Meta ha recibido otra factura por incumplir el Reglamento General de Protección de Datos (RGPD) de la Unión Europea, ¡pero esta es de las pequeñas! La plataforma de mensajería WhatsApp, propiedad de Meta, ha sido multada con 5,5 millones de euros (algo menos de 6 millones de dólares) por el principal regulador de protección de datos del gigante tecnológico en la región por no disponer de una base legal para determinados tipos de tratamiento de datos personales.
Ya en diciembre, el principal regulador de Meta, la Comisión de Protección de Datos de Irlanda (DPC), recibió órdenes de emitir una decisión final sobre esta denuncia (que se remonta a mayo de 2018) -a través de una decisión vinculante de la Junta Europea de Protección de Datos (EDPB)- junto con otras dos denuncias, contra Facebook e Instagram.
Esas dos decisiones finales salieron del CPD a principios de este mes, cuando anunció un total de 310 millones de euros en sanciones y dio a Meta tres meses para encontrar una base jurídica válida para ese procesamiento de anuncios. Pero mientras que el último par de decisiones GDPR abordó la falta de Meta de una base jurídica válida para el tratamiento de datos de usuario para ejecutar la publicidad conductual (es decir, su modelo de negocio principal), con la decisión de WhatsApp Irlanda parece haber eludido la cuestión de la legalidad de procesamiento de anuncios por completo – ya que su investigación se ha centrado en la base jurídica Meta alegó para «mejoras del servicio» y «seguridad».
En este caso, Meta había intentado (de forma similar) basarse en una alegación de necesidad contractual, pero Irlanda ha determinado ahora (a través de una orden del EDPB) que no puede hacerlo.
El CPD ha dado a WhatsApp un plazo de seis meses para rectificar en lo que respecta a estos fines del tratamiento de datos. Esto significa que tendrá que encontrar una manera de procesar legalmente los datos (tal vez preguntando a los usuarios si dan su consentimiento para tales fines y no procesar sus datos si no lo hacen).
Pero el regulador simplemente se ha negado a actuar sobre una instrucción paralela de la JEPD que decía al CPD que investigara si WhatsApp procesa los (meta)datos de los usuarios para anuncios. Y esto ha dado lugar a nuevas quejas, por parte del denunciante original, de una nueva trampa por parte del muy criticado regulador irlandés.
En un comunicado de prensa, noyb, la organización sin ánimo de lucro que defiende los derechos de privacidad y que está detrás de las quejas estratégicas originales, no se anda con rodeos y argumenta que, en este punto, Irlanda le está haciendo la puñeta al EDPB.
«Estamos asombrados de cómo el DPC simplemente ignora el núcleo del caso después de un procedimiento de 4,5 años. El DPC también ignora claramente la decisión vinculante del EDPB. Parece que el DPC finalmente rompe todos los lazos con las autoridades asociadas de la UE y con los requisitos de la legislación de la UE e irlandesa», dijo su presidente honorario, Max Schrems, en una declaración típicamente concisa y punzante.
Aunque el contenido de los mensajes de WhatsApp está cifrado de extremo a extremo -lo que significa, suponiendo que confíes en la implementación de Meta del protocolo Signal, que esta información debería estar protegida de sus miradas indiscretas-, el gigante de las redes sociales puede obtener información sobre los usuarios rastreando sus metadatos de WhatsApp (es decir, quién habla con quién, con qué frecuencia). La empresa también puede conectar los puntos y los usuarios a las cuentas y la actividad digital pública (o no E2EE) a través de otros servicios que posee (y, potencialmente, servicios de terceros que ha sembrado con tecnologías de seguimiento) … Así que, básicamente, la red de recopilación de datos de Meta es larga (y amplia).
Eso significa que sin duda hay preguntas que hacer sobre cómo podría estar procesando los datos de los usuarios de WhatsApp con fines de marketing, y en qué base legal se basa para dicho procesamiento.
Es posible que los usuarios de WhatsApp recuerden la gran polémica que se desató en 2021, cuando la plataforma anunció una actualización de sus condiciones generales que los usuarios debían aceptar para poder seguir utilizando el servicio. No estaba claro qué cambiaba exactamente en los términos actualizados. Pero, fuera lo que fuera lo que estaba ocurriendo, Meta no estaba dando a los usuarios de WhatsApp libertad de elección sobre el asunto. Y aunque la atención de los organismos reguladores sobre este asunto llevó a lo que pareció ser una especie de renuncia por parte de Meta, que dejó de enviar agresivas ventanas emergentes exigiendo a los usuarios de la UE que aceptaran (o abandonaran), todo el episodio llevó a una confusión generalizada sobre qué estaba haciendo exactamente con los datos de los usuarios de WhatsApp (y cómo lo estaba haciendo, legalmente hablando).
El episodio también provocó algunas quejas de protección de los consumidores, que llevaron, el verano pasado, a que la Comisión Europea diera a la empresa un mes para arreglar los confusos términos y condiciones e «informar claramente» a los consumidores sobre su modelo de negocio.
La confusión y la desconfianza en torno a los términos y condiciones de WhatsApp no se vieron favorecidas por un giro de 180 grados en la sincronización de los datos de los usuarios con Facebook, cuando la plataforma cambió el compromiso de uno de sus fundadores de no cruzar nunca esos flujos. En resumen, es un lío que los reguladores europeos no pueden afirmar haber solucionado.
Sin embargo, a pesar de toda la confusión y las preocupaciones sobre la privacidad, el CPD parece espectacularmente desinteresado en analizar cómo WhatsApp puede estar procesando los datos de los usuarios para los anuncios.
«El DPC ha limitado ahora el procedimiento de 4,5 años a las cuestiones menores de la base legal para el uso de datos con fines de seguridad y para la mejora del servicio», escribe noyb, acusando al regulador de ignorar esencialmente este componente principal de su queja. «El DPC ignora así las cuestiones principales de compartir datos de WhatsApp con otras empresas de Meta (Facebook e Instagram) para publicidad, así como para otros fines».
El comunicado de prensa del CPD en el que anuncia su decisión final, evita casi por completo mencionar la publicidad basada en el comportamiento, hasta el final, cuando la frase aparece. Pero solo porque cita la instrucción que le dio la JEPD: llevar a cabo una nueva investigación de «las operaciones de tratamiento de WhatsApp IE [Irlanda] en su servicio para determinar si trata categorías especiales de datos personales (artículo 9 del RGPD), procesa datos con fines de publicidad basada en el comportamiento, con fines de marketing, así como para el suministro de métricas a terceros y el intercambio de datos con empresas afiliadas con el fin de mejorar el servicio, y para determinar si cumple las obligaciones pertinentes en virtud del RGPD».
Así que Irlanda tenía la oportunidad de agarrar el toro por los cuernos en nombre de los usuarios de WhatsApp y seguir los flujos de datos para dibujar una imagen clara de lo que la propiedad de Meta de la plataforma de mensajería E2EE significa realmente para la privacidad de los usuarios. (Y, recordemos, el imperio de la segmentación publicitaria por comportamiento de Meta carece actualmente de base legal para el procesamiento de anuncios en Facebook e Instagram en la UE).
Pero en lugar de ponerse a investigar el tratamiento de datos de WhatsApp, el regulador irlandés ha optado por encargar a sus abogados que impugnen la decisión vinculante del EDPB y traten de anularla en los tribunales.
Actualización: Meta ha respondido ahora a la decisión del CPD, enviándonos este comunicado, atribuido a un portavoz de WhatsApp, en el que confirma que recurrirá:
WhatsApp ha liderado el sector de la mensajería privada ofreciendo cifrado de extremo a extremo y capas de privacidad que protegen a las personas. Creemos firmemente que el modo en que funciona el servicio es conforme tanto técnica como legalmente. Nos basamos en la necesidad contractual para mejorar el servicio y la seguridad porque creemos que ayudar a mantener a salvo a la gente y ofrecer un producto innovador es una responsabilidad fundamental en el funcionamiento de nuestro servicio. No estamos de acuerdo con la decisión y tenemos intención de recurrirla.