Skip to main content
Sanción a META

Sanción a META: ¿Cómo afecta a mi empresa?

El 2023 empieza fuerte en lo que sanciones del RGPD se refiere, y es que la Autoridad Irlandesa ha puesto una sanción a META de 390M de Euros por cómo trata los datos de sus usuarios en Facebook e Instagram

La sanción, que se ha producido tras la intervención del Consejo Europeo de Protección de Datos, ha obligado a la Autoridad Irlandesa a cambiar su criterio inicial y a multiplicar su sanción por 10.

¿Cuál es el motivo de la sanción a META?

En resumen, META incluía en sus términos y condiciones que los datos de los usuarios de Facebook e Instagram podían ser utilizados con fines de publicidad personalizada y, lo importante, no pedía consentimiento específico alguno para este fin al considerar que este tratamiento de datos era necesario para cumplir el contrato (los términos y condiciones) aceptado por los usuarios.

¿Qué dicen las autoridades de protección de datos?

Esencialmente indican que recibir publicidad personalizada no entra dentro de las expectativas de los usuarios cuando se dan de alta en alguna de las dos redes sociales y que su expectativa o el servicio que esperan obtener, no es otro que el de comunicarse con otros o mantenerse informado.

En conclusión, el tratamiento de datos con fines publicitarios no es parte del servicio que esperan obtener los usuarios, por lo que el uso de sus datos con ese fin requiere de su consentimiento expreso y previo.

Vale y la sanción a META, ¿Cómo afecta a mi empresa?

Pues bien, esta decisión trata sobre el núcleo del RGPD, que no es otro que lo que se conoce como base legitimadora del tratamiento. Esto es lo que justifica que una empresa o administración pública trate los datos personales de alguien. 

Sobre las bases legitimadoras algunas consideraciones importantes:

  • Son 6 y ninguna está por encima de otra. Si cumples con una, estás cumpliendo con el RGPD en este punto.
  • En todo caso cualquier tratamiento de datos debe quedar incluido en una de estas 6 bases legitimadoras. Tratar datos fuera de estos supuestos es incumplir el RGPD, así de sencillo.

Así las recoge el art. 6.1 del RGPD:

a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos; 

b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales; 

c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento; 

d) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física; 

e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento; 

f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales.

Las dos bases legitimadoras en conflicto: el consentimiento y el cumplimiento contractual

Como hemos indicado, la base de la sanción a META es el uso de una base legitimadora (el cumplimiento de un contrato) por encima de otra (el consentimiento). Sin duda, decidir que un tratamiento de datos está justificado por el cumplimiento de un contrato o, en otras palabras, para dar un servicio seleccionado por el usuario, facilita las cosas a la empresa, pues no será necesario una aceptación expresa e independiente más allá de la de los términos y condiciones. 

Por contra, si decidimos que necesitamos el consentimiento, el proceso se complica pues deberemos buscar la manera para que el usuario acepte, de manera independiente a los términos y condiciones, el uso de sus datos personales.

¿Qué uso de datos queda incluido en el cumplimiento de un contrato y cuál no? 

Desgraciadamente la respuesta es, depende

Efectivamente, debemos analizar qué se contrata o qué expectativas tiene el usuario cuando acepta unos términos y condiciones para decidir, a partir de allí, que podemos hacer con los datos sin un consentimiento adicional. Por ejemplo: fines como recibir el producto o la prestación del servicio, labores administrativas o gestión de garantías, podría implicar tratamientos propios del contrato entre empresa y usuario. 

A partir de ahí, aplicar el criterio de prudencia: lo que no esté incluido dentro del contrato o dudemos, solicitar siempre consentimiento. A todo esto debemos también analizar que no se aplique otra de las bases legitimadoras, como es el interés legítimo, que analizamos en este post.

Como siempre pues, prudencia y analizar qué queremos hacer con los datos de alguien con anterioridad a su recogida, para luego evitar problemas derivados de datos recogidos con información insuficiente o sin el consentimiento necesario para su uso.

Si quieres o necesitas más información sobre este tema, ¡contáctanos!


    Información sobre protección de datos

    Denominación social
    LEGAL IT GLOBAL 2017, SLP
    Finalidad
    Prestar el servicio.
    Envío del Boletín informativo.
    Legitimización
    Cumplimiento de la prestación del servicio.
    Consentimiento.
    Destinatarios
    Tus datos no serán compartidos con ningún tercero, salvo aquellos proveedores de servicios con los que disponemos de un contrato de servicios vigente.

    Derechos
    Puedes acceder, rectificar o suprimir los datos, así como ejercer los derechos que se mencionan en nuestra Política de Privacidad.

    Más información
    Consulta la Política de Privacidad.