Instagram, el Comisionado de Protección de Datos irlandés y el Comité Europeo de Protección de Datos

La relación entre Instagram, el Comisionado de Protección de Datos irlandés y el Comité Europeo de Protección de Datos (en adelante CEPD) no ha terminado. Si la autoridad de datos irlandesa anunciaba la multa de 405 millones de euros hace escasamente un mes, tras la decisión vinculante del CEPD, Meta (matriz de Instagram) está estudiando recurrirla, pues entienden que ellos realizaron cambios sustanciales en la configuración de las cuentas de empresa un año antes.

Pero empecemos por el principio, en septiembre de 2020, Irlanda (Estado miembro en el que se encuentra la sede en Europa de Meta) lanzó una investigación de oficio respecto a la licitud de los tratamientos que estuvo realizando Facebook Ireland Limited (hoy Meta Platforms Ireland Limited) entre el 25 de mayo de 2018 (fecha de entrada en vigor pdel Reglamento) y el 21 de septiembre de 2020.

A esta investigación, se sumaron diversas autoridades de control europeas dentro del marco de cooperación y coherencia de los artículos 60 y 63 RGPD. Recordemos que el Considerando 124 RGPD señala que en el caso de que el/los tratamiento/s de datos personales afecten sustancialmente a otros Estados miembros, la autoridad principal deberá cooperar con las demás autoridades interesadas.  Toda esta interacción se realiza a través del Sistema de Información del Mercado Interior, que es el instrumento por el cual las autoridades públicas intercambian y gestionan la información.

Del resultado preliminar de dicha investigación, en diciembre de 2021, Irlanda emitió un proyecto de decisión, que fue puesto a disposición del resto de autoridades de control europeas para su estudio y respuesta. En este, se había determinado que Instagram incumplía con los artículos 5.1.a) (principio de licitud, lealtad y transparencia del tratamiento), 5.1.c) (principio de minimización de datos), 12.1 (principio de transparencia), 13 (principio de información), 24 (aplicación de medidas técnicas y organizativas apropiadas para garantizar y demostrar que cumplen con el RGPD), 25 (protección de datos desde el diseño y por defecto) y 35 RGPD (evaluación de impacto). En concreto, las infracciones se circunscriben a la divulgación de las direcciones de correo electrónico y/o los números de teléfono de los menores cuando utilizaban el perfil de Instagram para empresas, ya que en este caso la configuración por defecto hacía públicos dichos datos. De hecho, hasta marzo de 2019 y entre agosto y noviembre de 2020, eran visibles tanto por usuarios registrados como no registrados en la red social.

Esto se mantuvo así hasta septiembre de 2019, cuando dejaron de mostrarse obligatoriamente estos campos, permitiendo su revisión y modificación previa publicación.

Dos semanas más tarde, varias autoridades europeas plantearon objeciones al Proyecto de Decisión. Si queréis saber cómo se distribuyen las autoridades de control, os dejamos el directorio que pone a disposición el propio CEPD. 

El Comisionado irlandés respondió a las objeciones con varias propuestas, siendo rechazadas por las autoridades que las plantearon por entenderse insuficientes para el caso, elevando el asunto al CEPD, que recordemos que es el organismo de la Unión Europea encargado de velar por la aplicación coherente del RGPD en todo el Espacio Económico Europeo y dotado con la capacidad de emitir decisiones vinculantes siempre que una autoridad de control interesada, “haya manifestado una objeción pertinente y motivada a un proyecto de decisión de la autoridad principal, o esta haya rechazado dicha objeción por no ser pertinente o no estar motivada”, tal y como expone el artículo 65 RGPD.

Respecto a las objeciones de las diferentes autoridades, vamos a centrarnos en la licitud del tratamiento (posible infracción del artículo 6.1 RGPD), dejando de lado la discusión sobre el montante de la multa.

Meta consideraba que el tratamiento de dichos datos se basaba en los artículos 6.1.b (ejecución necesaria del contrato o medidas precontractuales a solicitud del interesado) y el 6.1.f (interés legítimo) en función de si el menor tenía o no capacidad de vincularse contractualmente.

A este respecto, Irlanda entendía que dichas bases de legitimación podían tener cabida en la medida en que la publicación de los datos de contacto es un modo proporcional y lícito de promoción de la entidad.

En cambio, la autoridades objetoras argumentaron respecto a la base del 6.1.b) RGPD, que el Comisionado irlandés debía haber tenido en cuenta que el objeto de contrato no estaba definido, pues dentro de los Términos y Condiciones de Uso, se aludía al perfilado del usuario a través de la interacción en la red social con la finalidad de resaltar contenido y ofertas. También si el contrato era o no válido teniendo en cuenta que el derecho nacional de los Estados miembros impide a los menores, como regla general, celebrar contratos, si existía o no necesidad en la publicación de los datos de contacto en texto plano y en el código fuente HTML (para lo que Meta alegó que si formaban parte del mismo era para proporcionar un botón de contacto en la versión web) y si se había analizado el tratamiento de conformidad con los principios del artículo 5, haciendo hincapié en el principio de minimización.

En cuanto el interés legítimo, aseveraron que tampoco era una base adecuada, pues Meta no había motivado ni aportado evaluación alguna sobre la afectación del tratamiento a los derechos y libertades de los menores (como la exposición al grooming o al acoso), ni de la ponderación de esta en consonancia con los intereses perseguidos por el grupo.

Tras las alegaciones de las autoridades de control, el CEPD analiza los argumentos de cada una de ellas con la finalidad de determinar si las mismas son relevantes y están motivadas, pues de lo contrario, no serán evaluadas sobre el fondo posteriormente.

Meta, que también tuvo varias oportunidades a lo largo del proceso de hacerse oír, alegó que las autoridades no tienen competencia para evaluar la validez de los contratos. Además, afirma que el principio de información contenido en el RGPD no obliga a incluir referencia específica sobre las cuentas comerciales, pues no tiene impacto en el tratamiento, ni tampoco implica falta de transparencia. Respecto a la ejecución del contrato como base de legitimación, Meta asevera que las autoridades de control de datos tienen una visión demasiado estricta del concepto de necesidad.

Por otro lado, considera que el principio de minimización de datos (5.1.c RGPD) no puede encontrarse vinculado a la adecuación de la base de legitimación, pues podemos encontrarnos datos cuya recopilación pueda ser necesaria para el tratamiento, pero que la base de legitimación elegida no haya sido la acertada.

Una vez expuestas las principales razones por las que las autoridades de control objetaron al Comisionado Irlandés, vamos a analizar la valoración que realiza el CEPD sobre el fondo del asunto, centrándonos también exclusivamente en la licitud del tratamiento, si bien en lo relativo a la multa, el CEPD termina compeliendo a Irlanda a reevaluar la medida correctiva impuesta en función del peso y los beneficios que obtiene la entidad en el desarrollo de su actividad, sujetándose a que la misma sea efectiva, proporcionada y disuasoria.

  • Artículo 6.1.b) RGPD

El CEPD comienza recordando que la base de legitimación del 6.1.b) RGPD sólo puede utilizarse respecto al tratamiento de los datos estrictamente necesarios para la ejecución de un contrato. En cuanto al concepto de necesidad, hay que tener en cuenta que este debe ser interpretado en consonancia con los objetivos recogidos en la normativa en materia de protección de datos, en particular, y tal y como señala el TJUE en el Asunto Heinz Huber/Bundesrepublik Deustchland (C-524/06) de 16 de diciembre de 2008 y  Asunto Rigas satiksme (C-13/16) de 4 de mayo de 2017, el concepto de necesidad tiene un significado independiente en la legislación comunitaria, de modo que las excepciones y restricciones a la protección de datos no deben sobrepasar los límites estrictamente necesarios.

Además, en el Dictamen 06/2014 sobre el concepto de interés legítimo del responsable del tratamiento de los datos en virtud del artículo 7 de la Directiva 95/46/CE del antiguo Grupo de Trabajo del Artículo 29 (anterior estructura en la que se organizaba el actual CEPD) apunta, en lo relativo al concepto de necesidad, a que este debe interpretarse de manera estricta, no comprendiendo aquellas situaciones en las que el tratamiento se impone unilateralmente al sujeto de los datos por parte del responsable del tratamiento.

Además, “el hecho de que el tratamiento de algunos datos esté cubierto por un contrato, no quiere decir automáticamente que el tratamiento sea necesario para su ejecución”, es decir, nosotros podemos celebrar un contrato de compraventa de una Play Station y queremos que nos lo envíen a casa. Para la ejecución del contrato necesitaremos aportar nuestra dirección, para realizar el envío, pero no cabría bajo esta base elaborar un perfilado en función de los artículos comprados, pues excede la finalidad y el objeto por el que se celebra el contrato, porque el servicio solicitado puede prestarse sin dicho tratamiento.

El CEPD señala que si existen alternativas menos intrusivas, el tratamiento no es realmente necesario.

Esto significa que la base de legitimación queda interrelacionada con los principios de limitación de la finalidad 5.1.b) RGPD y minimización de los datos 5.1.c), pues en los contratos en línea, no suelen negociarse manera individualizada, por lo que es el responsable quien debe analizar y ponderar cuáles son las expectativas razonables del sujeto de los datos respecto al tratamiento de determinados datos, siendo consciente de los riesgos y consecuencias que puede tener sobre ellos dicho tratamiento.

Respecto a la validez del contrato, el Comité, en sus Directrices 2/2019 sobre el tratamiento de datos personales en virtud del artículo 6, apartado 1, letra b), del RGPD en el contexto de la prestación de servicios en línea a los interesados, alude a que el responsable de los datos debe asegurarse de que cumple con la normativa nacional pertinente sobre la capacidad del menor para celebrar contratos, pues forma parte de los principios de lealtad y licitud del artículo 5.1.a) RGPD.

Por último, el Comité asevera que sí que era técnicamente posible distinguir una empresa de un menor de edad si se hubieran desplegado las medidas adecuadas, por lo que sí se podría haber evitado la publicación de los datos de contacto.

A consecuencia de esto, concluye que Irlanda, que sí había considerado la infracción del principio de minimización a raíz de la inclusión de los datos de contacto en el código fuente HTML, tenía también que haber evaluado la necesidad del propio tratamiento de los datos bajo la premisa del 6.1.b), pues era la base de legitimación bajo la que se estaban publicando.

  • Artículo 6.1.c) RGPD

Respecto al interés legítimo como base de legitimación, el CEPD recuerda que éste debe ser real, claro, preciso y efectivo, así como estar presente en el propio tratamiento.

Para la legitimación de esta base, Meta alegó que la visualización de dichos datos en las cuentas de empresa sirve al interés de Meta en “crear, proporcionar, respaldar y mantener productos y características innovadores que permiten a los menores de edad expresarse, comunicar e interactuar con información y comunidades relevantes para sus intereses y construir una comunidad” y que esta visualización sirve al interés legítimo del resto para interactuar con dicha cuenta.

El CEPD responde señalando que los intereses indicados por Meta no están lo suficientemente concretados, siendo descritos de forma vaga. Además, apunta a la existencia de medios menos intrusivos por los que canalizar dichas comunicaciones, como el uso de los mensajes directos, lo que incide en la necesidad del tratamiento.

También aduce a que la ponderación debe realizarse respecto a los intereses legítimos perseguidos por el responsable del tratamiento o por un tercero y los intereses o derechos y libertades fundamentales del interesado, no sobre los beneficios que dicho tratamiento puede llegar a aportar al interesado, pues este elemento no forma parte de lo dispuesto en el artículo 6.1.f) RGPD.

A mayor abundamiento, hay que tener en cuenta que para utilizar esta base no sólo hay que evaluar la naturaleza, alcance, taxonomía, medios alternativos, intereses, expectativas y contexto, con la finalidad de comprender el impacto del tratamiento y determinar si los derechos y libertades de los interesados prevalecen o no sobre el interés perseguido del responsable o tercero, sino que también hay que ser transparentes y claros a la hora de transmitir dicha información al interesado.

En este sentido, tanto Irlanda como el Comité convergen en que debían haberse tenido en cuenta los riesgos asociados a desplegar canales de comunicación en abierto “entre los menores y personas peligrosas”, así como la incapacidad de implementar medidas técnicas apropiadas para reducir dicho riesgo tras el cambio de configuración en las cuentas desde septiembre de 2019.

A este respecto, el CEPD considera que Irlanda no evaluó correctamente el impacto del tratamiento a la hora de realizar la ponderación, pues sólo tuvo en cuenta las consecuencias positivas del tratamiento (los beneficios), no dando peso a los riesgos que sí había identificado.

A partir de septiembre de 2019, el Comisionado irlandés considera que Meta cumplía con los principios de transparencia e información, pero el Comité considera que estos cambios no son suficientemente significativos como para cambiar el resultado del Proyecto, ni sus consecuencias, pues la base de legitimación y la ponderación del riesgo siguieron sin cambios.

Por todo ello, el Comité concluye que Meta infringió el artículo 6.1. RGPD al no haber basado el tratamiento de los datos sobre la base de legitimación correcta, por lo que el Comisionado irlandés tuvo que modificar el Proyecto de Decisión.

La conclusión que podemos extraer del análisis es que la elección de la base de licitud es uno de los principales ejes sobre los que rota el tratamiento, por lo que antes de poner en marcha cualquier actividad en la que se vayan a ver involucrados datos personales, debemos comprender, analizar y ponderar su legitimación, pues de lo contrario, no sólo nos vamos a ver innecesariamente abocados a poner en riesgo a los interesados, sino que además tendremos que enfrentarnos a cuantiosas sanciones.