Millonaria sanción a Meta: ¿publicidad comportamental en redes sociales en base al cumplimiento de contrato?
No existe rama del derecho que goce de homogeneidad en cuanto a la interpretación de sus conceptos, incluso los más básicos. Esto ocurre con mayor frecuencia con aquellas materias jurídicas que, teniendo en cuenta el contexto del mundo del derecho, son recientes, como el derecho a la protección de datos personales.
Precisamente, esta heterogeneidad en la interpretación de uno de los conceptos clave del Reglamento General de Protección de Datos (en adelante, RGPD) ha sido la que ha llevado a cinco años de investigación y debate sobre la legitimidad de determinados tratamientos de datos personales. Esta investigación ha concluido con una opinión del Comité Europeo de Protección de Datos (CEPD) que ha derivado, a su vez, en una sanción de la autoridad de protección de datos irlandesa que ha alcanzado los 390 millones de euros, aun en contra de su propio criterio.
El origen de la disputa nos lleva precisamente al mismo día de la entrada en vigor del RGPD, el 25 de mayo de 2018, con la interposición de dos denuncias, por parte de un ciudadano austríaco y de un ciudadano belga a través de la organización NOYB la cual fue fundada por el activista de la privacidad Max Schrems, quien fue el propulsor de la anulación del Safe Harbor y del Privacy Shield (acuerdos para la transferencia de datos personales desde el Espacio Económico Europeo a Estados Unidos).
En el caso del ciudadano austríaco, la denuncia se presentó contra la red social Facebook y, el ciudadano belga, contra la red social Instagram, ambos alegando los mismos motivos.
El problema y objeto de debate gira en torno a la base de legitimación que justifica el tratamiento de los datos personales de los usuarios de las redes sociales para fines de publicidad personalizada, o publicidad comportamental. Este tipo de publicidad es aquella que se configura para ser presentada a aquellos que puedan ser potenciales clientes. Para que esto pueda realizarse, es necesario que se recaben todos aquellos datos necesarios de los usuarios que permitan crear un perfil, y conocer sus gustos e intereses. Por su parte, la base de legitimación es una de las circunstancias que deben concurrir para que, en atención al RGPD, un tratamiento de datos personales pueda ser llevado a cabo.
En el caso de Meta, las redes sociales estaban llevando a cabo este tratamiento, basándose en la necesidad del mismo para cumplir el contrato que el usuario firmaba al pasar a ser miembro de estas redes, a través de la aceptación de sus términos y condiciones. Para los reclamantes, no obstante, esta base de legitimación, no era la adecuada para justificar el tratamiento y, por lo tanto, hacía que el tratamiento fuera ilícito en virtud de la normativa comunitaria de protección de datos.
Lo más relevante de este caso no solo ha sido la interposición de la millonaria sanción a Meta, sino el desacuerdo que ha habido en la interpretación de la aplicación de la base de legitimación mencionada entre diferentes autoridades de protección de datos europeas. En este sentido, tal y como ha anunciado recientemente la autoridad irlandesa en la materia, la interpretación de este organismo fue la de considerar la ejecución del contrato como base de legitimación suficiente para el tratamiento con fines de publicidad comportamental, como consecuencia de entender que el servicio proporcionado por las redes sociales lleva inherente una personalización de los contenidos a los usuarios, lo que incluye la publicidad personalizada como parte esencial del contrato. Tras consultar el caso a las diferentes autoridades de protección de datos europeas involucradas en el mismo, un porcentaje de las mismas formularon objeciones a la posición de la equivalente irlandesa por considerar que no se debe permitir que Meta se base en la ejecución del contrato, pues la entrega de publicidad personalizada no es un elemento central del contrato con Meta.
En vista del desacuerdo, el caso fue remitido al CEPD para que emitiera su opinión que, recordemos, es de carácter vinculante.
La clave de la cuestión parece encontrarse en los requisitos para que un tratamiento de datos personales pueda ser considerado necesario para el cumplimiento de un contrato. En este sentido, el CEPD en sus Directrices 2/2019, en las que analiza este concepto, establece que debe tratarse de una necesidad objetiva, no siendo suficiente que sea una mera cláusula contractual. Un tratamiento es objetivamente necesario para la ejecución de un contrato cuando éste no puede cumplirse sin llevarlo a cabo. “El responsable del tratamiento debe estar en condiciones de justificar la necesidad del tratamiento concreto haciendo referencia al fin fundamental del contrato tal como lo entienden las dos partes del mismo”.
En concreto, sobre los contratos de prestación de servicios digitales, el CEPD en estas mismas directrices establece que “Los contratos de servicios digitales pueden incorporar cláusulas que impongan expresamente condiciones adicionales sobre la publicidad, los pagos o las cookies, entre otras cuestiones. Sin embargo, los contratos no pueden ampliar artificialmente las categorías de datos personales o los tipos de operaciones de tratamiento que el responsable del tratamiento necesita llevar a cabo para la ejecución del contrato”.
Incluye, además, un ejemplo claro en el que resuelve la cuestión sobre la que se centra el debate del caso de Meta: “[…] comercio minorista en línea desea elaborar perfiles de los gustos y el estilo de vida de los usuarios en función de sus visitas al sitio web. La ejecución del contrato de compraventa no depende de la elaboración de estos perfiles. Incluso si la elaboración de los perfiles se menciona específicamente en el contrato, este hecho no la hace «necesaria» de por sí para la ejecución del contrato. Si el comercio minorista en línea desea realizar dichos perfiles, debe invocar un fundamento jurídico diferente para esta actividad.”
Y, precisamente en coherencia con esta interpretación, el CEPD emitió su opinión en el caso de Meta, concluyendo en la inadecuación de la base de legitimación del contrato y, por lo tanto, la existencia de una infracción del artículo 6.1 del RGPD.
Derivado de lo anterior, Meta no solo se ve en la tesitura de tener que abonar una sanción millonaria por incumplimiento de la normativa de protección de datos, sino que se le exige que corrija la situación en un plazo máximo de 3 meses.
¿Cuál ha sido la respuesta de Meta a la publicación de la resolución? Como no podía ser de otra forma y utilizando la discrepancia de interpretaciones entre las autoridades europeas de protección de datos, la empresa sancionada no ha dudado en reafirmarse en su posición, a la que califica como de “no criticable”, y ha anunciado su intención de recurrir la resolución sancionadora.
Se trata, sin duda alguna, de una cuestión muy interesante por el amplio margen que deja a la interpretación el caso concreto. Lejos de ser una cuestión pacífica, solo queda esperar para ver cuál es la posición que se impone, y las consecuencias que ello puede tener en la viabilidad de una de las vías de negocio que dan mayor rentabilidad a Meta, como es la publicidad comportamental en línea.
Sara Hervías Costa, Privacy Counsel, Legal Army