El CPD irlandés ha emitido su decisión final sobre el tratamiento ilegal por parte de Meta de los datos de los usuarios para publicidad personal. Aquí hay un enlace de descarga y un primer resumen rápido por noyb.
La decisión del CPD muestra claramente el desacuerdo masivo entre el CPD irlandés y el EDPB.
Gran pelea entre el CPD y sus homólogos de la UE. La decisión del CPD pone de manifiesto que las autoridades austriacas, alemanas, francesas, italianas, neerlandesas, noruegas, polacas, portuguesas y suecas plantearon objeciones formales contra la decisión del CPD. Tradicionalmente, sin embargo, las autoridades no plantean objeciones formales si está claro que el asunto ya había sido planteado por varias autoridades. El CPD ni siquiera se preocupó de enmendar la decisión y adaptar sus posiciones, sino que se limitó a copiar la posición del EDPB en la decisión anterior.
Max Schrems:"La decisión se parece a unos deberes en los que el alumno ni siquiera se preocupó de cambiar los errores, sino que se limitó a copiar las correcciones del profesor en un texto"
La decisión del CPD puede no poner fin al caso. La decisión tampoco parece abordar por completo las quejas de noyb, ya que no cubre asuntos como el uso de datos personales para mejorar la plataforma de Facebook o para personalizar contenidos. La EDPB también exigió nuevas investigaciones. Además, el conflicto subyacente es que, según la legislación austriaca o alemana, la denuncia define el alcance del procedimiento; sin embargo, el CPD considera que, según la legislación irlandesa, puede limitar el alcance de una denuncia. es posible que noyb tenga que recurrir la decisión por estos motivos.
¿Multa mínima por violación real de los derechos de los usuarios? Un elemento bastante chocante se refiere a la cuantía de las multas. Mientras que el EDPB exigía una multa "significativamente mayor", el CPD decidió las cifras finales. Mientras que el CPD impuso una multa global de 150 millones de euros a Facebook por cuestiones de transparencia, el CPD sólo multó a Meta con 60 millones de euros por su falta de base legal para el tratamiento de los datos de millones de usuarios europeos durante unos cinco años.
Max Schrems:"Aparentemente, al CPD le preocupa más joder a los usuarios de forma transparente, que no joderlos en absoluto"
Más detalles en viñetas. La decisión se divide en varias secciones que tratan distintos temas y un calendario que aborda cuestiones de procedimiento. A continuación se puede leer un breve resumen de las principales conclusiones, con los párrafos donde se puede encontrar el punto en la decisión final de Facebook. Puede haber ligeras diferencias en la decisión sobre Instagram, pero esperamos que sean en gran medida similares.
Si Meta puede utilizar el consentimiento (Cuestión 1 de la Decisión)
- El CPD intenta ignorar la cuestión de si Meta engañó intencionadamente a los usuarios diciendo simplemente que se trata de una cuestión de transparencia (§ 2.19), por lo que el CPD rechaza que no haya investigado a fondo la reclamación original (§ 2.20).
- El EDPB consideró que el CPD"debería haber incluido un examen de las operaciones de tratamiento [de Facebook], las categorías de datos tratados (incluida la identificación de categorías especiales de datos personales que pueden tratarse) y los fines a los que sirven", para determinar plenamente la reclamación.
- El CPD sigue ignorando la cuestión central de las denuncias, a saber, si las cláusulas de las condiciones equivalen de facto a una cláusula de consentimiento oculto(falsa demonstratio). En su lugar, el CPD se sumó a la opinión de Meta de que si el responsable del tratamiento nunca ha solicitado el consentimiento. Si éste es el caso, no puede haber consentimiento (§ 3.10) y, por tanto, el asunto no debe investigarse, aunque la alegación sea que Meta simplemente ha trasladado una cláusula de consentimiento a las condiciones.
- El hecho de que un estudio entre 1.000 usuarios muestre que más del 60% consideró que se trataba de consentimiento y menos del 2% pensó que era un contrato, es continuamente ignorado por el CPD. El EDPB ha destacado que el estudio es una información importante que el CPD no tuvo en cuenta y no incluyó en el proyecto de decisión.
- El EDPB anuló la evaluación del CPD sobre si hacer clic en "aceptar" en el sitio web de Meta debía considerarse efectivamente un "consentimiento" con arreglo al artículo 6, apartado 1, letra a), o un "contrato" con arreglo al artículo 6, apartado 1, letra b), del RGPD.
- El EDPB ha exigido que el CPD suprima todas las conclusiones sobre la "Cuestión 1" de la Decisión (véase el apartado 3.26). Mientras que el CPD sigue manteniendo todas sus conclusiones en las páginas 15 a 21 del proyecto de decisión (en contra de la posición del EDPB), el CPD añadió un único párrafo al final de la sección, diciendo que (a pesar de mantener todos los argumentos en contra de la opinión del EDPB) "no hace ninguna conclusión con respecto a la cuestión 1".
Si Meta puede utilizar el "contrato" del artículo 6.1.b) (Cuestión 2 de la Decisión)
- El CPD se negó a investigar todas las operaciones de tratamiento en las que Meta se basa en el artículo 6, apartado 1, letra b), ya que"no estaría al alcance de un denunciante [...] exigir tal evaluación". En consecuencia, Facebook nunca ha entregado una lista de todas las operaciones de tratamiento y la base jurídica pertinente. Esto puede infringir la legislación austriaca, en la que el alcance de una denuncia es claramente competencia del denunciante. Por lo tanto, el CPD sólo investigó el asunto en el plano de los principios (§ 4.7), centrándose en la "publicidad basada en el comportamiento". Esto puede hacer que la decisión sea impugnable, ya que otras formas de personalización (como la personalización del contenido, la mejora del producto, etc.) o el tratamiento de datos personales sensibles en virtud del artículo 9 del RGPD también se plantearon, pero no se abordaron en la investigación y la decisión del CPD.
- El CPD no se ve competente para interpretar lo que es un "contrato" y considera que su jurisdicción se limita al RGPD (§ 4.13). Esto es bastante sorprendente, ya que determinar lo que contiene el contrato es una condición previa lógica para determinar si el tratamiento es "necesario" para cumplir un contrato. noyb ha dicho anteriormente que no evaluar el contrato equivale a un truco para no tratar el asunto. El CPD"rechaza, en los términos más enérgicos, estas graves alegaciones de mala fe, deshonestidad y conducta ilegal" por parte de noyb cuando la necesidad contractual simplemente no fue investigada por el CPD. El CPD no acepta que no investigar lo que contiene el contrato sea una"denegación de justicia" (§ 4.16).
- En los apartados 4.26 a 4.55, el CPD repite el desacuerdo entre el CPD y el EDPB, en el que el CPD dice que no puede evaluar el contenido de los contratos y que favorecería una interpretación amplia, en la que cualquier cosa que se incluya en un contrato o en las cláusulas y condiciones es "necesaria" con arreglo al artículo 6, apartado 1, letra b) del RGPD.
- El EDPB parece haberse basado en las referencias del TJUE en los asuntos C-252/21 y C-446/21 sobre las conclusiones fácticas sobre el uso por Meta de datos personales con fines publicitarios y similares, ya que el CPD se negó a investigar el asunto a fondo (páginas 37 y 38). Parece haber un problema de procedimiento importante, ya que el EDPB puede simplemente carecer de pruebas objetivas para tomar una decisión sobre la totalidad de la denuncia, si el CPD se niega continuamente a investigar el asunto en profundidad.
- A continuación, el CPD se limita a copiar la decisión del EDPB en el proyecto de decisión del CPD. Lo más destacado del EDPB:
- El EDPB rechaza en gran medida las opiniones del CPD y destaca que el estudio de noyb muestra que los usuarios no ven esto como un contrato, sino como un consentimiento.
- La EDPB también afirma que el hecho de que Meta decida obtener beneficios mediante anuncios personalizados no los convierte en "necesarios", ya que Meta también podría publicar anuncios basados en el contexto o en otros datos.
- El EDPB sostiene que la finalidad principal para la que el usuario utiliza los servicios de Meta es la comunicación, no los anuncios personalizados.
- En opinión del EDPB, la posición del CPD y de Meta también podría animar a otros operadores a utilizar el artículo 6, apartado 1, letra b), para eludir el requisito de consentimiento.
- El EDPB se une a la opinión de las autoridades austriacas, alemanas, francesas, italianas, neerlandesas, noruegas, polacas, portuguesas y suecas de que la publicidad basada en el comportamiento"no es objetivamente necesaria para la ejecución del supuesto contrato de Meta".
- Sin más comentarios, el CPD concluye a continuación (en contra de todo lo que había argumentado antes) en el apartado 4.56 que "según loindicado por el EDPB" considera"que Facebook no tenía derecho a invocar el artículo 6, apartado 1, letra b) del GDPR" a efectos de la publicidad basada en el comportamiento.
Transparencia del "bypass
- Hasta ahora, el CPD ha considerado principalmente que Meta debería haber hecho más transparente la elusión (en opinión del CPD, por lo demás legal) del RGPD. Esto habría significado que los usuarios simplemente verían una ventana emergente adicional o algo similar, pero no habría impedido que Meta siguiera abusando de los datos de los usuarios. La falta de transparencia se mantiene en la Decisión y se explica en los apartados 5.1 a 5.77.
- Sin embargo, el EDPB insistió en que esto también suponía una violación del artículo 5, apartado 1, letra a), del RGPD, lo que a su vez también significaría que los datos personales de los usuarios no deberían haber sido tratados.
- Una vez más, el CPD se limitó a copiar y pegar la decisión del EDPB en su propia decisión y añadió una línea, diciendo que, según la decisión del EDPB, tenía que hacer esta constatación adicional.
Las órdenes finales:
- El EDPB solicitó un plazo de tres meses para cumplir la orden a partir del momento en que se notifique la orden del EDPB. Prohíbe a Meta utilizar el artículo 6, apartado 1, letra b), tal como se describe en la orden del EDPB.
- El CPD especificó que la decisión del EDPB debe significar que "el tratamiento" se limita únicamente al tratamiento con fines publicitarios. Parece que el CPD no trató otros aspectos de la reclamación, lo que en sí mismo puede ser ilegal.
- El CPD modificó la decisión del EDPB de modo que el plazo de tres meses no es a partir del momento en que se notificó la decisión del EDPB a Meta (en algún momento de diciembre), sino a partir de la notificación de la decisión del CPD (en algún momento de enero) (véase el artículo 8.11). Esta desviación del CPD de la decisión del EDPB parece ilegal.
- El EDPB ha discrepado fundamentalmente de la opinión del DPC sobre la multa. La autoridad alemana incluso la calificó de "contrafáctica" (página 91). Al mismo tiempo, la EDPB tampoco disponía de pruebas para concluir que Meta había violado "intencionadamente" el GDPR, como argumentaba la DPA sueca.
- La EDPB no fijó una multa específica, sino que se limitó a exigir al CPD una multa "significativamente superior".
- Las páginas 100 a 153 están dedicadas a una nueva evaluación del aumento de la multa por parte del CPD. La multa se divide en 80 millones de euros y 70 millones de euros por falta de transparencia y sólo 60 millones de euros en relación con el tratamiento ilícito real de datos personales de millones de usuarios de la UE en virtud del artículo 6, apartado 1, letra b) (§ 10.45).