El 28 de febrero de 2024, la autoridad irlandesa en materia de protección de datos, Data Protection Commission (DPC), informó a las autoridades de control de los países miembros de la Unión Europea, entre ellas el Garante Per la Protezione dei Dati Personali (GPDP o el Garante) y la Agencia Española de Protección de Datos (AEPD, en adelante) que Meta Platforms Ireland Limited, META, en lo sucesivo (y anteriormente conocida como Facebook), planeaba implementar dos nuevas funcionalidades en sus productos Facebook e Instagram, que son: (i) Election Day Information (EDI) y (ii) Voter Information Unit (VIU).
Ambas funcionalidades, EDI y VIU, están destinadas a tratar datos personales de usuarios con derecho a voto en la Unión Europea, precisamente, para “recordarles” sobre las elecciones parlamentarias celebradas el 9 de junio de 2024. Asimismo, a través de estas nuevas funciones, META tenía previsto compartir con terceros los datos personales de los usuarios y también los perfiles creados a partir de tal función. La autoridad de control española, con base en la información facilitada por META a la DPC, pudo determinar, entre otros aspectos, que la compañía: (i) no precisa el plazo de conservación, (ii) los datos personales se utilizan con la finalidad de ser agregados, (iii) no se informa acerca del proceso de agregación, (iv) cederlos agregados a terceros, (v) no justifica la necesidad de almacenamiento de estos datos personales; concluyendo la AEPD que tal tratamiento no se justifica como necesario y, por el contrario, se califica como excesivo y desproporcionado y, en consecuencia, ordenó cautelarmente la suspensión inmediata de la puesta en marcha de tales funcionalidades.
Para comprender la magnitud del presente caso, debemos partir de lo afirmado por la AEPD en el expediente EXP202403476 con el siguiente tenor: “META es una entidad privada, con una finalidad comercial, y cuya actividad principal consiste en proporcionar una plataforma de red social que se financia mediante la venta de espacios publicitarios, fundamentalmente vinculada a la elaboración de perfiles de los usuarios”. En resumen, la autoridad española, remarca que META es una compañía del sector privado que está dedicada, entre otras finalidades, a la venta de espacios publicitarios y elaboración de perfiles de sus usuarios.
META alegó la justificación de los tratamientos de datos personales realizados mediante las funciones EDI y VIU con base en lo dispuesto en el artículo 6.1.b) del Reglamento Europeo de Protección de Datos (RGPD), el cual menciona que el tratamiento de datos personales sería lícito si el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales. Sin embargo, siguiendo lo anotado por la AEPD, META es una entidad privada, con una finalidad comercial, cuya actividad principal es la una de red social que se financia mediante la venta de espacios publicitarios, vinculada a la elaboración de perfiles de sus usuarios.
Acto seguido, la AEPD sentencia que: “la celebración de elecciones democráticas y el libre ejercicio del derecho de voto constituyen un interés público, incompatible con el carácter comercial de la sociedad, por lo que no cabe apreciar que dicho interés sea necesario para la prestación del contrato en que el interesado es parte”. Y, es el caso que, la autoridad española, con acertado criterio, resolvió en el sentido que resulta insostenible alegar un interés público, como base para el tratamiento de los datos personales necesario para el cumplimiento de un contrato que tiene finalidad privada.
Por otro lado, la AEPD consideró en la resolución que estamos ante un tratamiento excesivo y desproporcionado de los datos personales porque META no justifica cómo asegurará que solo las personas mayores de 18 años serán objeto del tratamiento. Asimismo, se debe tener en cuenta que esta empresa tiene como finalidad disponer de estos datos personales para la mejora del propio producto y para comunicarlos a terceros.
A fortiori, la AEPD justificó la urgencia en la adopción de medidas contra META, puesto que, la empresa planea lanzar la funcionalidad VIU en España entre el 30 de mayo y el 9 de junio, por lo que es necesaria la intervención urgente para evitar la recopilación y tratamiento indebido de datos personales. Entre las medidas adoptadas en la resolución EXP202403476 del 31 de mayo de 2024 de la AEPD están la suspensión inmediata de las funcionalidades EDI y VIU en España. Además, se solicitó el cese de la recopilación y tratamiento de datos asociados. Estas medidas, deberán ser adoptadas por META y comunicadas a la AEPD en un plazo máximo de 72 horas desde la recepción del acuerdo.
A manera de conclusión, esta reciente resolución de la AEPD nos sirve para reflexionar sobre la necesidad de establecer mayores controles y parámetros por parte de nuestras autoridades de control respecto al tratamiento de nuestros datos personales que vienen realizando las organizaciones privadas, que en este caso fue META. Sin embargo, conviene preguntarnos ¿qué límites a los tratamientos de nuestros datos personales se deberían exigir también a compañías como Google, Bing, TikTok, etc.? todas ellas organizaciones privadas del sector tecnológico que actúan como redes sociales y aplican funcionalidades con recabado de datos personales y elaboración de perfiles que comparten con terceros. Todo ello sin perder de vista normativas como los reglamentos de Servicios Digitales (Digital Services Act, DSA) y el reglamento del Mercado Digital (Digital Market Act, DMA).
, informó a las autoridades de control de los países miembros de la Unión Europea, entre ellas el Garante Per la Protezione dei Dati Personali (GPDP o el Garante) y la Agencia Española de Protección de Datos (AEPD, en adelante) que Meta Platforms Ireland Limited, META, en lo sucesivo (y anteriormente conocida como Facebook), planeaba implementar dos nuevas funcionalidades en sus productos Facebook e Instagram, que son: (i) Election Day Information (EDI) y (ii) Voter Information Unit (VIU).){kind=link}