Threads llega a Europa pero Meta tiene un problemón: las denuncias a su último "intento" de cumplir el RGPD se multiplican y llegan a España

Este jueves a mediodía culminó la cuenta atrás. Threads, la nueva plataforma con la que Meta pretende competir con X —antes conocida como Twitter— ya ha llegado a la Unión Europea.

El servicio, en realidad, ya estaba disponible en otras partes del mundo —por ejemplo, en EEUU— desde el pasado verano. El que escribe estas líneas tuvo la oportunidad de probar entonces la plataforma, y esta ha introducido varios cambios desde que se vetó su acceso desde el Viejo Continente —hasta ahora—.

Las principales novedades son la introducción de publicaciones con notas de audio y la posibilidad de eliminar tu cuenta sin tener que borrar también tu cuenta de Instagram. Y en esto último está la clave: los usuarios de Threads solo se pueden dar de alta de la plataforma haciendo uso de su cuenta de Instagram. No se puede uno registrar al servicio de otra forma.

¿Por qué? Porque el mayor desafío de Threads, Instagram y de Meta en estos momentos es cumplir con el Reglamento General de Protección de Datos (RGPD). Hace unas semanas el Comité Europeo de Protección de Datos (EDPB) prohibió a la multinacional de Mark Zuckerberg que siguiese sirviendo anuncios personalizados en sus plataformas.

El movimiento que entonces realizó la multinacional tecnológica para esquivar ese veto fue adelantar sus planes unos meses, ofreciendo desde noviembre unas suscripciones de pago de 10 euros al mes. Si pagas ese dinero podrás hacer uso de Facebook o Instagram sin ver anuncios y, por lo tanto, la compañía no recoge tus datos para servirte publicidad personalizada.

Y esto se aplica a Threads porque Threads no es una plataforma independiente de Meta: es una plataforma que forma parte de Instagram. De hecho, Threads no cuenta con una política de privacidad propia, sino con una política de privacidad complementaria a la política de privacidad de Instagram.

Por eso, si pagas una suscripción para usar Instagram sin ver anuncios —y sin que de esta forma se usen tus datos personales con fines publicitarios—, no verás, en principio, publicidad ni en Instagram ni tampoco en Threads.

Otra cosa es que esa política de privacidad complementaria o la política de privacidad de Instagram, que contempla esas suscripciones de pago, sirva para contentar a las autoridades europeas de protección de datos o para cumplir con el reglamento.

Eso no está para nada claro. Hace días se sabía que autoridades de protección de datos como la Noruega —que a pesar de ser extracomunitaria también forma parte del Comité Europeo, el EDPB— ya estaban investigando este nuevo enfoque de Meta. También trascendían algunas opiniones desfavorables desde su homóloga en Estonia.

Ahora lo que se sabe es que sí o sí las autoridades de Austria y España tendrán que dar su parecer más pronto que tarde. Noyb, una asociación de activistas en defensa de la privacidad, presentó una denuncia ante la primera hace días. Y un grupo de abogados españoles presentó otra ante la Agencia Española (AEPD) el pasado martes 12 de diciembre.

Las críticas a las suscripciones de pago, el último intento de Zuckerberg por cumplir con el RGPD

 Este 2023 ha sido un estrés constante para los empleados del departamento legal de Meta. A principios de año el EDPB corrigió la laxitud con la que la Comisión de Protección de Datos irlandesa sancionaba a Facebook e Instagram por haber recopilado datos personales de sus usuarios sin una base de legitimidad adecuada.

El EDPB se inmiscuyó en el proceso sancionador de Irlanda elevando la multa a unos 390 millones de euros. Pero eso no quedó ahí. Pocos meses después, ya en verano, el Tribunal de Justicia de la Unión Europea se pronunciaba con contundencia: Meta había empleado una base de legitimidad para cumplir con el RGPD que no era la adecuada.

El RGPD establece varias vías por las que las plataformas pueden recopilar los datos personales de sus usuarios. Una es la vía del consentimiento: la plataforma tiene que preguntar directamente a sus usuarios si consiente que los datos personales que genere y se extraigan de su perfil en la plataforma se empleen con fines publicitarios.

Las autoridades europeas ya están investigando el "chantaje" de Meta: pagar una suscripción para que no use tus datos con fines publicitarios

Otra vía es la vía del contrato o la vía del interés legítimo: algunas compañías defienden que extraen y tratan datos personales de sus usuarios para prestarles el servicio. Por ejemplo, un centro médico.

El caso es que Meta empleó la vía de legitimidad del contrato, pero eso no convenció al EDPB ni al Tribunal de Justicia de la Unión Europea, que en una sentencia con miles de palabras dijo seis que ahora son las que Meta emplea para defenderse: los usuarios pueden negarse a que sus datos personales no se empleen con fines publicitarios "a cambio de una remuneración adecuada".

Aquí está el debate. El debate entre qué es —y a cuánto asciende— una "remuneración adecuada" —¿10 euros al mes, por ejemplo?— y si el consentimiento es realmente libre si la alternativa a que no se pague ese dinero sea no poder usar Facebook o Instagram, o usarlo aceptando que se traten tus datos personales con fines publicitarios.

Este es el actual dilema al que se han sumado un grupo de abogados españoles que encabeza Jorge García Herrero, acompañado de Sergi Ariño Mayans, Luis Gervas de la Pisa, Carmen Villarroel Luque, Jeimy Poveda, Darío López Rincón o Alberto Casaseca Malmierca, entre otros.

Por qué una denuncia ante la autoridad española si el RGPD tiene un principio de ventanilla única

En su denuncia, Herrero y sus colegas proponen a la AEPD que inicie una investigación y pregunte a Meta el porcentaje de usuarios de Facebook e Instagram que han "consentido" el tratamiento de sus datos frente al "porcentaje de usuarios que han optado por pagar la cuota", así como cuántos usuarios "menores de 14 años han 'consentido' el tratamiento de sus datos".

También plantan que se pregunte a la multinacional de Mark Zuckerberg la razón por la que se ha optado por una cuota de 10 euros y no una cuota de 100 o de 1 euro, o por qué Meta no ha apostado por "pedir el consentimiento puro y simple" para que "solo en caso de obtener un porcentaje de éxito desfavorable se hubiese optado por el consiente o paga".

"En definitiva, se solicita que se declaren los incumplimientos por parte de Meta Platforms Ireland descritos (...) y se imponga una multa efectiva, proporcionada y disuasoria a la denunciada, teniendo en cuenta el volumen total de anual de facturación al que pertenece y el número indeterminado de potenciales afectados por sus incumplimientos", sigue la denuncia.

Denuncia que se dirige ante la AEPD, el organismo español, a pesar de que el RGPD cuenta con un principio de ventanilla única por el cual las denuncias contra Meta Ireland deberían dirigirse a la DPC irlandesa, al ser la autoridad competente por ser la del territorio nacional en el que se afinca la matriz europea de la multinacional tecnológica. ¿Por qué?

Nuevos enemigos a las suscripciones en Facebook e Instagram: las asociaciones de consumidores europeas dan un paso al frente

Porque, como el propio abogado ha explicitado en su blog, hace días el Comité Europeo de Protección de Datos publicó una decisión vinculante urgente que dictaminaba que Meta sigue "en situación de incumplimiento" de las sanciones de la DPC de enero de 2023. El EDPB es el organismo que aglutina a todas las agencias nacionales de protección de datos.

"Seguirá estando en situación de incumplimiento hasta que no identifique los medios a través de los cuales pretende regularizar sus tratamientos y estos se califiquen como suficientes por las autoridades de control europeas", continúa dicha decisión, según cita Herrero, que explicita:

"Dado lo excepcional de la situación y la gravedad del incumplimiento —sistemático, masivo— las autoridades de control pueden saltarse la ventanilla única y acudir, como ya hizo la Datatylsinet Noruega este verano, al procedimiento de urgencia, adoptando medidas provisionales de protección en el estado de su competencia".

La Datatylsinet es la autoridad de protección de datos noruega. Aunque Noruega es un país extracomunitario, su organismo se sienta junto al resto de autoridades de control europeas en el EDPB, si bien tiene solo derecho a voz y su derecho a voto no es determinante para las decisiones plenarias que el organismo comunitario pueda adoptar.

Este organismo noruego ya fue pionero el pasado verano en aprobar una prohibición del uso de publicidad personalizada en las plataformas de Meta. Precisamente esa prohibición provisional se convirtió en definitiva el pasado mes de noviembre, cuando el EDPB asumió como propia esa estrategia. Fue entonces cuando llegaron esas polémicas suscripciones de pago.

Unas suscripciones de pago que siguen a debate. Las autoridades de protección de datos española, austriaca y noruega serán las primeras en pronunciarse en los próximos meses. Threads acaba de llegar a Europa, pero tal vez sea Meta la que acabe marchándose del continente si no logra convencer a las autoridades de que esta vez sí está cumpliendo con el RGPD.