El 17 de abril, la privacidad se anotó una importante victoria: el Consejo Europeo de Protección de Datos (es decir, la organización que reúne a los organismos de control de la privacidad de la UE) aclaró que los datos personales no son una mercancía y adoptó una postura clara en contra del enfoque de "pagar o aceptar" de Meta para el cumplimiento del GDPR. Se trata de un paso adelante en la legislación sobre privacidad de la UE y de un gran paso para la industria tecnológica.
Antes de descorchar el champán, tenga en cuenta que la historia aún no ha terminado. Meta llevará sin duda la batalla legal ante el Tribunal de Justicia de la Unión Europea , que tendrá la última palabra. Dicho esto, el hecho de que el EDPB se ponga del lado de los críticos de Meta es una muy buena señal.
Aquí tienes todo lo que necesitas saber sobre el dictamen de la EDPB y por qué es importante. Entremos en materia.
Antecedentes
De qué no se trata
Antes de explicar de qué va esta batalla legal, disipemos una posible idea equivocada: Meta no está siendo atacada por poner precio a sus plataformas.
Meta es una entidad con ánimo de lucro y tiene derecho a poner el precio que considere oportuno a sus servicios, incluso a exigir suscripciones a plataformas que antes eran "gratuitas". Nadie cuestiona este derecho, así que ¿cuál es el problema?
Bueno, Meta está utilizando las suscripciones como argumento para demostrar que su modelo de negocio en su conjunto -y especialmente la recopilación y extracción de datos de usuarios gratuitos- es compatible con el GDPR. En otras palabras, el objetivo de las suscripciones de Meta es justificar el espionaje de los usuarios gratuitos. Esto es lo problemático según el GDPR, no las suscripciones en sí.
Aquí está la historia en detalle, y por qué es un gran problema para la ley de privacidad.
Meta frente al GDPR
Ya hemos hablado extensamente de la saga de pago por suscripción en otro blog, así que esta es la versión resumida.
Desde hace más de una década, Meta ha estado extrayendo agresivamente datos de los usuarios como pago por Facebook (y más tarde Instagram). Este sondeo intensivo permite a la empresa elaborar perfiles de los usuarios y ofrecer publicidad basada en el comportamiento, por la que cobra a los anunciantes. Este modelo de negocio es contrario al GDPR y los defensores de la privacidad llevan tiempo cuestionándolo, especialmente noyb, una ONG austriaca con una larga historia con Meta.
Así pues, la vigilancia comercial es la forma en que Meta obtiene la mayor parte de sus ingresos. Al cuestionar la conformidad de su publicidad dirigida, los defensores de la privacidad están cuestionando la legalidad del propio modelo de negocio de Meta con arreglo al GDPR. Esto tiene importantes implicaciones para toda la industria tecnológica, ya que muchas otras empresas se basan en un modelo de negocio de datos como pago.
Hasta ahora, Meta ha respondido a estos desafíos modificando algunos detalles de su política de privacidad, pagando multas de nueve cifras y continuando con su actividad habitual. Pero a medida que Meta va perdiendo los desafíos legales, sus opciones se reducen.
Las suscripciones de pago son el último acto de esta larga saga y el último intento desesperado de la empresa por salvar su modelo de negocio en el mercado de la UE.
De pago o no
En la actualidad, Meta presenta a los usuarios de la UE una opción: pueden dar su consentimiento a la publicidad basada en el comportamiento y utilizar sus plataformas sociales de forma gratuita, o deshacerse de la publicidad basada en el comportamiento y pagar 120 euros al año.
Por supuesto, Meta sabe que la inmensa mayoría de los usuarios no pagará. No se trata de recaudar céntimos de un puñado de suscriptores de pago, sino de justificar el espionaje de todos los demás. Las suscripciones son un truco que permite a los abogados de Meta afirmar que el consentimiento para la publicidad basada en el comportamiento cumple las estrictas normas de consentimiento del GDPR, en concreto, el requisito de que el consentimiento se dé libremente.
Este enfoque de "pagar o aceptar" es controvertido en el ámbito de la privacidad. Algunos lo ven como una poderosa herramienta de cumplimiento que podría justificar una extracción de datos muy invasiva en virtud del RGPD. Esperan que el enfoque de Meta sobreviva al escrutinio normativo para poder subirse al carro y convertir el pago por uso en la nueva norma de la economía digital.
Por otro lado, los críticos de Meta argumentan que los datos no son una mercancía porque la privacidad y la protección de datos son derechos humanos (y la Carta de los Derechos Fundamentales está de acuerdo). También señalan que no todo el mundo en Europa puede permitirse pagar 10 euros al mes para estar en contacto con sus amigos y familiares en Facebook, y mucho menos 10 euros al mes por aplicación, en caso de que el pago por uso se generalice en las plataformas sociales.
La EDPB tuvo que pronunciarse sobre la polémica del pago por uso y envió un mensaje muy claro.
¿Qué dijo la Junta?
El dictamen del EPBP es bastante complejo, pero en pocas palabras da la razón en gran medida a los críticos de Meta. Los datos no son una mercancía y poner precio a la privacidad no es forma de obtener un consentimiento válido con arreglo al RGPD.
El dictamen del EDPB no es vinculante, pero tiene mucho peso. Al fin y al cabo, los miembros del Consejo son reguladores nacionales con potestad para multar a Meta por incumplimiento del RGPD.
Pagar o aceptar no es suficiente
El EPBP examinó de cerca la estrategia de cumplimiento de Meta y no le gustó nada.
La Junta destaca que Facebook e Instagram se benefician de potentes efectos de bloqueo y de red: cuantos más contactos sociales se tienen en esas plataformas, más difícil es abandonarlas (como escribió un bloguero mejor, las redes sociales son ya una situación de rehenes). Al mismo tiempo, la posición dominante de Meta en el mercado de las redes sociales hace que los consumidores carezcan de alternativas.
Por eso, en última instancia, el EDPB da la razón a los críticos de Meta y se niega a reconocer el consentimiento recogido por Meta como válido y libremente otorgado. En resumidas cuentas, Meta no tiene derecho a elaborar perfiles de los usuarios basándose en su comportamiento.
(Por cierto, el dominio del mercado es la razón por la que la objeción común de que "las plataformas no son libres de proporcionar" no funciona para Meta. En un mercado competitivo, la mayoría de los usuarios eliminarían su cuenta de Facebook o Instagram y trasladarían sus datos a un competidor respetuoso con la privacidad. En el mundo real, los gigantes tecnológicos compran competidores potenciales, dejando a los usuarios elegir su veneno entre Meta, X y ByteDance).
Hay alternativas
A Meta y a otras empresas de tecnología publicitaria les gusta presentar la publicidad basada en el comportamiento como una cuestión de blanco o negro: o nos permiten investigar a fondo la vida digital de los usuarios de Internet, o nos arruinamos y muere la economía digital (véase la carta de la IAB al Consejo).
Pero el asunto no es blanco o negro. El EDPB se cuidó de aclarar que las plataformas pueden ofrecer publicidad sin consentimiento. Esto tampoco significa necesariamente publicidad contextual: por ejemplo, Meta podría simplemente preguntar a los usuarios sobre sus intereses y utilizar sus respuestas para orientar los anuncios. En opinión de la Junta, esta forma menos invasiva de publicidad podría llevarse a cabo sin el consentimiento del usuario sin dejar de cumplir con el GDPR.
Por supuesto, este término medio razonable sería mucho menos rentable que el sondeo invasivo de Meta, y la empresa seguirá luchando con uñas y dientes contra la privacidad en lugar de reducir la vigilancia.
El EDPB también señala que ofrecer a los usuarios una tercera opción gratuita con publicidad menos intrusiva podría ayudar a Meta a justificar su modelo de negocio bajo el GDPR. Pero no esperamos que Meta siga este consejo a corto plazo: la empresa sabe que a los usuarios no les gusta la vigilancia y suelen decir "no, gracias" cuando se les presenta una opción justa y transparente como la que exige el EDPB.
(También me gustaría señalar otra forma obvia y 100% conforme con el GDPR para que Meta obtenga beneficios económicos de Facebook e Instagram: convertirlos en servicios de pago, y punto. Nadie exige una comida gratis, ni el GDPR, ni los reguladores, ni los defensores de la privacidad. Pero Meta nunca adoptará esta sencilla solución porque una etiqueta de precio le costaría a la empresa demasiados usuarios).
¿Qué pasa con las empresas más pequeñas?
El mensaje para las grandes tecnológicas es muy claro, pero ¿se aplica la misma lógica a los sitios web y servicios más pequeños?
Tal vez.
Sí, no es la respuesta más satisfactoria, pero es la que tenemos.
El dictamen se refiere únicamente a las grandes plataformas, pero la Junta señala que algunos de sus razonamientos pueden aplicarse también a los pequeños actores, lo que resulta bastante confuso. En general, nos da la impresión de que la Junta no quiere pronunciarse sobre cómo se aplican las normas a los pequeños operadores, al menos por ahora.
¿Y ahora qué?
Vale la pena repetir que la historia aún no ha terminado y que es probable que el Tribunal de Justicia tenga la última palabra.
La denuncia de noyb ante las autoridades austriacas llegará probablemente hasta el Tribunal de Justicia, pero eso llevará un tiempo, sobre todo si intervienen las autoridades irlandesas. Mientras tanto, es poco probable que Meta cambie sus prácticas a menos que empiecen a llover las multas.
Si el Tribunal da la razón a EDPB, la sentencia marcará un punto de inflexión en la legislación sobre privacidad. Meta se verá obligada a replantearse su modelo de negocio y probablemente tendrá que hacer frente a multas gigantescas. Otros peces gordos también tendrán que reevaluar su modelo de negocio, ya que los defensores de la privacidad no dudarán en esgrimir el precedente de Meta contra ellos. En resumidas cuentas, estaremos un paso más cerca de la tan esperada muerte de la publicidad basada en el comportamiento.
Por otro lado, si el Tribunal se pone del lado de Meta y sanciona su interpretación interesada de la ley, entonces es probable que el pago por uso se convierta en la norma del sector, el GDPR se verá sustancialmente desvirtuado en contra de las grandes tecnológicas, y todos tendremos pocas o ninguna expectativa de privacidad en las plataformas que controlan nuestras vidas digitales.
Conclusiones
Esta vez no se trata solo de Meta contra los sospechosos habituales (noyb) . Los defensores de los consumidores de la Oficina Europea de Consumidores (BEUC) también están desafiando las suscripciones de Meta e incluso la Comisión Europea -como máximo regulador antimonopolio de la UE- está estudiando la conformidad de pay-or-ok con la Ley de Mercados Digitales.
Nos complace ver cómo los actores cuestionan el espectáculo de marionetas de Meta desde distintos ángulos. Y nos alegra aún más ver que la EDBP adopta una postura firme.
Es imposible exagerar la importancia de la saga pay-or-ok. Cuando la denuncia de noyb contra Meta (previsiblemente) llegue al Tribunal de Justicia, éste tendrá que tomar una decisión: ¿debe el RGPD adaptarse a la economía de la vigilancia o debe ser al revés?
No tenemos una bola de cristal, pero el dictamen del EDPB es una buena razón para ser optimistas.
Construimos Simple Analytics porque creemos en una web respetuosa con la privacidad. Ayudamos a nuestros clientes a entender su tráfico y a ampliar su audiencia sin recoger ni un solo dato personal. Nuestra herramienta de análisis web es fácil de aprender, personalizable y viene con un asistente de IA de la mano. Si esto le parece bien, ¡no dude en probarnos!