La justicia ordenó a la compañía entregar a los usuarios europeos acceso completo a sus datos personales y confirmó que la publicidad basada en perfiles no es una necesidad contractual, sino una elección comercial que requiere consentimiento explícito.
El Tribunal Supremo de Austria asestó uno de los golpes judiciales más duros hasta ahora contra la industria de la publicidad digital al dictaminar que el modelo de publicidad personalizada de Meta es ilegal bajo el Reglamento General de Protección de Datos (GDPR). El fallo, que es definitivo y ejecutable en toda la Unión Europea, obliga a la empresa matriz de Facebook e Instagram a entregar a los usuarios europeos un acceso completo y detallado a sus datos personales en un plazo máximo de 14 días desde que lo soliciten.
La decisión pone fin a una batalla legal que se extendió por más de once años y que fue iniciada en 2014 por el activista austríaco de privacidad Max Schrems, fundador de la organización noyb. En ese entonces, Schrems solicitó a Facebook conocer qué datos personales almacenaba sobre él y cómo eran utilizados. Según el tribunal, Meta incumplió sistemáticamente ese derecho al ofrecer información incompleta y genérica, en lugar de una explicación exhaustiva sobre el origen, los destinatarios y los fines del tratamiento de los datos.
En su resolución, el tribunal rechazó el principal argumento de Meta, en el que indicaba que el uso de datos personales para publicidad personalizada era “necesario para la ejecución del contrato” con los usuarios. Los jueces fueron categóricos al señalar que el seguimiento de comportamientos, la elaboración de perfiles y la segmentación publicitaria no son indispensables para prestar un servicio de red social. “La publicidad personalizada es una decisión comercial, no una obligación técnica”, concluyó la corte, alineándose con la jurisprudencia previa del Tribunal de Justicia de la Unión Europea.
Uno de los puntos más sensibles del fallo se refiere al tratamiento de datos considerados sensibles por el GDPR, como opiniones políticas, información de salud u orientación sexual. El tribunal determinó que Meta procesó este tipo de información sin contar con un consentimiento “específico, informado, inequívoco y libremente otorgado”. Además, desestimó los argumentos de la empresa sobre supuestas dificultades técnicas para separar este tipo de datos, afirmando que las obligaciones legales no desaparecen por razones de conveniencia. “Si se procesan datos que revelan información sensible, se aplican las protecciones reforzadas del GDPR, incluso cuando se trata de datos inferidos”, sostuvo la sentencia.
Tras el fallo, el activista Max Schrems comentó que las plataformas digitales “como Facebook o Instagram tienen una enorme influencia, por ejemplo, al impulsar determinadas visiones políticas hacia los usuarios. La decisión deja claro que Meta no puede usar estas preferencias sin el consentimiento explícito de cada persona”.
Meta, por su parte, reaccionó con cautela. Un portavoz de la compañía señaló que están “revisando la decisión” y subrayó que el caso se basa en prácticas de hace más de una década. La empresa aseguró haber invertido más de 8 mil millones de euros en mejoras de privacidad y recordó que actualmente los usuarios en la UE pueden optar por anuncios menos personalizados o pagar una suscripción para evitar el uso de sus datos con fines publicitarios.
El tribunal también rechazó que la complejidad interna o la protección de secretos comerciales justifiquen limitar el acceso a la información. Según la resolución, los usuarios tienen derecho a conocer no solo los datos en bruto, sino también cómo circulan dentro del ecosistema publicitario de la empresa. En el caso concreto, Schrems recibió una compensación de 500 euros por el retraso en el acceso a su información, aunque noyb señaló que, bajo los estándares actuales del GDPR, indemnizaciones futuras podrían ser considerablemente mayores.