La AEPD impide el funcionamiento de las nuevas funcionalidades de Facebook e Instagram, asegurando la privacidad y cumplimiento del RGPD.
La Agencia Española de Protección de Datos ha emitido un acuerdo de adopción de medida provisional contra Meta Platforms Ireland Limited, en relación con el lanzamiento de nuevas funcionalidades en sus plataformas Facebook e Instagram, que podrían vulnerar la legislación sobre protección de datos personales. Este documento detalla los hechos, las consideraciones legales y las medidas adoptadas por la AEPD.
El 28 de febrero de 2024, la autoridad de protección de datos de Irlanda compartió información sobre dos nuevas funcionalidades de Facebook e Instagram, destinadas a usuarios de la UE con derecho a voto:
Esta orden se da ante las próximas elecciones al Parlamento Europeo, y afecta a la recopilación de datos implicados en el uso de dichas funcionalidades. Meta planea tratar datos personales como nombre del usuario, dirección IP, edad, género y la interacción con estas funcionalidades.
Ante las dudas generadas por el tratamiento de dichos datos, la AEPD se dirigió ante la la autoridad irlandesa responsable (DPC) a fin de aclarar las implicaciones del nuevo tratamiento.
La AEPD, tras analizar la información y las respuestas de Meta, determinó que el tratamiento de datos propuesto no cumple con el RGPD, principalmente por no tener una base de legitimación adecuada y por ser excesivo.
Consideraciones legales
La AEPD argumenta que Meta, al ser una entidad con fines comerciales, no puede justificar el tratamiento de datos personales bajo el interés público del derecho de voto. Además, señala que el tratamiento propuesto no es "necesario" según el artículo 6.1.b) RGPD.
El objetivo de su actividad principal es proporcionar una plataforma de red social financiada a través de publicidad, no obstante, «la celebración de elecciones democráticas y el libre ejercicio del derecho de voto constituyen un interés público, incompatible con el carácter comercial de la sociedad». Por ello, se considera que el tratamiento de los nuevos datos no es necesario para la ejecución de su actividad principal.
Además, critica la falta de mecanismos para asegurar que solo se traten datos de mayores de 18 años. También, cuestiona la finalidad de la recopilación de datos, la falta de explicación sobre el proceso de agregación de datos y la desproporción en el tratamiento de las interacciones con las funcionalidades.
Según establece la Agencia, la información recopilada por META le permitiría elaborar perfiles más complejos e intrusivos para los usuarios, por lo que podría vulnerar el derecho a la intimidad vulnerar la protección de datos. Adicionalmente, la posterior puesta a disposición de terceros de datos supondría una injerencia desproporcionada.
Por ello, considera urgente adoptar una medida cautelar con carácter excepcional y dentro del marco habilitante del artículo 66.1 del RGPD.
Medidas adoptadas
La AEPD ha ordenado a Meta Platforms Ireland Limited suspender inmediatamente la implementación de las funcionalidades Election Day Information Feature (EDI) y Voter Information Unit (VIU) en España, así como la recopilación y tratamiento de datos personales relacionados. Meta debe comunicar la ejecución de esta medida a la AEPD dentro de las 72 horas siguientes a la recepción del acuerdo.
La urgencia de esta medida se debe a la proximidad del período electoral en España y el riesgo de que Meta comience la recopilación de datos personales sin cumplir con el RGPD, lo que podría vulnerar los derechos y libertades de los usuarios.
De no tomarse la medida, recopilaría información de los usuarios, que verían incrementado el volumen de información que META recopila sobre ellos.
La resolución concluye con la notificación de la decisión a Meta Platforms Ireland Limited y establece las posibles consecuencias de no cumplir con las resoluciones de la AEPD, incluyendo sanciones económicas significativas, como una multa equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior.
Además del procedimiento iniciado por la AEPD, la Comisión Europea ha iniciado un procedimiento contra Meta para analizar aspectos como la desinformación y la visibilidad de contenido político, en el marco del Reglamento de Servicios Digitales.
La Circular 1/2019 de la AEPD establece que sólo pueden recopilarse opiniones políticas libremente expresadas en el ejercicio de los derechos a la libertad ideológica y de expresión, según los artículos 16 y 20 de la Constitución Española. De modo que la utilización de otros datos personales que puedan inferir la ideología política de una persona no pueden ser tratados.