Las autoridades europeas ya están investigando el "chantaje" de Meta: pagar una suscripción para que no use tus datos con fines publicitarios

Se empezó a rumorear en verano y a finales de octubre la propia compañía lo confirmó: Meta introduciría en Europa suscripciones de pago para que los usuarios de Instagram o Facebook pudiesen usar estas plataformas sin tener que ver anuncios.

Evidentemente, hay letra pequeña. 

Ese no ver anuncios implica que Meta promete no extraer tus datos personales para ofrecerte anuncios personalizados, después de un largo y complejo proceso administrativo por el que autoridades de toda la Unión Europea concluyeron que la compañía no estaba cumpliendo el Reglamento General de Protección de Datos (RGPD).

Las suscripciones llegaron, y al abrir Instagram o Facebook en las últimas semanas la aplicación te habrá lanzado una advertencia. Toca elegir. O pagas para seguir usando tus redes sociales o aceptas seguir usándolas gratis con ese gran pero: seguirás viendo publicidad personalizada y para servírtela se seguirá usando tu información y comportamiento en las redes.

Hay expertos en la zona euro que no están muy convencidos con la solución que ha adoptado la compañía de Mark Zuckerberg para tratar de cumplir con el RGPD, que entró en vigor en mayo de 2018. Algunos ciudadanos ya están criticando la iniciativa de la tecnológica, tildándola de "chantaje". Facebook retiró su eslogan —"es gratis y siempre lo será"— hace 4 años.

Otros, como Jorge García Herrero, van más allá, y consideran que Meta está pidiendo dinero a los usuarios cuando debería ser al revés: una vez se ha confirmado que Meta extrajo datos personales de ciudadanos europeos de forma irregular durante años, lo lógico sería que Meta indemnizara y compensara a todos los afectados. Pero esto, por ahora, no está sobre la mesa.

No, al menos, hasta que alguien inicie una demanda colectiva, una fórmula que no está tan extendida en Europa como sí lo está en Estados Unidos.

Pero mientras las asociaciones de consumidores y organizaciones en defensa de la privacidad sopesan embarcarse en una batalla legal de esa magnitud, hay una certeza: ya hay autoridades de protección de datos investigando el último movimiento de la propietaria de Facebook.

Noruega, un país que no forma parte de la UE, se convierte en el principal acicate del RGPD contra Meta

La Datatilsynet es la autoridad de protección de datos noruega. Es la análoga a la Agencia Española de Protección de Datos (AEPD) o al CNIL en Francia o al Garante en Italia. El RGPD prevé que son los órganos nacionales los órganos que velan por el cumplimiento de la norma en sus respectivos territorios, y se coordinan a través del Comité Europeo de Protección de Datos, el EDPB.

Noruega, a pesar de no formar parte de la Unión Europea, sí está integrada en el EDPB como un miembro con derecho a voz pero no a voto.

Esta Datatilsynet ha iniciado formalmente este mes sus pesquisas para comprobar si efectivamente la idea de Meta de cobrar a los usuarios a cambio de no extraer su información para servirles publicidad se ajusta a derecho. La clave de la polémica nace por cómo Meta legitima la extracción de datos personales de sus usuarios.

El RGPD ampara hasta seis vías distintas para obtener esa legitimidad: o bien piden permiso directamente a los usuarios (la vía del consentimiento), o bien se ampara esa necesidad mediante un contrato, o bien se defiende la recopilación de esos datos argumentando un interés legítimo, entre otras.

Cuando el RGPD entró en vigor en mayo de 2018, Meta cambió con nocturnidad la política de privacidad de sus plataformas y aseguró que recopilarían y tratarían los datos de sus usuarios mediante ese uso de una relación contractual. Eso no convenció a activistas en defensa de la privacidad como los que se organizan en una asociación llamada Noyb.

Noyb interpuso una demanda ante el Comité de Protección de Datos de Irlanda, el DPC. 

Tras un dilatadísimo proceso —activistas, expertos e incluso otras agencias nacionales de protección de datos han denunciado en múltiples ocasiones el cuello de botella ocasionado por Irlanda, ya que es allí donde tienen su sede la mayoría de grandes tecnológicas extracomunitarias—, el DPC zanjó que Meta había incumplido el RGPD. 

Resulta que Threads, la última red social de Meta, sí que sirve para seguir las noticias de última hora

Sin embargo, su veredicto fue tan suave que obligó al EDPB, representando a todas las agencias nacionales de la UE, a intervenir. Meta intentó entonces cambiar por una base de interés legítimo, arguyendo que si no se recopilan los datos de sus usuarios, sus plataformas no pueden funcionar. Esto no convenció al Tribunal de Justicia de la Unión Europea.

El TJUE, en un proceso judicial paralelo, sentenció este verano que eso no es así. Si no se extraen datos de sus usuarios, Meta no puede servir publicidad personalizada ni en Facebook ni en Instagram... pero el servicio puede funcionar perfectamente. Por esa razón, la compañía de Zuckerberg ha introducido estas suscripciones de pago.

En un comunicado, Meta aseguraba que sigue defendiendo un internet gratuito y basado en la publicidad. Cargando contra los cambios regulatorios europeos —en la eurozona ha entrado en vigor el Reglamento de Servicios Digitales, por ejemplo—, la compañía defiende que ofreciendo estas suscripciones de pago ya está cumpliendo con el reglamento de protección de datos.

Este enfoque genera debate y es, como poco, discutible. Al menos así lo entienden muchos expertos. Y es lo que se está discutiendo ahora mismo a nivel comunitario. Los noruegos de Datatilsynet han tomado la iniciativa, como también la tomaron este verano al anunciar la prohibición temporal de la publicidad en Meta basada en los datos de sus usuarios al no cumplir con el RGPD.

Meta se ha librado de una multa de más de 4.000 millones de euros... por ahora

Inicialmente Meta advirtió al DPC irlandés —su agencia de protección de datos competente, ya que su principal matriz en Europa está en ese país— que estaba sopesando introducir estas suscripciones de pago —de 10 euros al mes, más otros 6 si añades otra cuenta más a partir del año que viene— en los próximos meses.

Sin embargo, hubo un cambio que provocó que la multinacional tecnológica acelerara los planes. La Datatilsynet noruega, a tenor de la sentencia del TJUE de este verano, decidió prohibir temporalmente la publicidad personalizada en las plataformas de Meta —Facebook e Instagram— en su territorio, al entender que la compañía no estaba cumpliendo adecuadamente con el RGPD.

Esa prohibición temporal en Noruega vencía el 3 de noviembre. Pero a principios de este mes el EDPB, el comité europeo que aglutina a todas las agencias nacionales, dio el mazazo que ya esperaban Zuckerberg y los suyos: esta prohibición se extendería indefinidamente en el tiempo y lo haría en toda la zona euro.

Si Meta no cumple con el RGPD al usar una base válida para legitimar la extracción de datos que realiza de sus usuarios, entonces no podrá recopilarlos ni podrá servir publicidad con ellos. Si incumple, la multinacional se podría enfrentar a una multa del 4% de su facturación anual. La compañía ingresó el año pasado 106.696 millones de euros.

El 4% de esa cantidad es 4.267 millones. La multa más grande en la historia del RGPD se le impuso a Meta precisamente en mayo este año y solo ascendió a 1.200 millones de euros. La compañía lamentó la sanción entonces, asegurando que era un "precedente peligroso" cuando internet ya se está "fracturando bajo la presión de regímenes autoritarios".

Con la introducción de las suscripciones de pago para no ver anuncios —y que Meta prometa no recopilar tus datos con fines publicitarios—, la compañía cambia de facto la base de legitimidad y pasa del enfoque contractual, abandona su intento de apostar por ese "interés legítimo", y asume que está legitimada a recopilar tus datos porque al no pagar tú se lo estás consintiendo.

Pero este enfoque ha sido criticado por organizaciones como Noyb, el mayor quebradero de cabeza de Meta en el ámbito de la privacidad, al entender que no se trata de un consentimiento libre. Es un consentimiento que nace de una fórmula pay or okay que se puede traducir al español como "o pagas o tragas".

El abogado Jorge García Herrero ha llegado a deslizar la posibilidad de que sea realmente Meta la que deba dinero a los usuarios. El argumento se sostiene: si hay una sentencia del TJUE de este verano que dictamina que Meta no cumplió el RGPD al extraer tu información personal desde 2018... ¿por qué ibas a tener que pagar ahora sin recibir compensación alguna?

Ahora la Datatilsynet noruega y el resto de la EDPB están estudiando el encaje de esta nueva fórmula de Meta, las suscripciones de pago. Pero si se dictamina que tampoco es una base de legitimación válida, el EDPB, que ya prohibió la publicidad personalizada en noviembre, podría activar ese instrumento sancionador con una multa de hasta el 4% de la facturación mundial de la compañía.

Por qué Meta cree que ofrecer estas suscripciones es suficiente para cumplir el RGPD

Meta no lo ha explicitado, pero implícitamente encuentra la justificación a la introducción de esas suscripciones de pago en precisamente la sentencia de este verano del TJUE. El fallo contenía miles de palabras, pero hay seis que le abrieron la puerta a la multinacional.

Se trataba de una expresión que figuraba en el párrafo 150 de la sentencia. El párrafo explicitaba que los usuarios no tienen por qué dar permiso a las plataformas para que recopilen sus datos, y negarse a ese extremo no tiene por qué implicar que los usuarios no puedan usar dichas plataformas. Que te niegues a que recopilen tus datos no te debería dejar sin acceso a Instagram, en resumen.

Y continuaba: "Lo que implica que se ofrezca a dichos usuarios, en su caso a cambio de una remuneración adecuada, una alternativa equivalente no acompañada de tales operaciones de tratamientos de datos". "A cambio de una remuneración adecuada".

Las nuevas suscripciones de Meta no estuvieron en el orden del día de la última reunión plenaria del Comité Europeo de Protección de Datos, celebrada el pasado 14 de noviembre. Hay otra reunión fijada para los próximos días 12 y 13 de diciembre, aunque no se conocen todavía los detalles de los temas que se abordarán en ese encuentro.

500 chatbots de inteligencia artificial leen las noticias y las comentan en redes sociales: adivina cómo salió el experimento

Sin embargo, Noruega ya está tomando cartas en el asunto. Line Coll, la directora de la autoridad noruega, Datatilsynet, lo confirmó hace días en Wired. "Sí, estamos investigándolo, tenemos que conocer mejor esa solución, sus aspectos técnicos, todavía tenemos que entenderla mejor", reconoció.

Pero aunque pagues, Meta sigue recopilando tus datos. "Desde una perspectiva de protección de datos, eso me vuela la cabeza". Un portavoz de la multinacional reconocía al mismo medio que efectivamente sus plataformas seguían recopilando, almacenando y tratando los datos personales, pero no con fines publicitarios.

"Lo hacemos con el propósito de ofrecerle a nuestros usuarios las experiencias personalizadas orgánicas que le dan valor a Facebook y a Instagram, como la recomendación de publicaciones y amigos", defendía un portavoz de la compañía, Matt Pollard. "Sin embargo, si un usuario se suscribe para no ver anuncios, esa información personal no será usada con fines publicitarios".

El propio Pollard reconocía en esa entrevista no ser consciente de que la autoridad noruega de protección de datos estaba estudiando sus nuevas suscripciones de pago. "Nos sorprende descubrir algo así a través de los medios", lamentó.

Por su parte, algunas autoridades nacionales de protección de datos ya están alzando la voz. Una de las primeras ha sido la autoridad estonia. Urmo Parm, su responsable de Tecnología, ha sido contundente: "Que pidas o no dinero por un servicio no niega el hecho de que tu tratamiento de datos debe ser legal".