La Agencia Española de Protección de Datos tomó conocimiento de un “futuro tratamiento de datos personales a gran escala” que “presuntamente vulnera la legislación” en la materia, por lo cual decidió decretar una medida provisoria contra la empresa Meta Platforms Ireland Limited, mejor conocida como “Meta”.
Se trata de las funcionalidades vinculadas al proceso electoral conocidas como “Election Day Information Feature -EDI” y “Voter Information Unit – VIU”, que se aplicarían a Facebook e Instagram y debido a la medida se ha ordenado su suspensión en el territorio español, así como de la “recopilación y el tratamiento de datos personales que implica el uso de las mismas”.
Según reseñaron en la resolución, la empresa tenía intenciones de utilizar esas funcionalidades para que los usuarios de las redes sociales de su firma puedan ver recordatorios de las próximas elecciones parlamentarias de la UE.
Pero, ante las dudas por el posible tratamiento de datos personales que pudieran hacerse, la AEPD en abril solicitó información con un cuestionario de preguntas puntuales sobre ese tratamiento en esas funcionalidades.
Explica que al evaluarse la “necesidad” del tratamiento de datos que pretendía Meta, era incompatible con la finalidad del contrato, “ya que de ningún modo un interés público, como es el derecho a voto y la garantía de unas elecciones libres, pueden ser «necesarias» para el cumplimiento de un contrato que tiene una finalidad privada”.
La AEPD considera que “META no puede basar en el artículo 6.1.b) del RGPD el tratamiento de los datos de los usuarios que pretende realizar, ni en ninguna otra base jurídica del artículo 6, lo que supondría de llevarse finalmente a cabo una infracción del principio de licitud previsto en el artículo 5.1.a) del RGPD
“Tampoco justifica cómo piensa tratar exclusivamente datos de mayores de 18 años, cuando no existe ningún mecanismo fiable para determinar la edad de los receptores ni justifica que se traten las interacciones con el sitio web al que dirigen”, agrega el texto.
Por último, los datos se pretendían agregar y ceder agregados a terceros, sin que se explique como es el proceso, que datos incluye o si se permite identificar al usuario.
Con todo ello en mente, la AEPD considera que “META no puede basar en el artículo 6.1.b) del RGPD el tratamiento de los datos de los usuarios que pretende realizar, ni en ninguna otra base jurídica del artículo 6, lo que supondría de llevarse finalmente a cabo una infracción del principio de licitud previsto en el artículo 5.1.a) del RGPD”.
El tratamiento resultaría incluso “excesivo” y “desproporcionado”, al incluir edad, datos de la ciudad que figura en el perfil, dirección IP que permite conocer la nacionalidad, algo incompatible con la finalidad perseguida.
Sumado a ello, “no se respeta el principio de limitación del plazo de conservación”, ya que “sin justificar la necesidad de su almacenamiento en relación con los fines manifestados” revelaría “una finalidad adicional de la operación de tratamiento”.
Para el organismo todo ese análisis justificaba el dictado de una medida urgente para evitar la recopilación y conservación de datos personales por parte de la firma en incumplimiento del RGPD.