El tribunal superior de la Unión Europea se ha pronunciado a favor de un desafío de privacidad a las políticas de retención de datos de Meta. El viernes dictaminó que las redes sociales, como Facebook, no pueden seguir usando la información de las personas para orientar anuncios de forma indefinida.
La sentencia podría tener implicaciones importantes en la forma en que Meta y otras redes sociales financiadas con publicidad operan en la región.
Se deben aplicar límites sobre cuánto tiempo se pueden conservar los datos personales para cumplir con los principios de minimización de datos contenidos en el Reglamento General de Protección de Datos (GDPR) del bloque. Las infracciones del régimen pueden dar lugar a multas de hasta el 4 % de la facturación anual mundial, lo que, en el caso de Meta, podría exponerle a multas de miles de millones más (NB: ya está en la cima de la clasificación de las grandes empresas tecnológicas infractores del RGPD).
El fallo del TJUE sigue a una opinión anterior sobre el caso, publicada por un asesor judicial en abril, que también respaldó límites a la retención de datos personales para la orientación de anuncios.
Matt Pollard, portavoz de Meta, contactado para obtener una respuesta, dijo que la compañía está esperando ver el fallo completo.
«Esperamos la publicación de la sentencia del Tribunal y tendremos más para compartir a su debido tiempo», dijo a TechCrunch por correo electrónico. “Meta se toma muy en serio la privacidad y ha invertido más de cinco mil millones de euros para integrar la privacidad en el centro de todos nuestros productos. Todos los que usan Facebook tienen acceso a una amplia gama de configuraciones y herramientas que les permiten administrar cómo usamos su información”.
El gigante de la tecnología publicitaria gana dinero rastreando y perfilando a los usuarios de sus redes sociales, tanto en sus propios servicios como en la web, a través de una red de tecnologías de seguimiento que incluyen cookies, píxeles y complementos sociales, para vender publicidad microdirigida. servicios. Por lo tanto, cualquier límite a su capacidad para perfilar continuamente a los usuarios web en una región importante para su negocio podría afectar sus ingresos.
El año pasado, Meta sugirió que alrededor del 10% de sus ingresos publicitarios globales se generan en la UE.
Otro éxito de Schrems frente a Facebook
El fallo del TJUE se produce tras una remisión de un tribunal de Austria donde el defensor europeo de la privacidad, Max Schrems, había presentado una impugnación de la recopilación de datos de Facebook y de la base legal para la publicidad, entre otras cuestiones.
Al comentar sobre la victoria en una declaración publicada por noyb, una organización sin fines de lucro que defiende los derechos de privacidad de Schrems, su abogada, Katharina Raabe-Stuppnig, escribió: «Estamos muy satisfechos con el fallo, aunque este resultado era muy esperado».
“Básicamente, Meta ha estado creando un enorme conjunto de datos sobre los usuarios durante 20 años y crece cada día. Sin embargo, la legislación de la UE exige la «minimización de datos». Tras esta sentencia, sólo se permitirá el uso de una pequeña parte del conjunto de datos de Meta para publicidad, incluso cuando los usuarios den su consentimiento para la publicidad. Esta decisión también se aplica a cualquier otra empresa de publicidad en línea que no tenga prácticas estrictas de eliminación de datos”, añadió.
El desafío original al negocio publicitario de Meta se remonta a 2014, pero no se escuchó plenamente en Austria hasta 2020, según noyb. Luego, el tribunal supremo de Austria remitió varias cuestiones legales al TJUE en 2021. Algunas fueron respondidas mediante una impugnación separada a Meta/Facebook, en un fallo del TJUE de julio de 2023, que anuló la capacidad de la empresa para alegar un “interés legítimo” para procesar las solicitudes de las personas. datos para anuncios. Las dos cuestiones restantes ya han sido resueltas por el TJUE. Y son más malas noticias para el negocio publicitario basado en vigilancia de Meta. Se aplican límites.
Resumiendo este componente de la sentencia en un comunicado de prensa, el TJUE escribió: “Una red social en línea como Facebook no puede utilizar todos los datos personales obtenidos con fines de publicidad dirigida, sin restricción de tiempo y sin distinción de tipo de datos.»
La sentencia parece importante teniendo en cuenta cómo funcionan las empresas de publicidad, como la de Meta. En pocas palabras, cuantos más datos puedan obtener, mejor, en lo que a ellos respecta.
En 2022, un memorando interno escrito por ingenieros de Meta y obtenido por la placa base de Vice comparó sus prácticas de recopilación de datos con arrojar botellas de tinta a un gran lago y sugirió que la agregación de datos personales por parte de la empresa carecía de controles y no se prestaba a poder almacenar diferentes tipos de datos o aplicar límites de retención de datos.
Aunque Meta afirmó en su momento que el documento “no describe nuestros extensos procesos y controles para cumplir con las regulaciones de privacidad”.
Queda por ver exactamente cómo necesitará el gigante de la tecnología publicitaria modificar sus prácticas de retención de datos tras la sentencia del TJUE. Pero la ley es clara en que debe tener límites. “[Advertising] las empresas deben desarrollar protocolos de gestión de datos para eliminar gradualmente los datos innecesarios o dejar de utilizarlos”, sugiere noyb.
No utilizar más datos confidenciales
El TJUE también ha intervenido sobre una segunda cuestión que le planteó el tribunal austriaco como parte del litigio de Schrems. Se trata de datos sensibles que han sido “manifiestamente hechos públicos” por el interesado, y si las características sensibles podrían utilizarse para la orientación de anuncios debido a ello.
El tribunal dictaminó que no podía, manteniendo el principio de limitación de finalidad del RGPD.
«Tendría un enorme efecto paralizador sobre la libertad de expresión si usted perdiera su derecho a la protección de datos en el momento en que critica el procesamiento ilegal de datos personales en público», escribió Raabe-Stuppnig, celebrando que «el TJUE haya rechazado esta noción». .”
Cuando se le preguntó sobre el uso que hace Meta de los llamados datos de categorías especiales (ya que la información personal confidencial como la orientación sexual, los datos de salud y las opiniones religiosas son conocidos según la legislación de la UE), Pollard afirmó que la compañía no procesa esta información para la orientación de anuncios.
«No utilizamos categorías especiales de datos que los usuarios nos proporcionan para personalizar los anuncios», escribió. “También prohibimos a los anunciantes compartir información confidencial según nuestros términos y filtramos cualquier información potencialmente confidencial que podamos detectar. Además, hemos tomado medidas para eliminar cualquier opción de orientación de anunciantes basada en temas que los usuarios consideren sensibles”.
Este componente del fallo del TJUE podría tener relevancia más allá de la operación de los servicios de redes sociales per se, ya que los gigantes tecnológicos, incluido Meta, recientemente han estado luchando por reutilizar los datos personales como material de entrenamiento de IA. Rastrear Internet es otra táctica que los desarrolladores de IA han utilizado para capturar las grandes cantidades de datos necesarios para entrenar grandes modelos de lenguaje y otros modelos generativos de IA.
En ambos casos, tomar datos de personas para un nuevo propósito (entrenamiento en IA) podría ser una violación del principio de limitación de propósito del RGPD.