Meta no podrá procesar datos personales de sus usuarios para servirles publicidad ajustada a su perfil. Así lo establece una decisión urgente y vinculante de la Junta Europea de Protección de Datos (EDPB en sus siglas inglesas), el organismo en el que se coordinan las agencias de protección de datos de los 27, entre ellos la española AEPD. La decisión, acordada el viernes y notificada al gigante tecnológico este martes, exige que se haga cumplir el Reglamento General de Protección de Datos (RGPD), que entró en vigor en 2018 y que incumplía desde entonces la compañía fundada por Mark Zuckerberg.
La prohibición, que deberá empezar a cumplirse el próximo 8 de noviembre, afecta al núcleo del negocio de Meta. La compañía erigió su imperio aprovechando los datos personales de sus usuarios (tanto los que estos vuelcan en las redes sociales de forma voluntaria, como el nombre, dirección, ocupación o contactos, como los que recogía la empresa de los historiales de navegación) para que los anunciantes pudieran afinar al máximo el objetivo de sus campañas. La industria de la publicidad personalizada, controlada durante la última década y media con mano de hierro por Facebook y Google, ha hecho de estas dos empresas los gigantes que son hoy.
Esa vía de ingresos, sin embargo, no peligra por el momento para Meta. La autoridad de protección de datos de Irlanda, país en el que se ubica la sede europea de la multinacional, ya le comunicó a los afectados que esta decisión saldría adelante. No es casual que Meta anunciara que cobrará 13 euros a quienes no quieran ser perfilados un día antes de que el EDPB tomara esta decisión. “Todos sabemos lo que pasará en la práctica: muy poca gente pagará, así que Meta podrá seguir actuando como hasta ahora”, explica Jorge García Herrero, delegado de protección de datos y abogado especialista en hacer cumplir esta normativa.
Aunque Meta ya estuviese preparada para encajar el golpe, la decisión es relevante porque señala el camino que seguirá la UE a partir de ahora en materia de protección de datos. “Es el momento de que Meta someta su procesamiento de datos a la normativa y frene las prácticas ilegales”, dijo la presidenta del EDPB, Anu Talus, en un comunicado. La decisión europea llega dos semanas después de que los fiscales generales de 41 estados de EE UU demandaran a la compañía por desarrollar productos diseñados conscientemente para enganchar a niños.
“Meta ya ha anunciado que ofrecerá a los ciudadanos de la UE y del Espacio Económico Europeo la oportunidad de dar su consentimiento [para procesar sus datos personales] y, en noviembre, ofrecerá un modelo de suscripción para cumplir con los requisitos normativos”, afirma un portavoz de la compañía. “El EDPB conocía este plan desde hace semanas y ya estábamos plenamente comprometidos con ellos para llegar a un resultado satisfactorio para todas las partes. Este hecho ignora injustificadamente ese cuidadoso y sólido proceso regulador”, añade.
Por qué ahora: un proceso de cinco años
El EDPB le ha solicitado a la autoridad de supervisión de datos irlandesa, país en el que se ubica la sede europea de Meta, que prohíba en las plataformas del grupo “todo tratamiento de datos personales con fines de publicidad basada en el comportamiento”. Esta decisión no es repentina. Tiene su origen tres resoluciones. La primera es una sanción de 390 millones de euros del regulador irlandés de enero de este año, que a su vez viene del EDPB, por el tratamiento indebido de datos de los usuarios europeos desde mayo de 2018 (la fecha de entrada en vigor la normativa europea de protección de datos).
Meta sostenía que en el contrato de consentimiento de términos y condiciones que aceptan sus usuarios al instalar la aplicación se explica el uso que se hace de los datos. Y que, debido a las particularidades de su modelo de negocio, ese contrato era suficiente para cubrir tanto los tratamientos propios de la plataforma (que los usuarios renuncian a los derechos de autor de las fotos para que se compartan con otros) como el perfilado que hace Meta para vender publicidad personalizada a terceros. “La sanción de enero dice que el contrato solo ampara la primera parte; la segunda requiere otro contrato”, apunta García Herrero.
En julio, el Tribunal de Justicia de la UE falló en un caso entre la autoridad de competencia alemana y Meta que la compañía no puede ampararse en su modelo de negocio ni el interés legítimo para recoger y procesar datos personales de los usuarios, pero sí podría hacerlo si tiene un consentimiento explícito de los afectados. Se abre ahí la puerta a cobrar por el servicio.
Ese mismo mes, la autoridad noruega de protección de datos le pide a la irlandesa (la competente al ubicarse en ese país la empresa) que le diga si incumple el RGPD. “Los noruegos toman la sanción de enero y dicen que esto ya es urgente y hay que atajarlo, y si no lo haces tú lo hago yo. La irlandesa no hace nada, así que la noruega prohíbe que sus ciudadanos sean perfilados para servirles publicidad personalizada”, abunda García Herrero. Oslo le envía su decisión al EDPB para que se pronuncie y si entiende que es correcto, lo extienda a toda Europa. Y eso último es lo que acaba de pasar.
Puedes seguir a EL PAÍS Tecnología en Facebook y X o apuntarte aquí para recibir nuestra newsletter semanal.