Después de que la importante aplicación de la privacidad finalmente afectara el negocio de anuncios de seguimiento de Meta en Europa a principios de este año, el gigante tecnológico ha confirmado cambiará la base legal que reclama para la microfocalización de usuarios en la región.
Todavía no va a pedir a las personas su consentimiento por adelantado para su publicidad conductual basada en datos. Pero tendrá que ofrecer a los usuarios de la Unión Europea una opción de exclusión si eligen ejercer su derecho a objetar, que es la primera vez.
En enero, Meta recibió una multa de alrededor de $ 410 millones después de que se descubrió que había violado el Reglamento General de Protección de Datos (GDPR) de la UE al carecer de una base legal válida para la publicidad conductual y violar los principios de transparencia y equidad del reglamento, y se le dieron tres meses para obtener su casa en orden.
Ahora, en una actualización de su anterior entrada en el blog sobre la aplicación, Meta escribe que, a partir del 5 de abril, reclamará una base de “intereses legítimos” (LI) para procesar la información de las personas de la UE para orientarlos con publicidad.
Los intereses legítimos son una de las seis bases legales posibles para procesar datos personales según el RGPD de la UE. Aunque al menos la mitad de las bases legales disponibles simplemente no son relevantes, dada la naturaleza del imperio comercial de Meta que no está en el negocio de ofrecer servicios de salvamento, basados en el interés público o legalmente requeridos.
El gigante tecnológico había estado reclamando otro de los seis para ejecutar publicidad conductual basada en el seguimiento y la elaboración de perfiles (necesidad contractual), pero los reguladores de la UE descubrieron que era ilegal.
Meta cuestiona ese hallazgo, y está apelando la aplicación, pero a principios del próximo mes se avecina un plazo de tres meses impuesto por el regulador para arreglar su cumplimiento de GDPR, por lo que necesita hacer algo para restablecer su reclamo de cumplimiento mientras tanto, es decir, mientras su ejército de los abogados intenta descubrir cómo empujar el agua cuesta arriba.
En la actualización de su blog sobre el próximo cambio, Meta escribió:
En diciembre, la Comisión de Protección de Datos de Irlanda descubrió que Facebook e Instagram deben cambiar su enfoque sobre la base legal bajo GDPR con el fin de publicar anuncios de comportamiento en Europa. Para cumplir, a partir del miércoles 5 de abril cambiaremos la base legal que usamos para procesar ciertos datos propios en Europa de “Necesidad contractual” a “Intereses legítimos”. GDPR establece claramente que no existe una jerarquía entre las bases legales, y ninguna debe considerarse más válida que otra.
Es importante tener en cuenta que este cambio legal no impide la publicidad personalizada en nuestra plataforma, ni afecta la forma en que los anunciantes, empresas o usuarios experimentan nuestros productos. Los anunciantes pueden seguir usando nuestras plataformas para llegar a clientes potenciales y hacer crecer su negocio. Los usuarios relevantes también serán notificados de este cambio, lo que les brindará opciones adicionales sobre cómo procesamos cierta información para publicar anuncios de comportamiento. Esta base legal es utilizada por plataformas similares, y nuestro Política de privacidad de la UE y Términos de servicio se actualizará para reflejar este cambio.
Creemos que nuestro enfoque anterior cumplía con el RGPD, y nuestra apelación sobre el contenido de las sentencias y las multas continúa. Sin embargo, este cambio garantiza que cumplamos con la decisión del DPC.
En respuesta a las preguntas sobre el cambio planificado a LI, el portavoz de Meta, Al Tolan, dijo a TechCrunch: “La nueva Política de privacidad de la UE se lanzará la próxima semana y reflejará el cambio en la Base legal. También puedo confirmar que hemos realizado una evaluación de intereses legítimos”.
Tolan se negó a proporcionar una copia de la política de privacidad actualizada o el informe de evaluación de LI cuando le solicitamos verlos, pero afirmó que “hemos cumplido con todas las pautas reglamentarias necesarias para confiar en LI”.
Muchos expertos en protección de datos de la UE, sin embargo, opinan que Meta no puede confiar en LI para el seguimiento y la creación de perfiles que sustentan su negocio de anuncios de comportamiento y, en última instancia, tendrá que pedir el consentimiento de los usuarios para cumplir con la privacidad de la UE. leyes (que incluyen la antigua Directiva de privacidad electrónica, así como el RGPD).
Un problema con Meta al tratar de confiar en LI para un negocio de anuncios conductuales de vigilancia masiva es que se supone que este fundamento legal debe usarse para el procesamiento que es estrictamente necesario (es decir, no se puede hacer de una manera menos intrusiva, como, por ejemplo, — hacer segmentación de anuncios contextuales, en lugar de microtargeting derivado de datos personales).
Los procesadores de datos también deben sopesar los derechos e intereses de las personas en una prueba de equilibrio (en este caso, la privacidad y el no ser rastreado). Y cualquier prueba de equilibrio de LI para el negocio de anuncios de vigilancia de Meta tendría que hacer una gimnasia seria para tratar de afirmar que la intrusión en la privacidad a gran escala de su microtargeting comercial supera el derecho fundamental a la privacidad de los ciudadanos de la UE.
Si bien la Directiva de privacidad electrónica no permite que se use LI para el seguimiento de anuncios; a menos que las cookies sean “estrictamente necesarias”, el estándar requerido es el consentimiento.
Por lo tanto, el ‘algo’ que Meta se ve obligado a hacer aquí no parece que vaya a solucionar el problema legal central que finalmente enfrenta en la UE ahora que la aplicación de la privacidad está comenzando a afectar.
Luego de los primeros informes del cambio planificado de Meta a LI, que fue informado por el WSJnoyb, el grupo de campaña de derechos de privacidad detrás de las quejas originales de GDPR de “consentimiento forzado” contra Facebook, Instagram y WhatsApp en mayo de 2018, advirtió que tomará medidas “inmanentes” en respuesta a lo que describió como un nuevo ” práctica ilegal” por parte del gigante tecnológico.
noyb no especifica exactamente qué tipo de acción tomará. Pero, en un comunicado, su fundador y presidente, Max Schrems, dijo: “Meta está cambiando una práctica ilegal por otra práctica ilegal. noyb tomará acciones legales inminentes para detener esta farsa, ya que está claro que el regulador irlandés de Meta volverá a estar inactivo. Este es un juego absurdo y lo detendremos lo más rápido posible. Como cualquier otra empresa, Meta necesita tener una opción clara de sí/no para los usuarios, donde deben decir activamente que sí si quieren renunciar a sus derechos fundamentales”.
“Mientras que algunos todavía argumentan que la publicidad anularía los derechos fundamentales de los usuarios, esta es una opinión minoritaria. No conocemos a nadie que argumente que la creación de perfiles y el seguimiento a la escala de Meta solo para obtener algunos clics en anuncios cumplirían esa prueba. Este sistema de uso del interés legítimo al menos permite optar por no participar, lo que lo convierte en una ligera mejora para los usuarios”, agregó Schrems.
Una consideración clave aquí es el tiempo entre las primeras quejas de GDPR presentadas sobre los anuncios espeluznantes de Facebook y las decisiones finales de su principal autoridad de protección de datos de la UE, la Comisión de Protección de Datos de Irlanda (DPC), que tomó más de cuatro años, período durante el cual Facebook/ Meta tuvo que continuar con el lucrativo (pero ilegal) negocio de rastrear, perfilar y monetizar los globos oculares de los europeos, acumulando muchas más ganancias de las que se le pide que entregue en forma de multas.
Esto significa que, si abandona la moralidad y la ética, las matemáticas simples favorecen la infracción de la ley. Y, siguiendo esa lógica mercantil, la ‘estrategia de cumplimiento’ de Meta, si podemos llamarla así, parece depender de saltar de un reclamo dudoso de cumplimiento al siguiente para comprarse otros años para poder seguir ganando dinero explotando los derechos de las personas. privacidad, mientras que los organismos reguladores de la UE tratan de mantenerse al día y/o se pelean entre ellos.
Ese ha sido el juego habitual de ‘golpear un topo’ regulatorio hasta la fecha. Sin embargo, hay razones para creer que este enfoque se está quedando sin camino.
En primer lugar, Meta enfrenta otras quejas y cumplimientos de GDPR, como una decisión importante sobre la suspensión de sus flujos de datos entre la UE y los EE. UU. Y a medida que más de estas decisiones aterrizan y crean un precedente, posiblemente se reduzca el margen de maniobra para encontrar rutas para eludir los requisitos de privacidad. Las reglas se están poniendo cada vez más arraigadas.
En segundo lugar, TikTok intentó recientemente cambiar de consentimiento a LI, y varios reguladores de la UE se lanzaron casi de inmediato, advirtiendo que el paso no cumpliría, lo que rápidamente lo llevó a abandonar el plan.
Entonces, mientras Meta busca pasar de un reclamo (falso) de necesidad contractual a un reclamo (dudoso, en el mejor de los casos) de LI, ante el cual aparentemente también se basó en un falso reclamo de consentimiento, ya que en realidad no estaba brindando a los usuarios un libre elección sobre su seguimiento que el RGPD requiere para que el consentimiento sea una base válida: es difícil ver cómo puede hacer algo Los reguladores de la UE literalmente criticaron a TikTok, otra red social impulsada por publicidad, cuando intentó hacer eso.
Y en el frente de GDPR, si el DPC irlandés opta por mirar hacia otro lado en este cambio de cumplimiento a pesar de su compromiso anterior con TikTok por un movimiento similar, corre el riesgo de parecer que está favoreciendo injustamente a Meta contra los rivales que supervisa, lo que podría invitar a un nuevo host. de problemas legales para un regulador que ya carga con muchos de ellos.
(Nos comunicamos con el DPC con preguntas sobre el cambio planificado de Meta a LI, pero el comisionado adjunto, Graham Doyle, nos dijo que no está comentando públicamente en este momento, diciendo que Meta tiene hasta la próxima semana para enviar su informe de cumplimiento de acuerdo con la decisión que emitió en Enero.)
En tercer lugar, a diferencia del RGPD, la Directiva de privacidad electrónica no tiene un mecanismo de aplicación centralizado, lo que significa que los reguladores de toda la UE están facultados para intervenir en sus propios mercados si sospechan infracciones. (El verano pasado, por ejemplo, la DPA italiana advirtió a TikTok contra el uso de LI, citando la Directiva de privacidad electrónica; una intervención que pareció efectiva para cortar el plan de TikTok de raíz).
Entonces, si Meta hace este movimiento, no requerirá una (larga) espera para ver si el DPC irlandés va a hacer algo al respecto: los DPA en los Estados miembros de la UE como Italia y Francia pueden actuar tan rápido como quieran, bajo ePrivacy, que les otorga facultades para imponer multas disuasorias por las infracciones que identifiquen. (Y Francia ha estado ocupada en ese frente en lo que respecta a las infracciones de cookies, incluidas las multas recientes por patrones oscuros de Facebook).
Si bien queda por ver si Meta se comprará más años, en plural, para evitar dar a los usuarios de la UE una opinión directa sobre si puede violar sus derechos de privacidad o no, el cambio a LI viene con un requisito inmediato: será tienen que ofrecer a los usuarios de la UE una forma de objetar el procesamiento. Entonces, esto significa que finalmente habrá una ruta para que los usuarios de la UE opten por no participar en su seguimiento y creación de perfiles, lo cual es una gran victoria, en sí mismo. Si aún no es el paquete completo por el que han estado luchando los defensores de la privacidad.
En su publicación de blog, Meta alude solo vagamente a esta opción de exclusión, escribiendo: “Los usuarios relevantes también serán notificados de este cambio, lo que les brindará opciones adicionales sobre cómo procesamos cierta información para publicar anuncios de comportamiento”.
Según el WSJ, que cita a personas familiarizadas con la planificación de Meta, el gigante tecnológico ofrecerá a los usuarios del bloque la opción de no recibir “ciertos anuncios altamente personalizados”, permitiéndoles elegir una versión de sus servicios que los dirija con anuncios basados en lo que el los informes llaman “categorías amplias, como su rango de edad y ubicación general”, por lo que, presumiblemente, alguna forma de orientación contextual, sin utilizar datos de seguimiento como los videos que ven o el contenido en el que hacen clic dentro de sus aplicaciones.
Meta solo ofrecerá la exclusión voluntaria de los anuncios conductuales a los usuarios de la UE, por lo que a los usuarios de EE. UU. no se les seguirá ofreciendo ninguna opción, según el periódico.
El WSJ informa que los usuarios que deseen optar por no participar en la publicidad conductual basada en perfiles y seguimiento de Meta deberán enviar un formulario en el que se opongan al uso de su actividad en la aplicación para anuncios, que especifica que la empresa evaluará antes de la implementación.
Si es correcto, ese detalle también parece interesante, ya que, según el RGPD, el derecho a oponerse al marketing directo es absoluto y, como el Notas de orientación de la OIC, “debe dejar de procesar cuando alguien objeta”, por lo que no está claro qué evaluaría exactamente. (Nota: Meta también se enfrenta a una demanda colectiva en el Reino Unido por este mismo punto).
Dado que el gigante de la tecnología se verá obligado por fin, pateando y gritando, a dar a los usuarios de la UE una opción básica de exclusión de su seguimiento, será interesante ver cuántos usuarios siguen adelante y exigen que les devuelvan su privacidad.
Cuando a las personas se les ofrece privacidad, la mayoría generalmente la aprovecha, como, por ejemplo, los usuarios de iOS que niegan el seguimiento de terceros una vez que Apple hizo obligatorio que las aplicaciones en su plataforma pidieran permiso a las personas para rastrearlas. Aunque mucho puede depender de cómo Meta presente la opción de exclusión, dada su inclinación por el diseño de patrones oscuros.
Aún así, se acerca la opción de negar el abuso de la privacidad. Y para un gigante de la vigilancia como Meta, no parece haber vuelta atrás desde este tipo de punto de inflexión, salvo una reforma total del modelo de negocio.
Source link