TikTok se pasa del consentimiento al interés legítimo. Uhm.
TikTok ha anunciado que, desde mediados de julio de 2022 (si nadie lo remedia) los datos de sus usuarios que observa en el contexto de su propia plataforma con la finalidad de personalizar la publicidad que les muestra, pasarán a ser tratados con base en su interés legítimo, en vez de en su consentimiento, como, erm, hacía (o eso dicen) hasta ahora.
Los datos obtenidos de terceros con la misma finalidad se seguirán tratando con base en el, argk –es que me da hasta dentera decirlo-, consentimiento de sus usuarios.
El truco final
En la estupenda película El Truco final -The prestige, (2006)- dos magos consiguen teletransportarse a un sitio distinto en el espacio.
Pero ninguno de los dos lo hace como tú pensabas. Y uno de ellos paga un altísimo coste cada vez que hace el truquito.
Porque en esta historia, como –algunas veces- en la vida, es más relevante dónde estabas que dónde quieres llegar.
Pues bien, la tesis que mantemos hoy aquí es que la maniobra de TikTok es una huída hacia adelante: ni su base legal cumplía antes (ese umpf, consentimiento) ni cumple ahora con el cambio.
¿Dónde quiere llegar TikTok?
TikTok busca regularizar el flagrante y múltiple incumplimiento en que incurre cada vez que un residente en la UE se abre una cuenta en su omnipresente y adictivo servicio.
Quiere dejar atrás el consentimiento al tratamiento de datos «on-platform» (que no tiene) y conseguir el consentimiento para combinarlos con datos de terceros («off-platform») porque lo necesitará cuando pasao mañana entre en vigor la Digital Markets Act (DMA para los amigos) aprobada ayer pispo.
TikTok explica que hasta hoy, se basaba en el consentimiento del usuario para personalizar la publi que le mostraba, tanto con datos obtenidos en su propia plataforma (on-platform), como con datos obtenidos de terceros (off-platform) (estos terceros son “advertisement partners, measurement partners y (glups) data partners”).
Entonces, de acuerdo con su propia política de privacidad (la actual, previa a la modificación comentada) TikTok tendría que obtener el consentimiento independiente del usuario al tratamiento de sus datos para mostrarle publicidad personalizada. De no obtenerlo, simplemente podría mostrarle publicidad contextual, por ejemplo.
Al crear una cuenta nueva, TikTok sólo obtiene el tradicional “consentimiento 2×1” (aceptación de términos y condiciones de uso e instalación de la app en tu términal -5.3 de la Directiva ePrivacy-).
Pero no solicita un consentimiento granular para personalizarte la publicidad con base en tus datos “in-platform”. Como dice que hacía.
De trackearte entre dispositivos y observar tu navegación fuera de TikTok (datos off-platform), ya ni hablamos.
Y eso pese a reconocer ahora (pues distingue entre ambos tratamientos y asigna distintas bases a cada uno) que eso sería lo correcto. Aunque no hacía falta: el EDPB ya señaló que esas, precisamente esas bases legales son las apropiadas para esas dos situaciones (el interés legítimo corporativo puede amparar el tratamiento de los datos observados en tu propia plataforma para la personalización de publicidad, pero la combinación de fuentes y tracking entre distintos dispositivos requiere consentimiento).
O están regularizando en medio de la madre de todos los procedimientos sancionadores, o han tenido una buena idea, pero dos años tarde.
Been there, done that
El problema de TikTok es el mismo que padecía Facebook y que le hizo cambiar de la noche a la mañana, justo, JUSTO en la madrugada del 25 de mayo de 2018 la base de legitimación de su tratamiento de datos de usuarios con fines publicitarios, pasando del consentimiento (que no era granular para esa finalidad, como no lo es el de TikTok) a la base contractual, alegando que repentinamente se habían dado cuent de que (jaja) ese tratamiento de datos con fines publicitarios era imprescindible (JAJAJA) para la ejecución del “contrato” firmado entre usuario y Facebook.
Lo de proteger a las (JOJOJOJO) PYMES se les ocurrió después.
Con esa audacia cuñada tan del juguete de Zuckerberg, Facebook cambió de base legal con todos sus Metas en pleno vuelo.
La base legal de destino no estaba bien elegida (la personalización de publicidad no es necesaria para la prestación de ese servicio, punto), pero para eso pagan a abogados de esos caros.
Y, por esta vez, hay que reconocer que la base legal de origen no incumplía, porque ese pírrico consentimiento que Facebook obtenía al crear la cuenta, era suficiente. Al menos lo era entonces.
Algo que no puede decir TikTok en pleno 2022.
¿Y ahora qué?
Desde ahora:
- TikTok sólo se basará en el consentimiento para utilizar datos de fuera de su plataforma en el targeting, y nunca de menores de edad.
- El uso de datos de su propia plataforma se basa en intereses legítimos (pero no se concreta cuáles son, y en la política de privacidad se siguen mezclando los tratamientos de datos “on” y “off-platform”).
- Los datos de los menores de edad no se utilizan a efectos de targeting, sólo desde que cumplan los 18 años.
Enlace a la nueva política de privacidad.
El problema del “cambio de base de legitimación”
En general no puedes cambiar tu base de legitimación “en un tratamiento de datos en marcha” (en el que lo único que cambias es la base legal, o sea, el papel). Bueno, sí que puedes, luego vemos un poco de eso.
Históricamente esto sólo se ha permitido en mayo de 2018, fecha de aplicación del RGPD al endurecer los requisitos del consentimiento (se podía cambiar la base consentimiento por otra, porque de pronto muchos de los consentimientos captados dejaban de ser válidos). Esto fue “una vez en la vida” (“one off situation”).
Esto dijo el EDPB (Grupo de trabajo del art 29) entonces:
¿Se podría hacer hoy?
En un cambio consentimiento a interés legítimo, podrías hacerlo si y sólo si (1) tu base anterior no tenía problemas, (2) si informas al usuaripo, (3) ofreciendo la opción de que se oponga antes de iniciar tu tratamiento (algo inherente al IL) (4) durante un plazo razonable (20 días no parecen suficiente tiempo enterarse y entender semejante cambio), y (5) estar preparado para borrar todos los datos previos de quienes ejerciten su derecho de oposición.
¿Podría ser? Creo que sí, ero aquí hay TikTomate a todos los niveles.
1.- Tu base legal previa no debe tener problemas
Ya hemos visto que TikTok solicita un solo consentimiento para muchas cosas. Mal. Ya se habló hace años por aquí, del «consentimiento lentejas».
¿Y dónde pone que lo que hacías tiene que esta bien? En el art. 5, moyayo: el principio de licitud es uno de los principios generales que informan toooodo el RGPD.
Pues bien. Como el protagonista de «El truco final», TikTok va dejando cadáveres tras de sí al hacer su magia. Pero sigamos.
2, 3 y 4.- TikTok tiene que dar un plazo suficiente y ofrecer un derecho de oposición de verdad
Si uno sigue el enlace para ejercer el derecho de oposición, TikTok te lleva a una explicación (con un segundo enlace a un cuestionario) donde te hace sudar la camiseta detallando exactamente a qué tratamiento te opones y cuáles son tus razones. Esto, que podría ser un patrón oscuro por marearte innecesariamente, es en este caso un incumplimiento directo del art. 21.2 y 3 RGPD.
El derecho de oposición en este caso no requiere argumentación y tiene que ser inmediatamente atendido, y serlo de forma incondicional.
El RGPD dice literalmente en el 21.2. y 3:
“2. Cuando el tratamiento de datos personales tenga por objeto la mercadotecnia directa, el interesado tendrá derecho a oponerse en todo momento al tratamiento de los datos personales que le conciernan, incluida la elaboración de perfiles en la medida en que esté relacionada con la citada mercadotecnia.
3. Cuando el interesado se oponga al tratamiento con fines de mercadotecnia directa, los datos personales dejarán de ser tratados para dichos fines.”
Además, en el formulario de oposición, no hay un botón o medio simple para oponerte, ni campos para completar texto, tienes que llevar redactado un doc y “subirlo” a su plataforma y “last but not least”, marcar como leidos estas dos acojonantes declaraciones:
Esto sí es un patrón oscuro (“nudging” para abuchararte en la esquinita) pero, comparado con el incumplimiento anterior, es el chocolate del loro.
Parece claro que TikTok no está ofreciendo una opción real de oposición. Pero la práctica lo dejará claro: me juego los filtros a que deniega la satisfacción de las oposiciones que reciba, apelando a “intereses legítimos imperiosos”. Para quedarse bien a gusto.
Y todo lo anterior, sin entrar en que no describe cuáles son sus intereses legítimos y su relación con las finalidades del tratamiento, ni los datos personales que tratará al efecto (estos sí los describe, pero es un puto lío y las descripciones están a un par de links de distantica de las finalidades).
Parafraseando el lenguaje de la AEPD en alguna de sus sonoras multacas, “el usuario no tiene, pues información suficiente para valorar cómo le afecta el tratamiento que le anuncian y decidir si se opone o no”.
No se están cumpliendo los requisitos de aplicación del IL.
¿Qué pasa con los datos on-platform obtenidos con base en consentimiento?
Pues no se sabe, porque hay una contradicción bien gorda en el wording:
Primero te dicen que si revocas tu consentimiento, dejarán de tratar tus datos on platform previos a la fecha de corte, y después que sí que los tratarán, porque ahora van por IL.
Esta es precisamente la razón por la que el EDPB prohíbe el cambio de base legal en marcha: en definitiva lo que ocurre siempre que intentas regularizar una base legal viciada, es que quieres dotarte de una alternativa para poder saltar de una a otra, y poder pretender justificar tu tratamiento en la primera o la segunda, argumentando la que más te convenga dependiendo de por dónde te venga el lío.
“Accountability” o “supervivencia”. Choose your poison.
En la práctica, TikTok se la juega a que muy pocos usuarios harán todo lo que tienen que hacer para oponerse a estos tratamientos.
En el approach de TikTok, el usuario tendría que 1) oponerse mediante ese formulario (o no: un puto email de una línea bastaría) y para que además se borren los datos obtenidos por IL antes de tu oposición, tendría que (2) ejercer un derecho de supresión posterior o simultáneo (17.1.c) RGPD.
TikTok se la juega a que muy pocos usuarios se opondrán y ejercerán su derecho de supresión. Algo que parece imposible.
Para que fuera un poco menos imposible, algún gilipollas tendría que redactar el texto en castellano e inglés para que el usuario de TikTok sólo tuviera que incluir su nombre de usuario y dirección de correo electrónico registrada, sustituyendo las «XXX» copiar y pegarlo en un documento para subirlo a la plataforma a través de este enlace.
Sería muy patético que con el calor que hace y existiendo cosas como libros o Netflix, un puto calvo que encima está de Rodríguez esta semana derrochara su tiempo redactando textos como el siguiente:
(el tercer punto es opcional, pero ya que me ponía…)
Versión en castellano:
Soy el usuario XXX de esta plataforma, y mi email registrado es el XXX@XXX.COM y requiero a TikTok la satisfacción de los siguientes derechos reconocidos en el RGPD:
.- Art. 21: mi derecho de oposición al tratamiento de mis datos personales para la personalización de la publicidad que se me muestra en la plataforma que TikTok pretende amparar en sus intereses legítimos corporativos. De acuerdo con dicho artículo, no es preciso alegar argumento alguno a estos efectos.
.- Art 18: mi derecho a la supresión definitiva de mis datos personales utilizados para dicha personalización de publicidad, al no poder TikTok ampararse en esos intereses legítimos.
.- Art 19: además, deseo que se me comunique el detalle de la identificación de todos los terceros a los que TikTok ha comunidado mis datos refereidos anteriormente. Deseo asimismo que TikTok comunique dicha supresión de mis datos personales a cada uno de dichos destinatarios a los que se hayan comunicado los datos personales, salvo que sea imposible o exija un esfuerzo desproporcionado. En este último caso, de acuerdo con la doctrina del EDPB, les requiero a que me justifiquen cumplidamente dicha imposibilidad o desproporción.
Versión en inglés:
I am the user XXX of this platform, with registered email XXX@XXX.COM and as such I require TikTok to satisfy the following rights recognized in the GDPR:
.- Art 21: my right to object to the processing of my personal data for the personalization of advertising displayed to me on the platform that TikTok intends to base on its legitimate corporate interests. According to this article, no argument is necessary to this effect.
Art 18: my right to the definitive deletion of my personal data used for such personalization of advertising, as TikTok will not be able to rely on these legitimate interests.
Art 19: I also wish to be informed of the identification details of all third parties to whom TikTok has communicated my personal data referred to above. I also wish TikTok to communicate this deletion of my personal data to each of these recipients to whom the personal data has been communicated, unless this is impossible or would require a disproportionate effort. In the latter case, in accordance with the EDPB´s doctrine, I request TikTok to provide me with full justification for such impossibility or disproportionality.
Es posible que el calor me haya afectado esta tarde, pero no me engaño: la gente es más comodona que las explicaciones de la BigTech: me conformaría con que entendieran lo mal hecho que está todo esto, o el riesgo que representa para ellos.
Por eso, abusos como este no deberían quedar a la iniciativa de los usuarios: las autoridades de protección de datos deberían exigir a TikTok que paralice este truco de trilero, del mismo modo que reaccionaron ante el (mucho más leve, comparado con esta auténtica bosta) cambio de política de privacidad de WhatsApp de hace año y medio.
See you soon. Hemos vuelto.
Jorge Garcia Herrero
Abogado y Delegado de Protección de datos