La pesadilla de Meta continúa: qué opciones tienen Facebook o Instagram ante el último mazazo europeo sobre protección de datos
- El Comité Europeo de Protección de Datos opina por primera vez sobre la alternativa de pagar una suscripción a cambio de no consentir la cesión de tus datos.
- Facebook tendrá que esperar prudentemente, porque el balón está ahora en el tejado de las autoridades nacionales: la compañía ya amenazó en el pasado con irse de la UE.
Si Mark Zuckerberg tuviera la necesidad de detallar en sus perfiles sociales cómo es la relación que su compañía mantiene con la Unión Europea y sus regulaciones está claro que utilizaría el latiguillo que popularizó Facebook: "Es complicado".
Meta, la multinacional tecnológica que fundó hace más de 20 años y que posee plataformas como Instagram o la propia Facebook, recibió un nuevo mazazo este miércoles. Uno relacionado, de nuevo, con el cumplimiento del Reglamento General de Protección de Datos (RGPD), que desde su entrada en vigor —mayo de 2018— se ha convertido en uno de sus quebraderos de cabeza.
Resumiendo la larga historia: el RGPD establece una serie de escenarios según los cuales las empresas pueden extraer datos personales de sus usuarios con diversos fines. Una de esas premisas es por ejemplo el del contrato: una empresa puede extraer información sensible de una persona si previamente se ha establecido así en un contrato.
Meta, cuando entonces se conocía todavía como Facebook, se encomendó a esa base legal: sus plataformas extraerían datos personales de sus usuarios con el objetivo de servirles publicidad personalizada según sus hábitos y gustos, y todo en base a un contrato. El problema es que el contrato era prácticamente tácito: su política de privacidad.
En julio del año pasado se conoció una sentencia del Tribunal de Justicia de la Unión Europea (TJUE) sobre un caso que enfrentaba a Meta y a la autoridad de la competencia alemana. En la sentencia se concluía que Meta no podía hacer uso de esa base de legitimidad, la del contrato, o que las autoridades de competencia son competentes para velar por el cumplimiento del RGPD.
En la sentencia había miles de palabras, pero seis de ellas desataron un intenso debate en todo el continente. Era un obiter dictum, un argumento contenido en una resolución judicial que carece, sin embargo, de poder vinculante.
El fallo del TJUE asumía que los usuarios no tienen por qué dar permiso a las plataformas para que recopilen sus datos sin que eso suponga que no puedan usarlas, "lo que implica que se ofrezca a dichos usuarios, en su caso a cambio de una remuneración adecuada, una alternativa equivalente".
Meta cambió la base legal que invocaba del RGPD. Antes era la del contrato. La sentencia del TJUE era meridianamente clara. En un primer momento optaron por otro escenario que contempla la regulación: Meta seguiría extrayendo los datos personales de sus usuarios por el "interés legítimo" de que el servicio continúe funcionando.
Claro que los servicios de Meta —proveedora de plataformas digitales— pueden seguir funcionando sin extraer los datos personales de sus usuarios con fines publicitarios: extraer los datos tiene más que ver con el interés de monetizar las plataformas, no con el "interés legítimo" de que Facebook o Instagram funcionen.
Por eso, cuando se supo que el Comité Europeo de Protección de Datos, EDPB por sus siglas en inglés, se disponía a publicar una decisión vinculante prohibiendo a Meta aprovecharse tanto de la base contractual como la del interés legítimo, la multinacional tecnológica pivotó rápidamente a una tercera opción. La del consentimiento.
El RGPD permite a las compañías extraer datos de sus usuarios si estos lo consienten libremente. Se espera, claro, que el consentimiento siempre sea libre e informado. Pero gracias al obiter dictum de la sentencia del TJUE, Meta lanzó a finales del año pasado sus suscripciones en Facebook e Instagram: paga una cantidad al mes para no ver más anuncios.
Y para que no se recopilen más tus datos personales con fines publicitarios, claro.
Primera vez que el EDPB se pronuncia sobre el tema
Ahora el EDPB ha dictaminado que esto no puede ser. Politico avanzó la opinión, que se publicó durante la tarde del miércoles. La presidenta del Comité de Protección de Datos, Anu Talus, fue clara: "Las plataformas en líneas deben dar a los usuarios una opción real a la hora de aplicar los modelos de consiente o paga".
"Los modelos que tenemos hoy día requieren que los usuarios cedan todos sus datos o paguen. Fruto de ello, la mayoría de usuarios consienten el procesamiento de sus datos para poder hacer uso del servicio, y no entienden todas las implicaciones que tiene su decisión".
Sin embargo, se trata de una opinión y no de una decisión vinculante, por lo que el EDPB deja la ejecución de esta valoración a las autoridades nacionales de protección de datos.
En el escrito publicado por el EDPB se dice explícitamente que una tarifa dineraria "no puede hacer que los usuarios se sientan compelidos a consentir" el tratamiento de sus datos. "Las autoridades nacionales deben detenerse, caso a caso, a comprobar si una tarifa es apropiada o qué cantidad de dinero es la adecuada dadas las circunstancias".
"Las autoridades deben tener la precaución de evitar transformar el derecho fundamental a la protección de datos en una característica por la que los usuarios tendrán que pagar para disfrutar. Los individuos también tienen que haber sido informados del valor y de las consecuencias de sus elecciones", remachaba la presidenta Talus.
Por su lado, la decisión al completo, que puedes leer aquí, exige también que haya terceras opciones —más allá del aceptar o pagar— lo que abre la puerta a un nuevo ejercicio de imaginación.
El EDPB también publicará una serie de directrices para ayudar a las autoridades nacionales de protección de datos a valorar los paga o traga de turno caso a caso. A la vista de las circunstancias, ¿qué cartas tiene ahora Meta en la manga?
Esperar prudente: esto va para largo
La más evidente es la de esperar. Al tratarse de una opinión, es cuestión de tiempo que algunas autoridades de protección de datos empiecen a concluir sus respectivos procedimientos, determinando si las suscripciones de Facebook o Instagram están bien mesuradas —en precio, por ejemplo— o si deben ser invalidadas.
Es necesario recordar que la opinión del EDPB nace tras una petición de la autoridad de protección de datos noruega, que animó al Comité Europeo a pronunciarse al respecto.
La inmensa mayoría de los ingresos de Meta provienen de su negocio publicitario, y en consecuencia, de la extracción de los datos personales para ofrecer anuncios personalizados. De ahí la enorme fricción que Zuckerberg tiene con la regulación europea de protección de datos (no es el único) y como tras seis años desde su entrada en vigor se sigue debatiendo sobre su cumplimiento.
La opinión del EDPB se ha conocido un día antes de que se celebre en Bruselas un encuentro sobre consumidores promovido por la Comisión Europea y bajo el respaldo de la Presidencia de Bélgica del Consejo de la Unión Europea. Es en este encuentro donde se espera que se conozca la versión final de la iniciativa comunitaria Cookie Pledge.
Bruselas presentó hace casi un año ese Cookie Pledge, una iniciativa "para simplificar la gestión de las cookis y opciones publicitarias personalizadas". El propósito de Cookie Pledge es que la propia industria dé respuesta a una necesidad: simplificar la gestión de cookies por parte de los usuarios.
Cuando el RGPD entró en vigor en mayo de 2018, las páginas webs empezaron a presentar esos enormes banners con los botones de aceptar y rechazar cookies. Primero escondiendo el botón de rechazar. Después, a raíz de la sentencia del TJUE del año pasado, derivando a los usuarios que rechazaran las cookies al servicio de un tercero en la que pagar a cambio de no ser rastreado.
Es una incógnita cómo será esa propuesta de Bruselas para mejorar la gestión de las cookies, pero es evidente que las autoridades nacionales tienen el balón en su tejado. De hecho, en España la proliferación de los muros paga o traga es fruto de una guía publicada por la Agencia Española de Protección de Datos (AEPD) en enero que atendía a los cambios suscitados por el TJUE.
Es plausible que Meta se vea en una tesitura compleja: por el principio de ventanilla única del RGPD deberá escuchar a la agencia de protección de datos irlandesa, por ser esa autoridad la del país en la que tiene su sede fiscal europea. Pero podría suceder que otras autoridades como la noruega inicien sus procedimientos por su cuenta y riesgo.
Eso abriría un camino en el que las suscripciones de Meta podrían ser declaradas abusivas en algunos países del continente y no en otros, lo que presumiblemente desembocará en que el EDPB acabe pronunciándose de nuevo con una decisión vinculante. Por su parte, plataformas como Noyb ya han anunciado que seguirán vigilando este fenómeno.
La otra opción a esperar por parte de Meta siempre será la de irse de la Unión Europea. Para ello tendrá que valorar qué peso tiene el Viejo Continente en la base de usuarios de Facebook e Instagram o en su cuenta de resultados.
Algunas voces, como el excomisario de Competencia Joaquín Almunia, son vehementes en esos extremos. "Si se van ellos, vendrán otros. Y si los otros que vienen son europeos, pues mira, mejor", indicaba en una reciente entrevista en Business Insider España centrada sobre los nuevos mecanismos legales con los que cuenta Bruselas, como el Reglamento de Mercados Digitales.
No sería la primera vez que Meta amaga con irse de la Unión Europea: cuando el mismo TJUE declaró en 2021 que el marco por el que se transferían datos personales de ciudadanos europeos a EEUU era inválido la compañía reconocía en sus informes al regulador bursátil estadounidense que la posibilidad de marcharse del Viejo Continente era una más entre otras.
En todo este maremágnum de posibilidades hay que incorporar qué sucederá en las elecciones europeas de junio y cómo será la Comisión Europea que nazca del Consejo Europeo y de las urnas.
Informes recientes de exministros italianos influyentes en Bruselas, como Enrico Letta o Mario Draghi, ya ponían sobre la mesa la necesidad de desarrollar regulaciones tecnológicas que fortalezcan la innovación. Algunos partidos políticos de algunos Estados miembros proponen en sus programas electorales flexibilizar normas como el RGPD con el mismo objetivo.
Otros artículos interesantes:
Descubre más sobre Alberto R. Aguiar, autor/a de este artículo.
Conoce cómo trabajamos en Business Insider.