El atolladero legal de Meta en Europa crece, ahora también en España: las claves que más preocupan a la propietaria de Facebook e Instagram

Meta anunció una reducción de plantilla del 13% en 2022.
Meta anunció una reducción de plantilla del 13% en 2022.

Alex Wong/Getty Images

  • Las diligencias preprocesales de la Fiscalía en la Audiencia Nacional contra Meta podrían abrir un nuevo frente legal contra Meta.
  • La compañía de Mark Zuckerberg tiene cada vez más en entredicho su modelo de recopilación de datos y su encaje en el RGPD.

Se ha cumplido un año desde que se conoció una sentencia del Tribunal de Justicia de la Unión Europea (TJUE) que puso todo patas arriba en materia de protección de datos. Fue la sentencia Meta vs. Bundeskartellamt, que dirimía un conflicto entre la multinacional tecnológica y la autoridad de la competencia alemana.

Aquella sentencia llegaba a la misma conclusión que otras autoridades comunitarias ya habían alcanzado para esas fechas: la propietaria de plataformas como Facebook, Instagram o WhatsApp estaba invocando una base jurídica errónea para extraer los datos personales de sus usuarios con fines publicitarios.

El Reglamento General de Protección de Datos (RGPD) exige a las empresas que recopilan y tratan estos datos personales a que lo hagan o bien con el consentimiento de sus usuarios, o bien mediante un contrato, o bien arguyendo un interés legítimo. Esas son algunas de las muchas bases con las que se puede legitimar la extracción de datos cumpliendo con esta regulación.

La sentencia Meta vs. Bundeskartellamt consideraba que Meta estaba haciendo uso de una base de legitimidad errónea. Pero la sentencia también deslizaba que aquellos usuarios que no quisiesen ceder sus datos para hacer uso de un servicio se podrían ver dispuestos a pagar una retribución adecuada para seguir haciendo uso de una plataforma.

No era ni el objeto nuclear de la sentencia. De hecho, fue más bien una breve disertación que se incluyó en el auto. Pero aquella polémica frase le abrió el cielo a Meta, que el mismo año pasado introdujo sus suscripciones de pago para que los usuarios europeos que quisieran hacer uso de Facebook o Instagram sin ver publicidad lo pudieran hacer pagando unos 10 euros al mes.

Eso ha abierto un melón en todo el continente: el RGPD establece que la extracción de datos personales se puede ejercer si se cuenta con el consentimiento expreso de sus usuarios. Pero la norma también habla de un consentimiento informado y libre. Si la alternativa es pagar, ¿el consentimiento es libre?

En esas están las autoridades comunitarias de protección de datos. El EDPB ya considera cuestionable este modelo que se ha bautizado como pay or okay —lo que en español se podría traducir con un sonoro paga o traga—. 

El modelo no es exclusivo de Meta y por eso desde principios de año habrás visto que muchas páginas web, a cambio de no aceptar sus cookies, te invitan a pagar un dinero. En España, la Agencia Española de Protección de Datos (AEPD) publicó su guía de cookies hace unos meses referenciando precisamente la sentencia Meta vs. Bundeskartellamt.

Pero la pesadilla legal de la multinacional que fundó Mark Zuckerberg va a continuar. No iba a ser tan sencillo.

Las transferencias de datos a EEUU no han sido su único problema

La Unión Europea le ha generado más de un dolor de cabeza a Meta en los últimos años. Su cambio de nombre —de Facebook a Meta en 2021— no ha hecho que las autoridades comunitarias relajen su escrutinio sobre sus prácticas. 

A los de Zuckerberg ya les preocupó que el mismo TJUE sentenciara en 2021 que el acuerdo entre la Unión Europea y EEUU para transferir datos al otro lado del Atlántico se declarara inválido. Eso provocó que hasta durante tres años ese acuerdo de transferencia estuviese decaído y, en consecuencia, las transferencias de datos personales a EEUU fueran ilegales.

Washington y Bruselas se afanaron en encontrar una solución. El penúltimo acuerdo decayó porque el TJUE entendía que en EEUU no se les aplican los mismos estándares garantistas con la protección de datos a los datos de ciudadanos europeos que los estándares que en Europa se aplican sobre datos de ciudadanos estadounidenses.

Finamente las dos potencias transatlánticas resolvieron este problema con la rúbrica de un nuevo acuerdo que, por cierto, no terminó de satisfacer a los expertos en el Viejo Continente. Zuckerberg pudo respirar tranquilo: durante estos años, la compañía advertía en sus comunicaciones al regulador bursátil estadounidense que este problema podría obligarla a salir del mercado europeo.

El tema del acuerdo transatlántico no ha sido el único quebradero de cabeza. Solucionado este asunto, quedaban melones por abrir.

De sus bases de legitimidad al 'paga o traga': Meta se estampa con el RGPD

El Reglamento General de Protección de Datos también ha sido un dolor de cabeza. Tanto para Meta como para las autoridades que tienen que hacer cumplir la norma, eso sí. La firma de Zuckerberg siempre ha buscado los recovecos para cumplir con la norma europea sin afectar demasiado a su modelo de negocio.

Por eso, cuando el RGPD entró en vigor en mayo de 2018, Facebook e Instagram actualizaron de madrugada sus políticas de privacidad detallando que la base jurídica con la que se legitimizaba la extracción y tratamiento de los datos personales de sus usuarios era la de un contrato.

La agencia de protección de datos irlandesa acabó imponiendo a finales de 2022 una multa de 390 millones de euros a Facebook —solo después de que el Comité Europeo de Protección de Datos tomara cartas en el asunto— y por esta razón la compañía en marzo del año pasado cambió la base del contrato por la base del interés legítimo.

Básicamente, Meta decía que extraía y recopilaba datos de sus usuarios con el interés legítimo de que sus plataformas funcionaran, para servir así publicidad y anuncios personalizados. El problema: las plataformas de Meta, Facebook e Instagram, pueden funcionar perfectamente sin servir publicidad personalizada. Otra cosa es que ganen menos dinero.

Sam Altman, CEO de OpenAI, en un congreso sobre seguridad e IA celebrado en noviembre de 2023.

Por esta razón la autoridad de protección de datos noruega tomó la iniciativa: prohibía a Meta el uso de esa base jurídica. La misma decisión la adoptó después el conjunto de las autoridades de protección de datos europeas. 

Por esa razón Meta introdujo a finales del año pasado las suscripciones de pago: así la compañía asume que quien no paga consiente, y de este modo introdujo la base jurídica del consentimiento. Esto es lo que está ahora en discusión.

El Comité Europeo de Protección de Datos ya ha dicho que considera que estas suscripciones no son la solución. La propia Comisión Europea ha invocado el Reglamento de Mercados Digitales (DMA, por sus siglas en inglés) y ha advertido a la multinacional de que no hay lugar en el Viejo Continente para el uso de estas suscripciones sin ofrecer alternativas gratuitas a los usuarios.

Ahora será el próximo 11 de julio cuando varios expertos se reunirán en un foro organizado por el Supervisor Europeo de Protección de Datos (EDPS, la entidad que hace las funciones de agencia de protección de datos sobre las instituciones comunitarias) en un encuentro que presumiblemente servirá para que se asienten unas directrices sobre este modelo.

Ahora su intento de entrenar sus IA con tus datos abre una nueva vía en España

La polémica no termina ahí. Hace unas semanas los usuarios de Instagram empezaron a recibir un sorprendente aviso en la plataforma. Una actualización de su política de privacidad con la que se abría el camino para desarrollar "nuevas funciones de IA" para los usuarios, motivo por el que se recopilarían los datos de los usuarios con la base jurídica del "interés legítimo".

En resumidas cuentas, Meta pretendía utilizar el material que generan sus usuarios para entrenar sus modelos de inteligencia artificial. Esto, por supuesto, desató toda una tormenta.

Noyb, las siglas que más han atormentado a Meta en Europa en los últimos años, presentó un escrito ante varias autoridades de protección de datos. Noyb es una asociación de activistas en defensa de la privacidad con base en Austria que ya fue la responsable de que el TJUE invalidara el penúltimo acuerdo de transferencias de datos a EEUU, por ejemplo.

La actualización de las políticas de privacidad de Meta permitían a los usuarios oponerse a que se usaran sus datos para entrenar a las IA. Sin embargo, el modelo de oposición es algo complejo, razón por la cual el colectivo español de abogados especialistas en protección de datos, Citizen8, desarrolló una herramienta para que en segundos los usuarios pudiesen oponerse a esta medida.

La Comisión de Protección de Datos irlandesa mostró sus objeciones ante la multinacional tras la presión que otras autoridades europeas hizo. Finalmente, Meta desistió en sus planes y no recopilaría datos de ciudadanos europeos para entrenar su IA. La compañía mostró su decepción con los planteamientos recibidos.

Pero que paralizase el proyecto no ha impedido que la Fiscalía de la Audiencia Nacional presentara el jueves pasado por la noche un decreto con el que abría diligencias preprocesales. En función de la investigación del fiscal de la Audiencia Nacional, en colaboración con la Agencia Española de Protección de Datos, el Ministerio Público podría plantear una querella contra la multinacional.

Que suceda o no es una incógnita, y que la Audiencia Nacional acepte abrir un procedimiento contra Meta es algo que estará todavía por ver. La Audiencia Nacional es el órgano competente para tratar los recursos que se presenten ante las disposiciones de la AEPD, de ahí que la Fiscalía en esta institución se considere competente para abordar esta posibilidad.

Podría abrir la puerta a un contencioso en España contra Meta, y no contra su filial, lo que ampliaría ya el conocido atolladero legal de Zuckerberg en el Viejo Continente.

Descubre más sobre , autor/a de este artículo.

Conoce cómo trabajamos en Business Insider.