La autoridad de Protección de Datos de Irlanda vuelve a sancionar a Meta por infringir GDPR

Recomendados.... » Tendencias 2023 en ciberseguridad para blindar a las empresas  Webinar » Ciberseguridad y normativa: claves de la confianza del ciudadano en los servicios públicos Acceder  » Digitalización y negocio. Qué nos depararán las TI en 2023 Informe

Ayer la agencia irlandesa hizo pública sus decisión de multar a Meta tras realizar dos investigaciones sobre las operaciones de procesamiento de datos en Facebook e Instagram. El regulador concluye que se Meta ha infringido la normativa europea de protección de datos (GDPR), por lo que la cantidad total a pagar será de 390 millones de euros, de los que 210 millones corresponden a Facebook y 180 a Instagram.

Las investigaciones se desencadenaron a raíz de dos quejas, una sobre los servicios de Facebook, realizada por un ciudadano austriaco, y otra sobre Instagram, hecha por un belga. Según la agencia, ambos aducían a que antes de la fecha de inicio de la aplicación del reglamento europeo, Meta Ireland había cambiado los términos de los servicios de Facebook e Instagram para legitimar el procesamiento de datos personales de los usuarios que, según el artículo 6 de la norma, solo es lícito en función de seis criterios. En el caso de Meta recurrió para la mayoría de operaciones (no todas) al apartado (1) (b) como base, que se refiere a que "el tratamiento (de datos) es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales".

Si deseaban continuar teniendo acceso a los servicios de las dos plataformas sociales tras la entrada en vigor de GDPR, los usuarios tenían que aceptar los términos del servicio actualizados y, si no, dejarían de estar accesibles para el usuario. De esta forma, Meta consideró que, al aceptar los Términos de Servicio actualizados, se suscribió un contrato entre Meta Ireland y el usuario, y que el tratamiento de los datos de los usuarios en conexión con la prestación de sus servicios de Facebook e Instagram era necesario para la ejecución de dicho contrato y ofrecer servicios personalizados y publicidad conductual.

Por su parte, los denunciantes sostenían que Meta Ireland pretendía basarse en el consentimiento para proporcionar una base legal para el procesamiento de los datos de los usuarios, y argumentaron que, al condicionar la accesibilidad de sus servicios a que los usuarios aceptaran los Términos de servicio actualizados, estaba obligando a los usuarios a dar su consentimiento para el procesamiento de sus datos personales para publicidad conductual y otros servicios personalizados, con lo cual estaría vulnerando la norma europea.

La decisión de la autoridad es que la multinacional infringió el artículo 6 al no tener derecho a emplear como base legal el "contrato" para entregar publicidad conductual como parte de sus servicios de Facebook e Instagram.

En tres meses, Meta tendrá que permitir a los usuarios que dispongan de una versión de todas las aplicaciones que no utilice datos personales con fines de publicidad. No obstante, podrá emplear información personal para personalizar anuncios, pidiendo a los usuarios su consentimiento expreso y estos deben poder retirar ese consentimiento en cualquier momento.

La Comisión de Protección de Datos de Irlanda ya sancionó en noviembre a Meta con con 265 millones de euros por la filtración de la información personal de 533 millones de usuarios de Facebook, descubierta en abril del año pasado.