El intento del gigante de la publicidad Meta de seguir rastreando y elaborando perfiles de los usuarios de Facebook e Instagram en Europa a pesar de las integrales leyes de protección de datos del bloque se enfrenta a un segundo desafío por parte del grupo de defensa de los derechos de privacidad. noche. Está respaldando una nueva queja, que se está presentando ante la autoridad austriaca de protección de datos, que alega que la compañía está violando la ley de la UE al formular una elección que hace que sea mucho más difícil para los usuarios retirar el consentimiento a sus anuncios de seguimiento que aceptarlo.
Si recuerda el año pasado, recordará un par de decisiones importantes sobre privacidad contra Meta (en Enero; y Julio) invalidó las bases legales que había reclamado anteriormente para procesar datos de europeos para la orientación de anuncios, después literalmente de años de quejas de los defensores de la privacidad.
Lo que luego siguió, el otoño pasado, fue una afirmación de Meta de que cambiaría a una base de consentimiento para el seguimiento. Sin embargo, la elección que presentó requiere que los usuarios que no quieran ser rastreados ni perfilados paguen suscripciones mensuales para acceder a versiones sin publicidad de sus productos. Los usuarios de Facebook e Instagram que deseen seguir obteniendo acceso gratuito a los servicios deben «consentir» su seguimiento, lo que, según Meta, es un consentimiento válido según el Reglamento General de Protección de Datos (GDPR) del bloque. Pero, por supuesto, Noyb y los denunciantes a quienes apoya no están de acuerdo.
Donde la denuncia anterior de noyb contra la versión de consentimiento de Meta, presentada ante la DPA de Austria pasado noviembrese centró en cuánto cobra Meta a los usuarios por no ser rastreados (un costo inicial de 9,99 €/mes en la web o 12,99 €/mes en el móvil por cuenta vinculada) que, según argumenta, es «muy desproporcionado» con respecto al valor de Meta. La empresa deriva por usuario, esta segunda queja aborda lo fácil (o más bien no fácil) que hace Meta para que los usuarios retiren su consentimiento al seguimiento según el acuerdo.
Retirar el consentimiento en el escenario que Meta ha ideado requiere que los usuarios se registren para obtener una suscripción mensual. Mientras que aceptar su seguimiento es muy sencillo: los usuarios sólo necesitan hacer clic en «Aceptar». La cuestión legal aquí es que el RGPD exige que el consentimiento sea tan fácil de retirar como de otorgarlo. Entonces, la queja de seguimiento de noyb apunta a la fricción inherente en el hecho de que Meta cobre dinero a los usuarios para proteger su privacidad.
«Una vez que los usuarios han dado su consentimiento para ser rastreados, no hay una manera fácil de retirarlo en una fecha posterior», escribe en un comunicado de prensa. “Esto es ilegal. A pesar de que el artículo 7 del RGPD establece claramente que «será tan fácil retirar como dar el consentimiento», la única opción para «retirar» el consentimiento (con un clic) es comprar una suscripción de 251,88 €. Además, el denunciante tuvo que navegar a través de varias ventanas y carteles para encontrar la página donde realmente podía revocar el consentimiento”.
En un comunicado, Massimiliano Gelmi, abogado de protección de datos de noyb, añadido: “La ley es clara, retirar el consentimiento debe ser tan fácil como darlo en primer lugar. Es dolorosamente obvio que pagar 251,88 euros al año para retirar el consentimiento no es tan fácil como hacer clic en el botón «Aceptar» para aceptar el seguimiento».
Las sanciones por infracciones confirmadas del RGPD pueden ascender hasta el 4% de la facturación anual mundial, pero Meta, que recaudó 116.610 millones de dólares en 2022 mediante el seguimiento y la elaboración de perfiles de sus miles de millones de usuarios para vender anuncios dirigidos, es más probable que esté preocupada por que los reguladores de la UE puedan terminar obligándolo a ofrecer a los usuarios una opción genuinamente libre para negar su seguimiento, lo que podría arruinar su negocio regional de anuncios de seguimiento. El año pasado La compañía sugirió que alrededor del 10% de sus ingresos publicitarios globales provienen de usuarios de la UE.
Un Preguntas frecuentes publicadas el mes pasado por la DPA de Austria, sobre el tema de las cookies y la protección de datos, analiza la polémica cuestión del “pagar o aceptar”, como a veces se denomina cobrar por el consentimiento. En él escribe la DPA [in German; English translations here are generated with AI] que pagar por el acceso a un sitio web”poder representan una alternativa al consentimiento” (énfasis en él), sin embargo, dice que esto siempre que se cumpla plenamente con el RGPD, incluido el consentimiento específico (es decir, no incluido); que la empresa no tenga una posición de monopolio o “cuasimonopolio” en el mercado; y el precio de la alternativa de pago es “apropiado y justo” y no se ofrece “pro forma a un precio completamente irrealmente alto”.“, como dice.
Sin embargo, la DPA también señala que aún no existe jurisprudencia del tribunal superior de la Unión Europea sobre «pagar o aceptar», por lo que advierte que las preguntas frecuentes representan su «visión actual». Y muchos expertos en privacidad esperan que la cuestión, finalmente, tenga que resolverse mediante una remisión al TJUE.
Mientras tanto, las quejas GDPR presentadas contra Meta ante las DPA de la UE generalmente se remiten a la Comisión Irlandesa de Protección de Datos (DPC), que es el principal supervisor de datos de la empresa según el mecanismo de ventanilla única (OSS) del reglamento. Eso significa que las quejas de Noyb contra la táctica de «pagar o aceptar» de Meta probablemente terminarán en un escritorio en Dublín tarde o temprano. De hecho, el regulador irlandés ha afirmado que está revisando el enfoque de Meta desde que la compañía planteó la idea el verano pasado.
Si la DPC traslada su revisión del enfoque de Meta respecto del consentimiento a una base de investigación formal, aún podrían llevar años, en plural, de investigación antes de una decisión regulatoria final sobre la táctica, como fue el caso con otra queja de Noyb contra la base legal de Meta para los anuncios; presentado desde mayo de 2018 pero no decidido hasta enero de 2023 (una decisión que ahora está bajo apelación legal por parte de Meta en Irlanda).
En ese caso, la decisión que finalmente surgió de Irlanda fue en realidad el DPC actúa siguiendo instrucciones del Consejo Europeo de Protección de Datos (EDPB), que tuvo que intervenir para resolver los desacuerdos entre los reguladores de la UE. Por lo tanto, parece poco probable que se tomen medidas drásticas rápidas en materia de privacidad contra el juego de consentimiento de Meta, a menos que otras DPA decidan tomar el asunto en sus propias manos.
Sobre el papel, pueden hacer esto. A pesar de la existencia en el RGPD del mecanismo OSS, que puede dar lugar a que se designe una autoridad principal para tratar las quejas relacionadas con el procesamiento transfronterizo, el reglamento incluye poderes de emergencia que permiten a otras DPA tomar medidas para mitigar los riesgos de datos en sus propios mercados. para proteger a los usuarios locales. También pueden dar seguimiento a cualquier medida provisional que impongan localmente solicitando al CEPD que haga que su acción temporal sea permanente y abarque toda la UE, como sucedió el año pasado cuando la DPA de Noruega presentó una petición al CEPD sobre la base legal de Meta para los anuncios. Sin embargo, para entonces, Meta ya había cambiado su base reclamada al consentimiento, lo que significa que podría simplemente eludir la intervención regulatoria. (Lo que demuestra que si se retrasa la ejecución se deniega la ejecución).
«El [Austrian] «La autoridad debería ordenar a Meta que ajuste sus operaciones de procesamiento a la ley europea de protección de datos y proporcione a los usuarios una manera fácil de retirar su consentimiento, sin tener que pagar una tarifa», escribe noyb, instando a la imposición de una multa «para evitar más violaciones del RGPD”.
noyb también solicita a la DPA austriaca que inicie un procedimiento de urgencia. citando jurisprudencia reciente del TJUE lo que, según argumenta, indica que la discreción de las APD para decidir si iniciar o no un procedimiento de urgencia está limitada por “su deber de proporcionar una protección efectiva de los derechos de protección de datos”. «Así, en situaciones específicas (como la nuestra), el interesado tiene derecho a un procedimiento de urgencia», sugirió un portavoz de Noyb.
Sin embargo, hasta ahora dijeron que las autoridades austriacas se han resistido al llamado a tomar medidas de emergencia. “La APD de Austria nos acaba de decir que recibió la denuncia, que no existe derecho a un procedimiento de urgencia y que otra autoridad de control podría ser otra APD. Pero, hasta donde yo sé, la denuncia aún no ha sido remitida oficialmente al DPC”, añadió el portavoz de Noyb.
Si bien se han producido todos estos tortuosos giros regulatorios, el resultado para los usuarios de Facebook e Instagram en Europa es que su privacidad permanece a merced de Mark Zuckerberg -a menos o hasta que abandonen por completo el uso de sus redes sociales dominantes- ya que, en paralelo con todos estos Después de años de escrutinio y sanciones sobre la privacidad, el gigante de la tecnología publicitaria ha podido seguir sacando provecho de los datos personales de los europeos todo el tiempo; procesarlo para la orientación de anuncios a pesar de que sus bases legales están siendo cuestionadas o incluso, durante varios meses, invalidadas (como sucedió en los meses transcurridos entre que se descartó su afirmación de (primero) necesidad contractual (y luego intereses legítimos) y el cambio de Meta a alternativas (a principios del año pasado intereses legítimos; ahora consentimiento)).
Dicho esto, estamos viendo Más movimientos para litigar contra Meta en materia de privacidad – tales como el Los editores españoles presentan una reclamación por daños a la competencia de 600 millones de dólares El año pasado, quienes argumentaron que su falta de base legal para microtargeting a los usuarios equivale a una competencia desleal por la que deberían ser compensados, por lo que el gigante de la tecnología publicitaria podría enfrentar un ajuste de cuentas en forma de costos crecientes que se derivan de violaciones heredadas de protección de datos, así como la perspectiva de sanciones futuras derivadas de nuevas quejas sobre privacidad si conducen a hallazgos de violación.
Vale la pena señalar que el RGPD sólo tiene un número limitado de bases legales (seis) para el procesamiento de datos personales. Varios son simplemente irrelevantes para un gigante de la tecnología publicitaria como Meta, mientras que otros han sido descartados por los reguladores y el TJUE. Por lo tanto, sus opciones para rastrear y perfilar a los usuarios para anuncios se han reducido a una única posibilidad: el consentimiento. La forma en que Meta enmarca esta elección es donde se encuentra ahora la acción de privacidad.