Todos en vilo: Europa se prepara para responder al modelo "paga o traga" con el que Meta intenta cumplir el RGPD

El verano pasado una sentencia entre la autoridad de la competencia alemana y Meta dejó una sentencia que está poniendo patas arriba todo el ámbito que concierne al Reglamento General de Protección de Datos (RGPD).

Se trata del fallo del Tribunal de Justicia de la Unión Europea (TJUE) Meta vs. Bundeskartellamt, que fue un palo más en la rueda en los intentos de la multinacional tecnológica de cumplir con el reglamento europeo... pero a su gusto y acomodo.

La sentencia dictaminó varias cosas. Por ejemplo, que una autoridad de la competencia es competente para velar por posibles incumplimientos del RGPD, al igual que las autoridades nacionales de protección de datos; o que Meta debía encontrar una fórmula más idónea para recabar el consentimiento de sus usuarios para recopilar sus datos personales.

El RGPD establece varias vías para recabar ese consentimiento y Meta optó por la del contrato: reformuló su política de privacidad en mayo de 2018 de madrugada, cuando entró en vigor el RGPD, y trató de hacer valer su estrategia durante más de un lustro. En noviembre del año pasado se le agotó el camino, tras varios fallos de autoridades nacionales como la irlandesa y la sentencia del TJUE.

En aquel momento empezaron a sonar rumores de que Meta introduciría unas suscripciones de pago para usar Facebook o Instagram para aquellos usuarios que no estuviesen dispuestos a consentir que se siguieran extrayendo sus datos personales para crear perfiles sobre ellos que después aprovechara la industria de la publicidad en línea.

La multinacional de Mark Zuckerberg aceleró sus pasos cuando en noviembre del año pasado el Comité Europeo de Protección de Datos (EDPB, en sus siglas en inglés) se sumó a los fallos que agencias como la irlandesa ya habían emitido o a la propia sentencia del TJUE, y prohibió de forma efectiva el perfilado que Meta hace de sus usuarios con la fórmula de consentimiento vigente.

Meta anunció ágilmente el lanzamiento de sus suscripciones en Facebook e Instagram en las mismas fechas. Nacía de este modo una fórmula que los especialistas en protección de datos conocen como el pay or okay y que se puede traducir al español con un sonoro o pagas o tragas.

La razón: seis palabras en la sentencia de Meta vs. Bundeskartellamt abrían la puerta a esa práctica. En un párrafo del fallo, de miles de palabras, se decía que los usuarios no tenían por qué dar permiso a las plataformas para que se recopilen sus datos sin que eso implique que no puedan usarlas.

El texto continuaba así: "Lo que implica que se ofrezca a dichos usuarios, en su caso a cambio de una remuneración adecuada, una alternativa equivalente no acompañada de tales operaciones de tratamientos de datos". Ese "a cambio de una remuneración adecuada" es lo que está protagonizando un encendido debate en los Veintisiete.

Y no solo con respecto a Meta: los medios de comunicación han abrazado recientemente la misma práctica para forzar a sus usuarios a aceptar las cookies —aun cuando Google eliminará inminentemente las cookies de terceros de su navegador Chrome—. Seguramente habrás visto en varios medios la opción de "rechazar cookies y pagar" —por ejemplo, en este que estás leyendo—.

El abogado español Jorge García Herrero es especialista en RGPD y es uno de los autores de una denuncia presentada ante la Agencia Española de Protección de Datos (AEPD) contra Meta y su modelo paga o traga o consiente o traga. El escrito se presentó a mediados de diciembre y la autoridad española de momento no ha dado respuesta.

Meta ganó en 2023 39.000 millones, un 69% más que el año anterior, y anuncia que repartirá dividendos en marzo

Confirma que el marco por el que los medios han adoptado una fórmula —o aceptas las cookies o pagas— similar a la de Meta, aunque introduce un importante matiz: "Los medios tienen más razones para pedir dinero porque costean el contenido que venden. Meta no, Meta preda los contenidos de sus usuarios".

Los medios españoles están abrazando esa fórmula porque así se recogía en una guía de enero publicada por la propia Agencia Española de Protección de Datos, que también abrazaba las polémicas seis palabras de la sentencia del Tribunal de Justicia de la UE. Sin embargo, el debate es profundo: ¿hay un consentimiento libre e informado si la alternativa es pagar? ¿Cuánto pagar?

Hace meses, en una entrevista con este mismo medio, García Herrero abundaba en lo sorpresivo que era que Meta hubiese puesto precio a sus suscripciones. Hasta ahora, un gran obstáculo a la hora de presentar una demanda contra Meta era el de evaluar cuál podría ser el valor de los datos personales extraídos irregularmente.

"No sabemos si los datos valen 50 céntimos, dos euros o 700 euros", advertía el abogado a este medio. Pero dado que Meta lanzó unas suscripciones de 10 a 13 euros para disfrutar de sus plataformas "sin anuncios", ahora ya hay una cifra a la que aferrarse.

En el caso de los medios, esa cifra varía. Algunos permiten leer las noticias sin instalar cookies en los dispositivos de sus usuarios a cambio de 50 céntimos al día. Otros, a cambio de 36 euros al año. Lo cierto es que, al margen de la guía previa que publicó la AEPD a principios de año, no hay ni certeza ni garantía de que este modelo vaya a prevalecer.

El Comité Europeo de Protección de Datos y las agencias nacionales del ramo están a punto de empezar a pronunciarse masivamente al respecto. Es cuestión de meses.

Los últimos movimientos: Irlanda ya tiene una opinión preliminar, las denuncias se multiplican en los Veintisiete y el TJUE tiene interés

Este martes el Comité Europeo de Protección de Datos celebró su 90ª sesión plenaria y en el orden del día volvió a aparecer la oportunidad de pronunciarse sobre el modelo. El punto en el orden del día se denominó literalmente "solicitud de mandato sobre el enfoque de consentimiento o pago".

Lo cierto es que son ya varias las autoridades nacionales de protección de datos las que están tomando cartas en el asunto. La española, por ejemplo, tendrá que pronunciarse ante la demanda que interpuso Jorge García Herrero junto a varios de sus colegas. Y ahora se sabe que el Comité Europeo asumirá el mandato de desarrollar unas directrices al respecto.

Informalmente, algunos funcionarios de la autoridad de protección de datos de Estonia ya mostraron sus dudas ante la idea de Meta y sus suscripciones. De hecho, esa agencia anunció antes de ayer que cerraría su página en Facebook "para dar ejemplo". 

Poco después llegó el turno a Noruega, que a pesar de no formar parte de la UE su agencia sí acude a los plenos del EDPB y tiene derecho a voz, y comenzó en noviembre sus indagaciones sobre el modelo paga o traga.

Ahora también se sabe que pronto llegará el turno de la DPC irlandesa. Alexander Hanff, un experto en privacidad, avisó también hace cuestión de días de que la DPC se ha puesto en contacto con él, ya que él también interpuso una demanda ante dicha autoridad de control ante los últimos movimientos de la multinacional tecnológica.

"La DPC ya ha avanzado en sus evaluaciones hasta el punto de compartir un documento que contiene nuestro análisis provisional y nuestras conclusiones con los demás Estados miembros", avanzó. "Estamos a la espera de sus opiniones. Una vez se conozcan los resultados de este proceso, la DPC podrá considerar mejor cómo actuar ante las denuncias recibidas".

"Parece que tendremos noticias sobre este asunto pronto", adujo Hanff en sus redes sociales. No es el único que está a la espera de novedades: Noyb, la asociación de activistas por la privacidad que fundó el austriaco Max Schrems —una de las mayores pesadillas de Zuckerberg— está animando a que más colegas envíen escritos a las agencias nacionales de protección de datos.

Aquí, otro equipo de especialistas hacía lo propio presentando un escrito ante la CNIL, la agencia de protección de datos francesa. "Parece que el artículo 51 del RGPD no tiene consideraciones económicas", advertían estos usuarios en Francia.

La propia Noyb, la plataforma que lidera Schrems, ha presentado sus preceptivas denuncias ante las autoridades nacionales de protección de datos. Curiosamente, de forma paralela, el TJUE ya está celebrando las vistas sobre otro juicio que enfrenta a Schrems contra la multinacional propietaria de Facebook o Instagram.

Lo contaba una especialista que disfruta de una estancia becada en el Supervisor Europeo de Protección de Datos (el EDPS, análogo a la AEPD pero para instituciones comunitarias). Es Christina Varytimidou, que pudo estar en una vista del procedimiento y llamó la atención en su perfil en LinkedIn en varias cuestiones:

"Los jueces insistieron mucho en el actual modelo de negocio de Meta de consiente o paga y pidieron a todas las partes y a todos los intervinientes que se pronunciaran al respecto".

Que se conozcan novedades que podrían afectar a la privacidad de todos los europeos —y a como estos se relacionan con plataformas de Meta e incluso con los medios de comunicación en línea— ya es cuestión de tiempo.