Skip to main content
Sanció a META

Sanció a META: com afecta a la meva empresa?

El 2023 comença fort pel que fa a sancions de l’RGPD, i és que l’Autoritat Irlandesa ha posat una sanció a META de 390M d’euros per com tracta les dades dels usuaris a Facebook i Instagram

La sanció, que s’ha produït després de la intervenció del Consell Europeu de Protecció de Dades, ha obligat l’Autoritat Irlandesa a canviar el seu criteri inicial i a multiplicar la sanció per 10. 

Quin és el motiu de la sanció a META? 

En resum, META incloïa en els seus termes i condicions que les dades dels usuaris de Facebook i Instagram podien ser utilitzades amb finalitats de publicitat personalitzada i, l’important, no demanava cap consentiment específic per a aquest fi, ja que considerava que, aquest tractament de dades, era necessari per complir el contracte (els termes i les condicions) acceptat pels usuaris. 

Què diuen les autoritats de protecció de dades? 

Essencialment, indiquen que rebre publicitat personalitzada no entra dins de les expectatives dels usuaris quan es donen d’alta en alguna de les dues xarxes socials i que la seva expectativa o el servei que esperen obtenir, no és altre que comunicar-se amb altres o mantenir-se informat. 

En conclusió, el tractament de dades amb finalitats publicitàries no és part del servei que esperen obtenir els usuaris, per la qual cosa l’ús de les dades amb aquesta finalitat requereix el seu consentiment exprés i previ. 

D’acord i la sanció a META, com afecta la meva empresa? 

Doncs bé, aquesta decisió tracta sobre el nucli de l’RGPD, que no és altre que allò que es coneix com a base legitimadora del tractament. Això justifica que una empresa o administració pública tracti les dades personals d’algú. 

Sobre les bases legitimadores algunes consideracions importants: 

  • Són 6 i cap no està per sobre d’una altra. Si en compleixes una, estàs complint amb l’RGPD en aquest punt. 
  • En tot cas, qualsevol tractament de dades ha de quedar inclòs en una d’aquestes 6 bases legitimadores. Tractar dades fora d’aquests supòsits és incomplir l’RGPD així de senzill. 

Així ho recull l’art. 6.1 de l’RGPD

a) l’interessat va donar el seu consentiment pel tractament de les seves dades personals per a un o més fins específics; 

b) el tractament és necessari per a l’execució d’un contracte on l’interessat és part o per a l’aplicació a petició d’aquest de mesures precontractuals; 

c) el tractament és necessari per complir una obligació legal aplicable al responsable del tractament; 

d) el tractament és necessari per protegir interessos vitals de l’interessat o d’una altra persona física; 

e) el tractament és necessari per complir una missió realitzada en interès públic o en l’exercici de poders públics conferits al responsable del tractament; 

f) el tractament és necessari per a la satisfacció d’interessos legítims perseguits pel responsable del tractament o per un tercer, sempre que sobre aquests interessos no prevalguin els interessos o els drets i les llibertats fonamentals. 

Les dues bases legitimadores en conflicte: el consentiment i el compliment contractual 

Com hem indicat, la base de la sanció a META és l’ús d’una base legitimadora (el compliment d’un contracte) per sobre d’una altra (el consentiment). Sens dubte, decidir que un tractament de dades està justificat pel compliment d’un contracte o, en altres paraules, per donar un servei seleccionat per l’usuari, facilita les coses a l’empresa, ja que no caldrà una acceptació expressa i independent més enllà de la dels termes i condicions. 

Per contra, si decidim que necessitem el consentiment, el procés es complica doncs haurem de buscar la manera perquè l’usuari accepti, de manera independent als termes i condicions, l’ús de les vostres dades personals. 

Quin ús de dades queda inclòs en el compliment d’un contracte i quin no? 

Desgraciadament la resposta és, depèn

Efectivament, hem d’analitzar què es contracta o quines expectatives té l’usuari quan accepta uns termes i condicions per decidir, a partir d’allà, què podem fer amb les dades sense cap consentiment addicional. Per exemple: finalitats com rebre el producte o la prestació del servei, labors administratives o gestió de garanties, podria implicar tractaments propis del contracte entre empresa i usuari. 

A partir d’aquí, aplicar el criteri de prudència: allò que no estigui inclòs dins del contracte o dubtem, sol·licitar sempre consentiment. A més a més, també hem d’analitzar que no s’apliqui una altra de les bases legitimadores, com és l’interès legítim, que analitzem en aquest post

Com sempre, doncs, prudència i analitzar què volem fer amb les dades d’algú amb anterioritat a la seva recollida, per evitar problemes derivats de dades recollides amb informació insuficient o sense el consentiment necessari per al seu ús. 

Si vols o necessites més informació sobre aquest tema, contacta amb nosaltres! 


    Informació sobre protecció de dades

    Denominació social
    LEGAL IT GLOBAL 2017, SLP
    Finalitat
    Prestar el servei.
    Enviament del Boletí informatiu.
    Legitimització
    Compliment de la prestació de servei.
    Consentiment.
    Destinataris
    Les teves dades no seran compartides amb cap tercer, excepte aquells proveïdors de serveis amb els que disposem d’un contracte de serveis vigent.

    Drets
    Pots accedir, rectificar o suprimir les dades, així com exercir els drets que s’esmenten en la nostra Política de Privacitat.

    Més informació
    Consulta la Política de Privacitat.