1 puntos por GN⁺ 2024-01-12 | 1 comentarios | Compartir por WhatsApp
  • noyb considera que Meta incumple el requisito del GDPR de que retirar el consentimiento debe ser tan fácil como otorgarlo, porque exige a los usuarios que quieren retirar su consentimiento de rastreo en Facebook e Instagram cambiarse a una suscripción de pago
  • Desde principios de noviembre de 2023, los usuarios que no quieren ser rastreados deben pagar una “privacy fee” de hasta €251.88 al año y, si no pagan, deben aceptar el rastreo para publicidad personalizada
  • El consentimiento puede darse con un solo clic en el botón “Okay”, pero retirarlo requiere pasar por varias ventanas y banners hasta encontrar la página de suscripción de pago
  • noyb ya había presentado una queja en noviembre de 2023 sobre la etapa de consentimiento del modelo “pay or okay” de Meta, y esta vez presentó por separado ante la DSB de Austria el problema del procedimiento para retirar el consentimiento
  • noyb exige que Meta ofrezca un medio gratuito y sencillo para retirar el consentimiento, y que también se evalúen multas para evitar más infracciones del GDPR

La estructura de “pay or okay” de Meta y el retiro de pago

  • Desde principios de noviembre de 2023, los usuarios de Facebook e Instagram que no quieren ser rastreados deben elegir una suscripción de pago de hasta €251.88 al año
  • Si no pagan, deben aceptar el rastreo para publicidad personalizada, por lo que noyb considera que se trata de una estructura que pone costo a la opción más respetuosa de la privacidad
  • noyb ya había presentado en noviembre de 2023 una queja sobre el enfoque “pay or okay” de Meta en relación con la etapa de consentimiento
  • Esta nueva queja se centra en la situación en la que un usuario, después de haber aceptado una vez el rastreo, intenta retirarlo más adelante

El Artículo 7 del GDPR y el procedimiento ante la DSB de Austria

  • El Artículo 7 del GDPR establece que el procedimiento para retirar el consentimiento debe ser tan fácil como el procedimiento para otorgarlo
  • En el método actual de Meta, dar el consentimiento termina con un clic, pero retirarlo requiere comprar una suscripción de pago y pasar por una navegación compleja entre pantallas
    • La persona denunciante tuvo que pasar por varias ventanas y banners para encontrar la página real de retiro
    • Massimiliano Gelmi, abogado de protección de datos de noyb, señaló que un sistema que exige pagar €251.88 al año no es tan fácil como hacer clic en el botón “Okay”
  • Las directrices del European Data Protection Board (EDPB) mencionan los costos monetarios como ejemplo de una carga incompatible con los principios del Artículo 7 del GDPR
  • noyb presentó una queja ante la autoridad austríaca de protección de datos, la DSB, en representación de una persona denunciante
    • Solicita que la DSB ordene que las operaciones de tratamiento de Meta se ajusten a la legislación europea de protección de datos
    • Solicita que se ofrezca a los usuarios una forma fácil y sin costo de retirar su consentimiento
    • También propone imponer una multa para evitar nuevas infracciones del GDPR
  • Es posible que este caso sea remitido a la DPC de Irlanda, la “lead authority” de Meta en la UE

1 comentarios

 
GN⁺ 2024-01-12
Opiniones en Hacker News
  • Claro que sí. Hoy en día, cuando presiono Save settings en un banner de cookies, no tengo ni idea de qué pasa realmente.
    Siento que en algún lugar hay una casilla oculta que permite todo, y que solo me hacen leer una lista enorme de popups para tranquilizarme, pero probablemente igual me siguen rastreando.
    Ya inventaron cosas como “cookies necesarias para fines de marketing”, y luego incluso salió el popup de “acepta anuncios rastreados o paga”.

    • La configuración de privacidad de Reddit era parecida la última vez que la vi. Desmarcabas todo y, si volvías a entrar, algunas cosas se mantenían y otras no. Imposible saberlo.
  • Me encanta NOYB, y ojalá la gente les done de forma recurrente si puede. Están haciendo trabajo que realmente tiene un gran impacto en la protección de la privacidad.

    • Es increíble que un problema tan importante, que afecta a más de 300 millones de personas, dependa en la práctica de una sola persona.
    • ¿Han dicho algo también sobre TikTok? Busqué y parece que no hay nada.
  • Entiendo perfectamente que Meta busque formas de esquivar la ley para ganar dinero y que, a veces, la infrinja de manera sutil.
    Pero sí sorprende bastante que las infracciones reveladas sean tan grandes y descaradas.
    Me esperaba un método más sofisticado, como preguntar “por accidente” las preferencias de cookies cada vez que el usuario usa el sitio, hasta que al final pulse aceptar, y entonces no volver a preguntarle nunca.
    Si los investigaran, podrían haber dicho fácilmente que “era un bug causado porque el propio hecho de que el usuario rechazó las cookies se guardaba en una cookie”.

    • Mientras violar la ley a gran escala les resulte más rentable, Facebook lo seguirá haciendo. Lo mismo otras empresas; como las multas o sanciones leves no significan nada, ni siquiera tienen que esconderlo.
      Empiecen a mandar a la cárcel a los CEO o a los accionistas y verán qué tan rápido empiezan a cumplir la ley.
  • Si la DPC puede hacerlo legalmente, ahora debería imponer la multa máxima. Meta ha dejado bastante claro que hará lo que sea para eludir estas leyes mediante infracciones repetidas e intencionales.
    Podría sentir cierta simpatía por una aplicación leve de la ley si se tratara de una empresa tradicional que no logró gestionar bien sus obligaciones bajo el GDPR y terminó infringiendo la norma por comprar alguna solución sospechosa de “gestión de cumplimiento”.
    Pero Meta ha estado bajo medidas de aplicación desde los primeros días del GDPR, entendía claramente las reglas e intentó eludirlas desde el principio; incluso podría decirse que es una de las razones por las que esas normas existen.
    Ahora quiero ver cómo se les acumulan multas del 4% de la facturación mundial.

    • La DPC es corrupta y no quiere imponer la multa máxima. Ha sido extremadamente indulgente con Facebook, aunque pudo haber aplicado sanciones mucho más fuertes.
  • Desde que salió este ultimátum no he tocado Instagram.
    Espero poder aguantar. Si hubiera una razón por la que realmente necesitara usarlo, sería como mucho contactar a personas cuyos datos de contacto solo están ahí.

    • Yo también me perdí una reunión navideña de viejos amigos por culpa de Facebook :/
      Aun así, que quienes sí fueron hayan “culpado” al organizador por haber hecho la invitación solo por Facebook me parece una señal muy positiva de que la cultura está cambiando lentamente.
      No en un sentido negativo, sino más bien como “¿qué esperabas si invitas solo por Facebook?”.
  • Apoyo este tipo de movimientos y, personalmente, prefiero pagar por un servicio antes que convertirme en el producto. Aunque me preocupa que no sea una idea popular.
    La gente no quiere pagar, al menos no conscientemente. Tengo curiosidad por ver cómo evoluciona esto.

    • El cliché de “pagar por el servicio en vez de ser el producto” ya no es cierto. Dudo que alguna vez lo haya sido, y repetirlo solo ayuda a los peores infractores.
      Puedes pagar y seguir siendo el producto. Basta ver servicios de streaming que cobran y aun así muestran anuncios, o TVs donde el dispositivo físico que compraste envía tus hábitos de uso al fabricante.
      Pagar no garantiza que una empresa te respete a ti ni a tu privacidad.
    • Aunque pagues, siempre eres el producto. Mientras sea legal y rentable, y quizá incluso si es ilegal, siempre serás el producto.
    • La privacidad de los usuarios que pagan vale más que la de los usuarios que no pagan ;)
    • Que la gente no quiera pagar es algo bastante reciente. Era normal pagar para tener un número de teléfono, y también pagar extra por hacer llamadas.
      También era común pagar por servicios telefónicos que te daban la hora actual o el pronóstico del clima, y era normal pagar por una dirección de correo electrónico. Incluso hoy, la mayoría de la gente paga por la conexión a internet.
      El problema es más bien que a la gente no le gusta que algo pase de “gratis” a pago. Si la mayoría pagara por un servicio, lo aceptarían como la forma normal de hacerlo.
      Por ejemplo, si el GPS no hubiera sido gratis desde el principio, creo que la gente habría estado dispuesta a pagar incluso más de 1 dólar al mes.
    • La gente sí paga bastante por espacios sociales como centros comunitarios, bibliotecas, gimnasios o clubes. Pero solo cuando el precio es razonable.
      Normalmente el precio es razonable porque esos clubes no intentan crecer hasta dominar el mundo. Son espacios de tamaño más o menos fijo, y las cuotas se usan para mantener ese espacio.
      La mayor parte del costo operativo de una red social es de apenas alrededor de 1 dólar al año. No al mes, al año [1]. Pero las empresas de redes sociales quieren cobrar entre 50 y 100 dólares al año.
      La gente no es tonta. ¿Por qué pagaría más de 2 dólares al año?
      [1] https://news.ycombinator.com/item?id=38291427
  • Para equilibrar las cosas, Facebook debería estar obligado a pagar €251.88 al año a cada usuario que haya dado su consentimiento. Si los datos que vulneran la privacidad básica valen eso para Facebook, eso sería lo justo.

  • Es una lógica interesante. Me pregunto cómo se trataría el caso si Facebook, en cambio, creara dos niveles de precios y ambos fueran pagos.
    Es decir, para usar Facebook tendrías que pagar una tarifa básica y ser rastreado, y para eliminar el rastreo tendrías que pagar un plan premium.
    Dejando de lado por un momento los problemas éticos evidentes de esa estructura, parece que el requisito de que “retirar el consentimiento debe ser tan fácil como darlo” seguiría aplicando también en esa situación.
    Éticamente, creo que pagar por privacidad no tiene lugar en un mundo posterior al GDPR. Apoyo el GDPR, y es vergonzoso que varias autoridades de protección de datos hayan tolerado esto con periódicos locales.
    Si Facebook usa este enfoque, probablemente terminará llevándolo hasta el CJEU, y ese podría ser el peor resultado para este plan. Al CJEU no suele gustarle nada la basura de GAFAM del estilo “no viola la letra, pero sí el espíritu” de la norma.
    Personalmente, no me sorprendería que el CJEU terminara derribando este esquema como una violación del GDPR.

    • Es discutible que se mantenga el requisito de que “retirar el consentimiento debe ser tan fácil como darlo”. Supongamos que la tarifa básica es de 1 euro y la premium de 1 millón de euros; no mucha gente podría pagar esta última.
      Ya sean 25 euros, 10 euros o menos, si hay cualquier diferencia de precio, una opción no es tan fácil como la otra.
    • ¿Eso es pagar por privacidad, o pagar con privacidad?
    • ¿Puedes explicar qué significan esas siglas? Conozco GDPR, pero las demás me resultan desconocidas.
  • Meta se perdió la parte de que su compensación no tiene por qué ser una solución fácil. Cavaron su propia fosa.

    • Si la multa es menor que el dinero que ganan vendiendo la vida de los usuarios a cualquiera, ¿por qué les importaría?
  • https://web.archive.org/web/20240111074148if_/https://noyb.e...