X de Elon Musk, la plataforma de redes sociales anteriormente conocida como Twitter, se enfrenta a una nueva queja de privacidad en Europa relacionada con sus herramientas de orientación de anuncios. La denuncia, presentada ante la autoridad holandesa de protección de datos por la organización sin fines de lucro noyb, acusa a X de no hacer cumplir sus propias normas. pautas publicitarias.
Si bien los términos y condiciones de X prohíben que se utilicen las afiliaciones políticas y/o las creencias religiosas de las personas para dirigirles anuncios, un anunciante en su plataforma (en realidad, nada menos que la propia Comisión Europea (¡awks!)) pudo utilizar exactamente este tipo de datos personales sensibles. para dirigirse a los usuarios con anuncios.
Los empleados del bloque utilizaron las herramientas de X de esta manera para promover una controvertida propuesta legislativa para escanear los mensajes de las personas en busca de material de abuso sexual infantil (CSAM).
Como informamos el mes pasado, noyb ya presentó una denuncia contra la Comisión por aparentemente violar las normas paneuropeas que ayudó a redactar. Ahora le sigue la presentación de una denuncia contra X también. «Después de que presentamos nuestra primera denuncia en este asunto, la Comisión de la UE ya confirmó que dejaría de hacer publicidad en X. Sin embargo, para poner fin a esto en general, necesitamos medidas contra X como plataforma utilizada por muchos otros», dijo Felix. Mikolasch, abogado de protección de datos de noyb, en una oracion.
Además del Reglamento General de Protección de Datos (GDPR) de la UE que establece límites estrictos sobre cómo se pueden procesar los datos personales sensibles, como la afiliación política y las creencias religiosas, exigiendo que quienes quieran hacerlo obtengan el consentimiento explícito de las personas en cuestión, el bloque recientemente La Ley de Servicios Digitales (DSA) promulgada estipula que el uso de datos personales para la orientación de anuncios requiere consentimiento. Sin embargo, a los usuarios de X cuyos datos fueron procesados no se les pidió explícitamente que aceptaran este uso de su información.
“[X] utilizó estos datos especialmente protegidos para determinar si las personas deberían o no ver una campaña publicitaria de la Dirección General de Migración y Asuntos de Interior de la Comisión de la UE, que intentó conseguir apoyo para el «control de chat» propuesto [CSAM scanning] en los Países Bajos”, escribió noyb en un comunicado de prensa. “En noviembre, este uso ilegal de la microfocalización ya llevó a noyb a presentar una denuncia contra la propia Comisión de la UE. Ahora, noyb continúa con una queja contra X. Al permitir esta práctica en primer lugar, la empresa violó tanto el RGPD como la DSA”.
En un giro particularmente irónico, la Comisión está en realidad a cargo de supervisar el cumplimiento de DSA en las llamadas plataformas en línea de gran tamaño (VLOP, por sus siglas en inglés) como, digamos, X.
De hecho, en los últimos meses, desde que la DSA entró en vigor en los VLOP, el ejecutivo de la UE ha estado presionando a X para que cumpla, específicamente por preocupaciones sobre la difusión de contenido ilegal y desinformación en la plataforma relacionada con la guerra entre Israel y Hamas. Pero, curiosamente, la Comisión no parece haber pedido a X que demuestre que su negocio de publicidad dirigida cumple con la regulación. (Aun así, dado que algunos de sus propios empleados aparentemente estaban ocupados rompiendo estas reglas, ¿tal vez no sea demasiado sorprendente?)
noyb nos confirmó que no ha presentado una denuncia de DSA contra X ante la Comisión; ha limitado su acción a presentar una reclamación ante la DPA holandesa. Dijo que la razón por la que eligió una autoridad de privacidad con sede en los Países Bajos para enviar la queja es porque los anuncios controvertidos estaban dirigidos a X usuarios en el país; y el denunciante que noyb apoya para presentar la denuncia es holandés. Sin embargo, X tiene su sede regional en Irlanda, por lo que es probable que las autoridades de los Países Bajos se comprometan con la Comisión Irlandesa de Protección de Datos (DPC) en cualquier investigación del RGPD sobre el procesamiento ilegal de datos para la orientación de anuncios.
Pero, ¿por qué noyb no presenta una queja DSA sobre X ante la Comisión Europea? Un portavoz de la organización sin fines de lucro nos dijo que no ha dado ese paso debido a las dos quejas de protección de datos que ha presentado ahora, es decir, una contra la Comisión presentada ante el SEPD (Supervisor Europeo de Protección de Datos, que supervisa el cumplimiento de las instituciones de la UE con la normas); y uno contra X enviado ahora a una DPA nacional – podría conducir a la cooperación entre estos supervisores de datos “en un caso casi idéntico”.
«Queda por ver si la Comisión puede tomar medidas contra el propio X en virtud de la DSA», añadió noyb.
Si bien las sanciones por violaciones del RGPD pueden alcanzar hasta el 4% de la facturación anual global, el régimen de la DSA permite sanciones aún mayores, de hasta el 6%. Entonces, si se toman medidas coercitivas bajo ambos regímenes, la compañía de Musk podría enfrentar un doble golpe de sanciones regulatorias. (¿Alguien quiere un sándwich GDPR-DSA?)
Se contactó a la Comisión para obtener información actualizada sobre su propia investigación interna sobre la controvertida propuesta de anuncios CSAM dirigidos a ellos; y preguntar si tomará medidas contra X, en su calidad de ejecutor de la DSA en los VLOP, por aceptar los anuncios ilegales. Pero un portavoz del ejecutivo de la UE se negó a proporcionar una actualización «por el momento»; en lugar de eso, reiteró la decisión anterior de la Comisión de aconsejar a sus servicios internos que suspendieran todo tipo de comunicaciones pagas en X.
Supervisión irlandesa del RGPD de X
Como se señaló anteriormente, mientras tanto, es probable que la queja GDPR de Noyb contra X termine en el escritorio del organismo de control de la privacidad irlandés, el DPC.
Desde que Musk se hizo cargo de Twitter y se dispuso a imponer su sello distintivo a la empresa (y a su producto), la DPC ha respondido haciendo algunos ruidos públicos a raíz de ciertas decisiones controvertidas del nuevo propietario, como la decisión de Musk de dejar salir los periodistas acceden a los datos de Twitter; o su implementación de una función de verificación paga en la UE sin previo aviso; o no informar al organismo de control cuando el DPO renunció, pero el regulador irlandés parece haberse abstenido de intervenir más duramente en la empresa. Esto a pesar de las crecientes preocupaciones sobre la privacidad en áreas como la eliminación de datos y la privacidad y seguridad de los mensajes directos (DM) bajo la propiedad de Twitter/X de Musk.
Además, Musk’s X sigue estando principalmente establecido en Irlanda, bajo la supervisión principal del DPC. Mantiene este estatus a pesar del liderazgo errático y la toma de decisiones unilateral del multimillonario radicado en Estados Unidos, que han generado dudas de que las decisiones sobre productos que afectan a los usuarios de la UE realmente estén recibiendo aportes locales significativos, como debería ser el caso de que X reclame el establecimiento principal a nivel local. La designación es importante ya que permite a la empresa seguir reduciendo su riesgo regulatorio en la UE al beneficiarse de la supervisión simplificada que ofrece la ventanilla única (OSS) del RGPD.
Una vez más, aparte de algunas expresiones públicas de preocupación en los primeros meses de la adquisición de Musk, el regulador irlandés no ha sacudido el barco de la compañía en este aspecto.
Mirando más atrás, desde que entró en vigor el RGPD, la DPC solo ha emitido una sanción pública en Twitter, como todavía se llamaba a la empresa en el momento de la sanción hace tres años. La sanción consistió en una multa de alrededor de 550.000 dólares por no informar con prontitud una violación de datos. Por lo tanto, es justo decir que la plataforma ha tenido un viaje bastante tranquilo bajo la supervisión de privacidad irlandesa hasta la fecha, incluso con Musk asumiendo el mando del barco.
Aún así, queda por ver qué podría hacer la DPC ante una queja sobre X violando las reglas de orientación de anuncios, suponiendo que la última acción estratégica de noyb termine siendo remitida a Irlanda por la DPA holandesa, como parece probable según las reglas de OSS. Anteriormente, el regulador prestó atención a las preocupaciones sobre la base legal de Twitter/X para los anuncios cuando se rumoreaba que Musk planeaba obligar a los usuarios a elegir entre aceptar anuncios personalizados o pagarle una suscripción.
Un caso sencillo de X que no cumplió con los términos y condiciones de sus propios anunciantes (si es que a eso se reduce la queja de Noyb) parece más sencillo que eso.