Denuncia a Meta ante la AEPD
Indice
¿Quién?
Hemos preparado una denuncia contra Meta a catorce manos con Sergi Ariño, Luis Gervas, Darío López, Carmen Villarroel, Jeimy Poveda y Alberto Casaseca, aunque sólo la haya firmado yo.
También hemos utilizado ideas de, entre otros, Cristiana Santos, Alba Ribera Martínez y Tobias Judin: no es un misterio que sobre este tema se ha escrito mucho.
La podéis descargar en el enlace al final de este post.
Un poco de contexto
Meta fue sancionada en enero del 23 con cientos de millones de euros de multa y con la orden de regularizar los tratamientos de datos de sus usuarios, porque los observaba dentro y fuera de sus plataformas Facebook e Instagram para impactarles con publicidad personalizada, sin una base legal adecuada.
Meta incumplió el Reglamento de protección de datos europeo desde el primer día de su vigencia (así se declaró en la sanción).
Casi un año después de esa sanción, Meta está lejos, muy lejos de regularizar y cumplir con la norma. De hecho, se limitó a reconducir parte de esos tratamientos al “interés legítimo” pero incumpliendo tantos requisitos que mi base de legitimación favorita quedó completamente desfigurada.
En verano, la autoridad noruega, que estaba hasta los cuernos vikingos de la Meta-pachorra, emitió una orden de prohibición sobre sus tratamientos para realizar publicidad personalizada. La prohibición era efectiva por tres meses y limitada a Noruega.
Pero justo antes de Halloween, el EDPB (la autoridad europea de control que coordina a las autoridades nacionales) con una “decisión vinculante urgente” hizo la prohibición permanente y efectiva en todo el Espacio Económico Europeo. Esta decisión se publicó la semana pasada y es muy interesante.
¿Por qué ahora?
En definitiva, Meta Irlanda ha incumplido reiteradamente no sólo el RGPD, sino también las Resoluciones de la Autoridad irlandesa y el EDPB de diciembre 2022/ enero 2023, postulando fórmulas inaceptables de cumplimiento.
La denuncia analiza jurídicamente las zonas de fricción normativa -o más bien de choque- del «pay or okay» o «consiente o paga» de Meta, anunciado para hacerse efectivo el próximo 12 de enero de 2024. Fundamentalmente normativa de protección de datos, pero no sólo.
Entendemos que incumple tooodos los requisitos previstos por el RGPD para el consentimiento, e infringirá además el art. 9 de la Ley de protección de datos, una de las hispánicas especialidades en la materia, con especial afectación a los usuarios menores de edad de las plataformas Facebook e Instagram.
¿Por qué es importante la “decisión vinculante urgente” del EDPB?
El 27 de octubre, el EDPB ratificó con una decisión vinculante urgente la prohibición acordada por la Autoridad Noruega, y la hizo permanente y extensiva a todo el territorio del Espacio Económico Europeo.
Destacamos los siguientes extremos de esta decisión vinculante, publicada la semana pasada:
- Meta sigue incumpliendo (apartados 152 y 153). La falta de cumplimiento de las Resoluciones de la DPC ubican a Meta Irlanda en un nuevo incumplimiento del RGPD (apartado 167).
- It ain´t over till is over: Hasta que Meta no cumpla la orden de regularización, esto no se ha acabado…
La orden de regularización de tratamientos incluida en las Resoluciones de la DPC incluyen la identificación de una (o más) bases legales adecuadas del 6.1 RGPD y el cumplimiento de toda la condicionalidad vinculada a la/s misma/s. (apartado 111 de la decisión).
La orden de regularización de tratamientos incluida en las Resoluciones de la DPC incluyen la identificación de una (o más) bases legales adecuadas del 6.1 RGPD y el cumplimiento de toda la condicionalidad vinculada a la/s misma/s. (apartado 111 de la decisión).
Las Resoluciones de la DPC establecieron un proceso conjunto de propuesta de medidas por Meta y su evaluación por las Autoridades de Control. Hasta que las Autoridades no estén satisfechas con la propuesta de Meta, esto no ha terminado (apartado 282).
- El EDPB no se pronunció sobre el nuevo enfoque adoptado por Meta sobre el “Consiente o paga” (apartado 151), pero lo tiene en el orden del día de su reunión de diciembre.
Muy mal, DPC, muy mal
- Dada la excepcionalidad de la situación, las autoridades nacionales de control pueden hacer lo que hizo la Noruega en julio: adoptar medidas provisionales a través del procedimiento de urgencia La presente situación de incumplimiento sigue ameritando medidas provisionales hasta que no se regularice por completo (apartado 203).
- Las Autoridades de Control están, de hecho, obligadas a reaccionar adecuadamente para remediar estas infracciones.
El EDPB considera pertinente recordar el deber de las Autoridades de Control de supervisar la aplicación del RGPD para proteger los derechos y libertades fundamentales de las personas físicas en relación con los tratamientos de sus datos y facilitar la libre circulación de datos personales en la UE. En particular, el EDPB ha declarado que, cuando se ha constatado una infracción del RGPD, las autoridades de control competentes están obligadas a reaccionar adecuadamente para remediar esta infracción. Las competencias que el artículo 58 del RGPD confiere a las autoridades supervisoras tienen por objeto cumplir este objetivo (apartado 221).
La denuncia
Lo que se denuncia no es el mecanismo del “pay or okay” o “consiente o paga” en general, sino la particular implementación del mismo planteada por Meta.
Creemos que no puede ser que casi un año después de recibir una sanción, uno de los principales infractores del RGPD, siga pervirtiendo bases legales a su antojo para aparentar (sólo aparentar) cumplimiento.
Y si los noruegos metieron el cuerno, no sé por qué la AEPD no puede meter un buen estoque.
Puedes descargar nuestra denuncia aquí.
Jorge García Herrero
Abogado y Delegado de Protección de Datos