El Tribunal de Justicia de la Unión Europea ha clarificado aspectos relativos al acceso y tratamiento de datos personales en redes sociales. La decisión del TJUE se presenta en el contexto de una demanda presentada por el activista austriaco Maximilian Schrems contra Meta Platforms Ireland, empresa matriz de Facebook.
El caso Schrems vs. Meta: límites al uso de datos sensibles
Maximilian Schrems denunció ante los tribunales austriacos el tratamiento que consideraba ilícito de sus datos personales por parte de Facebook. Meta Platforms recopila datos de sus usuarios tanto dentro como fuera de la plataforma. Utilizando cookies, plug-ins sociales y píxeles de seguimiento en sitios web y aplicaciones de terceros. Estos datos permiten a la empresa identificar intereses sensibles de los usuarios, como su orientación sexual, para dirigir publicidad personalizada.
Schrems argumentó que, aunque él haya hecho pública su orientación sexual en un evento público, esto no autoriza a Meta a tratar otros datos sensibles relacionados obtenidos fuera de la plataforma con fines publicitarios. El Tribunal Supremo de lo Civil y Penal de Austria elevó una consulta al TJUE para interpretar el Reglamento General de Protección de Datos (RGPD) en este contexto.
Principio de minimización de datos y tratamiento de datos sensibles
El TJUE aclaró que el RGPD prohíbe que los responsables del tratamiento, como las redes sociales, agreguen, analicen y utilicen indiscriminadamente todos los datos personales obtenidos sin limitaciones temporales ni distinción según su naturaleza para ofrecer publicidad específica. Solo deben procesarse los datos necesarios y pertinentes para el propósito declarado, en línea con el principio de minimización de datos.
Además, el Tribunal enfatizó que la divulgación pública de un dato personal sensible, como la orientación sexual, no implica consentimiento para el tratamiento de otros datos sensibles relacionados. Es decir, aunque un usuario haya hecho pública cierta información, esto no autoriza a las plataformas a utilizar otros datos sensibles obtenidos fuera de ese contexto para fines de publicidad personalizada.
Implicaciones para las redes sociales y la protección de datos
Esta decisión del TJUE refuerza la necesidad de que las redes sociales cumplan estrictamente con los principios establecidos en el RGPD, especialmente en lo referente a la minimización y protección de datos sensibles. Las empresas deben asegurarse de que cualquier tratamiento de datos personales esté debidamente autorizado y justificado, respetando siempre los derechos fundamentales de los individuos.
La sentencia subraya que el acceso y tratamiento de datos personales, incluso en el contexto de usuarios que han compartido información sensible públicamente, está sujeto a estrictas limitaciones. El uso indiscriminado de datos personales para fines publicitarios sin el consentimiento explícito y específico de los usuarios constituye una violación del RGPD.