Publicidad personalizada online: bases legales
Hoy veremos qué opciones -bases legales- tiene en general una plataforma como Meta (Instagram, Facebook), pero también TikTok, Twitter para montar su nueva ideaca de «pay or okay» (consiente o paga) de acuerdo con el RGPD.
Este es el tercero de una serie de cuatro posts sobre la ideaca del «consiente o paga» de Meta.
El primero era una especie de «rant» y descripción general de la ideaca.
Como decía mi abuela, si vas a decir que lo que hace alguien es ilegal, cárgate de razones. Así que en el segundo post analizamos una sentencia clave del TJUE: la que define qué es marketing directo en los medios digitales. (Por cierto, es posible que mi abuela no dijera nada de eso).
Este tercer post juega a valorar (y ejem, tirar por tierra) la mayor parte de los mixes de bases legales disponibles para Meta (y muchos otros actores de la publi personalizada).
En el último, resumimos las ocho razones por las que entendemos que el EDPB debería bloquear esta iniciativa (ojo: a Meta, no a cualquiera).
En el último post de esta serie veremos los problemas concretos de Meta para hacerlo con Instagram y Facebook.
Al lío:
La semana pasada vimos por qué el TJUE (Caso 102/20) considera que los anuncios que nos muestra nuestra plataforma favorita entre todo esos posts, fotos o vídeos, son “marketing directo” o “mercadotecnia directa” a los efectos de la LSSI y el RGPD.
Y vimos que este marketing tiene sus normas particulares dependiendo de que se haga llegar por vía postal, telefónica, o correo electrónico.
El meollo viene hoy, me temo que lo de la semana pasada era necesario.
Mis disculpas.
¿Qué tiene que decir el RGPD cuando la publicidad es personalizada y el canal de distribución son anuncios incrustados en sitios cerrados sólo a tu alcance como tus redes sociales favoritas…?
La respuesta a esta pregunta puede responder también a…
¿Por qué (ejem, entre otras cosas) Zuckerberg no ha abierto su servicio Threads en la Unión Europea?
¿Será legal cobrar por un Facebook o un Instagram sin publi personalizada?
¿Qué pasa con ¡Oh! esos mensajes directos de bots macizas en twitter, comerciales pesaos en linkedin, publi en apps en tu móvil o glups, juegos en tu cuenta de Steam?
Indice
- Problemas en general de la Publicidad personalizada
- Primero: lo que tú quieres ver no son precisamente esos anuncios
- Segundo: El RGPD consagra un derecho de oposición incondicional frente a la publi personalizada (mercadotecnia directa)
- El pecado original del vampiro de datos
- El caso TikTok
- ¿Qué base legal del RGPD puedes usar para legitimar la publi personalizada?
- Primera: La opción “páharo” (Twitter): Derecho de oposición sólo a la turra, no a chupar sangre
- Segunda: Opción ensalada mixta: interés legítimo para chupar sangre y pay or okay para la turra
- Tercera: La estrategia de la tortilla de patata
- Conclusión general
- Postdata
Problemas en general de la Publicidad personalizada
Todos los anuncios que cumplan los requisitos de «marketing directo» que vimos la semana pasada en la sentencia 102/20 del TJUE tienen que cumplir, conjuntamente la LSSI y el RGPD. Para simplificar, nos olvidaremos de la publicidad contextual.
¿Entonces? Recordemos dos cosas importantes y archisabidas que aplican aquí:
Primero: lo que tú quieres ver no son precisamente esos anuncios
Por eso el EDPB en su decisión vinculante publicada en enero de 2023 dejó claro que el modelo de negocio de Meta (vigilancia del usuario para vender publicidad personalizada) no podía legitimarse en el contrato (los términos y condiciones de uso de Instagram, Facebook) que el Usuario firmaba con la plataforma.
Su contrato sólo legitima a Meta para tratar los datos y contenidos que los usuarios comparten entre sí.
Llamaremos a esto “quid pro quo”.
(Si te gusta el cine, recordarás que Hannibal Lecter sólo ayudaba a Clarice Starling (Jodie Foster) en su investigación sobre el asesino, sobre la base de un contrato (“quid pro quo”) si a cambio ella le contaba a él sus cosas de la infancia: corderos y tal).
El Doctor Lecter también era muy dado a tratamientos fuera de ese contrato, como bien sabe el carcelero al que le come media cara.
Pero a lo que íbamos: Meta necesita otra base legal aparte para vigilarte (“chupar sangre”, como el vampiro que es) y mostrarte publi personalizada “darte la turra”.
Segundo: El RGPD consagra un derecho de oposición incondicional frente a la publi personalizada (mercadotecnia directa)
¿Qué quiere decir esto? Que gracias al RGPD, puedes decir «déjame de turras», «no más publi».
Este derecho es la base de la Lista Robinson.
Más: la Publi personalizada es hermana siamesa del previo profiling. Sin profiling no puede personalizarse. Por eso el RGPD te da el derecho de bloquear (i) las dos cosas a la vez y (ii) sin alegar causa alguna. Eso sí, sólo cuando están basadas en interés legítimo.
Los trénicos y hespezialistas pinchen aquí para recordar el texto del art 21 RGPD.
Los demás, tendrán que fiarse de mi interpretación. Que es esta:
- Para poder hacer marketing directo, tienes que haber espiado en mayor o menor medida a tu objetivo. Por eso el derecho de oposición al marketing directo incluye no sólo (i) el bombardeo de mensajes, sino también (ii) el espionaje previo.
- Cuando el interesado se opone, el responsable de tratamiento debe interrumpir los dos tratamientos: (i) bombardeo, pero también el (ii) espionaje o profiling previos que lo hacen posible.
- En el contexto de la LSSI, el interesado podrá utilizar medios automatizados homologados. El legislador está pensando en protocolos tipo “Do not track”.
El pecado original del vampiro de datos
El 21 RGPD subraya el pecado original del modelo de negocio de las redes sociales hegemónicas (Facebook, Instagram, Twitter) y que se ha contagiado a casi cualquier novedad tecnológica reciente: la vigilancia permanente del usuario para extraer y monetizar sus datos mediante publicidad personalizada.
Para perfilarte e impactarte con publi personalizada (o para chuparte la sangre y darte la turra) Meta, Twitter o quien sea, necesita o bien tu consentimiento (que puedes revocar) o bien alegar un interés legítimo (al que te puedes oponer, en este caso sin alegar causa alguna).
Y esto vale para cualquier otra plataforma o empresa que quiera hacer marketing directo online.
El caso TikTok
Ahora mismo, TikTok está en el filo de la navaja: le han sancionado por bombardear con publicidad personalizada a menores de edad. ¿Por qué no le han zumbado por falta de base legal en general? Ni idea, acaso porque el foco de la denuncia era otro.
¿Podrían sancionarle igual que a Meta? Por supuesto: incurre hoy en los mismos vicios que Meta ayer.
TikTok no permite a sus usuarios oponerse a su publicidad personalizada.
Y sólo permite elegir un feed cronológico (no algorítmico) de los vídeos de las cuentas a las que sigues desde la entrada en vigor de la Data Services Act.
TikTok valoró durante el 22 pasarse al interés legítimo para legitimar su publicidad (como sí hizo Meta), pero al final no lo hizo.
Hoy está valorando cobrar por no mostrar publi personalizada, como Meta.
Entonces…
¿Qué base legal del RGPD puedes usar para legitimar la publi personalizada?
Prometo que es la última vez que lo repito: el contrato sólo cubre los tratamientos de datos necesarios del usuario en su manejo natural de la plataforma: (subir, compartir sus contenidos, acceder y ver los de otros, dar like, y esas cosas).
Entonces el profiling (chupar sangre: retener la información sobre lo que ves, te gusta, compartes, no te gusta, dónde estás y con quién cuando lo haces, etc…) necesita otra base.
Sólo me se ocurren tres opciones:
Primera: La opción “páharo” (Twitter): Derecho de oposición sólo a la turra, no a chupar sangre
Meta podría hacer lo que ha hecho Twitter desde siempre: separar el tratamiento “mostrar publi personalizada” y el profiling previo.
- Legitimar el profiling por interés legítimo (y el usuario puede oponerse).
- Someter la publi a consentimiento (pero si no consientes, pagas).
¿Cómo haría esto Meta en la práctica? No hay mucho que imaginar: Meta se pasó al interés legítimo (a su manera) en julio de este año y la cosa, explicada con el mismo esquema sería esta:
Pero en la práctica Meta ni reconoce el derecho de oposición incondicional, ni lo pone fácil en general para oponerse: tiene montado un auténtico laberinto, lleno de trabas, trámites y advertencias aterradoras que el usuario debe enfrentar para ejercer su derecho de oposición.
Y seguramente respondería diciendo que no atiende el derecho porque tiene “intereses imperiosos” (erm, seguir ganado pastaza) que lo justifican. Esto es lo que se deduce -de sus nada tranquilizadores textos- que hará ante cualquier oposición.
La Autoridad Noruega hizo este verano un estupendo análisis de todos los incumplimientos de Meta en relación con su versión del interés legítimo. Y con base en ese análisis y en la decisión previa del TJUE, le ordenó interrumpir los tratamientos de profiling y turra sobre los ciudadanos noruegos y (esto es lo divertido) una multa de casi 100.000 dólares por cada día que la incumpliera.
¿Recuerdan la sentencia del post de la semana pasada? La saqué de esta resolución.
Segunda: Opción ensalada mixta: interés legítimo para chupar sangre y pay or okay para la turra
Meta podría implementar su ideaca con una fórmula mixta de interés legítimo y «consiente o paga». Sería tal que asín:
Aquí estoy pensando en que Meta gestionara el profiling basado en interés legítimo del mismo modo en que lo hace hoy (con los incumplimientos que acabo de señalar, because why not, como hacen siempre). Y condicionara el impacto efectivo de publi personalizada a tu consentimiento (salvo pago de los 10 floros mensuales).
Este planteamiento incumpliría frontalmente el art 21, que dice –como veíamos antes- que tienes derecho de oposición incondicional: sin alegar causa alguna, pero recuerden: estamos hablando de Meta.
En relación con la publi personalizada, el interesado siempre va a poder revocar su consentimiento, pero entonces tendría que pagar.
Nótese que esta opción podría funcionar, pero requiere un approach serio en la gestión del interés legítimo.
Tercera: La estrategia de la tortilla de patata
Pero a Zuckerberg ya nos le conocemos. Si abre el melón de pedir dinero a cambio de cumplir la ley, mi apuesta es que pedirá el consentimiento en bloque para los dos tratamientos.
Y es que Zuckie es un mago que siempre hace el mismo truco: Quiere que todo el mundo discuta sobre si la tortilla de patata lleva o no cebolla (ahora mismo: sobre si es o no lícito cobrar) cuando el tema siempre ha sido que nunca ha dejado de rompernos los huevos privatísticos.
Por eso creo que hará un pack con los dos tratamientos (profiling y publi) y los someterá en bloque al consentimiento del usuario.
Y quien no quiera consentirlos tendrá que pagar. Esto pintaría así:
Y ya estaría.
Conclusión general
Estas son las opciones que el RGPD prevé para legitimar estos tratamientos, pero no sólo para Meta, sino también:
- para TikTok o cualquier otra red social como Twitter, Threads, o la que quieran.
- Los paywalls de publicidad de periódicos, u otras plataformas con un modelo freemium de acceso a sus contenidos.
- Cualquier otro esquema comercial (apps o juegos «gratuitos») que se soporten comercialmente en anuncios personalizados y mostrados en espacios cerrados reservados a los que el usuario acceda mediante login y contraseña.
Postdata
Si este post te suena raro es porque todo esto es ampliamente incumplido:
- El «mundo adtech» se limita a cumplir -en el mejor de los casos- la Directiva Eprivacy. El cumplimiento del RGPD ni está ni se le espera. Sería una risa que la AEPD empezara a sancionar los incumplimientos en materia de cookies, no sólo con las sanciones de la LSSI (obligación de consentimiento) sino con las del RGPD.
No en vano a través de las cookies y tecnologías de fin análogo se tratan datos, y el EDPB se ha hartado a declarar que ambas normas se aplican conjuntamente.
Es posible que nadie haya hecho la denuncia correcta.
- Cuando los interesados son niños, el panorama es desolador. Baste por hoy reiterar lo que llevamos clamando mucho tiempo: los centros privados y nuestras autoridades públicas han dimitido en favor de la BigTech y muchos de nuestros hijos trabajan en el ámbito académico y se comunican con sus centros a través de plataformas educativas casi siempre de Google o Microsoft.
Como buenos vampiros, su compromiso empieza y termina en no bombardearles (aún) con publicidad personalizada. Pero que nadie dude que están perfilándoles y aprendiendo todo lo posible de ellos. Hasta su mayoría de edad.
Los meses sin R no se marisca, porque así los centollos te los comes cuando están más llenitos.
Y hasta aquí.
Remataré esta serie de posts con las ocho razones por las que deberían denegarle a Meta su propuesta de pay or okay.
Jorge Garcia Herrero
Abogado y Delegado de protección de datos