar consentimiento y no puede usar su posición dominante para obligar a las personas a aceptar cosas que no quieren”.
“Esto también tendrá un impacto positivo en los litigios pendientes entre noyb y Meta en Irlanda”, agregó, refiriéndose a la decisión antes mencionada de Irlanda sobre la base legal de Meta para los anuncios.
BEUC, la organización europea de consumidores, también acogió con beneplácito el fallo del TJUE, sugiriendo que “allanaba el camino para una aplicación más efectiva contra las plataformas digitales dominantes”.
Mientras que en un comunicado el presidente de la FCO, Andreas Mundt, dijo que la sentencia “envía una fuerte señal para la aplicación de la ley de competencia en la economía digital, un campo donde los datos son decisivos para el poder de mercado”.
“Cuando las grandes empresas de Internet utilizan datos muy personales de los consumidores, este uso también puede considerarse abusivo según la ley de competencia. En su aplicación de la ley de competencia, las autoridades de competencia también deben tener en cuenta las normas de protección de datos. La sentencia tendrá efectos de gran alcance en los modelos de negocio utilizados en la economía de datos. Al hacer cumplir la ley de competencia, es importante que sigamos cooperando estrechamente con las autoridades de protección de datos”, añadió.
Por su parte, Meta no ha ofrecido mucha respuesta por el momento. “Estamos evaluando la decisión de la Corte y tendremos más que decir a su debido tiempo”, dijo un vocero de la compañía.
Meta también señaló una anterior entrada en el blog, publicado después del hallazgo de incumplimiento de GDPR en enero y actualizado en marzo cuando cambió a LI, donde la compañía escribió entonces: “Para cumplir, a partir del miércoles 5 de abril estamos cambiando la base legal que usamos para procesar ciertos datos de origen en Europa de ‘Necesidad contractual’ a ‘Intereses legítimos’. GDPR establece claramente que no existe una jerarquía entre las bases legales, y ninguna debe considerarse más válida que otra”.
El litigio en Alemania, donde Meta está impugnando la orden de la FCO de limitar la creación de perfiles de usuarios, que se detuvo en la remisión del TJUE, ahora podrá reanudarse. Queda por ver cuánto tiempo llevará ese caso a los tribunales alemanes. Pero el fallo del TJUE puede leerse como la escritura en la pared para el seguimiento sin consentimiento en la UE.
Este informe se actualizó para incluir la declaración del FCO
Source link