La Comisión de Protección de Datos (DPC) ha anunciado hoy la conclusión de dos investigaciones sobre las operaciones de procesamiento de datos de Meta Platforms Ireland Limited («Meta Ireland») en relación con la prestación de sus servicios de Facebook e Instagram. (Meta Ireland se conocía anteriormente como Facebook Ireland Limited).
La DPC ha tomado decisiones finales en las que ha multado a Meta Ireland con 210 millones de euros (por infracciones del RGPD en relación con su servicio Facebook) y 180 millones de euros (por infracciones en relación con su servicio Instagram).
También se ha ordenado a Meta Ireland que cumpla con sus operaciones de procesamiento de datos en un período de 3 meses.
Las investigaciones se referían a dos quejas sobre los servicios de Facebook e Instagram, cada una de las cuales planteaba las mismas cuestiones básicas. Una denuncia fue presentada por un interesado austriaco (en relación con Facebook); el otro fue realizado por un interesado belga (en relación con Instagram).
Las denuncias se presentaron el 25 de mayo de 2018, fecha en la que entró en vigor el RGPD.
Antes del 25 de mayo de 2018, Meta Ireland había cambiado los Términos de servicio de sus servicios de Facebook e Instagram. También señaló que estaba cambiando la base legal en la que se basa para legitimar el procesamiento de los datos personales de los usuarios. (Según el artículo 6 del RGPD, el procesamiento de datos es legal solo si y en la medida en que cumpla con una de las seis bases legales identificadas). Tras haber confiado anteriormente en el consentimiento de los usuarios para el procesamiento de sus datos personales en el contexto de la prestación de los servicios de Facebook e Instagram (incluida la publicidad comportamental), Meta Ireland ahora intentó basarse en la base jurídica del «contrato» para la mayoría (pero no todas) de sus operaciones de procesamiento.
Si deseaban seguir teniendo acceso a los servicios de Facebook e Instagram tras la introducción del RGPD, se pedía a los usuarios existentes (y nuevos) que hicieran clic en «Acepto» para indicar su aceptación de los Términos de servicio actualizados. (Los servicios no serían accesibles si los usuarios se negaran a hacerlo).
Meta Ireland consideró que, al aceptar las Condiciones de Servicio actualizadas, se celebró un contrato entre Meta Ireland y el usuario. También consideró que el tratamiento de los datos de los usuarios en relación con la prestación de sus servicios de Facebook e Instagram era necesario para la ejecución de dicho contrato, incluyendo la prestación de servicios personalizados y publicidad comportamental, de modo que tales operaciones de tratamiento eran legales por referencia al artículo 6(1)(b) del RGPD (la base jurídica del “contrato” para el procesamiento).
Los denunciantes sostuvieron que, contrariamente a la posición declarada por Meta Ireland, Meta Ireland de hecho todavía buscaba basarse en el consentimiento para proporcionar una base legal para el procesamiento de los datos de los usuarios. Argumentaron que, al condicionar la accesibilidad de sus servicios a que los usuarios aceptaran los Términos de servicio actualizados, Meta Ireland en realidad los estaba «obligando» a dar su consentimiento al procesamiento de sus datos personales para publicidad comportamental y otros servicios personalizados. Los denunciantes argumentaron que esto violaba el RGPD.
Tras investigaciones exhaustivas, la DPC preparó proyectos de decisión en los que formulaba una serie de conclusiones contra Meta Ireland. En particular, encontró que:
- 1. En incumplimiento de sus obligaciones en materia de transparencia, la información relativa a la base jurídica invocada por Meta Ireland no se explicó claramente a los usuarios, por lo que los usuarios no tenían suficiente claridad sobre qué operaciones de tratamiento se estaban llevando a cabo en su datos personales, con qué finalidad(es) y con referencia a cuál de las seis bases jurídicas identificadas en el artículo 6 del RGPD. La DPC consideró que la falta de transparencia en cuestiones tan fundamentales contravenía los artículos 12 y 13, apartado 1, letra c) del RGPD. También consideró que equivalía a una violación del artículo 5(1)(a), que consagra el principio de que los datos personales de los usuarios deben procesarse de manera legal, justa y transparente. La DPC propuso multas muy sustanciales a Meta Ireland en relación con el incumplimiento de estas disposiciones y le ordenó que cumpliera sus operaciones de procesamiento en un período de tiempo breve y definido.
- 2. En circunstancias en las que encontró que Meta Ireland, de hecho, no confió en el consentimiento de los usuarios como base legal para el procesamiento de sus datos personales, el aspecto de «consentimiento forzado» de las quejas no pudo sostenerse. A partir de ahí, la DPC pasó a considerar que el recurso de Meta Ireland al “contrato” proporciona una base legal para el procesamiento de los datos personales de los usuarios en relación con la prestación de sus servicios personalizados (incluida la publicidad personalizada). En este caso, la DPC concluyó que Meta Ireland no estaba obligada a depender del consentimiento; En principio, el RGPD no impedía que Meta Ireland se basara en la base jurídica del contrato.
Según un procedimiento establecido por el RGPD, los proyectos de decisiones preparados por la DPC se presentaron a sus reguladores pares en la UE/EEE, también conocidos como Autoridades Supervisoras Concernidas (“CSA”).
Sobre la cuestión de si Meta Ireland había actuado en contra de sus obligaciones de transparencia, las CSA estuvieron de acuerdo con las decisiones de la DPC, aunque consideraron que las multas propuestas por la DPC deberían aumentarse.
Diez de los 47 ASC plantearon objeciones en relación con otros elementos de los proyectos de decisión (una de las cuales fue retirada posteriormente en el caso del proyecto de decisión relativo al servicio Facebook). En particular, este subconjunto de CSA consideró que no se debería permitir a Meta Ireland basarse en la base jurídica del contrato con el argumento de que la entrega de publicidad personalizada (como parte del conjunto más amplio de servicios personalizados ofrecidos como parte de Facebook y No se puede decir que los servicios de Instagram) sean necesarios para realizar los elementos centrales de lo que se dijo que era una forma de contrato mucho más limitada.
La DPC no estuvo de acuerdo, lo que refleja su opinión de que los servicios de Facebook e Instagram incluyen, y de hecho parecen basarse en, la prestación de un servicio personalizado que incluye publicidad personalizada o conductual. En efecto, se trata de servicios personalizados que también incluyen publicidad personalizada. En opinión de la DPC, esta realidad es fundamental para el acuerdo alcanzado entre los usuarios y el proveedor de servicios elegido, y forma parte del contrato celebrado en el momento en que los usuarios aceptan las Condiciones de Servicio.
Tras un proceso de consulta, quedó claro que no se podía llegar a un consenso. De conformidad con sus obligaciones en virtud del RGPD, el DPC remitió a continuación los puntos en disputa al Consejo Europeo de Protección de Datos (“el CEPD”).
El CEPD emitió sus determinaciones el 5 de diciembre de 2022.
Las determinaciones del CEPD rechazaron muchas de las objeciones planteadas por los ASC. También confirmaron la posición de la DPC en relación con el incumplimiento por parte de Meta Ireland de sus obligaciones de transparencia, sujeto únicamente a la inserción de un incumplimiento adicional (del principio de “equidad”) y una orden de que la DPC aumentara el monto de las multas que proponía. imponer.
El CEPD adoptó una opinión diferente sobre la cuestión de la “base jurídica” y concluyó que, como cuestión de principio, Meta Ireland no tenía derecho a basarse en la base jurídica del “contrato” como base legal para su procesamiento de datos personales para el finalidad de la publicidad comportamental.
Las decisiones finales adoptadas por la DPC el 31 de diciembre de 2022 reflejan las determinaciones vinculantes del CEPD tal como se establecen anteriormente. En consecuencia, las decisiones del DPC incluyen conclusiones de que Meta Ireland no tiene derecho a basarse en la base jurídica del «contrato» en relación con la entrega de publicidad comportamental como parte de sus servicios de Facebook e Instagram, y que su procesamiento de los datos de los usuarios hasta la fecha, al basarse supuestamente en la base jurídica del “contrato”, equivale a una infracción del artículo 6 del RGPD.
En materia de sanciones, y ante esta infracción adicional del RGPD, la DPC ha aumentado el importe de las multas administrativas impuestas a Meta Ireland hasta 210 millones de euros (en el caso de Facebook) y 180 millones de euros en el caso de Instagram. . (Los niveles revisados de estas multas también reflejan las opiniones del CEPD en relación con los incumplimientos por parte de Meta Ireland de sus obligaciones en relación con el procesamiento justo y transparente de los datos personales de los usuarios).
Se ha mantenido el requisito existente de la DPC de que Meta Ireland debe hacer que sus operaciones de procesamiento cumplan con el RGPD en un período de 3 meses.
Por otra parte, el CEPD también ha pretendido ordenar a la DPC que lleve a cabo una nueva investigación que abarcaría todas las operaciones de procesamiento de datos de Facebook e Instagram y examinaría categorías especiales de datos personales que pueden o no procesarse en el contexto de esas operaciones. Naturalmente, las decisiones de la DPC no incluyen ninguna referencia a nuevas investigaciones de todas las operaciones de procesamiento de datos de Facebook e Instagram que fueron dirigidas por el CEPD en sus decisiones vinculantes. El CEPD no tiene una función de supervisión general similar a la de los tribunales nacionales con respecto a las autoridades nacionales independientes y no está facultado para que el CEPD instruya y oriente a una autoridad para que participe en una investigación especulativa y de duración indefinida. La dirección es entonces problemática en términos jurisdiccionales y no parece coherente con la estructura de los acuerdos de cooperación y coherencia establecidos por el RGPD. En la medida en que las instrucciones puedan implicar una extralimitación por parte del CEPD, la DPC considera apropiado interponer un recurso de anulación ante el Tribunal de Justicia de la UE para solicitar la anulación de las instrucciones del CEPD.