Una medida controvertida de Meta el año pasado, cuando pasó a cobrar a los usuarios de la Unión Europea por una suscripción sin publicidad para acceder a Facebook y/o Instagram, a menos que aceptaran ser rastreados y perfilados para poder seguir publicando su anuncio de microtargeting que atrae la atención. negocio, ha desencadenado una serie de quejas de grupos de derechos del consumidor. Las quejas se presentan bajo las normas de protección de datos del bloque.
Actualmente, Meta cobra a los usuarios regionales 9,99 €/mes en la web (o 12,99 €/mes en el móvil) para optar por no ver ningún anuncio por cuenta vinculada de Facebook e Instagram. La única otra opción que tienen los usuarios de la UE si quieren acceder a Facebook e Instagram es aceptar su seguimiento, lo que significa que la oferta es: Literalmente pagar por privacidad; o ‘pagar’ por el acceso gratuito perdiendo tu privacidad.
Ocho grupos de derechos de los consumidores de toda la región están presentando quejas ante las autoridades nacionales de protección de datos contra esta opción de “consentimiento o pago”, anunció hoy la organización europea de consumidores BEUC, que es miembro y organismo coordinador de los grupos.
“Es fundamental que cualquier consentimiento proporcionado por los consumidores sea válido y cumpla con los altos estándares establecidos por la ley, que exige que dicho consentimiento sea libre, específico, informado e inequívoco. Este no es el caso con el modelo de ‘pago o consentimiento’ de Meta”, argumentan en una publicación de blog sobre la queja que continúa sugiriendo que Meta está buscando “para obligar a los consumidores a aceptar el procesamiento de sus datos personales”.
“Meta mantiene a los consumidores ignorantes sobre su procesamiento de datos, lo que hace imposible que el consumidor sepa cómo cambia el procesamiento si elige una opción u otra. La empresa tampoco demuestra que la tarifa que impone a los consumidores que no dan su consentimiento sea realmente necesaria, lo cual es un requisito estipulado por el Tribunal de Justicia de la UE”, escriben también, y añaden: “En estas circunstancias, la elección sobre La forma en que los consumidores quieren que se procesen sus datos deja de tener sentido y, por lo tanto, no es gratuita”.
Los ocho grupos de consumidores*, ubicados en la República Checa, Dinamarca, Grecia, Francia, Noruega, Eslovaquia, Eslovenia y España, argumentan que Meta no tiene una base legal válida para procesar los datos de las personas con fines de publicidad según el Reglamento General de Protección de Datos del bloque (GDPR). ) – afirmando que la empresa está procesando datos personales de una manera que es «fundamentalmente incompatible con la ley europea de protección de datos».
Específicamente, acusan a Meta de violar los principios del RGPD de limitación de finalidad, minimización de datos, procesamiento justo y transparencia.
Las sanciones por incumplimiento confirmado del reglamento pueden alcanzar hasta el 4% de la facturación anual global. Más importante aún, se puede ordenar a las empresas que detengan el procesamiento ilegal, con la posibilidad de que los reguladores reformen los modelos comerciales hostiles a la privacidad.
En un comunicado, Ursula Pachl, subdirectora general de BEUC, afirmó:
Meta ha intentado una y otra vez justificar la vigilancia comercial masiva a la que somete a sus usuarios. Su injusta elección de «pago o consentimiento» es el último esfuerzo de la empresa para legalizar su modelo de negocio. Pero la oferta de Meta a los consumidores es humo y espejos para encubrir lo que es, en esencia, la misma vieja acumulación de todo tipo de información sensible sobre la vida de las personas que luego monetiza a través de su modelo publicitario invasivo. Los modelos de negocio basados en la vigilancia plantean todo tipo de problemas según el RGPD y es hora de que las autoridades de protección de datos detengan el procesamiento injusto de datos por parte de Meta y su infracción de los derechos fundamentales de las personas.
BEUC dijo que un análisis legal que llevó a cabo con los miembros y la firma de abogados de derechos de datos, AWO, concluyó que el procesamiento por parte de Meta de los datos personales de los consumidores viola el GDPR de múltiples maneras. Además de carecer de una base válida, el análisis sugiere que parte del procesamiento de anuncios «parece basarse de manera inválida en el contrato».
El análisis también cuestiona en qué base legal se basa Meta para la personalización del contenido: encontrar que esto «no está claro» y «no hay forma de verificar» que todos los perfiles de Meta para este propósito son necesarios para el contrato relevante y son consistentes con el principio GDPR. de minimización de datos. Las mismas preguntas se adjuntan a los perfiles de Meta con fines publicitarios.
También encontró que el procesamiento de Meta en general no es consistente con los principios de transparencia y limitación de propósito, destacando una falta de transparencia, procesamiento inesperado, uso de una posición dominante para forzar el consentimiento y “cambio de bases legales de manera que frustren el ejercicio de derechos de los interesados”, que también dijo que no era compatible con el principio de equidad del RGPD.
Como hemos informado antes, la oferta egoísta de «consentimiento o tos» de Meta ya se enfrenta a una serie de otras quejas de GDPR. Incluyendo uno presentado por el grupo de derechos de privacidad noyb que se centra en el precio superior que Meta le ha puesto a la privacidad; y otro centrado en la asimetría en la elección que Meta ha ideado, lo que hace que sea muy sencillo para los usuarios aceptar su seguimiento, pero mucho más arduo proteger su privacidad, incluso si desean cambiar de opinión y retirar el consentimiento otorgado previamente.
A principios de este mes, tres APD también solicitaron que el organismo regulador de la protección de datos de la UE, el CEPD, emita una opinión sobre la legalidad del consentimiento o el pago.
Esa orientación aún está pendiente. Pero nuevas quejas -y esta acción de pinza por parte de grupos de protección al consumidor y de derechos de privacidad- podrían aumentar la presión sobre el regulador de protección de datos de la UE para que no apruebe una táctica que los activistas de privacidad han advertido durante mucho tiempo que es un intento cínico de eludir el reglamento de protección de datos del bloque para obtener ganancias comerciales.
Meta ya ha perdido la capacidad de utilizar otras bases legales que, según afirmó, autorizaban el procesamiento de sus anuncios, luego de quejas de privacidad anteriores (y un desafío de competencia). Esto significa que obtener el consentimiento de los usuarios es, básicamente, la última oportunidad para continuar operando su negocio de anuncios de seguimiento en la UE, donde la ley requiere una base legal válida para procesar los datos de las personas (el RGPD menciona seis bases legales, pero el resto no). No es relevante para un negocio de tecnología publicitaria como el de Meta).
ISi la última coerción de consentimiento de Meta falla, finalmente podría verse obligado a reformar su modelo de negocio de vigilancia. Como hemos escrito antes, hay mucho en juego: para Meta y para los usuarios web en Europa.
Las quejas de hoy no son las primeras presentadas contra el consentimiento de Meta o la táctica de pago por parte de grupos de protección al consumidor, algunos de los cuales argumentan que también está violando las reglas del bloque sobre protección al consumidor. En noviembre pasado, una acción más amplia y coordinada del sector vio a BEUC y 18 de sus grupos miembros presentar quejas contra lo que denominaron “prácticas injustas, engañosas y agresivas” por parte de Meta que, según afirman, violan las normas de protección al consumidor del bloque.
Esas denuncias fueron presentadas ante el CPC, una red regional de autoridades de protección al consumidor. Si Meta no participa en el proceso de la CPC, por ejemplo ofreciendo concesiones destinadas a remediar las quejas de los grupos, podría enfrentar acciones coercitivas por parte de los reguladores de consumidores (que están facultados para imponer multas de hasta el 4% de la facturación global).
En ese momento, BEUC dijo que también podría intentar presentar una queja de protección de datos contra la controvertida oferta de consentimiento de Meta, que es el desarrollo que estamos viendo hoy.
«Meta debe detener cualquier procesamiento ilegal de datos personales de los consumidores, incluso con fines publicitarios», escribió en un comunicado de prensa. “Todos los datos personales recopilados ilegalmente deben eliminarse. Además, si Meta desea utilizar el consentimiento de los consumidores como base legal para su procesamiento de datos, debe asegurarse de que este consentimiento sea otorgado libremente, específico, informado e inequívoco, como exige la ley.
Meta ha argumentado anteriormente que su consentimiento u oferta de pago es legal según el RGPD. Sin embargo, la publicación de su blog que defiende la controvertida táctica no menciona cómo cumple con la ley de protección al consumidor de la UE.
Aquí también hay una consideración adicional: la Comisión Europea supervisa la aplicación del cumplimiento por parte de Meta de las reglas de la Ley de Servicios Digitales (DSA) para plataformas más grandes y la Ley de Mercados Digitales (DMA), dos regulaciones paneuropeas más nuevas que estipulan que el consentimiento debe ser obtenidos para procesar datos personales con fines de orientación publicitaria. Estas regulaciones también prohíben el uso de datos personales sensibles o de menores para anuncios. Y afirma que el consentimiento debe ser tan fácil de retirar como de otorgarlo. Entonces, otra pregunta muy pertinente, con respecto al consentimiento o la oferta salarial de Meta en la UE, es ¿qué hará la Comisión?
El ejecutivo de la UE está facultado para hacer cumplir la DSA y la DMA en Meta, lo que podría incluir la emisión de órdenes correctivas. Las infracciones de la DSA también pueden dar lugar a sanciones de hasta el 6 % de la facturación anual, mientras que la DMA puede imponer multas de hasta el 10 % (o incluso más en caso de reincidencia).
Entonces, si bien las últimas quejas del RGPD del grupo de consumidores contra Meta probablemente tendrán que regresar al principal supervisor de datos del gigante tecnológico en la UE, la Comisión de Protección de Datos de Irlanda, que continúa enfrentándose a críticas por cuán débilmente aplica el RGPD en Meta y otros gigantes tecnológicos, hay otras vías en las que la elección de consentimiento de la empresa se enfrenta a un escrutinio. Y, potencialmente, también medidas coercitivas más rápidas y firmes.
*Los miembros de BEUC que presentan quejas conforme al RGPD contra Meta son: CECU, dTest, EKPIZO, Forbrugerrådet Tænk, Forbrukerrådet, Poprad, Spoločnosť ochrany spotrebiteľov (SOS), UFC-Que Choisir y Zveza Potrošnikov Slovenije (ZPS). Un noveno grupo de consumidores, Consumentenbond, con sede en los Países Bajos, no presentará ninguna queja, pero enviará una carta a la autoridad holandesa de protección de datos, según BEUC.