El 4 de enero de 2023, la Comisión de Protección de Datos de la Unión Europa (“CPD”) anunció haber emitido con fecha 31 de diciembre de 2022, dos decisiones[1] en las que multó a Meta Platforms Ireland Limited (“Meta”) con un total de 390 millones de euros, por ciertas infracciones al Reglamento General de Protección de Datos Europeo (“GDPR”) en el marco de los servicios prestados a través de las plataformas de Facebook e Instagram.

La investigación se derivó de dos denuncias presentadas por titulares de datos, quienes alegaron que, antes de la entrada en vigor del GDPR, Meta había actualizado los términos y condiciones de sus servicios, modificado la base legal que justificaba el tratamiento de los datos personales de los usuarios. Antes de la modificación, Meta sustentaba sus actividades de tratamiento de datos personales en el consentimiento[2], pasando luego a sostener que los datos personales tratados eran necesarios para la ejecución de un contrato[3] y que por lo tanto no era necesario el consentimiento.

Los denunciantes sostuvieron que, contrariamente a lo declarado por Meta en los términos y condiciones de sus servicios, esta continuaba usando el consentimiento como base legal ya que condicionaba la accesibilidad de algunos de sus servicios a la aceptación por parte de los usuarios de los términos y condiciones de servicio actualizados. Así, se exigía a los usuarios que consintieran el tratamiento de sus datos personales para la publicidad basada en el comportamiento y otros servicios personalizados, aun cuando la base legal declarada no era el consentimiento sino el cumplimiento de un contrato. Los denunciantes argumentaron que, al condicionar la accesibilidad de algunos de sus servicios a la aceptación por parte de los usuarios de las condiciones de servicio actualizadas, Meta los estaba "obligando" de hecho a consentir el tratamiento de sus datos personales para la publicidad basada en el comportamiento y otros servicios personalizados, cuando sus términos y condiciones mencionaban algo distinto (esto es, que la base legal que sustentaba el tratamiento por parte de Meta era aquella que autoriza el tratamiento sin consentimiento cuando los datos son necesarios para la ejecución de un contrato). Los denunciantes alegaron que esto constituía una infracción al GDPR en lo que respecta al deber de información.

La CDP concluyó en sus proyectos de decisión que:

(i) Meta había incumplido con el deber de transparencia previsto en el GDPR ya que la información facilitada a los usuarios de las plataformas referentes a la base legal para el tratamiento de los datos no se describía acabadamente, por lo que no quedaba suficientemente claro qué bases legales utilizaban, qué operaciones de tratamiento se estaban llevando a cabo con los datos personales y con qué finalidades. La CDP resaltó que Meta había incumplido (i) el artículo 12 del GDPR, el cual establece la obligación del responsable del tratamiento de datos de facilitar al titular toda información relativa al tratamiento, en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo; (ii) el artículo 13, inciso 1c del GDPR, que indica que cuando se obtengan de un interesado datos personales relativos a él, el responsable del tratamiento le informará los fines del tratamiento a que se destinan los datos personales y la base legal que sustenta el tratamiento; y (iii) el artículo 5, inciso 1 a del GDPR, el cual determina que los datos personales serán tratados de manera lícita, leal y transparente en relación con el interesado; y

(ii) en lo que respecta a la licitud del uso por parte de Meta del vínculo contractual como base legal para el tratamiento de los datos personales de los usuarios, en una primera instancia la CPD consideró que los servicios de las plataformas Facebook e Instagram incluyen la prestación de un servicio que incluye publicidad personalizada o basada en el comportamiento. Por lo tanto, la ejecución de un contrato como base legal para el tratamiento de los datos sería admisible.

No obstante, los proyectos de decisión de la CDP fueron elevados a las Autoridades de Supervisión Autorizadas (“ASA”) para su revisión.

En cuanto a la cuestión (i) precedente, referida a si Meta había actuado contraviniendo sus obligaciones de transparencia, las ASA se mostraron de acuerdo con las decisiones de la CPD, aunque consideraron que las multas propuestas por el CPD debían aumentarse.

En cuanto a la cuestión (ii), algunas de las ASA opinaron que no debía permitirse a Meta basarse en la base jurídica de ejecución de contrato porque no podía decirse que la prestación de servicios de publicidad personalizada (como parte del conjunto más amplio de servicios personalizados ofrecidos como parte de los servicios de Facebook e Instagram) fuera necesaria para ejecutar los elementos centrales del contrato. La CDP discrepó sobre este punto, reflejando que los servicios de Facebook e Instagram incluyen, y de hecho parecen basarse en, la prestación de un servicio personalizado que incluye publicidad personalizada o basada en el comportamiento. En opinión de la CPD, esta realidad es fundamental para el acuerdo alcanzado entre los usuarios y el proveedor de servicios elegido, y forma parte del contrato celebrado en el momento en que los usuarios aceptan las condiciones del servicio.

Al no ser posible alcanzar un consenso, de conformidad con lo dispuesto por el GDPR, el CPD remitió los puntos en litigio al Consejo Europeo de Protección de Datos (el “CEPD").

El CEPD concluyó que Meta no tenía derecho a apoyarse en la base jurídica "contractual" para el tratamiento de datos personales con fines de publicidad basada en el comportamiento y que su tratamiento de los datos de los usuarios hasta la fecha, en supuesta dependencia de la base jurídica "contractual", equivale a una infracción del artículo 6 del GDPR.

Consecuentemente, la CPD adoptó su decisión final el 31 de diciembre de 2022, alineándola con las conclusiones del CEPD, concluyendo que Meta no tiene derecho a basarse en la base jurídica "contractual" para la recolección de datos personales en relación con la emisión de publicidad basada como parte de sus servicios de Facebook e Instagram. Se impuso una multa de 210 millones de euros por las infracciones al GDPR vinculadas con la plataforma Facebook y otra de 180 millones de euros por las infracciones vinculadas con Instagram. La CPD le otorgó a Meta un plazo de tres meses para ajustar sus operaciones conforme lo resuelto.

Por su parte, Meta manifestó su disconformidad con las resoluciones de la CPD y expresó su intención de recurrir tanto el fondo de las sentencias como las multas aplicadas[4].

Conclusión.

La normativa europea vinculada con el tratamiento y la protección de los datos personales ha servido a lo largo de los años como guía para el avance de la regulación sobre la misma materia en Argentina. De allí surge que las decisiones adoptadas por los organismos europeos podrían verse como posibles consideraciones y referencias que podrían ser tomadas en cuenta en el futuro por la autoridad de aplicación argentina.

Si bien en Argentina la actual Ley de Protección de Datos Personales N° 25.326 (“LPDP”) sólo contempla al consentimiento como base legal, el tratamiento de datos personales para la ejecución de un contrato está contemplado como una excepción al requisito de consentimiento y en tal sentido nuestra norma se asemeja al GDPR. Por ello, entendemos que esta decisión puede enriquecer el debate y tomarse de parámetro para determinar cuándo procede y cuándo no la aplicación de dicha excepción contractual. Es sabido que, bajo nuestra normativa, las excepciones al consentimiento deben interpretarse de forma restrictiva y entendemos que esta decisión sustenta dicho entendimiento. La excepción al consentimiento fundada en que los datos personales tratados son necesarios para el cumplimiento de un contrato no puede ni debe ser tomada como una “carta blanca” que permita a los controladores de bases de datos sustentar su tratamiento -sin consentimiento- en actividades que no se relacionen directamente con y sean necesarias para la ejecución del contrato.

Referencias:

“Ireland: DPC imposes €390M fine on Meta for unlawful processing and breach of transparency obligations” disponible en: Ireland: DPC imposes €390M fine on Meta for unlawful processing and breach of transparency obligations | News post | DataGuidance

“Data Protection Commission announces conclusion of two inquiries into Meta Ireland”, disponible en: Data Protection Commission announces conclusion of two inquiries into Meta Ireland | 04/01/2023 | Data Protection Commission