Una controversia sobre publicidad microdirigida que ha implicado a legisladores de la Unión Europea en prácticas hostiles a la privacidad prohibidas por leyes en las que participaron es objeto de una nueva queja por parte de una organización sin fines de lucro que defiende los derechos de la privacidad, noyb.
La denuncia contra la Dirección General de Migración y Asuntos de Interior de la Comisión de la UE se presenta hoy ante el Supervisor Europeo de Protección de Datos (SEPD), que supervisa el cumplimiento de las instituciones de la UE con las leyes de protección de datos del bloque.
noyb acusa a la Comisión de “microfocalización ilegal” en X (Twitter) en relación con una propuesta legislativa de la Comisión destinada a combatir el abuso sexual infantil.
Dice que también está considerando presentar una queja contra X por proporcionar herramientas que permitieron al personal de la UE orientar anuncios utilizando categorías relacionadas con opiniones políticas y creencias religiosas, información que se conoce como datos de “categoría especial” según el Reglamento General de Protección de Datos (GDPR) del bloque. Estas categorías sensibles de datos personales requieren el consentimiento explícito de las personas para su procesamiento y no está claro que se haya obtenido el permiso individual de todos los usuarios cuyos datos fueron procesados de esta manera (ya sea por X o por la Comisión) antes de que los anuncios estuvieran dirigidos a los usuarios de la plataforma de microblogging.
«Actualmente estamos considerando presentar una queja contra X, ya que la compañía y la Comisión de la UE son controladores conjuntos de la campaña publicitaria en cuestión», dijo un portavoz de noyb a TechCrunch. «La denuncia contra X probablemente se presentaría ante una autoridad nacional de control, como la autoridad holandesa de protección de datos… Informaremos al SEPD si se toma esta medida».
El uso de datos personales confidenciales con fines de orientación publicitaria también está prohibido según el reglamento digital recientemente reiniciado del bloque, la Ley de Servicios Digitales (DSA).
Las multas por infracciones del RGPD pueden alcanzar hasta el 4% de la facturación anual global, mientras que las infracciones de la DSA pueden alcanzar hasta el 6% de la misma. (Irónicamente, la Comisión es responsable de supervisar el cumplimiento de la DSA de X, por lo que, si noyb sigue adelante con una queja contra la empresa de tecnología, podría, en teoría, llevar a que la UE multe a X por aceptar sus propios anuncios… 🙈)
noyb apoya a un denunciante holandés que, según dice, vio una publicación en X de la división de Asuntos Interiores de la Comisión (que todavía está disponible en la plataforma en el momento de escribir este artículo) que afirma que el 95% de los holandeses supuestamente dijeron que la detección del abuso infantil en línea es más importante o tan importante como su derecho a la privacidad en línea.
Los detalles de orientación asociados con la campaña publicitaria de la Comisión están disponibles a través de herramientas de transparencia publicitaria pública que la DSA requiere que proporcionen plataformas como X. Entonces, en cierto modo, la queja de Noyb muestra que las leyes de transparencia de la UE están funcionando.
noyb también argumenta que la estadística en el controvertido anuncio es “engañosa”, citando informes de los medios que sugieren que los datos se basan únicamente en encuestas de opinión realizadas por la Comisión que, según dice, no mencionan los efectos negativos del escaneo de mensajes propuesto.
«Si bien la publicidad en línea no es ilegal per se, la Comisión de la UE apuntó a los usuarios basándose en sus opiniones políticas y creencias religiosas», escribió noyb en un comunicado de prensa. «Específicamente, los anuncios sólo se mostraban a personas que no estaban interesadas en palabras clave como #Qatargate, brexit, Marine Le Pen, Alternative für Deutschland, Vox, Christian, Cristianfobia o Giorgia Meloni.”
No está claro por qué el personal de la Comisión seleccionó estos parámetros específicos de orientación publicitaria para la campaña. El mes pasado, el comisario a cargo de la división de Asuntos Internos afirmó repetidamente que no lo sabía.
Noyb continúa señalando que la Comisión ha expresado anteriormente su preocupación por el uso de datos personales para microfocalización, describiendo la práctica como “una grave amenaza a un proceso electoral justo y democrático”.
“Parece que la Comisión de la UE ha intentado influir en la opinión pública en países como los Países Bajos para socavar la posición del gobierno nacional en el Consejo de la UE. Tal comportamiento, especialmente en combinación con microfocalización ilegal, es una seria amenaza para el proceso legislativo de la UE y contradice completamente la intención de la Comisión de hacer la publicidad política más transparente”, dijo, haciendo referencia a otra propuesta legislativa de la UE destinada a regular la publicidad política.
“noyb solicita al SEPD que investigue a fondo este asunto de acuerdo con el RGPD de la UE”, añadió noyb. “Dada la gravedad de las violaciones y el gran número de personas afectadas, noyb También sugiere que el SEPD imponga una multa”.
En un comunicado, Maartje de Graaf, abogado de protección de datos de noyb, dijo: “Es alucinante que la Comisión de la UE no siga la ley que ayudó a institucionalizar hace apenas unos años. Además, X afirma prohibir el uso de datos confidenciales para la orientación de anuncios, pero no hace nada para hacer cumplir esta prohibición».
«La Comisión de la UE no tiene base legal para procesar datos confidenciales para publicidad dirigida en X. Nadie está por encima de la ley, y la Comisión de la UE no es una excepción», añadió Felix Mikolasch, otro abogado de protección de datos de noyb, en una segunda declaración de apoyo.
El grupo de privacidad es probablemente mejor conocido por una serie de quejas estratégicas contra gigantes de la tecnología publicitaria como Meta, donde noyb ha anotado una serie de desafíos exitosos en los últimos años. Pero esta vez su objetivo es criticar a la Comisión Europea, acusando al órgano ejecutivo del bloque de aprovechar las herramientas de orientación de la tecnología publicitaria de una manera que infringe los derechos de los ciudadanos.
Como informamos el mes pasado, la controversia sobre los anuncios de microtargeting surgió después de que los usuarios de la web detectaran anuncios que la división de Asuntos Internos de la Comisión estaba publicando en X en un intento por conseguir apoyo para la (también controvertida) propuesta legislativa de escaneo de CSAM.
El borrador de la propuesta CSAM de la Comisión contiene poderes que podrían llevar a que se ordene a las plataformas de mensajería escanear el contenido de las misivas de todos los usuarios para detectar material de abuso sexual infantil, incluso en los casos en que el contenido de los mensajes esté cifrado de extremo a extremo (E2EE).
Es una propuesta enormemente controvertida que ha sido criticada por expertos jurídicos, investigadores de privacidad y seguridad, grupos de la sociedad civil y el SEPD, entre otros, por temor a que impulse a las plataformas a aplicar vigilancia masiva a los ciudadanos europeos y socave la seguridad de E2EE al obligar a las empresas a recibió órdenes de detección para implementar el escaneo del lado del cliente.
Los legisladores de la UE en el Parlamento Europeo se han unido en oposición a la propuesta de escaneo CSAM de la Comisión y recientemente sugirieron un enfoque alternativo que eliminaría el polémico escaneo. Los eurodiputados defienden su propuesta, que limitaría la orden de detección de CSAM a personas o grupos sospechosos de abuso sexual infantil; y solo permitir el escaneo CSAM en plataformas que no sean E2EE (entre una serie de revisiones sugeridas), sería más efectivo para combatir el abuso sexual infantil y al mismo tiempo sería respetuoso de las libertades que los ciudadanos de las naciones democráticas tienen derecho a esperar.
No está claro dónde terminará el expediente CSAM, ya que el protocolo de la UE requiere negociaciones entre los colegisladores de la UE en el Consejo, y la Comisión también participa en estas llamadas conversaciones tripartitas que tienen como objetivo llegar a un acuerdo sobre un texto final.
Pero, mientras tanto, el ejecutivo de la UE enfrenta preguntas incómodas sobre los métodos utilizados por el personal para promover su propuesta. Y, el mes pasado, admitió que había abierto una investigación para determinar si se había infringido alguna regla como resultado de la campaña publicitaria microdirigida en X.
En una audiencia en el Parlamento Europeo el mes pasado, Yla Johansson, comisaria de Asuntos Internos del bloque, responsable de la propuesta de escaneo de CSAM, defendió la campaña publicitaria que, según dijo, había llevado a cabo su oficina, afirmando que era una práctica normal que el bloque utilizara herramientas de publicidad digital para promover sus proyectos de ley. Sin embargo, admitió que era correcto que el bloque investigara si hubo incumplimiento de las reglas.
Pero con la investigación interna la Comisión se propone esencialmente hacer sus propios deberes. Por eso parece importante la denuncia de Noyb ante el SEPD, que podría dar lugar a que su supervisor de datos inicie una investigación externa.
El SEPD tiene poderes para sancionar a las instituciones de la UE, incluida la Comisión, si confirma violaciones de las normas. Estos poderes incluyen la capacidad de imponer multas. También puede aplicar poderes de investigación y correctivos, como emitir órdenes para que las operaciones cumplan con el RGPD, o imponer una prohibición de procesamiento.
El daño a la reputación si se descubre que la UE incumple sus normas probablemente también sería un fuerte elemento disuasivo contra cualquier tentación futura de recurrir a herramientas de focalización de comportamientos hostiles a los derechos humanos para impulsar su agenda legislativa.
Cuando se le pidió una actualización sobre la investigación interna de la Comisión sobre los anuncios, un portavoz dijo a TechCrunch:
Tenemos conocimiento de informes sobre una campaña realizada por los servicios de la Comisión en la plataforma X. Actualmente estamos llevando a cabo una revisión exhaustiva de esta campaña. Como reguladores, la Comisión es responsable de tomar las medidas apropiadas para garantizar el cumplimiento de estas reglas por parte de todas las plataformas. Internamente, proporcionamos orientación actualizada periódicamente para garantizar que nuestros administradores de redes sociales estén familiarizados con las nuevas reglas y que los contratistas externos también las apliquen en su totalidad.
La Comisión no proporcionó ningún detalle sobre el plazo para concluir su investigación interna.