El grupo europeo de derechos digitales dice que el futuro de la privacidad en línea está al filo de la navaja

Una coalición de más de dos docenas de grupos de derechos digitales y democráticos, ONG y organizaciones sin fines de lucro, incluidos noyb y Wikimedia Europe, han escrito al organismo regulador de la protección de datos de la Unión Europea instándolo a rechazar una táctica que ha sido polémicamente aprovechada por Meta en su último intento de eludir las leyes de privacidad del bloque.

Si el Comité Europeo de Protección de Datos (EDPB) no logra actuar contra los llamados enfoques de “consentimiento o pago” para procesar los datos personales de los ciudadanos, se creará una laguna fatal en el régimen de protección de datos emblemático del bloque que podría destruir los derechos de privacidad de las personas y remodelar la web para peor, advierten las organizaciones. (Consulte la base de esta publicación para obtener una lista completa de los firmantes de la carta).

El año pasado en el Meta UE pasó a afirmar que obtendría el consentimiento de los usuarios regionales para rastrearlos y perfilarlos para administrar su negocio de anuncios de microtargeting, luego de impugnaciones exitosas, en virtud del Reglamento General de Protección de Datos (GDPR) del bloque, contra las bases legales que había reclamado anteriormente para el mismo propósito (primera ejecución de un contrato; entonces Interés legítimo). Pero la versión de consentimiento de Meta ofrece a los usuarios una La elección de Hobson — de pagar al menos 9,99 €/mes por una suscripción sin publicidad (por cada cuenta que tengan en Facebook e Instagram); o accediendo a su seguimiento.

No hay otras opciones disponibles, a pesar de que el RGPD estipula que para que el consentimiento sea una base legal válida para procesar la información de las personas debe otorgarse libremente. (Meta parece estar jugando con ‘gratis’ en un sentido monetario aquí; pero la ley en realidad requiere que los usuarios sentirse libre consentir o no consentimiento… que es básicamente lo opuesto al costoso escenario que el gigante adtech ha inventado y que pone un prima literal sobre privacidad.)

Las ONG denominan esta táctica “pagar o aceptar”. Y las preocupaciones que están planteando al CEPD han sido ventiladas por noyb durante varios años, incluso (más recientemente) en dos RGPD quejas presentado ante las autoridades de protección de datos (DPA) el año pasado que cuestionan el enfoque de Meta por considerarlo ilegal.

De hecho, el grupo de derechos de privacidad ha estado luchando contra el consentimiento o el pago (o el pago o la aprobación) durante años, presentando una serie de desafíos anteriores contra varios editores de noticias europeos que idearon la táctica de obtener el consentimiento de sus propios usuarios poniendo su periodismo detrás de una Muro de pago de cookies que exige que los lectores acepten el seguimiento o paguen por una suscripción. Y, en algunos casos, los editores de noticias han obtenido, si no la aprobación total de sus autoridades locales de protección de datos, sí el equivalente a un guiño y un asentimiento y se les ha permitido continuar. Por eso, han ido apareciendo más de estos muros de pago de cookies en sitios de noticias de toda la región.

Sin embargo, Meta no está en el negocio del periodismo. De hecho, normalmente niega ser un editor y dice que es sólo un intermediario (plataforma) que conecta a los usuarios. Sin embargo, ahora se está apropiando de la misma táctica que los editores. (Y, de hecho, puede que no sea el único gigante de la tecnología publicitaria que husmea la posibilidad de una victoria aplastante del seguimiento de la privacidad en este caso; véase, por ejemplo, La prueba internacional de TikTok de una suscripción sin publicidad el año pasado. )

La coalición de grupos democráticos y de derechos digitales (y a favor del acceso a la información) se está involucrando en esto ahora porque, a principios de este mes, un trío de DPA (las autoridades de Noruega, los Países Bajos y Hamburgo) escribieron al CEPD solicitando para opinar sobre la controvertida táctica. (Posiblemente como una estrategia para evitar que la DPA de Irlanda establezca el clima de facto aquí ya que, bajo la ventanilla única del GDPR, es la principal autoridad de supervisión de Meta y ha estado revisando su mecanismo de consentimiento desde el verano pasado, pero aún no se ha pronunciado sobre si no cumple con la ley.)

El papel de la Junta en este mosaico regulatorio es trabajar para armonizar (tanto como sea posible) la aplicación del GDPR por parte de las DPA, incluso mediante la producción de opiniones y orientación sobre cómo se debe interpretar la ley. Dada esa función de órgano rector, se puede argumentar que el CEPD debería haber sido bastante más proactivo a la hora de responder al aumento (y al aumento) del «pago o autorización». Pero, finalmente, su decisión ha sido forzada por la decisión de los tres miembros. solicite este mes para opinar sobre si «pagar o aceptar» está bien (o no).

En un blog sobre la solicitud a principios de este mes, el DPA noruego Advirtió que la cuestión es una “enorme bifurcación en el camino” para los derechos de privacidad en Europa. “¿Es la protección de datos un derecho fundamental para todos o es un lujo reservado a los ricos? La respuesta dará forma a Internet en los próximos años”, escribió Tobias Judin, director internacional de la autoridad.

Cuando se le preguntó sobre esto la semana pasada, una portavoz del CEPD dijo a TechCrunch: “Podemos confirmar que hemos recibido una solicitud de Art. 64 (2) Opinión sobre el tema de Consentimiento o Pago. Se trata de un dictamen sobre una cuestión de alcance general, de conformidad con los requisitos establecidos en el art. 64 RGPD.”

Añadió que la opinión “analizaría el concepto general de Consentimiento o Pago”; y “no investigará ninguna empresa específica”, pero se negó a proporcionar más información y señaló: “No podemos comentar sobre el progreso de los archivos en curso”.

El CEPD tiene ocho semanas para adoptar un dictamen, a partir del 25 de enero (cuando recibió la solicitud de las APD). Pero, como señala la autoridad noruega, este plazo puede ampliarse seis semanas más (“si es necesario”). Por lo tanto, a finales de marzo o principios de mayo, a más tardar, la Junta debería evaluar cómo se aplica la ley sobre el consentimiento en este contexto. Por lo tanto, hay una ventana relativamente corta antes de que caiga la orientación sobre un tema muy polémico que podría afectar significativamente a las empresas con modelos de negocios de vigilancia como el de Meta y a la Internet regional.

«Estamos muy preocupados por esta votación e instamos al CEPD a emitir una decisión sobre el tema que se ajuste al derecho fundamental a la protección de datos», escriben las ONG en su carta a la Junta. “Cuando se permite ‘pagar o aceptar’, los interesados normalmente pierden la ‘elección genuina o libre’ de aceptar o rechazar el procesamiento de sus datos personales, que fue una piedra angular de la reforma del RGPD y confirmada repetidamente por el TJUE, también en C -252/21 Oficina Federal de Cárteles [aka Germany’s Federal Cartel Office’s (FCO) case against Meta’s ‘exploitative abuse’ of users’ data].

“Con ‘pagar o aceptar’, cualquier sitio web, aplicación u otra empresa orientada al consumidor puede simplemente poner un precio a cualquier opción de ‘rechazar’, garantizando que la gran mayoría de los interesados deben aceptar el uso, el intercambio o la venta de información personal. datos – o pagar una tarifa que puede ser más de 100 veces más cara que los ingresos generados por el uso de datos personales”.

En la carta, las ONG también argumentan que ‘pagar o aceptar’ no ha logrado sostener los modelos de negocios de la industria de noticias en dificultades que lo implementó por primera vez, sugiriendo: «Las ganancias se quedan en las grandes redes publicitarias y las grandes plataformas tecnológicas que dependen en gran medida de una vigilancia». modelo de negocio”.

«Si se permite ‘pagar o aceptar’, no se limitará a páginas de noticias o redes sociales, sino que será empleado por cualquier sector industrial con capacidad de monetizar datos personales mediante el consentimiento», advierten. “El RGPD no prevé un trato diferente por sector industrial. En la práctica, esto socavaría exitosamente el GDPR, el alto estándar europeo de protección de datos y eliminaría todas las protecciones realistas contra el capitalismo de vigilancia”.

La carta también plantea acusaciones de que Meta ha estado presionando a las DPA individuales para que apoyen el pago o aprueben las votaciones que informarán la opinión de la Junta.

Se realizará una votación de los miembros de la Junta para determinar la posición adoptada en el dictamen, y cada Estado miembro de la UE obtendrá un voto a través de una DPA representativa en el organismo. El CEPD aspira a lograr un consenso en sus posiciones oficiales, pero sólo se necesita una mayoría simple. Y no está claro si la mayoría de las DPA miembros se oponen (o incluso apoyan) a «pagar o aprobar». Por eso es difícil predecir en qué dirección se desarrollará la votación, de ahí la preocupación de las ONG. (Hemos Anteriormente profundicé en algunas de las opiniones que las propias DPA han publicado sobre el consentimiento o el pago aquí..)

“Nosotros… instamos al CEPD y a todas las SA [supervisory authorities] oponernos firmemente a ‘pagar o aceptar’ para evitar la creación de una laguna sustancial en el RGPD”, escriben las organizaciones. “El dictamen del CEPD marcará el futuro de la protección de datos y de Internet en los próximos años. Es de suma importancia que la opinión realmente garantice a los interesados una ‘elección genuina y libre’ con respecto al procesamiento de sus datos personales”.

Si bien la orientación de la Junta será importante para determinar cómo se aplica el RGPD en esta área en los próximos meses, puede que no sea el mundo definitivo sobre los límites legales del consentimiento. Más bien, es probable que se le pida al máximo tribunal de la UE, el Tribunal de Justicia (TJUE), que intervenga para establecer límites definitivos a la cuestión.

El Tribunal ya arrojó el proverbial gato entre las palomas sobre el consentimiento o la remuneración después de que, el verano pasado, hiciera una mención pasajera en una remisión relacionada con el caso del FCO alemán antes mencionado que cuestionaba la recopilación de datos por parte de Meta que permitía la posibilidad, «si fuera necesario», de que se cobre una “tarifa apropiada” por el acceso a un servicio alternativo equivalente que carece de seguimiento y elaboración de perfiles.

«Necesario» y «apropiado» son advertencias importantes, pero Meta rápidamente aprovechó la línea para justificar su implementación de «consentimiento o pago». Mientras noyb descartó la mención como una mera dijo ciegamente — y continúa sugiriendo que una futura remisión pidiendo al TJUE que determine exactamente dónde (y cómo) se encuentra la línea de consentimiento será la última palabra aquí.

Sin embargo, cualquier remisión al tribunal superior del bloque probablemente tardará años en emitir un veredicto. Y la opinión de la Junta se mantendrá por sí sola mientras tanto, dando forma a los avances en un tema polémico e impactante, tanto para los usuarios de la web (que desean privacidad) como para los gigantes de la tecnología publicitaria (que desean los datos de las personas), en el futuro previsible. Entonces, nuevamente, es por eso que los observadores de derechos humanos están nerviosos.

Sin duda, hay mucho en juego: por los derechos de privacidad de los europeos; por la perspectiva de que el bloque demuestre que puede, finalmente, hacer cumplir sus propias leyes y defender los derechos fundamentales de los modelos comerciales de las grandes tecnologías hostiles a la privacidad; y para gigantes tecnológicos como Meta que intentan imponer sus negocios publicitarios de microtargeting de vigilancia masiva a usuarios poco dispuestos, haciendo de la única alternativa un lujo inalcanzable y formulando una «elección» en la que siempre ganan.

Como sugiere un portavoz de noyb, una opinión del CEPD “a favor de las grandes tecnologías” podría permitir que el controvertido modelo de ‘pagar o aceptar’ se extienda aún más y se consolide, cerrando la posibilidad de mejores modelos de negocio (pro-usuario y pro-información) tomando el lugar del complejo de seguimiento industrial de datos que se esconde detrás de gran parte de los medios antisociales y la toxicidad en línea de hoy.

La carta también advierte que la aprobación de la Junta para el consentimiento o el pago podría llevarlo a otras industrias, donde afectaría aún más la capacidad de los usuarios de la web para acceder libremente a la información sin que su actividad e intereses sean observados y registrados, y su atención cortada, etiquetada y vendida por ganancia comercial.

Si los últimos cinco años de aplicación del RGPD han demostrado algo es que tratar de corregir los errores en línea una vez que ya están presentes es una batalla casi imposible de ganar. Por lo tanto, todas las miradas estarán puestas en la medida del CEPD. La opinión que genere en las próximas semanas podría consolidar todos estos fracasos pasados y provocar que los corchos de champán exploten en la sede de Meta en Dublín. O, posiblemente, podría abrir un camino para salir de años de estancamiento en materia de derechos de privacidad.

Aquí está la lista completa de las ONG que firmaron la carta al CEPD: