Données à caractère personnel : peut-on marchander l’usage d’un droit fondamental ?

Datos personales: ¿puede comercializarse el ejercicio de un derecho fundamental?

Vigilancia Legal No. 54 – Diciembre de 2022

Datos personales: ¿puede comercializarse el ejercicio de un derecho fundamental? Comentar el proceso contra Meta, la empresa matriz de Facebook, WhatsApp e Instagram, puede resultar tedioso, ya que atrae la ira de las autoridades de protección de datos. 

De hecho, la empresa ha sido la más sancionada de las empresas GAFAM desde la entrada en vigor del RGPD y acaba de recibir una multa de 390 millones de euros.

Sin embargo, las recientes decisiones del Comité Europeo de Protección de Datos (CEPD), que fueron implementadas por la autoridad irlandesa de protección de datos a principios de este año, merecen nuestra atención por más de una razón.

Por un lado, porque constituyen el epílogo de una guerra dialéctica entre la autoridad de protección de datos irlandesa y sus homólogas europeas, y por otro lado porque aclaran el marco legal de la elaboración de perfiles publicitarios en un contexto que va más allá del caso específico de Meta.

Las decisiones adoptadas por el CEPD el 6 de diciembre se adoptaron en el marco del procedimiento europeo de resolución de litigios (artículo 65 del RGPD). entre las autoridades nacionales de protección de datos.

A esto le siguió la publicación, el 4 de enero, de la posición final de la autoridad irlandesa, que coincide con las conclusiones del CEPD.

Como líder en esta materia, Irlanda se encontró en desacuerdo con sus pares en cuestiones relacionadas con varias operaciones de procesamiento de datos realizadas por Facebook, WhatsApp e Instagram.

Las decisiones adoptadas por el CEPD resuelven la disputa en tres puntos principales: la base jurídica del tratamiento (art. 6 RGPD), los principios de protección de datos (art. 5 RGPD) y el uso de medidas correctivas, incluidas multas.

El punto que nos interesa especialmente es la cuestión de la base legal para el tratamiento de los datos por parte de la empresa, ya que Meta considera, con el apoyo de la autoridad irlandesa, que los datos del usuario podrían recopilarse con fines de publicidad comportamental (o mejora del servicio en el caso de WhatsApp), utilizando la base legal de la ejecución del contrato.

Cabe señalar que hasta la entrada en vigor del RGPD, Meta legitimaba la publicidad comportamental mediante la obtención del consentimiento del usuario.

La compañía modificó sus condiciones generales el 25 de mayo de 2018 para incluir esta finalidad de segmentación publicitaria, que ahora se considera parte integral del servicio que ofrece, y limita de facto el control de los usuarios sobre el uso de sus datos.

La empresa argumentó que no necesitaba obtener el consentimiento porque esta segmentación en línea es parte del servicio que brinda a los usuarios.

Recordemos que el consentimiento, así como la necesidad de datos en el contexto de la ejecución de un contrato, se encuentran entre las seis bases legales del artículo 6(1) del RGPD que permiten justificar la licitud de un tratamiento.

¿Son estas bases jurídicas intercambiables?

La doctrina europea en esta materia es clara y acaba de ser confirmada: la necesidad contractual debe interpretarse de forma estricta y los datos recogidos deben ser estrictamente necesarios para el servicio prestado, como ocurre, por ejemplo, con la recogida de datos de tarjetas de crédito para el pago online.

En su dictamen de 8 de octubre de 2019 sobre los servicios en línea, el CEPD ya consideró que la publicidad comportamental no es un elemento necesario de los servicios en línea.

Un minorista en línea que desee, por ejemplo, crear perfiles de los gustos y el estilo de vida de un usuario basándose en las visitas a su sitio web no puede confiar en la ejecución de un contrato de compra para crear estos perfiles.

Incluso si la elaboración de perfiles se menciona específicamente en el contrato, este hecho por sí solo no la hace “necesaria” para la ejecución del contrato.

Si el comerciante online desea llevar a cabo dicho perfilado, deberá basarse en otra base jurídica.

Esta posición fue confirmada por el CEPD en sus directrices del 13 de abril de 2021 sobre la segmentación de usuarios de las redes sociales.

Sin embargo, se observa que un número cada vez mayor de servicios en línea se presentan como gratuitos, mientras que en realidad se pagan con datos de los usuarios, que constituyen la contrapartida del servicio en línea.

¿Podemos entonces “pagar con nuestros datos”?

Esta cuestión de la contractualización de los datos no es nueva, pero se plantea hoy con cierta agudeza.

Incluso si los anuncios sirven para apoyar el servicio, el tratamiento con fines de marketing directo se considera en principio diferente del propósito objetivo del contrato entre el interesado y el proveedor de servicios, lo que implica que el usuario debe seguir siendo libre de consentir o no la orientación publicitaria.

En 2017, el Supervisor Europeo de Protección de Datos advirtió en un dictamen sobre los contratos de prestación de servicios digitales "contra cualquier nueva disposición que introduzca la idea de que las personas pueden pagar con sus datos de la misma manera que pueden pagar con dinero".

De hecho, los derechos fundamentales, como el derecho a la protección de datos personales, no pueden reducirse a los únicos intereses de los consumidores, y los datos personales no pueden considerarse una simple mercancía.

Algunos considerarán que pagar con tus datos no significa renunciar a tus derechos fundamentales.

También cabe destacar la posición ambigua de la CNIL sobre el tema de los "paywalls" que condicionan el acceso a un sitio web al pago por parte de los usuarios que rechazan el uso de cookies, y la Comisión indica en su sitio web que examina estas cuestiones caso por caso.

¿Debemos entonces esperar que Meta cobre a los usuarios que rechazan la elaboración de perfiles publicitarios?

Como señala acertadamente la ONG NOYB, que presentó la denuncia contra Meta, el litigio resuelto por el CEPD solo afecta a este perfil y no tiene ningún impacto en otras formas de publicidad, como la publicidad contextual, basada en el contenido de una página.

La postura del CEPD seguramente tendrá un impacto en las finanzas de Meta, pero no descarta por completo la publicidad.

Por el contrario, debería restablecer una competencia sana entre Meta y otros proveedores de servicios en línea, así como entre las empresas sujetas a la legislación irlandesa y las establecidas en otros lugares de Europa.

Y también

Francia:

El 19 de diciembre de 2022, la CNIL sancionó a la empresa MICROSOFT IRLANDA OPERACIONES LIMITADA por 60 millones de euros por el uso ilegal de cookies en su buscador “bing.com”.

Se acusa a la empresa de no haber implementado un mecanismo que permita a las personas rechazar las cookies con la misma facilidad con la que las aceptan.

La CNIL justifica este importe por el alcance del tratamiento, por el número de personas afectadas y por los beneficios que la empresa obtiene de los ingresos publicitarios generados indirectamente a partir de los datos recopilados por las cookies.

El 30 de noviembre de 2022, la CNIL impuso una sanción de 300.000 euros a la empresa FREE.

Las inspecciones revelaron varias violaciones, en particular en los derechos de las personas afectadas (derecho de acceso y derecho de supresión) y en la seguridad de los datos: la Comisión destacó la escasa solidez de las contraseñas, el almacenamiento y la transmisión de contraseñas en texto claro y la recirculación de unas 4.100 cajas "Freebox" mal reacondicionadas.

Además, rechazó el argumento de que las fuentes de datos personales del responsable del tratamiento deberían considerarse "secretos comerciales".

En una publicación del 5 de diciembre de 2022, la CNIL recuerda las normas que deben respetarse en el momento de la venta de un fichero de clientes con fines comerciales: el fichero debe contener únicamente datos de clientes activos y durante un periodo máximo de tres años desde la finalización de la relación comercial, sólo se podrán vender los datos de clientes que no se hayan opuesto a la transmisión de sus datos o que hayan consentido a la misma, debiendo el comprador garantizar que se respeten los derechos de las personas (en particular, información clara y consentimiento a la prospección electrónica).

La CNIL finalmente sancionó este 4 de enero DISTRIBUCIÓN INTERNACIONAL DE APPLE hasta 8 millones de euros por no haber recopilado el consentimiento de los usuarios franceses de iPhone que utilizan la versión antigua de iOS 14.6 antes de depositar y/o escribir identificadores utilizados con fines publicitarios en sus dispositivos.

Europa:

La Presidencia sueca del Consejo de la UE publicó el 14 de diciembre sus prioridades para los próximos seis meses: la tecnología digital no ocupa el primer lugar en la agenda., dados los debates actuales sobre la seguridad económica y energética y la resiliencia en el contexto del conflicto ruso-ucraniano.

Suecia, sin embargo, precisa que continuará el trabajo iniciado en relación con la regulación de datos ("Data Act"), el reglamento "privacidad y comunicaciones electrónicas", así como la propuesta de reglamento relativo a un espacio europeo de datos sanitarios.

La Comisión Europea publicó el 13 de diciembre de 2022 su esperado proyecto de decisión de adecuación respecto al nivel de protección de datos en Estados Unidos.

Esta decisión tiene como objetivo proporcionar una base jurídica duradera para las transferencias UE-EE. UU. tras la decisión “Schrems II” del Tribunal de Justicia de la UE de julio de 2020, que invalidó el “Escudo de Privacidad”.

Antes de que se pueda adoptar una decisión final, el proyecto aún debe ser revisado por el Comité Europeo de Protección de Datos (CEPD) y aprobado por el comité de representantes de los Estados miembros de la UE.

El Parlamento Europeo también tiene derecho a revisar las decisiones de adecuación.

La Comisión Europea publicó el 15 de diciembre de 2022 una declaración sobre derechos y principios digitales para la década digital.

La declaración tiene como objetivo orientar a los responsables políticos en su visión de la transformación digital en las siguientes líneas: una transformación digital centrada en el ciudadano, que apoye la solidaridad y la inclusión, un recordatorio de la importancia de la libertad de elección en las interacciones con algoritmos y sistemas de inteligencia artificial, y una mayor seguridad, protección y empoderamiento, especialmente para los niños y los jóvenes, garantizando al mismo tiempo el derecho a la privacidad y el control de las personas sobre sus datos.

Tras un año de investigación, la Defensora del Pueblo de la UE ha publicado su decisión, de 19 de diciembre de 2022, relativa a la queja del Consejo Irlandés para las Libertades Civiles (ICCL) contra la Comisión Europea por no supervisar adecuadamente la aplicación del RGPD por parte de Irlanda.

Esta decisión pone de relieve la necesidad de que la Comisión Europea supervise mejor el progreso de cada caso de Big Tech presentado ante la Comisión Irlandesa de Protección de Datos.

En una sentencia del 8 de diciembre, el Tribunal de Justicia de la Unión Europea aclaró las condiciones en las que los ciudadanos europeos pueden obtener de Google la eliminación de los resultados de búsqueda que les conciernen.

El caso involucraba a dos gestores de inversiones que pidieron a Google que eliminara los resultados de una búsqueda realizada utilizando sus nombres, que proporcionaba enlaces a ciertos artículos que criticaban su modelo de inversión.

El Tribunal dictaminó que «el derecho a la libertad de expresión e información no puede tenerse en cuenta cuando, al menos, una parte —no menor— de la información contenida en el contenido referenciado resulta ser inexacta». Quienes deseen eliminar resultados inexactos de los motores de búsqueda deben aportar pruebas suficientes (y razonables) de que lo que se dice sobre ellos es falso.

El 22 de diciembre la Autoridad de Protección de Datos de los Países Bajos publicó una declaración sobre sus poderes para supervisar los algoritmos en cuestiones de transparencia, discriminación y arbitrariedad.

También en los Países Bajos, un estudio del grupo de privacidad holandés Incogni revela que muchas aplicaciones de compras populares, incluida la de Amazon, vienen con prácticas cuestionables con respecto a compartir permisos de acceso con bibliotecas de publicidad, lo que permite que las redes publicitarias accedan indirectamente al dispositivo. 

Autoridad griega La Autoridad de Protección de Datos ha multado a Vodafone PANAFON SA con 150.000 euros por no adoptar las medidas técnicas y organizativas adecuadas para proteger la seguridad de sus servicios de comunicaciones electrónicas.

La autoridad islandesa La Autoridad de Protección de Datos ordenó a un taller de reparación de automóviles que cumpliera una solicitud de acceso de conformidad con el artículo 15 del RGPD y que proporcionara al interesado los datos relativos a todas las reparaciones y servicios realizados en su vehículo mientras estaba en su posesión.

La autoridad portuguesa La Autoridad de Protección de Datos ha reprendido y multado con 170.000 euros al Ayuntamiento de Setúbal por violar el principio de integridad y confidencialidad, el principio de limitación del plazo de conservación, las obligaciones de información previstas en el artículo 13 del RGPD y por no designar un delegado de protección de datos en relación con la recogida de datos personales de refugiados ucranianos que utilizaron una línea telefónica de ayuda en Portugal.

La Autoridad de Protección de Datos de Portugal también sancionó al Instituto Nacional de Estadística por incumplimiento del RGPD, incluso por enviar datos personales del censo de 2021 a Estados Unidos y por no realizar una evaluación de impacto de la protección de datos.

La autoridad italiana La Autoridad de Protección de Datos ha multado a Alpha Exploration con 2.000.000 euros por operar la red social Clubhouse violando las disposiciones del RGPD sobre legalidad y transparencia, por no evaluar los riesgos derivados del procesamiento y por designar un representante de la UE sin el mandato necesario para actuar en nombre del responsable del tratamiento.

La autoridad italiana de protección de datos también multó al operador de telecomunicaciones Vodafone Italia con 500.000 euros por procesar datos personales con fines de marketing directo sin una base legal, por obtener un consentimiento genérico para operaciones de procesamiento de datos separadas y por proporcionar información sobre el procesamiento de datos personales de manera incomprensible.

autoridad española La Autoridad de Protección de Datos impuso una multa de 5.000 € a un adolescente de 16 años por usar vídeos y fotos recibidos por WhatsApp para chantajear a un menor de 13 años que no pudo dar su consentimiento válido. La Autoridad también ordenó al adolescente que eliminara todos los demás datos personales relativos a la persona en cuestión e informara sobre las medidas adoptadas al respecto. 

Internacional

ESTADOS UNIDOS : Epic Games, creador del videojuego Fortnite, tendrá que pagar más de 500 millones de dólares por violar la Ley de Protección de la Privacidad Infantil (COPPA), cambiar la configuración de privacidad predeterminada y engañar a los usuarios para que realicen compras no deseadas.

Los acuerdos de la Comisión Federal de Comercio con Epic Games fueron hechos públicos por la FTC el 15 de diciembre.

En una publicación del 29 de diciembre, The Guardian informa que el fabricante chino de cámaras de vigilancia Hikvision ha desarrollado una plataforma de software para ayudar a la policía. para seguir las actividades de los manifestantes.

La policía china podría así establecer alertas para distintos tipos de manifestaciones, como "reuniones que alteren el orden en lugares públicos", "reuniones, procesiones o manifestaciones ilegales" y amenazas de "petición".

Los países de la OCDE adoptaron el primer acuerdo intergubernamental sobre privacidad el 14 de diciembre de 2022. al acceder a datos personales con fines de seguridad nacional y de aplicación de la ley.

Los principios definen cómo los marcos legales regulan el acceso del gobierno, los estándares legales que se aplican cuando se solicita el acceso, cómo se aprueba el acceso y cómo se procesan los datos resultantes, y los esfuerzos para garantizar la transparencia ante el público.

Del soluciones técnicas Se están desarrollando para permitir que tanto los usuarios controlen el uso de sus datos como los controladores de datos gestionen los datos en línea de acuerdo con los principios de protección de datos.

Además de Global Privacy Control, cuyo uso se está expandiendo en el contexto de la gestión del consentimiento en línea, la plataforma de gestión del consentimiento CookieFirst ofrece a los usuarios un control avanzado sobre los servicios de terceros y las cookies que configuran, y utiliza subcontratistas con sede en la UE para el almacenamiento de datos.

Anne Christine Lacoste

Socia de Olivier Weber Avocat, Anne Christine Lacoste es abogada especializada en derecho de datos, fue responsable de Relaciones Internacionales en el Supervisor Europeo de Protección de Datos y trabajó en la implementación del RGPD en la Unión Europea.

Descubra Viqtor®
es_ESES
fr_FRFR en_USEN de_DE_formalDE elEL it_ITIT hrHR pt_PTPT nl_NL_formalNL de_ATDE_AT etET fiFI lvLV lt_LTLT sk_SKSK sl_SISL es_ESES