Las funcionalidades EDI y VIU están diseñadas para proporcionar a los usuarios de Facebook e Instagram información sobre las elecciones de la Unión Europea, considerando la Agencia que su implementación en España es contraria al Reglamento General de Protección de Datos (RGPD) (LA LEY 6637/2016) debido a que podría incumplir principios básicos de protección de datos como la licitud, la minimización de datos y la limitación del plazo de conservación.
La recopilación y conservación de datos planificados por META podría suponer una injerencia desproporcionada en los derechos y libertades de los usuarios de Instagram y Facebook que verían incrementado el volumen de información que META recopila sobre ellos.
En el contexto de la puesta a disposición a los interesados de servicios en línea, el artículo 6.1.b) RGPD (LA LEY 6637/2016) se aplica cuando se cumplen dos condiciones: el tratamiento en cuestión debe ser objetivamente necesario para la ejecución de un contrato con un interesado, o el tratamiento debe ser objetivamente necesario para adoptar medidas precontractuales a petición de un interesado. Y al evaluar qué es «necesario», debe realizarse una valoración basada en el objetivo que se persigue, determinando si existen tratamientos menos intrusivos para conseguir el mismo objetivo, en cuyo caso, el tratamiento no es «necesario».
Entiende la AEPD que la supuesta «necesidad» de tal tratamiento que pretende realizar META es incompatible con la finalidad del contrato, ya que de ningún modo un interés público, como es el derecho a voto y la garantía de unas elecciones libres, pueden ser «necesarias» para el cumplimiento de un contrato que tiene una finalidad privada.
Además, el tratamiento de las interacciones resulta absolutamente desproporcionado en relación con la supuesta finalidad que se persigue de informar sobre las elecciones. No justifica cómo piensa tratar exclusivamente datos de mayores de 18 años, cuando no existe ningún mecanismo fiable para determinar la edad de los receptores. Y no se respeta el principio de limitación del plazo de conservación, sin justificar asimismo la necesidad de su almacenamiento en relación con los fines manifestados, lo que revela una finalidad adicional de la operación de tratamiento.
La prohibición temporal del lanzamiento de estas funcionalidades en España tiene un periodo de validez máximo de tres meses y se realiza en el marco del art. 66.1 del RGPD (LA LEY 6637/2016), que permite a las autoridades de control tomar medidas provisionales con efectos jurídicos en su territorio en circunstancias excepcionales que requieran una intervención urgente para proteger los derechos y libertades de las personas.