Los trucos de Facebook para extraer tus datos en Europa disparan la tensión entre Irlanda y el resto de países y evidencian el punto débil del RGPD

2023 empezó con la imposición de hasta 390 millones de euros en multas por la Comisión de Protección de Datos irlandesa —DPC, en sus siglas en inglés— contra Meta, la multinacional tecnológica fundada por Mark Zuckerberg y propietaria de redes sociales como Facebook, Instagram o WhatsApp.

No son las primeras sanciones que la firma recibe por vulnerar algún aspecto del Reglamento General de Protección de Datos, el RGPD, pero estas multas tienen bastante más de trasfondo.

Tras ellas está en juego algo tan sensible como el mismo modelo de negocio de una poderosa multinacional que vive momentos difíciles —anunciaron 11.000 despidos hace unas semanas— y que desde hace poco más de un año defiende estar centrada en la creación del metaverso.

Por otro lado, estas sanciones también han servido para evidenciar por primera vez las hostilidades entre la DPC irlandesa y el resto de agencias de protección de datos de los estados miembros de la Unión Europea. Varias voces critican, desde Bruselas y desde el resto de capitales, que la DPC es demasiado laxa con las multinacionales tecnológicas.

Todo esto marca un punto de inflexión sobre una norma, el RGPD, que se había convertido en un referente internacional a la hora de ofrecer garantías en el tratamiento de datos personales, pero que también había evidenciado signos de agotamiento en partes de su articulado. Sobre todo, por esa disparidad de criterios entre las agencias nacionales que velan por su cumplimiento.

Todo esto en un año, el 2023, en el que el RGPD cumplirá su quinto aniversario. ¿Cómo se ha llegado hasta esta situación? ¿Qué puede cambiar a partir de ahora?

Una decisión irlandesa sobre Facebook, el inicio de las hostilidades contra las agencias de otros países de la UE

Las sanciones de 390 millones de euros que se conocieron a principios de año se reparten en 210 millones a Facebook y 180 millones a Instagram, pero podrían subir. WhatsApp también podría ser sancionada inminentemente, elevando la cuantía de las multas para Meta, que ya reservó hasta 3.000 millones de su presupuesto para hacerles frente.

Lo que dirimía en este caso la DPC irlandesa es la base legal con la que Meta, tanto en Facebook como en Instagram, recaba los datos personales de sus usuarios para servirles publicidad personalizada. Todo nace con unas denuncias que interpuso Max Schrems, un activista en defensa de la privacidad, el 25 de mayo de 2018.

Aquel día entraba en vigor el RGPD y en la madrugada de ese mismo día tanto Facebook como Instagram introdujeron una cláusula en sus términos y condiciones. El RGPD exige que las plataformas recaben los datos personales de sus usuarios únicamente si tienen su consentimiento explícito. Meta trató de sortear ese nuevo requerimiento con esa cláusula.

La cláusula exponía que el ofrecer publicidad personalizada en base a los datos personales de los usuarios es parte de un "servicio" que la plataforma presta a los internautas. Es similar a lo que intentó TikTok hace unos meses: la red social de vídeos cortos solo sirve publicidad personalizada a aquellos usuarios que lo consienten explícitamente en su menú de ajustes.

Facebook no sabe bien cómo usa y almacena los datos de sus usuarios, según un documento interno

La intentona de TikTok fue frenada después de que varias agencias de protección de datos mostraran su recelo ante un inminente cambio en sus políticas de privacidad.

En el caso de Meta no dio tiempo. La actualización de los términos y condiciones se realizó de madrugada y solo Schrems, presidente de una asociación en defensa de la privacidad de los usuarios europeos llamada Noyb, presentó aquella denuncia ante la agencia de protección de datos austríaca, que derivó el caso a la DPC irlandesa.

Austria derivó el caso a Irlanda porque en el RGPD se contempla un principio de "ventanilla única" por el cual la agencia de protección de datos nacional competente es aquella en la que se asienta la compañía. En el caso de la Unión Europea, la mayoría de las grandes multinacionales tecnológicas se asientan en Irlanda gracias a sus ventajas fiscales.

Irlanda presentó un borrador de resolución en 2021. En aquel borrador de resolución se contemplaba una multa de entre 28 y 36 millones de euros a Meta. Sin embargo, varias agencias de protección de datos —la austríaca, la alemana, la francesa, la italiana, la neerlandesa, la noruega, la polaca, la portuguesa y la sueca— presentaron objeciones a aquella resolución.

Ante la falta de consenso, Irlanda recurrió al Comité Europeo de Protección de Datos, EDPB por sus siglas en inglés. El EDPB es el órgano que en Bruselas aglutina a todas las agencias de protección de datos de los países miembros. Irlanda entendió que solo 10 de las más de 40 agencias tenían algo que objetar sobre su resolución.

El EDPB respondió con un mazazo.

Irlanda sigue favoreciendo a Meta tras la resolución del Comité Europeo de Protección de Datos, según Noyb

El EDPB avanzó su decisión sobre el caso de Irlanda contra Meta en diciembre de 2022. Daba por constatado que la base legal con la que Meta recabó los datos personales de sus usuarios para servirles publicidad personalizada ha sido ilegal desde 2018 y elevó las multas, de los 36 millones a los 390 millones que ahora se conocen.

Aunque el EDPB entregó su deliberación al DPC irlandés, el documento nunca llegó a Noyb, la asociación de Max Schrems, que es parte en el proceso. En su lugar, el DPC esperó hasta los primeros días de enero para comunicar que asumía las directrices del EDPB y lo anunció a través de un comunicado de prensa.

Noyb, por su parte, no pudo acceder a la decisión final de la DPC con las adaptaciones del EDPB hasta varios días después, el 11 de enero. La reacción de la plataforma de activistas sobre la resolución: "Parece como cuando a un alumno no le importan los errores de sus deberes y se limita a copiar la corrección del profesor".

La resolución de la DPC irlandesa con las correcciones del Comité Europeo de Protección de Datos también deparó sorpresas. Por ejemplo, postergó unos días el inicio del plazo de 3 meses que se le da a la multinacional para corregir las deficiencias detectadas a la hora de recabar el consentimiento de sus usuarios para recopilar y tratar sus datos.

Otra evidencia para Noyb de las supuestas ventajas que la DPC irlandesa ofrece a Meta es el montante de las multas. Sobre Facebook, por ejemplo, el EDPB —el Comité Europeo— solo exigía multas "significativamente más altas". Pero de los 36 millones originales solo se ha saltado a 210 millones, expone la asociación austríaca.

Por otro lado, Irlanda se limita a plantear que la ilegalidad a la hora de recabar datos de sus usuarios solo se da en aquellos casos en los que se extrajeron datos para servir publicidad. A Noyb no le convence: entiende que la base de consentimiento para recopilar datos era ilegal tanto para servir publicidad como para cualquier otra función de la plataforma, sea Facebook o Instagram.

No queda ahí. En su decisión, el EDPB encomendó a Irlanda la necesidad de investigar todo el procesado de datos de Facebook e Instagram, así como las categorías especiales de datos —los más sensibles—, para saber si esa información debió ser o no tratada a tenor de la falta de base legal para contar con el consentimiento de sus usuarios.

Irlanda, lejos de acceder a ello, entiende que el EDPB se está extralimitando en sus funciones, protagonizando una injerencia contra la DPC que solo sería asumible que se practicara desde un tribunal nacional de ese país, y en consecuencia anunció un recurso de nulidad ante el Tribunal de Justicia de la Unión Europea (TJUE).

La dependencia de Irlanda se convierte en un punto débil del RGPD y la situación de Meta en la UE queda muy tocada

El conflicto se ha vuelto a explicitar, y puede hundir sus raíces en la misma legislación comparada. Noyb, la plataforma que presentó la denuncia contra Facebook e Instagram en mayo de 2018, esboza un futurible recurso ante la resolución del DPC irlandés, aun con las correcciones formuladas por el EDPB, en tanto que se limita a la base legal del consentimiento para la publicidad.

Noyb, en su denuncia en 2018, también planteó como problemática la cláusula con la que se reclamaba la base legal para garantizar el consentimiento de los usuarios para recibir contenidos ajustados a sus hábitos de uso y sus datos personales, por ejemplo.

"El conflicto subyacente es que bajo la legislación austríaca o alemana, la denuncia define el enfoque del procedimiento, mientras que la DPC entiende que bajo la legislación irlandesa, el enfoque del proceso se debe limitar a la denuncia", explica la plataforma que lidera el activista en defensa de la privacidad Max Schrems.

El caso de Facebook e Instagram ha puesto de relieve las tensiones que la DPC irlandesa vive con sus análogas. Es un problema que organizaciones civiles también en Irlanda han diagnosticado. Un estudio de una organización determinó hace meses cómo el 98% de las demandas por protección de datos que recibía la DPC no se habían resuelto.

La Unión Europea pone el foco en TikTok: crece el escepticismo en Bruselas sobre el uso que hace de los datos de sus usuarios

A la laxitud de la que se acusa a esta agencia irlandesa hay que sumar los problemas que tiene el organismo para hacer frente a una realidad: la mayoría de tecnológicas extranjeras asientan su filial europea en Irlanda. Eso provoca que con recursos homologables a los de una agencia en otro país de la Unión Europea, Irlanda tenga que asumir una carga de trabajo enorme.

En los últimos meses se han tratado de corregir ese problema que se conoce como el cuello de botella irlandés. Uno de los altos cargos del Supervisor Europeo de Protección de Datos, la 'agencia' de protección de datos de las instituciones europeas, planteó hace exactamente un año que 2022 sería clave para mejorar esas deficiencias del RGPD, pero de momento no se ha avanzado.

Al mismo tiempo, la situación de Meta en Europa es delicada. Todavía queda conocer una sanción por una causa similar sobre WhatsApp, pero ahora mismo la firma fundada por Mark Zuckerberg tiene hasta abril para encontrar una alternativa con la que recabar el consentimiento de sus usuarios de forma explícita para tratar sus datos.

En los últimos meses Washington y Bruselas han comenzado a trabajar en la consecución de un nuevo acuerdo transatlántico que garantice las transferencias de datos. El RGPD entiende que los datos personales de usuarios europeos pueden salir del continente hacia "puertos seguros" que den las mismas garantías al tratamiento de datos que las que ofrece Bruselas con el RGPD.

Sin embargo, el Tribunal de Justicia de la UE dictaminó que EEUU debía dejar de ser considerado puerto seguro, tumbando el marco que amparaba las transferencias hasta entonces. Fruto de ello, Meta ha insistido anualmente al regulador del mercado de EEUU, la SEC, en la necesidad de que se alcanzase un nuevo acuerdo. De lo contrario, se vería obligada a irse de Europa.

Es improbable que la necesidad de contar con otra base legal para recabar el consentimiento explícito de los usuarios europeos, como se desprende de la decisión del EDPB y de Irlanda, lleve a Meta a volver a amenazar con su salida del Viejo Continente. Pero sí es cierto que estas resoluciones llegan en el momento más delicado para la compañía tecnológica.