Enorme victoria para la privacidad: Multa récord a Facebook gracias a Max Schrems.
Meta debe pagar 1.200 millones de euros por violar el reglamento GDPR de la UE.
La nueva multa récord de 1.200 millones de euros a Facebook se ha producido gracias a dos figuras muy destacadas: Max Schrems, que demandó a Facebook hace años por transferir datos personales de ciudadanos de la UE a Estados Unidos, y Edward Snowden, que hizo público que los servicios secretos estadounidenses pueden obtener datos de servicios estadounidenses como Meta con bastante facilidad, lo que infringe el Reglamento General de Protección de Datos (RGPD) europeo.
Diez años después de las revelaciones del informante de la NSA Snowden, Facebook ha sido finalmente multada con 1.200 millones de euros por revelar potencialmente datos de ciudadanos de la UE a los servicios secretos estadounidenses: Tras la presión de la UE, la autoridad irlandesa de protección de datos (DPC) ha impuesto una multa récord de 1.200 millones de euros a la plataforma de medios sociales.
La multa impuesta por el CPD empequeñece la anterior multa récord de 746 millones de euros a Amazon, impuesta por Luxemburgo en 2022.
El motivo de la multa fue una denuncia del activista austriaco de protección de datos Max Schrems, que había exigido repetidamente consecuencias por las revelaciones de Snowden, llevando el asunto hasta el Tribunal de Justicia de la Unión Europea. Como resultado, el Tribunal ha declarado ilegal el acuerdo Privacy Shield entre EE.UU. y la UE.
Las razones para anular el Escudo de Privacidad siguen siendo válidas. El problema es que las leyes estadounidenses no protegen adecuadamente los datos de los ciudadanos europeos, ya que los programas de vigilancia en Estados Unidos no se limitan a lo estrictamente necesario.
Así pues, Meta debe detener cualquier nueva transferencia de datos personales europeos a Estados Unidos, ya que la empresa sigue estando sujeta a las leyes de vigilancia estadounidenses. El gigante tecnológico de Silicon Valley dispone de seis meses para cumplir esta sentencia.
La sentencia sólo se aplica a Facebook
Meta considera que ha sido multada injustamente y ha anunciado que recurrirá. “No se trata de las prácticas de protección de datos de una empresa: existe un conflicto legal fundamental entre las normas del gobierno estadounidense sobre acceso a los datos y los derechos europeos de protección de datos, que se espera que los responsables políticos resuelvan en verano”, afirma Facebook en un comunicado enviado al SPIEGEL.
Max Schrems, que ha fundado la organización sin ánimo de lucro NOYB para continuar su lucha por la privacidad, coincide en ese punto:“Cualquier otro gran proveedor estadounidense de servicios en la nube, como Amazon, Google o Microsoft, podría verse afectado por una sanción similar en virtud de la legislación de la UE”.
”El CPD irlandés hizo todo lo que pudo para evitar esta decisión, pero fue reprendido repetidamente por los tribunales y las instituciones europeas. Es un poco absurdo que la multa récord recaiga en Irlanda, el Estado miembro de la UE que hizo todo lo posible para garantizar que no se impusiera esta sanción”, explica Schrems.
Desde la introducción del GDPR en 2018, Meta ha visto cuatro mil millones de euros en multas impuestas por los reguladores de la UE.
Entre las diez empresas con las multas más altas basadas en el GDPR, Meta ahora está representada seis veces, un récord negativo.
Las 10 mayores multas del GDPR hasta la fecha
- Multa GDPR de Meta - 1.200 millones de euros impuestos por Irlanda en mayo de 2023
- Multa GDPR de Amazon - 746 millones de euros impuesta por Luxemburgo en julio de 2021
- Multa por el GDPR de Meta - 405 millones de euros impuesta por Irlanda en septiembre de 2022
- Multa GDPR de Meta - 390 millones de euros impuesta por Irlanda en enero de 2023
- Multa de 265 millones de euros impuesta por Irlanda en noviembre de 2022 por el caso Meta GDPR
- Multa por el GDPR de WhatsApp: 225 millones de euros impuestos por Irlanda en septiembre de 2021
- Multa de 90 millones de euros impuesta por Francia en diciembre de 2021 por el GDPR de Google LLC
- Multa de 60 millones de euros impuesta por Francia en diciembre de 2021 por el GDPR de Google Ireland
- Multa de 60 millones de euros impuesta por Francia en diciembre de 2021 a Facebook Ireland en relación con el GDPR
- Multa de 50 millones de euros impuesta por Francia en enero de 2019 por el GDPR de Google Francia
El modelo de negocio de Facebook, ilegal en la UE
La multa récord de 1.200 millones de euros impuesta a Meta es sólo el acto final de una larga batalla legal que demuestra que el modelo de negocio deFacebook es ilegal en Europa debido a sus violaciones de la privacidad de los datos y al riesgo de que los datos de los ciudadanos europeos caigan en manos de los servicios secretos estadounidenses.
A principios de este año, en enero de 2023, Meta ya fue multada con 390 millones de euros. Los reguladores de privacidad de la UE dicen que Facebook e Instagram no deben obligar a los usuarios a aceptar el rastreo poniendo este requisito en sus condiciones. Este modelo de negocio de Meta es ilegal según el GDPR.
Dado que Facebook -al igual que otros gigantes tecnológicos- no se centra en proteger nuestra privacidad ni en cifrar nuestros datos, todos los datos que recopilan pueden transmitirse fácilmente.
Tenemos que recordar: si es gratis, tú eres el producto.
TL;DR: La práctica de Meta de exigir a los usuarios que consientan el seguimiento a través de sus términos no es legal según el GDPR. Facebook, Instagram y WhatsApp deben ofrecer una opción de Sí y No para que los usuarios puedan dar su consentimiento activamente, o negarse. Esto supone un duro golpe para el modelo de negocio de Meta de publicidad basada en la vigilancia.
Lección aprendida: Deja de esperar a Facebook, empieza ya a utilizar servicios que respeten tu derecho a la privacidad.
La Comisión Irlandesa de Protección de Datos (DPC) ha confirmado en un comunicado de prensa que la práctica de Meta de imponer acuerdos de cookies en Facebook e Instagram es ilegal en virtud del GDPR. El gigante tecnológico ha sido multado con 390 millones de euros por esta violación de la privacidad, ya la mitad de lo que Meta fue multada en 2022 por violaciones del GDPR europeo, y 2023 no ha hecho más que empezar. Todavía está pendiente la decisión final sobre WhatsApp.
Esta es otra señal del enfoque más estricto de Europa en el tratamiento de las violaciones de la privacidad en relación con el GDPR.
En un principio, el CPD solo quería entre 28 y 36 millones de euros, alrededor del 10% de la sentencia final. Sin embargo, el EDPB europeo ha desautorizado al DPC y ha insistido en imponer multas masivas aMeta, afirmando que Meta había violado intencionadamente el GDPR y la privacidad de las personas para su propio beneficio.
Max Schrems, de la ONG NOYB, que demandó a Meta por sus violaciones de la privacidad, dice:
“La sanción irá a Irlanda - el Estado que se ha puesto del lado de Meta y ha retrasado la aplicación durante más de cuatro años. Este caso será probablemente recurrido por Meta, lo que supondrá más costes para noyb”.
Más información sobre la lucha legal por la privacidad en Europa en la página principal de NOYB.
El modelo de negocio de Meta -obligar a los usuarios a aceptar el rastreo a través de sus condiciones- ha sido declarado ilegal en la UE. Facebook, Instagram y WhatsApp ya no pueden publicar anuncios personalizados sin el consentimientoactivo del usuario.
Artículo original
Decisión de los reguladores de privacidad de la UE
En una decisión de gran alcance el lunes, los reguladores de privacidad de la UE, dijeron que Meta Platforms Inc. no debe obligar a los usuarios a aceptar anuncios personalizados basados en su actividad en línea. La sentencia podría limitar enormemente los datos que Meta puede utilizar para vender anuncios personalizados.
Según el Reglamento General de Protección de Datos (RGPD), no basta con incluir un párrafo en las condiciones del servicio que los usuarios deben aceptar. Esas condiciones no justifican la recopilación de datos y la publicación de anuncios dirigidos. En su lugar, las plataformas Meta Facebook, Instagram y WhatsApp deben ofrecer a los usuarios una opción clara de “sí” y “no” en la que puedan aceptar activamente ser rastreados, o negarse a ello.
El llamado consentimiento forzado del gigante tecnológico para continuar rastreando y dirigiéndose a los usuarios mediante el procesamiento de sus datos personales para construir perfiles para la publicidad conductual se ha agregado a los términos de Meta después de la publicación del GDPR en 2018. Ahora ha sido declarado ilegal por los organismos de control de la privacidad de la UE.
Esta decisión siguió a las quejas que presentó la ONG europea de privacidad noyb tan pronto como el GDPR entró en vigor en mayo de 2018. La UE ha tardado unos cuatro años y medio en decidir finalmente sobre el asunto.
La razón de este largo proceso es que la Comisión de Protección de Datos de Irlanda (DPC) declaró originalmente que los términos actualizados de Meta cumplen con los requisitos por el GDPR. Irlanda es el principal regulador de la privacidad de Meta en el bloque, ya que es allí donde se encuentra su sede europea.
Meta explicó que sus condiciones actualizadas se basan en el concepto de “necesidad contractual” del RGPD. El GDPR prohíbe a las empresas obligar a los usuarios a facilitar información personal para utilizar sus servicios. La única excepción es cuando esa información es necesaria para ejecutar un contrato: por ejemplo, una aplicación para compartir coche necesita conocer tu ubicación para poder mostrarte coches cerca de ti.
Meta se basó en esa disposición contractual del RGPD, que el regulador irlandés de la privacidad aceptó inicialmente.
Pero ahora, los reguladores de privacidad de la UE devuelven la decisión al CPD diciendo que aplicaciones como Facebook, Instagram y WhatsApp no cumplen la “necesidad contractual” y que es obligación del CPD hacer cumplir los derechos de privacidad adecuados a los ciudadanos europeos.
El CPD tiene ahora un mes para emitir una decisión final, junto con multas significativas.
Impacto
El impacto de la decisión de la UE de que la actual práctica de rastreo de Facebook es ilegal es enorme: afecta directamente al modelo de negocio de Facebook. Ahora mismo, Facebook e Instagram obtienen grandes beneficios del hecho de que la gentetenga que darles sus datos privados para utilizar el servicio. A su vez, Meta utiliza estos datos para crear perfiles y publicar anuncios dirigidos, una mina de oro para el gigante de Silicon Valley.
Sin embargo, la decisión de la UE limitará el acceso de Facebook a esta mina de oro y, por tanto, afectará directamente a sus ingresos.
Una muestra de lo mala que es esta decisión para los beneficios de Meta es la decisión que tomó Apple el año pasado. En 2021, Apple exigió a los desarrolladores de aplicaciones para iPhone que preguntaran a los usuarios si querían que se rastreara su uso. Y, como era de esperar, muchos usuarios de iPhone se negaron a ser rastreados y perfilados.
Como consecuencia, los ingresos de Meta en 2021 se redujeron en un 8 % solo porque los usuarios de iPhone ya no estaban dispuestos a compartir sus datos privados con Facebook, Instagram y WhatsApp.
Reducir el rastreo en línea de Facebook beneficia enormemente la privacidad de los usuarios y, al mismo tiempo, perjudica los ingresos de Meta. Los datos de las personas valen mucho más para las grandes tecnológicas de lo que muchos piensan.
La UE limita el rastreo de Facebook
La última decisión de la UE es otra señal del creciente interés de las autoridades de la UE por limitar el rastreo basado en la vigilancia. Por fin, la gente y los políticos están despertando a los peligros de la publicidad basada en el comportamiento, y los funcionarios de la UE están empezando a regularla de manera que se proteja la privacidad de las personas.
Sin embargo, para empresas como Facebook, Google y Amazon, este negocio supone miles de millones de dólares al año.
Descubra aquí cómo le están perfilando en Internet y cómo puede impedirlo.
A pesar de todo, incluso California -donde se ubican la mayoría de las grandes empresas tecnológicas- ha adoptado una magnífica legislación sobre privacidad que permite a los usuarios optar por no participar en lo que denomina publicidad conductual contextual cruzada.
Tal vez la razón de esta legislación sea que los californianos saben mejor que nadie lo perjudiciales que son el rastreo y la publicidad basada en el comportamiento, ya que este modelo de negocio se originó allí.
Consecuencias para los usuarios
Lamentablemente, la decisión de la UE no tendrá consecuencias directas para los usuarios, ya que puede ser recurrida. Dicho recurso daría lugar a un largo proceso judicial.
Sin embargo, si se confirma, esta decisión hará mucho más difícil para Facebook y otras plataformas mostrar a los usuarios anuncios basados en lo que hacen clic, les gusta, comparten y ven dentro de las propias aplicaciones de estas plataformas.
Aunque Meta ya permite a los usuarios optar por no personalizar anuncios basados en datos de otros sitios web y aplicaciones, nunca ha dado esa opción a los anuncios basados en datos sobre la actividad de los usuarios en sus propias plataformas.
Para Facebook y otras grandes empresas tecnológicas, limitar el acceso al seguimiento de los usuarios supondría un duro golpe, ya que la creación de audiencias para anuncios personalizados constituye la mayor parte de los ingresos de estas empresas.
”Esta no es la decisión final y es demasiado pronto para especular”, declaró un portavoz de Meta al Wall Street Journal, añadiendo que la legislación de la UE podría permitir otras justificaciones legales para la segmentación de sus anuncios. “Nos hemos comprometido plenamente con el CPD en sus consultas y seguiremos colaborando con ellos a medida que finalicen su decisión”.
No obstante, el GDPR permite imponer grandes multas por infracciones graves: hasta el 4% de la facturación anual global.
Aumento de las exigencias en materia de privacidad
Aunque el GDPR de la UE comenzó a ser aplicable ya en mayo de 2018, la aplicación política solo ha comenzado a aumentar en los últimos dos meses. Por ahora, muchas grandes empresas tecnológicas han sido golpeadas con fuertes multas.
El CPD irlandés ha multado a Meta con más de 900 millones de dólares en otros cuatro casos en los últimos 15 meses, y actualmente tiene 10 investigaciones adicionales sobre la empresa.
La filial irlandesa de Meta destinó el año pasado casi 3.000 millones de euros a multas relacionadas con la privacidad en la UE, lo que supone un aumento de 1.970 millones de euros respecto al año anterior, según los archivos corporativos irlandeses.
En cualquier caso, hasta ahora parece mucho más rentable para los gigantes de Silicon Valley limitarse a pagar las multas, en lugar de cambiar su modelo de negocio.
Esto significa que debemos seguir luchando para detener el rastreo publicitario. Empieza ahora mismo añadiendo un bloqueador de anuncios a tu navegador.