Fallo histórico en España, condenan a Meta a pagar 479 millones de euros a la prensa digital por uso ilícito de datos
El Juzgado Mercantil N.° 15 de Madrid ordenó a Meta compensar con 479 millones de euros a 87 editoras y agencias agrupadas en la Asociación de Medios de Información (AMI), al determinar que la empresa obtuvo una ventaja competitiva indebida en el mercado publicitario mediante el uso de datos personales extraídos de Facebook e Instagram, en violación del Reglamento General de Protección de Datos (RGPD). ADEPA calificó el fallo como un precedente histórico para el ecosistema digital.
La resolución judicial y los fundamentos: uso indebido de datos y ventaja competitiva en el mercado publicitario
El fallo del Juzgado Mercantil N.° 15 de Madrid marca un hito en la disputa global entre plataformas tecnológicas y medios de comunicación. La sentencia condena a Meta a pagar 479 millones de euros a 87 editoras de prensa digital y agencias de noticias integradas en la Asociación de Medios de Información (AMI), tras concluir que la empresa obtuvo “una posición de ventaja competitiva significativa” en el mercado publicitario local.
La Justicia española determinó que Meta utilizó datos personales de usuarios de Facebook e Instagram mediante un tratamiento contrario al Reglamento General de Protección de Datos (RGPD). El fallo afirma que, tras la entrada en vigor del reglamento europeo, la compañía “sustituyó el consentimiento del usuario por la necesidad de ejecución del contrato” para justificar la recopilación y uso de información personal, un mecanismo que el tribunal consideró inválido para prácticas de publicidad comportamental.
Además de la compensación global, la sentencia ordena pagar 2.570.000 euros al Grupo Europa Press y 13.563 euros a Radio Blanca, en concepto de daños económicos derivados de la pérdida de competitividad frente a Meta.
Reacción del sector y alcance del precedente
La decisión judicial provocó repercusión inmediata en el ámbito editorial. En un comunicado, ADEPA destacó el carácter trascendental del fallo: “La sentencia representa un precedente histórico porque reconoce que el modelo de negocio publicitario de Meta, basado durante años en el tratamiento ilícito de datos personales, generó un daño económico directo a los medios digitales que sí estaban obligados a cumplir el RGPD y que no podían competir en igualdad de condiciones”.
La entidad subrayó que la decisión judicial confirma una percepción sostenida por la industria en los últimos años: “En la práctica, el fallo valida que parte de la caída de ingresos publicitarios del sector no fue solo un fenómeno de mercado, sino el resultado de una ventaja competitiva indebida de la plataforma”, añadió ADEPA.
El pronunciamiento judicial se incorpora así a un debate global sobre el equilibrio entre plataformas tecnológicas y empresas periodísticas, especialmente en torno al uso de datos, la transparencia en la publicidad digital y la supervivencia económica de los medios. Aunque el fallo se circunscribe al ámbito español, su impacto potencial se extiende a otros mercados regulados que aplican normativas equivalentes al RGPD.
En los últimos años, Argentina ha experimentado un aumento significativo en las filtraciones de datos. Algunas de las instituciones públicas que han sufrido filtraciones son el Registro Nacional de las Personas (Renaper), la Administración Nacional de la Seguridad Social (Anses) y la Dirección Nacional del Registro de la Propiedad Automotor (DNRPA).
En el primer semestre de 2023 se registraron más de 1.200 millones de intentos de ciberataques en Argentina. Estas filtraciones no solo afectan a las personas, exponiéndolas a robo de identidad o fraude, sino que también tienen un impacto devastador en las empresas y organizaciones. Una filtración de datos puede llevar a sanciones económicas, pérdida de confianza por parte de clientes y ciudadanos y daño irreparable a la reputación. Además, los costos asociados a la remediación de una filtración suelen ser elevados, especialmente si la organización no cuenta con un plan de respuesta.
Por eso es imprescindible ponerse a la altura. En eso trabaja María Delfina Haene, abogada Experta en Protección de Datos Personales y Managing Partner en Haene Consulting: preparar a las empresas y Gobiernos para custodiar los datos de consumidores y usuarios.
¿Qué es la protección de datos personales y por qué es tan importante para las organizaciones en Argentina?
La protección de datos personales se refiere al conjunto de medidas y procedimientos que tienen como objetivo garantizar que la información personal de los individuos sea tratada con respeto y seguridad, conforme a las leyes vigentes. En Argentina, desde el año 2000 contamos con la Ley 25.326, también conocida como Ley de Protección de Datos Personal. La misma establece el marco legal para proteger los datos de las personas, evitando su uso indebido y garantizando el derecho de los individuos de ejercer solicitar información sobre los datos que poseen de él, de ser necesario solicitar su corrección o eliminación, dependiendo de cada caso en concreto.
¿Cómo fue tu camino hacia la especialización en protección de datos personales? ¿Qué formación y experiencia te llevaron a convertirte en una experta en esta área?
Mi especialización en protección de datos personales es el resultado de mi formación académica y mi experiencia profesional. Soy abogada con más de 13 años de experiencia asesorando a empresas multinacionales de diversos sectores en temas corporativos. Posteriormente realicé un MBA para profundizar mis conocimientos en gestión empresarial y a medida que la protección de datos comenzó a ganar relevancia a nivel global, especialmente con la implementación del Reglamento General de Protección de Datos (RGPD) en Europa, viviendo en España en ese momento, decidí especializarme en esta área.
Mi experiencia asesorando a empresas tanto a nivel nacional como internacional me permitió comprender las implicancias prácticas de las normativas y cómo implementarlas de manera efectiva dentro de las organizaciones. Hoy en día, lidero un equipo en Haene Consulting, donde ayudamos a empresas y organizaciones a cumplir con las normativas locales e internacionales en protección de datos, adaptando las soluciones a sus necesidades específicas.
¿Cuáles son las principales obligaciones que tienen tanto el sector privado como público en Argentina en cuanto a la protección de datos personales?
En Argentina deben cumplir con varias obligaciones clave bajo la Ley 25.326. Entre ellas, deben obtener el consentimiento informado de las personas antes de recolectar sus datos, asegurarse de que los datos sean exactos y estén actualizados, registrar las bases de datos, y garantizar que se utilicen solo para los fines para los cuales fueron recolectados. Además, deben implementar medidas de seguridad adecuadas para proteger la información contra accesos no autorizados, pérdidas o destrucciones. Es fundamental también que las organizaciones informen a los titulares de los datos sobre sus derechos, como el acceso, rectificación y eliminación de su información.
¿Qué sectores en Argentina son más vulnerables a las filtraciones de datos y por qué?
Los sectores más vulnerables son el financiero, el de salud y el sector público. Estos sectores manejan grandes volúmenes de datos, como información financiera, historial médico y datos personales de ciudadanos. En el sector financiero, la digitalización de servicios ha incrementado la exposición a ciberataques. En el sector salud, la falta de infraestructura tecnológica robusta a menudo deja expuestos datos críticos. En el sector público, la gran cantidad de datos que se maneja y la diversidad de sistemas implicados hacen que la protección de datos sea un desafío.
¿Hay estadísticas recientes sobre la cantidad de filtraciones de datos en Argentina? ¿Qué impacto tienen estas filtraciones?
En los últimos años, Argentina ha experimentado un aumento significativo en las filtraciones de datos. Algunas de las instituciones públicas que han sufrido filtraciones son el Registro Nacional de las Personas (Renaper), la Administración Nacional de la Seguridad Social (Anses) y la Dirección Nacional del Registro de la Propiedad Automotor (DNRPA). Hablando en cifras, sobre informes que tenemos hoy, en el primer semestre de 2023 se registraron más de 1.200 millones de intentos de ciberataques en Argentina (informe Fortinet, una empresa de ciberseguridad). Estas filtraciones no solo afectan a las personas, exponiéndolas a riesgos como el robo de identidad o el fraude, sino que también tienen un impacto devastador en las empresas y organizaciones. Una filtración de datos puede llevar a sanciones económicas, pérdida de confianza por parte de clientes y ciudadanos y daño irreparable a la reputación. Además, los costos asociados a la remediación de una filtración suelen ser elevados, especialmente si la organización no cuenta con un plan de respuesta.
¿Por qué es crucial la protección de datos personales en el sector financiero y qué consejos puedes dar a los usuarios para proteger su información personal?
Este sector es uno de los más vulnerables ya que maneja información altamente sensible, como datos financieros, números de cuenta y transacciones personales, que son un objetivo atractivo para los ciberdelincuentes. La protección de estos datos es fundamental para evitar fraudes, robos de identidad y otros tipos de delitos. Para los usuarios, es esencial tomar precauciones. Algunos consejos clave que puedo dar son: utilizar contraseñas robustas y únicas para cada una de sus cuentas bancarias y cambiarlas regularmente. Activar la autenticación de dos factores (2FA) siempre que sea posible, lo que añade una capa adicional de seguridad. Evitar acceder a sus cuentas bancarias desde redes Wi-Fi públicas o no seguras, ya que pueden ser vulnerables a ataques. Revisar regularmente los movimientos de sus cuentas para detectar cualquier actividad sospechosa de inmediato. Nunca compartir información personal o financiera a través de correos electrónicos o mensajes de texto, ya que pueden ser interceptados fácilmente.
¿Qué riesgos enfrenta una organización que no cuenta con un programa de protección de datos adecuado?
Las organizaciones que no implementan un programa integral de protección de datos enfrentan múltiples riesgos. El más evidente es el riesgo legal, ya que pueden ser sancionadas con multas por incumplimiento de la normativa. Además, existe un riesgo financiero, tanto por las sanciones como por los costos de remediación de una filtración. También está el riesgo reputacional: una organización que sufre una brecha de seguridad puede perder la confianza de sus clientes y de los ciudadanos. Finalmente, las organizaciones corren el riesgo de exponer a sus clientes y a la población a daños personales, como el robo de identidad.
¿Cuáles son los pasos fundamentales para implementar un programa de protección de datos?
El primer paso es realizar una auditoría para conocer la situación actual de la organización en cuanto al manejo de datos personales. En base al resultado, procedemos a realizar las propuestas de mejoras totalmente adaptadas a la organización para adaptarla a la normativa vigente. Es crucial capacitar al personal para que comprendan la importancia de la protección de datos y conozcan las políticas establecidas. Se deben adoptar medidas técnicas, como el cifrado de datos, controles de acceso, y la implementación de firewalls y software de detección de intrusiones. Un programa de protección de datos no es estático. Es importante realizar revisiones para garantizar que el programa sigue siendo efectivo y conforme con las normativas.
¿Qué papel juega la concientización y la capacitación del personal en la protección de datos personales dentro de una empresa?
La concientización y capacitación del personal son fundamentales para la protección de datos. Los empleados son la primera línea de defensa contra las brechas de seguridad, por lo que es esencial que comprendan los riesgos asociados al manejo de datos y las mejores prácticas para protegerlos. Una capacitación adecuada no solo incluye aspectos técnicos, sino también el fomento de una cultura organizacional donde la protección de datos sea una prioridad. Esto incluye saber cómo identificar correos electrónicos de phishing, cómo manejar datos sensibles, y entender la importancia de reportar cualquier incidente sospechoso de inmediato.
¿Cómo pueden las pequeñas y medianas empresas (PyMEs) en Argentina implementar un programa de protección de datos sin incurrir en grandes costos?
Las PyMEs pueden comenzar implementando medidas básicas de protección de datos que no requieren grandes inversiones. Un buen punto de partida es la capacitación del personal, lo cual puede prevenir muchos riesgos. Además, es recomendable utilizar herramientas gratuitas o de bajo costo, como sistemas de encriptación y autenticación de dos factores. Las PyMEs también pueden adoptar políticas claras sobre el manejo de datos y limitar el acceso a información sensible sólo al personal autorizado. Es importante recordar que la inversión en protección de datos, aunque pequeña, puede evitar costos mayores asociados a una filtración.
¿Qué desafíos enfrentan las organizaciones en Argentina para cumplir con las normativas de protección de datos y cómo pueden superarlos?
Uno de los principales desafíos es la falta de conocimiento y recursos especializados en protección de datos. Muchas organizaciones, pueden no estar al tanto de sus obligaciones legales o carecer de los recursos para implementar programas robustos. Para superar estos desafíos, es importante que las organizaciones busquen asesoramiento especializado y consideren la protección de datos como una inversión, no un gasto. La implementación de soluciones escalables, que crecen con la empresa, también puede ayudar a gestionar estos desafíos.
¿Por qué el sector público debe entender la necesidad de fortalecer la protección de datos en Argentina?
El sector público juega un papel crucial en la protección de datos en Argentina, ya que maneja una cantidad significativa de información personal. Es esencial que las entidades públicas adopten las mejores prácticas en ciberseguridad y protección de datos para evitar filtraciones que puedan afectar a millones de ciudadanos. Esto incluye no solo la implementación de medidas técnicas, sino también la capacitación continua del personal y la creación de una cultura organizacional que priorice la seguridad de la información. Además, el sector público debe liderar con el ejemplo, promoviendo la conciencia sobre la importancia de la protección de datos tanto en su ámbito como en el sector privado.
Las redes sociales obtienen una gran cantidad de información personal y de los comportamientos de los usuarios a través de diversas interacciones, como son las publicaciones que realizan, los comentarios, los likes, las búsquedas, las visitas a sitios web y las conexiones con otros usuarios.
Toda esta información es utilizada para crear “perfiles de usuario detallados” (lo cual no debe confundirse con nuestro usuario/perfil en la red social que esta creado por nosotros). Estos “perfiles de usuario detallados” posteriormente son utilizados para dirigir publicidad específica y personalizada a los usuarios de las redes sociales.
¿Qué hacen las redes sociales con los “perfiles de usuario detallados”? Las redes sociales venden estos perfiles de usuario a anunciantes y empresas que quieren llegar a grupos específicos de personas. Los anunciantes pagan a las redes sociales por publicar anuncios dirigidos a los usuarios que se ajusten a ciertos criterios demográficos, geográficos o de comportamiento.
Además, las redes sociales también pueden utilizar los datos personales de los usuarios para mejorar sus propios productos y servicios, como la personalización de contenido y la recomendación de amigos o conexiones.
También pueden vender datos agregados o estadísticas a empresas y organizaciones que deseen analizar tendencias y patrones de comportamiento de los usuarios. Entonces, ¿cómo lucran las redes sociales lucran con nuestros datos personales? Lo realizan de diversas maneras, incluyendo:
Publicidad dirigida: como ya mencionamos, las redes sociales recopilan información sobre nuestros intereses, gustos y comportamientos en línea, y utilizan esta información para ofrecer anuncios dirigidos a nuestra audiencia específica.
Venta de datos: las redes sociales también pueden vender nuestros datos personales a terceros, como empresas de marketing y publicidad, que utilizan esta información para sus propios fines.
Análisis de datos: muchas de las redes sociales utilizan la información que recopilan sobre nosotros para analizar tendencias y patrones en la actividad del usuario, lo que puede ser valioso para las empresas y los anunciantes.
Productos y servicios: las redes pueden ofrecer productos y servicios que utilizan nuestros datos personales, como análisis de comportamiento o herramientas de seguimiento de la audiencia.
Es importante tener en cuenta que las redes sociales deben cumplir con leyes y regulaciones de protección de datos, como son el Reglamento General de Protección de Datos de la Unión Europea (RGPD) y la Ley 25.326 de Protección de Datos Personales en Argentina.
En resumen, las redes sociales sacan provecho con nuestros datos personales al utilizarlos para dirigir publicidad y mejorar sus productos y servicios, y vendiendo perfiles de usuario y datos agregados a anunciantes y empresas.
Es importante que antes de crearnos un perfil en una de estas redes leamos detenidamente su política de privacidad y entendamos que, al aceptar sus términos y condiciones, estamos permitiendo que ellos utilicen nuestros datos personales para que desarrollen sus negocios. Como siempre decimos en Haene Consulting, en internet nada es gratis. Si no lo pagas con dinero, lo pagas con tus datos personales.
