La AEPD prohíbe a Meta tratar datos de ideología política de sus usuarios

La AEPD prohíbe a Meta tratar datos de ideología política de sus usuarios

 

La AEPD prohíbe a Meta tratar datos de ideología política de sus usuarios

Hoy quiero hablar de la prohibición cautelar a Meta sobre los tratamientos de datos de ideología política de sus usuarios. De esa histórica y acertada resolución de la AEPD que llega a tiempo para la campaña de las elecciones europeas.

Pero primero necesito hacer un flashback al speech de Stefano Frata de Meta, el martes 28 de Mayo en el congreso APEP.

Viene a cuento: lo juro sobre el RGPD.

 

El speech de Stefano Frata del martes

En el Congreso del 23, Stefano hizo todo un despliegue de conocimiento, relacionando preceptos de la Data Act, Data Governance Act, Data Services Act, y Data Markets Act, explicando cómo muchos conceptos del RGPD mutan de significado y perímetro de aplicación en estas otras normas y cómo se venía un auténtico sin Dios.

Y además Stefano es calvo. Y eso importa. Importa mucho.

Ni que decir tiene que era la ponencia que esperaba con más interés este año.

Pero Stefano optó por un discurso jurídico-comercial pro Meta cuyos puntos más llamativos (para mí) fueron:

 

  • “Las autoridades se lían con la protección de los menores: una cosa es el consentimiento válido (verificación de edad, etc) en materia de protección de datos, pero lo realmente importante aquí es la normativa aplicable a los contenidos (la Directiva sobre contenidos digitales): se trata de proteger a los menores de los contenidos, y Meta esto lo cumple de sobra.”

 

  • “El EDPB ha sacado los pies del tiesto con su documento sobre el “pay or okay” porque cuestiona el “modelo de negocio” de Meta, algo que no está en su competencia, y además el TJUE en su sentencia Bundeskartellamt ya ha validado ese modelo.”

 

  • “La Sociedad necesita encontrar la manera de abordar estas cuestiones”. (Se supone, claro, que una manera distinta de la que resulta del nuevo bloque normativo digital europeo).

 

Pedí el micro y, después de manifestar mi sincera admiración por el ponente, le hice dos comentarios, dejando muy claro que iban dirigidos a Meta, no a él. Cosa que es igualmente cierta de todo este texto:

 

  • Quizá lo de verificar la edad del menor y la validez de su consentimiento o el de sus responsables legales no va tanto de defender al menor de los contenidos, como de defender al menor de Meta (profiling para su publicidad personalizada, etc…).

 

  • El TJUE en la sentencia Bundeskartellamt reconoció la validez del “pay or okay” bajo ciertos requisitos -que Meta, por cierto, no cumple- pero también y sobre todo declaró la ilicitud -toodos estos años- de sus tratamientos cruzados online offline y entre plataformas para perfilar a sus usuarios e impactarles -precisamente- con publicidad personalizada. Y lo hizo porque no cabían en la base legal “contractual” del 6.1.b) RGPD: no eran objetivamente necesarias para la prestación del servicio.

 

La respuesta de Steffano fue ejemplar: en primer lugar, matizó su afirmación sobre el tema contenidos. En segundo lugar, dijo algo con lo que todos los asistentes podíamos comulgar: “Durante cinco años la autoridad principal -la irlandesa- nos dijo que la base contractual (6.1.b) era válida… ¿Qué se supone que teníamos que hacer? ¿Llevar la contraria a la autoridad de control?

Si este año Stefano no se llevó mi diez a su speech, desde luego se lo llevó su réplica.

Fin del flashback. Fundido a negro.

 

Dejo por aquí una slide que manejo en mis formaciones para resumir las enseñanzas de las guidelines 2/2019 del EDPB y su aplicación (detallada, profunda, super-recomendada para aprender) en la Decisión vinculante 3/2022 en la que retorció el brazo a la Autoridad Irlandesa para que sancionara con una multa record a Facebook por saltárselo todo.

 

La AEPD prohíbe a Meta tratar datos de ideología política de sus usuarios

 

La prohibición de tratar datos de la AEPD del viernes

Ayer, 31 de mayo, la AEPD emitió una prohibición cautelar contra Meta en relación con sus dos últimas ideacas (“EDI” o “Election Day Information”) y (“VIU” o “Voter Information Unit).

De acuerdo con la info disponible que no es mucha, estas nuevas funcionalidades captarían información como nombre del usuario, la dirección IP, edad y género o información sobre cómo interactúa con esas funcionalidades, lo que permitiría elaborar perfiles más complejos, exhaustivos y detallados. Además, según la resolución de la AEPD, estos datos se agregarían y así en teoría anonimizados, se pondrían a disposición de terceros.

¿Cuáles son las razones de la AEPD para prohibir cautelarmente estos tratamientos de datos?.  

Exacto, lo han adivinado:

Uno: La -por decir lo menos- improbable capacidad de Meta para distinguir a mayores y menores de edad entre los usuarios de su plataforma.

Dos. La 0% sorprendente pero 120% ilegal decisión por parte de Meta de insistir en legitimar estos tratamientos por la base legal contractual… calificándolos nuevamente ¡¡sorpresa!!, como “necesarios para la prestación de su servicio”. La ventaja es que por esta vía Meta ni siquiera tiene que molestarse en pervertir y deformar el interés legítimo y el derecho de oposición como está haciendo -al mismo tiempo- para (ha-ha) legitimar el entrenamiento de sus modelos de IA a costa de sus usuarios (y, recordemos, no usuarios).

Es poco probable que, también esta vez, la Autoridad irlandesa haya promovido o apoyado el 6.1.b) RGPD para esta ideaca, sobre todo después de los collejones que se ha llevado del EDPB.

Como todos (yo también, ojo) sabemos, esto es lo que tienen muchas veces las réplicas ingeniosas… quedas fenomenal en el momento pero… tienen las piernas muy cortas.

 

Muuy buena semana.

 

Jorge García Herrero

Abogado y Delegado de Protección de Datos