La controvertida elección de Meta de pagar o ser rastreado «consentimiento» para los usuarios de la Unión Europea enfrenta preguntas de la Comisión Europea. Hoy, el bloque dijo que envió a Facebook y al propietario de Instagram una solicitud formal de información (RFI) bajo la Ley de Servicios Digitales (DSA), pidiéndole que proporcione más detalles sobre las «opciones de suscripción sin anuncios» que ofrece a los usuarios regionales de sus dos principales redes sociales.
«En particular, Meta debe proporcionar información adicional sobre las medidas que ha tomado para cumplir con sus obligaciones relacionadas con las prácticas publicitarias de Facebook e Instagram, los sistemas recomendadores y las evaluaciones de riesgos relacionadas con la introducción de esa opción de suscripción», escribió la Comisión en un comunicado de prensa.
Meta fue contactada para responder a la RFI de la Comisión. Pero el portavoz, Matthew Pollard, nos dijo que no tiene comentarios en este momento.
Meta realizó el controvertido cambio a un modelo de negocio llamado «consentir o pagar» en la UE el otoño pasado, después de que los desafíos a otras dos bases legales que había reclamado para el procesamiento de datos de los usuarios con fines de orientación publicitaria lo obligaran a replantear su enfoque.
La suscripción sin anuncios de Meta es controvertida porque, según la legislación de protección de datos de la UE, el consentimiento debe ser informado, específico y otorgado de forma gratuita para que sea válido. Pero la elección que Meta ha planteado requiere que los usuarios paguen suscripciones mensuales (a partir de €9.99/mes) para acceder a versiones sin anuncios de las redes sociales, o de lo contrario deben aceptar ser rastreados y perfilados para su publicidad dirigida.
Actualmente no hay forma para que los usuarios de la UE accedan a Facebook o Instagram de forma gratuita sin ser rastreados.
Grupos de derechos de privacidad y consumidores rápidamente criticaron la táctica egoísta de Meta y desde entonces se han presentado una serie de quejas bajo la ley de protección de datos y consumidores de la UE, cuyas infracciones pueden dar lugar a multas de hasta el 4% de la facturación anual global.
Ahora la UE misma está interviniendo con una RFI bajo la DSA, la normativa de comercio electrónico recientemente actualizada del bloque.
Esta regulación paneuropea separada ha aplicado desde agosto pasado una serie de reglas de responsabilidad y transparencia algorítmica a las plataformas en línea más grandes (también conocidas como VLOPs), incluidas Facebook e Instagram.
La DSA es altamente relevante porque estipula que las plataformas más grandes deben obtener el consentimiento de las personas para utilizar sus datos con fines publicitarios, y ese consentimiento debe cumplir con las normas de protección de datos del bloque y ser tan fácil de retirar como de otorgar.
La regulación también prohíbe por completo el uso de datos sensibles o datos de menores para publicidad, y no está claro cómo Meta evita que los motores de orientación publicitaria procesen datos sensibles, dado que, por ejemplo, las opiniones políticas de las personas pueden ser inferidas por su rastreo de comportamiento y los proxies utilizados para orientar anuncios en categorías sensibles. (La empresa afirmó, en 2021, haber eliminado la capacidad de los anunciantes de orientar categorías sensibles. Pero su seguimiento y perfilado continuo de usuarios crea oportunidades para que los anunciantes se dirijan a proxies).
Tampoco está claro cuán exitoso (o no) es Meta en la prevención de que los menores accedan a Facebook e Instagram. Obviamente, los niños no podrían inscribirse y pagar una suscripción mensual para acceder a las versiones sin anuncios de estos servicios, por lo que los menores podrían verse obligados a aceptar su rastreo, a pesar de que la DSA prohíbe el uso de datos de menores para publicidad.
Mientras las quejas de protección de datos contra Meta generalmente terminan siendo redirigidas a la Comisión de Protección de Datos de Irlanda (DPC), que lidera la supervisión del cumplimiento de Meta con el Reglamento General de Protección de Datos (GDPR), pero aún no ha emitido una opinión sobre la legalidad del modelo de ‘consentir o pagar’ de Meta, la Comisión es responsable de hacer cumplir el subconjunto de reglas adicionales de la DSA para las VLOPs. Las sanciones por violaciones de la DSA pueden alcanzar hasta el 6% de la facturación anual global.
En los primeros seis meses del rol de ejecución de la UE, se han enviado una serie de RFIs a plataformas, incluidas varias solicitudes anteriores sobre Meta (relacionadas con la desinformación, protección infantil y seguridad electoral), así como la apertura de dos procedimientos de investigación formales (sobre X y TikTok). Pero la Comisión parece haber prestado menos atención a problemas de cumplimiento relacionados con el consentimiento publicitario, hasta ahora.
En noviembre, los eurodiputados Kim van Sparrentak y Paul Tang presentaron preguntas por escrito a la Comisión pidiendo su opinión sobre la legalidad de la oferta de ‘consentir o pagar’ de Meta bajo la ley de protección de datos de la UE y bajo la DSA, señalando que «existen alternativas para el seguimiento, como la publicidad contextual, que están disponibles y son factibles».
En su respuesta, fechada casi dos meses después (30 de enero), la Comisión escribió que «el procesamiento de datos personales para publicidad personalizada debe cumplir con el [GDPR]», y dijo que «actualmente está monitoreando y evaluando el cumplimiento de las VLOPs, incluidas Facebook e Instagram, con sus obligaciones de la DSA». Pero la UE evitó dar una respuesta específica.
En preguntas de seguimiento el mes pasado, los eurodiputados criticaron al comisionado de mercado interno, Thierry Breton, por lo que calificaron como «respuestas inadecuadas» y repitieron su pregunta por un veredicto claro sobre el modelo de ‘pagar o consentir’ de Meta. Estas nuevas preguntas se presentaron como «preguntas prioritarias», aumentando la presión sobre la Comisión para obtener una respuesta rápida.
Una semana después, Meta recibió una RFI de la Comisión solicitando información sobre la suscripción sin anuncios. La UE ha dado a Meta hasta el 22 de marzo para proporcionar la información solicitada.
«Después de presentar preguntas escritas múltiples veces a la Comisión Europea, pidiéndole que actúe sobre el muy cuestionable modelo de ‘pagar o consentir’ de Meta, me complace que la Comisión finalmente esté siguiendo el caso», dijo el eurodiputado Paul Tang a TechCrunch hoy, después de que destacáramos la RFI de la Comisión sobre la suscripción sin anuncios de Meta. «Ya es hora de que Meta enfrente las consecuencias y proporcione respuestas a todas las que hemos estado exigiendo».
Paralelamente a esta atención de la DSA al modelo de consentir o pagar de Meta, tres autoridades de protección de datos pidieron recientemente a la Junta Europea de Protección de Datos, un organismo rector del GDPR, que formule una opinión sobre la legalidad del consentimiento o pago, que sigue pendiente pero podría llegar tan pronto como a finales de este mes. (La opinión de la Junta podría ayudar a dar forma a cómo se aplica el GDPR en el mecanismo de Meta. Así que también será algo a tener en cuenta).
También nos comunicamos con la DPC de Irlanda para obtener una actualización sobre su revisión del modelo de consentir o pagar de Meta, que ha estado en curso durante aproximadamente seis meses. Un portavoz nos dijo: «La evaluación de la DPC en este asunto está en curso, por lo que no podemos decir más en este momento».
Solicitudes adicionales
La RFI de hoy de la Comisión a Meta contiene algunas solicitudes adicionales relacionadas con varios temas que ya se incluyeron en solicitudes de información formales anteriores bajo la DSA.
«Estas RFIs anteriores cubrieron temas como contenido terrorista, gestión de riesgos relacionados con el discurso cívico y los procesos electorales, y la protección de menores», escribió la UE. «La presente RFI se basa en las respuestas anteriores de Meta y solicita información adicional sobre la metodología subyacente de los informes de evaluación de riesgos y medidas de mitigación de Meta, la protección de menores, elecciones y medios manipulados. La RFI también solicita a Meta que proporcione información relacionada con la práctica conocida como shadow banning y el lanzamiento de Threads».
Meta tiene hasta el 15 de marzo para proporcionar respuestas a estas solicitudes a la UE.
Todavía no está claro si el bloque abrirá una investigación formal de Meta bajo la DSA, aunque todas estas RFIs sugieren que hay varios problemas de cumplimiento que siente que requieren un mayor escrutinio. En su comunicado de prensa de hoy, la Comisión escribió que evaluará las respuestas de Meta para determinar sus próximos pasos. Por lo que podríamos saber más en unas pocas semanas.
Además de abrir potencialmente una investigación formal, como ya lo ha hecho en el caso de la DSA de X y TikTok, la UE podría emitir más RFIs si aún siente que necesita más información de Meta. También tiene poderes para imponer multas por información incorrecta, incompleta o engañosa en respuesta a estas solicitudes.
