El Departamento de Protección de Datos de Irlanda ha adoptado ya decisiones definitivas por las que ha multado a Meta Ireland con 210 millones de euros (por infracciones del RGPD relacionadas con su servicio de Facebook) y 180 millones de euros (por infracciones relacionadas con su servicio de Instagram).
Las investigaciones se referían a dos reclamaciones sobre los servicios de Facebook e Instagram, cada una de las cuales planteaba las mismas cuestiones básicas. Una de las reclamaciones fue presentada por un interesado austriaco (en relación con Facebook); la otra fue presentada por un interesado belga (en relación con Instagram).
Las reclamaciones se presentaron el 25 de mayo de 2018, fecha de entrada en vigor del RGPD.
Antes del 25 de mayo de 2018, Meta Ireland había cambiado las condiciones de servicio de sus servicios de Facebook e Instagram. También señaló el hecho de que estaba cambiando la base jurídica en la que se basa para legitimar su tratamiento de los datos personales de los usuarios. (Según el artículo 6 del RGPD, el tratamiento de datos solo es lícito si y en la medida en que se ajuste a una de las seis bases jurídicas identificadas). Tras haber confiado previamente en el consentimiento de los usuarios para el tratamiento de sus datos personales en el contexto de la prestación de los servicios de Facebook e Instagram (incluida la publicidad basada en el comportamiento), Meta Ireland pretendía ahora basarse en la base jurídica «contractual» para la mayoría (pero no la totalidad) de sus operaciones de tratamiento.
Si deseaban seguir teniendo acceso a los servicios de Facebook e Instagram tras la introducción del RGPD, se pedía a los usuarios existentes (y a los nuevos) que hicieran clic en «Acepto» para indicar su aceptación de las condiciones de servicio actualizadas. (Los servicios no serían accesibles si los usuarios se negaban a hacerlo).
Meta Ireland consideró que, al aceptar las condiciones de servicio actualizadas, se celebraba un contrato entre Meta Ireland y el usuario. También consideró que el tratamiento de los datos de los usuarios en relación con la prestación de sus servicios de Facebook e Instagram era necesario para la ejecución de dicho contrato, que incluía la prestación de servicios personalizados y publicidad basada en el comportamiento, de modo que dichas operaciones de tratamiento eran lícitas en virtud del artículo 6, apartado 1, letra b), del RGPD (la base jurídica «contractual» para el tratamiento).
Los denunciantes alegaron que, contrariamente a la posición declarada por Meta Ireland, ésta seguía pretendiendo basarse en el consentimiento como base jurídica para el tratamiento de los datos de los usuarios. Alegaban que, al condicionar la accesibilidad de sus servicios a la aceptación por los usuarios de las Condiciones de Servicio actualizadas, Meta Ireland les estaba «obligando» de hecho a consentir el tratamiento de sus datos personales para publicidad basada en el comportamiento y otros servicios personalizados. Los denunciantes alegaron que esto infringía el RGPD.
En términos de sanciones, y a la luz de esta infracción adicional del RGPD, el CPD ha aumentado el importe de las multas administrativas impuestas a Meta Ireland a 210 millones de euros (en el caso de Facebook) y a 180 millones de euros en el caso de Instagram. (Los niveles revisados de estas multas también reflejan las opiniones de la EDPB en relación con los incumplimientos por parte de Meta Ireland de sus obligaciones en relación con el tratamiento justo y transparente de los datos personales de los usuarios).
