La mayoría de las grandes tecnológicas no son muy buenas con la privacidad, y Meta podría ser la peor. "Ver lo que hace Meta y hacer exactamente lo contrario" podría ser la regla de oro de la protección de datos.
Por ejemplo, un litigio en curso en California puso de manifiesto que Meta apenas sabe cómo maneja los datos (el ICCL, que puso el asunto en conocimiento de la Comisión Europea, lo resumió bastante bien). Y el supervisor irlandés multó recientemente a Meta con 390 millones de euros por procesar ilegalmente datos personales de millones de usuarios en toda Europa.
En marzo vimos otra sentencia contra Meta, esta vez del Tribunal de Distrito de Ámsterdam. Se trata de una decisión importante e interesante en varios sentidos. Le daremos rápidamente algunos antecedentes sobre las decisiones de los CPD, ya que ayudan a contextualizar la sentencia. Después entraremos en materia.
Algunos antecedentes
No ha pasado mucho tiempo desde que el CPD irlandés multó a Meta con 390M por elaborar perfiles de sus usuarios sin una base legal bajo el GDPR. La multa total fue el resultado de tres casos distintos que involucraban a Facebook, Instagram y Meta.
Nuestro blog profundiza en las decisiones, así que esta es la versión resumida. Todos los casos tuvieron idas y venidas entre la DPC (la autoridad de control irlandesa) y la EDPB (abreviatura de European Data Protection Board, la institución de la UE donde se sientan todas las autoridades europeas de privacidad). En un principio, la DPC no estaba muy dispuesta a multar a Meta, pero la Junta anuló esencialmente sus decisiones iniciales, lo que dio lugar a las multas.
Las decisiones sentaron un importante precedente para otras empresas y pusieron de manifiesto un profundo desacuerdo entre el CPD y sus homólogos europeos.
El caso
El 15 de marzo, la Data Privacy Foundation ganó una demanda colectiva contra Meta en el Tribunal de Distrito de Ámsterdam. El Tribunal consideró que Meta procesaba ilegalmente los datos personales de los usuarios de Facebook con fines publicitarios, incluidos datos sensibles. Esta decisión se produce poco después de que el organismo irlandés de control de la privacidad (DPC) impusiera a Meta una multa de 390 millones de euros por tratamiento ilegal de datos personales.
La sentencia es de carácter declarativo, por lo que los daños y perjuicios se reclamarán en un procedimiento distinto. La demanda colectiva afecta a 190.000 personas, por lo que Meta se juega mucho dinero.
La sentencia afecta a varias reclamaciones1, por lo que nos centraremos en las más importantes: el tratamiento de datos personales con fines publicitarios, el tratamiento de datos sensibles y la infracción de la legislación en materia de consumo.
El tratamiento ilícito de datos personales
En el caso holandés, la Fundación para la Privacidad de los Datos alegó que Meta carecía de base legal para ofrecer a los usuarios de Facebook publicidad dirigida. Pero, ¿qué significa esto exactamente?
La publicidad dirigida se basa en la elaboración de perfiles. Es decir, alguien (en este caso, la red social Facebook) recopila numerosos datos sobre cada usuario basándose en cómo se comporta en la plataforma y en los datos que él mismo sube. Estos datos se utilizan para construir un perfil de cada usuario y averiguar con qué anuncios es más probable que interactúe.
La elaboración de perfiles requiere el tratamiento de datos personales; de lo contrario, una plataforma no puede saber cuáles son los intereses de un usuario. Con arreglo al RGPD, los datos personales solo pueden tratarse sobre la base de un fundamento jurídico. Se puede pensar en una base jurídica como una "justificación legal" para procesar los datos de alguien, como el consentimiento o una obligación legal(este blog profundiza en el tema, por si te interesa).
En este caso, la base jurídica de Meta para elaborar perfiles de sus usuarios era el cumplimiento de un contrato2. En otras palabras, Meta alegó que la publicidad selectiva era necesaria para ofrecer su plataforma de Facebook a los usuarios y que esta necesidad justificaba la elaboración de perfiles de los usuarios (como explicamos en nuestro blog).
El Tribunal dictaminó lo contrario. Basándose en orientaciones anteriores del EDPB (así como del WP29, predecesor del Consejo en la era anterior al GDPR), el Tribunal respaldó una interpretación estricta de "necesidad". Sostuvo que la elaboración de perfiles de los usuarios no es necesaria para ofrecer una red social.
Se trata de la misma cuestión jurídica examinada por la EDPB en relación con tres servicios Meta diferentes, incluido Facebook, y la Junta llegó exactamente a la misma conclusión. Además, la conclusión era bastante obvia desde el principio, ya que la propia EDPB lleva tiempo aclarando que la ejecución de un contrato no justifica la elaboración de perfiles en las plataformas de redes sociales3.
Así pues, el Tribunal de Distrito de Ámsterdam no dice nada nuevo. Aun así, la decisión neerlandesa es importante, ya que demuestra que el precedente sentado por la OEPD podría servir de orientación no sólo para las autoridades de protección de datos, sino también para los tribunales.
Tratamiento de datos sensibles
La Data Privacy Foundation también alegó que se habían tratado datos sensibles sin una exención legal, lo que constituye una grave infracción del RGPD.
La decisión de la JEPD no se refería al tratamiento de datos sensibles. El asunto formaba parte de las denuncias de la Noyb que lo iniciaron todo, pero el CPD no lo investigó. Huelga decir que ni el EDBP4 ni noyb están muy contentos con ello.
Pero volvamos al tema. Los datos sensibles son categorías muy delicadas de datos personales, como la orientación sexual, los datos sanitarios, las creencias religiosas y políticas, etcétera. El RGPD protege estos datos estableciendo requisitos adicionales para su tratamiento. Estos requisitos se denominan exenciones y desempeñan una función similar a la de las bases jurídicas: son esencialmente una "justificación" para el tratamiento de datos sensibles, del mismo modo que las bases jurídicas son una "justificación" para el tratamiento de datos personales.
A estas alturas es un secreto a voces que Facebook procesa datos sensibles. Por si no quedó claro con el escándalo Facebook-Cambridge Analytica, la publicidad en la plataforma lo hace suficientemente obvio. Las personas que sufren problemas de espalda tienen más probabilidades de ver anuncios de fisioterapia, los seguidores de una religión tienen más probabilidades de ver contenidos afines a sus creencias, etc. Facebook utiliza la información suministrada por el usuario para "marcarlo" como alguien con determinadas características, incluidas algunas bastante sensibles y reveladoras (y estrictamente protegidas por el GDPR). Esto permite a Meta crear un perfil del usuario y adaptar los anuncios que ofrece en sus plataformas.
Y lo que es peor. La elaboración de perfiles basados en datos sensibles puede ocurrir incluso cuando el usuario no revela ninguna información sensible a la red social. Por ejemplo, los usuarios con muchos amigos homosexuales en Facebook pueden ser etiquetados por los algoritmos de Facebook como probablemente homosexuales, y los anuncios y contenidos que vean se adaptarán en función de esa suposición.
En pocas palabras, la monetización de datos sensibles por parte de Facebook es invasiva y espeluznante.
Y, según el Tribunal de Distrito de Ámsterdam, también es ilegal. Meta perdió su caso bastante mal en los datos sensibles. En primer lugar, el Tribunal desestimó los argumentos poco sinceros de Meta de que no procesa datos sensibles. A continuación, examinó el artículo que enumera las normas para el tratamiento de datos sensibles (artículo 9, apartado 2, del RGPD) y, como era de esperar, concluyó que Meta había tratado los datos ilegalmente.
El Tribunal profundizó en las normas para el tratamiento de datos sensibles, lo cual es interesante en sí mismo. Los requisitos legales para tratar legalmente datos personales comunes y datos sensibles son acumulativos: si no puedo tratar tus datos personales, tampoco puedo tratar tus datos sensibles. El Tribunal ya había establecido que los datos personales se trataron ilegalmente, lo que significa que los datos sensibles también se trataron ilegalmente.
Los jueces son personas ocupadas y suelen resolver los casos dando el mínimo número de pasos lógicos necesarios para justificar el resultado. Así pues, ¿por qué el Tribunal de Justicia se tomó la molestia de tratar el artículo 9, apartado 2, en detalle? 9(2) en detalle?
No podemos saberlo con seguridad, pero podemos hacer una conjetura. Tal vez el Tribunal quería blindar su decisión sobre los datos sensibles en caso de que sus conclusiones sobre la cuestión de las bases jurídicas fueran revocadas en apelación. Tal vez quería dejar clara una cuestión que seguiría siendo válida incluso si Meta cambiara posteriormente su base jurídica para el tratamiento de datos debido a las multas del CPD(lo que ocurrió dos semanas más tarde). Otra posibilidad es que el Tribunal simplemente pretendiera arrojar algo de luz sobre el tratamiento de datos sensibles por parte de Meta, ya que el CPD ignoró la cuestión en su investigación.
En cualquier caso, nos alegramos de que el Tribunal haya dictado una sentencia exhaustiva que desacredita por completo las defensas de Meta. El tratamiento de datos sensibles en las redes sociales es un problema de privacidad urgente. Esperemos que la sentencia sirva para concienciar sobre lo agresiva e invasiva que puede llegar a ser la monetización de esos datos.
Facebook no es gratis
Meta anuncia Facebook como un servicio gratuito. No lo es porque el usuario paga efectivamente con sus datos personales.
La Fundación alegó que presentar Facebook como un servicio gratuito es una práctica engañosa. El Tribunal estuvo de acuerdo y consideró que se trataba de una práctica comercial desleal y una violación de la Directiva sobre prácticas comerciales desleales de la UE, así como de su aplicación en la legislación neerlandesa.
Esto no es sorprendente en absoluto. Como todos sabemos, no hay comida gratis. Si la comida parece gratis, entonces tú eres la comida.
Pagar con datos es uno de los modelos de negocio dominantes en los servicios de la Web 2.0 y, sin embargo, innumerables empresas siguen anunciando sus servicios como gratuitos cuando su objetivo final es la monetización de la información personal. Es refrescante ver que un tribunal deja a un lado la hoja de parra del servicio gratuito y llama al modelo de negocio de Meta por su nombre.
Actualizaciones
El 5 de abril de 2023, como resultado de las decisiones de la EDPB y el DPC, que fallaron en contra de la confianza en la base jurídica del contrato, Meta cambió a la base jurídica del interés legítimo para proporcionar publicidad dirigida.
noyb -la ONG que presentó la denuncia que dio lugar a las decisiones- no está muy satisfecha con la utilización del interés legítimo por parte de Meta y tiene la intención de volver a enfrentarse a la empresa. En nuestra opinión, noyb tiene buenas razones para criticar la actuación de Meta, pero eso es harina de otro costal y una historia para otro día.
Conclusiones
Cabe destacar, una vez más, que la demanda colectiva afectaba a casi doscientas mil personas. Los vigilantes de la privacidad y los juristas no son los únicos que se preocupan por la privacidad digital y por cómo la respetan (o no) las grandes tecnológicas.
Más bien, el público está cada vez más preocupado por la privacidad digital. La gente se da cuenta de que muchos servicios en línea son esencialmente máquinas devoradoras de datos, y que para muchas empresas la privacidad es una ocurrencia tardía, cuando no una auténtica farsa.
¿Tiene que ser así Internet? Nosotros pensamos que no. Por eso hemos creado Simple Analytics, para que organizaciones de todos los tamaños puedan recopilar información útil respetando la privacidad al 100%. Simple Analytics se basa en la privacidad desde su propio diseño. No rastreamos a sus usuarios ni recopilamos sus datos personales. Si le parece bien, ¡pruébenos!
#1 La decisión también se refiere al intercambio de datos con terceros y al uso de cookies. El Tribunal no estimó las demandas sobre cookies. Puedes consultar el resumen en gdprhub para una descripción más completa del caso y la sentencia [^2]: Meta/Facebook utilizó diferentes fundamentos jurídicos antes de la entrada en vigor del GDPR. Discutirlos todos llevaría una eternidad, pero al final, el Tribunal los consideró inválidos en el caso que nos ocupa [^3]: Directrices 8/2020 de la Dirección de Protección de Datos sobre la selección de usuarios de redes sociales [^4]: La Junta ordenó al CPD que investigara el uso de información sensible por parte de Facebook. El CPD, sin embargo, cree que la Junta no tiene autoridad para ordenarle que lleve a cabo una investigación, y tiene intención de impugnar la orden ante el Tribunal de Justicia de la UE.