RGPD: El Tribunal de Justicia de la UE replantea la personalización publicitaria de Meta

En una sentencia, el Tribunal de Justicia de la Unión Europea se pronunció tanto sobre el tratamiento de datos sensibles con fines de personalización de contenidos como sobre la competencia de una autoridad de competencia en la aplicación del RGPD. En ambos casos, los argumentos de Meta no convencieron.

“El día de la debacle del RGPD para Meta”, así ha saludado Max Schrems, presidente de Noyb, la sentencia de hoy del Tribunal de Justicia de la Unión Europea (TJUE). El caso se remonta a 2019 cuando la Oficina Federal de Cárteles investigó las actividades de Facebook al observar que las violaciones de la privacidad deben tratarse como un abuso de una posición dominante. En su orden, el regulador había pedido a Facebook que dejara de combinar datos de usuarios de sus diversos servicios (WhatsApp e Instagram) sin su consentimiento. La firma estadounidense había intentado bloquear esta orden ante los tribunales. Este último recurrió al TJUE para que tuviera luz jurídica sobre determinados argumentos de Meta.

Una autoridad de competencia puede verificar el cumplimiento de GDPR

La red social argumentó que la autoridad de competencia alemana no era competente para monitorear el cumplimiento del procesamiento de datos con el RGPD en el contexto de una investigación por abuso de posición dominante. Para el Tribunal, esta posibilidad “puede resultar necesaria” y otorga el derecho al regulador “a examinar también la conformidad de la conducta de esta empresa con normas distintas a las relativas al derecho de la competencia, como las reglas del RGPD”. Esto abre la posibilidad de litigios adicionales sobre el RGPD en el aspecto de la ley de competencia.

El tribunal tiene algunas reservas sobre esta jurisdicción. El regulador de la competencia no debe “reemplazar a las autoridades de control establecidas por este reglamento”. Aboga por la consulta y cooperación entre las diferentes autoridades (competencia y protección de datos personales). Finalmente, la autoridad de competencia debe verificar que “el comportamiento o actitud similar ya haya sido objeto de una decisión de la autoridad de control competente o del Tribunal”. Entonces ella no puede escapar de eso.

Falta de consentimiento para superperfiles

La otra parte del fallo se relaciona específicamente con el «superperfilado» realizado por Meta al combinar datos de usuarios recopilados dentro y fuera de Facebook. Como siempre en estas circunstancias, el tema del consentimiento está en el centro de las discusiones, particularmente en los llamados datos sensibles. Y la Corte advierte en este caso que estos últimos se caracterizan, porque “son susceptibles de revelar, entre otras cosas, el origen racial o étnico, las opiniones políticas, las creencias religiosas o la orientación sexual”. El tratamiento de estos datos está en principio prohibido por el RGPD, pero el TJUE remite la valoración a los tribunales nacionales.

La Corte desestima varios argumentos de Meta sobre la justificación del tratamiento de datos sensibles. “El mero hecho de que un usuario consulte sitios web o aplicaciones no significa que haga públicos sus datos de forma evidente”. Por lo tanto, no existe una presunción de consentimiento por defecto. Lo mismo se aplica cuando el usuario “inserta datos en dicho sitio o aplicación” o “activa botones de selección”, a menos que “haya dejado clara su elección de antemano”. Finalmente sobre el consentimiento de datos no sensibles, Max Schrems resume en un mensaje la posición del Tribunal “en lugar de tener una opción ‘sí/no’ para anuncios personalizados, simplemente trasladaron la cláusula de consentimiento en los términos y condiciones generales. Esto no solo es injusto, también es claramente ilegal”. Ahora queda por conocer la reacción de Meta tras esta sentencia.

Deja un comentario