Casi dos docenas de grupos de la sociedad civil y organizaciones sin fines de lucro han escrito una carta abierta al Consejo Europeo de Protección de Datos (EDPB), instándolo a no respaldar una estrategia utilizada por Meta que, según dicen, pretende eludir las protecciones de privacidad de la UE para obtener ganancias comerciales.
La carta llega antes de una reunión del CEPD esta semana en la que se espera que produzca orientación sobre una táctica controvertida utilizada por Meta que obliga a los usuarios de Facebook e Instagram a dar su consentimiento para su seguimiento.
Muchos de los firmantes, entre los que se incluyen empresas como EDRi, Access Now, noyb y Wikimedia Europe, firmaron una carta abierta similar al CEPD en febrero. Pero se espera que la Junta adopte una opinión sobre “consentimiento o pago” (es decir, “pagar o aceptar”) tan pronto como este miércoles, por lo que esta es probablemente la última oportunidad para que los grupos de derechos humanos influyan en los corazones y las mentes sobre un tema que advierten. es “fundamental” para el futuro de la protección de datos y la privacidad en Europa.
“Mientras se preparan para dar forma a las directrices sobre el modelo ‘Consentimiento o pago’, les instamos a que se abstengan de respaldar una estrategia que es simplemente un esfuerzo para eludir las regulaciones de protección de datos de la UE en aras de una ventaja comercial, y a abogar por protecciones sólidas que priorizar la agencia de los interesados y el control sobre su información”, se lee en la carta abierta. “Hacer hincapié en la necesidad de una elección genuina y un consentimiento significativo se alinea con los principios fundamentales de la legislación de protección de datos, el contexto más amplio de todas las sentencias relevantes del TJUE y sirve para defender los derechos fundamentales de las personas en todo el EEE. [European Economic Area]”, continuó.
El portavoz de Meta, Matthew Pollard, dijo en un comunicado enviado por correo electrónico que la oferta de la compañía, a la que llama “Suscripción sin publicidad”, cumple con las leyes de la UE: “La ‘Suscripción sin publicidad’ aborda los últimos desarrollos regulatorios, orientaciones y juicios compartidos por las principales empresas europeas. reguladores y tribunales en los últimos años. Específicamente, se ajusta a la dirección dada por el tribunal más alto de Europa: en julio, el Tribunal de Justicia de la Unión Europea (TJUE) respaldó el modelo de suscripciones como una forma para que las personas den su consentimiento al procesamiento de datos para publicidad personalizada”.
Se han presentado una serie de quejas contra la implementación por parte de Meta de la táctica de pago o consentimiento desde que lanzó la oferta de suscripción «sin publicidad» el otoño pasado. Además, en un paso notable el mes pasado, la Unión Europea abrió una investigación formal sobre la táctica de Meta, buscando determinar si viola las obligaciones que se aplican a Facebook e Instagram bajo la Ley de Mercados Digitales (DMA, por sus siglas en inglés) centrada en la competencia. Esa investigación sigue en curso.
La UE también cuestionó recientemente a Meta sobre el “consentimiento o pago” utilizando sus poderes de supervisión que le permiten monitorear el cumplimiento de las plataformas más grandes con la Ley de Servicios Digitales (DSA), una regulación hermana de la DMA, que también se aplica a las redes sociales de Meta, Facebook y Instagram.
Se espera que la opinión de la Junta sobre “consentimiento o pago” brinde orientación sobre cómo se debe aplicar el Reglamento General de Protección de Datos (GDPR) de la UE en esta área. Sin embargo, también parece relevante para la DMA, ya que la nueva ley de disputabilidad del mercado se basa en el marco de protección de datos del bloque, refiriéndose a conceptos establecidos en el GDPR, como el consentimiento.
Esto significa que la orientación del CEPD, un órgano directivo centrado en el RGPD, sobre cómo (o, de hecho, si) los modelos de “consentimiento o pago” pueden cumplir con las normas de protección de datos de la UE probablemente tenga una importancia más amplia para determinar si el mecanismo se considera finalmente compatible. por la Comisión en su evaluación del enfoque de Meta respecto de la DMA.
Vale la pena señalar que la opinión de la Junta analizará el “consentimiento o pago” en general, en lugar de investigar específicamente el despliegue de Meta. Meta tampoco es el único proveedor de servicios que presiona a los usuarios a “consentir o pagar”. En realidad, la táctica fue iniciada por un puñado de editores de noticias europeos.
No obstante, es probable que tenga importantes implicaciones para el gigante de las redes sociales. Podría hacer que a Meta le resulte más difícil afirmar que su táctica de suscripción cumple con el RGPD o, si el CEPD termina respaldando un modelo controvertido en el que los usuarios tienen que pagar para obtener sus derechos, los corchos de champán seguramente explotarán en 1 Hacker Way. mientras Meta prevalece sobre la privacidad de los europeos.
Los grupos de derechos humanos detrás de la carta abierta dicen que escribir dos cartas sobre este tema con unas pocas semanas de diferencia refleja “una aprensión generalizada sobre las consecuencias” de que los reguladores de privacidad aprueben “consentimiento o pago”.
El grupo de derechos de privacidad, noyb, y otros han advertido que una luz verde para la táctica abrirá las compuertas a aplicaciones de todo tipo para aprovechar la coerción económica para obligar a los usuarios a ser rastreados, destruyendo elementos clave del emblemático régimen de protección de datos de la UE.
La carta señala las preocupaciones expresadas por la Comisión tras la apertura de una investigación de la DMA sobre el uso de “consentimiento o pago” por parte de Meta, en la que la UE citó dudas de que “la elección binaria impuesta por el modelo de ‘pago o consentimiento’ de Meta puede no proporcionar una alternativa real en caso de que los usuarios no den su consentimiento”, y podría, por tanto, dar lugar a una acumulación continua de datos personales y a la pérdida de privacidad de los usuarios.
La carta sostiene que el pago basado en el modelo de “consentimiento o pago” “podría considerarse una degradación de las condiciones del servicio”, lo que sugiere que viola el artículo 13(6) de la DMA. Esa sección «corresponde al principio de equidad según el artículo 5(1)(a) del RGPD».
«Dado que ambas leyes se refieren al artículo 4(11) del RGPD, esto subraya la necesidad apremiante de proteger el consentimiento libremente otorgado de manera consistente en el contexto de la DMA y del RGPD», se lee en la carta.
La carta señala además que la Comisión ha expresado dudas de que el consentimiento o el pago sean “una alternativa creíble al seguimiento”, en relación con los esfuerzos para alentar a las empresas a simplificar los flujos de consentimiento de cookies (también conocido como el “Compromiso de Cookies”) debido a los “extremadamente limitados” Número de consumidores que aceptan pagar en función de la cantidad de aplicaciones y sitios web diferentes que pueden utilizar cada día.
También señala que la respuesta del CEPD a la propuesta de Cookie Pledge de la Comisión contenía lo que ellos presentan como una aclaración «de que esta opción ‘menos intrusiva’ debería ofrecerse de forma gratuita».
«Esta insistencia en la elección genuina del usuario subraya el principio fundamental de que el consentimiento debe otorgarse libremente», continúa. “Sin embargo, el modelo actual de ‘Consentimiento o pago’ establece una dinámica coercitiva que deja a los usuarios sin una opción real. La aceptación continua de este modelo socava los principios fundamentales del consentimiento y perpetúa un sistema que prioriza los intereses comerciales sobre los derechos individuales”.
Una portavoz de la Junta confirmó que había recibido “varias cartas” de organizaciones de la sociedad civil sobre este tema. También nos dijo que la opinión sobre “consentimiento o pago” “se refiere a una cuestión de aplicación general y no analiza empresas específicas”, y enfatizó además: “El CEPD sólo examinará este asunto desde una perspectiva de protección de datos”.
“El dictamen abordará el uso de consentimiento o modelos de pago por parte de grandes plataformas en línea con fines de publicidad comportamental. Más adelante se adoptarán orientaciones más generales sobre el consentimiento o los modelos de pago”, añadió, afirmando que si se adopta una opinión el miércoles, aún quedaría trabajo administrativo por hacer antes de que pueda hacerse pública, y se negó a confirmar una fecha de publicación. con anticipación.
Este informe se actualizó después de que el CEPD respondiera a nuestra solicitud de comentarios y aclaraciones.