O regulador de proteção de dados da Irlanda, o DPC, foi anunciado a apresentação de um projeto de decisão enviado a outras DPAs da UE na sexta-feira em relação a uma investigação do Regulamento Geral de Proteção de Dados (GDPR) sobre o tratamento de dados de crianças pelo Instagram que foi aberto há mais de um ano.
O DPC anunciou duas investigações legais no Instagram, em outubro de 2020, observando como o gigante das redes sociais processa informações de crianças após uma série de reclamações – incluindo uma investigação que iria examinar a base legal de reivindicações do Facebook para processamento de dados de crianças no Instagram, e se existem ou não “salvaguardas adequadas” em vigor.
A segunda investigação foi programada para examinar o perfil do Instagram e as configurações de conta – examinando a “adequação” das configurações para crianças – para quem o GDPR define um padrão muito alto de proteção de dados em princípios-chave como ‘Proteção de Dados por Design e Padrão’.
Em uma declaração hoje, o vice-comissário do DPC, Graham Doyle, confirmou que o regulador entregou o bastão a outras autoridades de proteção de dados da UE (DPAs) para ponderar, por escrito:
“Como Autoridade Supervisora Líder do Facebook / Instagram, abrimos este inquérito em setembro de 2020. Ele foi iniciado em resposta a informações fornecidas à DPC por um terceiro, e também em conexão com problemas identificados pela DPC após o exame do Instagram processo de registro do usuário. Na semana passada, submetemos nosso rascunho de decisão aos nossos colegas para que opinassem sobre o assunto. Isso faz parte do processo nos termos do Artigo 60 do RGPD, em que enviamos projetos de decisão a outras Autoridades de Supervisão Interessadas e elas têm um mês para nos enviar suas ‘objeções fundamentadas e relevantes’. Este é o sétimo inquérito DPC a atingir o estágio do Artigo 60 do GDPR. Além deste inquérito do Instagram, dois outros inquéritos DPC no Facebook estão atualmente na fase do Artigo 60. ”
A apresentação de um projeto de decisão por uma autoridade de supervisão principal é uma parte normal do processo regulatório para casos de RGPD transfronteiriços. Ele permite que outros DPAs revisem as conclusões do DPA principal e apresentem objeções se eles discordarem – como aconteceu com todos os outros projetos de decisão do GDPR do DPC relativos à grande tecnologia.
As duas únicas decisões finais a sair da Irlanda em tais casos até agora – no Twitter e WhatsApp – passaram por este processo de revisão do Artigo 60 e ambos receberam objeções que levaram a penalidades aumentadas (substancialmente aumentadas no caso do WhatsApp) versus a sugestão de bola baixa de o DPC.
É provável que o projeto de decisão da Irlanda sobre o Instagram enfrente resistência semelhante de outros supervisores de dados em todo o bloco. Embora o DPC esteja mantendo suas conclusões em segredo.
Em termos de prazo, pode demorar mais de meio ano até que uma decisão final sobre a reclamação do Instagram seja resolvida – a julgar por quanto tempo o processo levou para retrabalhar as decisões preliminares do DPC anteriores.
No caso do Twitter, a DPC apresentou um sentido provável de decisão em maio de 2020, tendo a decisão final sido emitida em dezembro do mesmo ano. Já o rascunho do WhatsApp foi apresentado em janeiro de 2021 – mas demorou até setembro para que a multa de US $ 267 milhões para o WhatsApp fosse acertada.
Portanto, uma decisão final no Instagram pode não chegar antes de meados de 2022.
Enquanto isso, a rede social está enfrentando pressão de alto nível em solo doméstico sobre seu impacto sobre usuários vulneráveis como adolescentes, após revelações da denunciante do Facebook, Frances Haugen, que vazou milhares de documentos internos para a mídia neste outono – incluindo pesquisas que parecem mostrar que a plataforma tem um impacto tóxico na imagem corporal de adolescentes.
Esta semana, o chefe do Instagram, Adam Mosseri, foi chamado para prestar depoimento ao Senado dos Estados Unidos – como parte de uma série de audiências sobre segurança online para crianças e adolescentes. E antes dessa audiência, a plataforma anunciou uma série de novos recursos de segurança para “jovens” – incluindo suas primeiras ferramentas para pais.
Portanto, qualquer que seja a decisão do GDPR que venha a surgir das sondagens do Instagram lideradas pela Irlanda, Meta poderá alegar que a plataforma mudou na forma como lida com os dados das crianças – e que qualquer aplicação das ordens da UE já está desatualizada.
Críticas ao trabalho próximo da DPC com Meta
O momento da notificação pública do DPC sobre a submissão do rascunho do Instagram chega enquanto o regulador está enfrentando uma tempestade de novas críticas sobre seu trabalho próximo com o Facebook / Meta: Aka, o gigante da tecnologia que possui o Instagram e cujo império de mineração de dados o DPC detém (no papel) um papel de supervisão principal, graças ao mecanismo de balcão único (OSS) do GDPR (forum shopping-friendly).
UMA documento lançado domingo pelo grupo europeu de campanha de privacidade, noyb detalha uma intervenção do DPC que está claramente alinhada com os interesses do Facebook, visto que o regulador pode ser visto a pressionar o que a noyb considera como um “desvio de consentimento” a ser inserido nas directrizes do GDPR da EDPB.
Claramente alinhado porque o Facebook realmente procurou burlar a conformidade com o GDPR mudando de uma base legal baseada em consentimento para processar dados de usuários para segmentação de anúncios (o que é legalmente problemático, uma vez que o Facebook não oferece aos usuários uma escolha livre sobre aceitarem anúncios comportamentais ou não ; na verdade, não há escolha a menos que você pare de usar o Facebook totalmente; no entanto, para que o consentimento seja legal de acordo com o GDPR, ele deve ser específico, informado e concedido livremente …) – para, como o regulamento entrou em vigor em 2018, o suprimento de consentimento mencionado acima mudou para uma alegação de que os usuários de seus serviços estão realmente em um acordo contratual com ele para receber anúncios direcionados … O que seria bastante roubo de dados pessoais – se essa mudança fosse aceita pelos reguladores europeus de proteção de dados.
A noyb tem desafiado o Facebook por esse “consentimento forçado” desde maio de 2018 – quando apresentou suas primeiras reclamações GDPR.
O DPC ainda não decidiu sobre a reclamação, mas o regular está decidido a aceitar o desvio de consentimento GDPR do Facebook – de acordo com um projeto de decisão que foi publicado pela noyb em outubro.
A organização sem fins lucrativos deu seguimento a essa revelação apresentando uma acusação de corrupção criminosa contra a DPC no mês passado – acusando o regulador de “chantagem processual” e revelando que havia escrito à noyb exigindo que retirasse o projeto de decisão e pressionando-o a assinar uma ordem de sigilo em relação ao processo em andamento contra o Facebook. A correspondência do regulador para a noyb também implicava que ela a excluiria como parte do processo de GDPR em andamento se não concordasse com a demanda geral de confidencialidade.
noyb argumenta que não há base legal para a DPC amordaçar o processo de supervisão dessa forma. (Na verdade, é literalmente solicitado ao regulador que entre com um processo contra ele para que possa contestar qualquer reclamação no tribunal.)
Também é dobrado nas críticas às tentativas do DPC de impor a confidencialidade, liberando mais documentos a cada domingo antes do Natal – para esclarecer mais a função interna (e, os críticos diriam, disfunção) do DPC.
O regulador respondeu com longas réplicas que, no entanto, não abordam os principais pontos legais levantados pela noyb (ver, por exemplo, as atualizações deste relatório).
Hoje o DPC também emitiu um novo declaração pública – em que nega ter agido “de má-fé em reuniões que manteve com o Facebook como parte de sua função reguladora”; nega ter “pressionado” o Conselho Europeu de Proteção de Dados (EDPB) para tentar fazê-lo adotar diretrizes que teriam sido “no melhor interesse” do Facebook; e outras afirmações: “Essas alegações são totalmente falsas.”
Sua declaração, entretanto, admite fornecer ao Facebook – entre o final de 2017 e março de 2018 – o que o regulador caracteriza como “feedback de alto nível” em relação ao “programa de preparação do GDPR” do Facebook.
Pedimos ao DPC mais detalhes sobre o feedback que forneceu ao Meta / Facebook durante este período.
Sua declaração continua negando que tenha ajudado o Facebook a desenvolver o desvio de consentimento do GDPR, com o DPC escrevendo: “[A]Em nenhum momento durante o seu envolvimento com o Facebook … o DPC aprovou, desenvolveu, endossou, consentiu ou negociou as operações de processamento do Facebook. Nem deve ser enfatizado se a DPC em algum momento sugeriu ou informou ao Facebook que o Artigo 6 (1) (b) [“processing is necessary for the performance of a contract”] era uma base legal apropriada para basear suas operações de processamento. ”
No entanto, a declaração do DPC parece confirmá-lo fez discutir o potencial do Facebook confiar no Artigo 6 (1) (b) – também conhecido como mover o consentimento para os T & Cs como uma cláusula contratual – como uma estratégia para conformidade com o GDPR, conforme o regulador especifica que “houve discussões sobre este assunto … apenas para investigar o Facebook em suas considerações sobre o Artigo 6 (1) (b) e para buscar a comprovação de seu raciocínio jurídico ”.
Atualizaremos este relatório se o DPC enviar esclarecimentos adicionais sobre essas discussões.
