O principal regulador de proteção de dados do Facebook na União Europeia está avançando para tomar sua primeira decisão sobre uma reclamação contra o próprio Facebook. E parece que é um doozy.
Campanha de privacidade sem fins lucrativos noyb publicou hoje um rascunho de decisão pela Comissão Irlandesa de Proteção de Dados (DPC) sobre uma reclamação feita ao abrigo do Regulamento Geral de Proteção de Dados da UE (GDPR).
O projeto de decisão do DPC propõe multar o Facebook em US $ 36 milhões – uma penalidade financeira que levaria a gigante da adtech a ganhar pouco mais de duas horas e meia em receita, com base em seus ganhos do segundo trimestre (de US $ 29 bilhões).
Sim, nós também rimos …
Mas ainda mais preocupante para os defensores da privacidade é a aparente disposição do DPC de permitir que o Facebook simplesmente contorne a regulamentação, alegando que os usuários estão fornecendo seus dados porque estão em um contrato com ele para obter, er, anúncios direcionados …
Em um resumo de suas descobertas, o DPC escreve: “Não há obrigação no Facebook de buscar confiar exclusivamente no consentimento para fins de legitimação do processamento de dados pessoais, quando ele oferece um contrato a um usuário que alguns usuários podem avaliar como aquele diz respeito principalmente ao tratamento de dados pessoais. Nem o Facebook pretendeu confiar no consentimento do GDPR. ”
“Acho que o caso do Reclamante não foi feito para que o GDPR não permite que o Facebook confie no 6 (1) (b) GDPR no contexto de sua oferta de Termos de Serviço”, escreve o DPC, sugerindo que é totalmente genuíno para o Facebook reivindicar o direito legal de processar as informações das pessoas para a segmentação de anúncios, porque agora está sugerindo que os usuários realmente assinaram um contrato com ele para entregar anúncios.
Ainda – simultaneamente – o projeto de decisão do DPC faz descobrir que o Facebook infringiu os requisitos de transparência do GDPR – especificamente: Artigos 5 (1) (a), 12 (1) e 13 (1) (c) – o que significa que os usuários provavelmente não teriam entendido que estavam se inscrevendo em um contrato de anúncio do Facebook quando eles clicaram em ‘Concordo’ nos T & Cs do Facebook.
Portanto, a verdade é que o marketing voltado para o público do Facebook – que afirma que seu serviço “ajuda você a se conectar e compartilhar com as pessoas em sua vida” – parece não ter alguns detalhes essenciais sobre o contrato de publicidade. na realidade pedindo para você entrar, ou algo assim …
Insira seu próprio emoji facepalm aqui.
Cuidado com a lacuna de fiscalização
O GDPR entrou em vigor em toda a UE em maio de 2018 – aparentemente para cimentar e fortalecer as regras de privacidade de longa data na região, que historicamente sofria de falta de cumprimento, adicionando novas disposições, como multas excessivas (de até 4% de volume de negócios global).
No entanto, as regras de privacidade da UE também sofreram com a falta de aplicação universalmente vigorosa Desde a a atualização do GDPR. E as penalidades que foram emitidas – incluindo um punhado contra as grandes tecnologias – foram muito mais baixas do que o máximo teórico. Nem a aplicação da lei levou a uma reorganização óbvia de modelos de negócios hostis à privacidade – ainda.
Portanto, a reinicialização não ocorreu exatamente como os defensores da privacidade esperavam.
Os gigantes da Adtech, em especial, conseguiram evitar um acerto de contas sério na Europa sobre seus modelos de negócios baseados em vigilância, apesar da existência do GDPR – por meio do uso de fóruns de compras e táticas de atraso cínicas.
Portanto, embora não faltem reclamações GDPR contra a adtech, as reclamações sobre a falta de fiscalização regulatória nessa área também se acumulam.
E agora os reclamantes também estão recorrendo a ações judiciais.
A questão é que, de acordo com o mecanismo de balcão único do GDPR, as queixas e investigações transfronteiriças, como as direcionadas às principais plataformas de tecnologia, são conduzidas por uma única agência – normalmente onde a empresa em questão tem sua base jurídica na UE.
E no caso do Facebook (e de muitos outros gigantes da tecnologia) é a Irlanda.
A autoridade irlandesa há muito tempo é acusada de ser um gargalo para a aplicação efetiva do GDPR, com os críticos apontando para um ritmo glacial de aplicação, dezenas de queixas simplesmente caíram sem qualquer atividade perceptível e – nos casos em que as queixas não são totalmente ignoradas – decisões desanimadoras eventualmente surgindo do outro lado.
Uma dessas séries de reclamações GDPR relacionadas à adtech foi apresentada pela noyb imediatamente quando o regulamento entrou em vigor há três anos – visando uma série de gigantes da adtech (incluindo Facebook) sobre o que noyb chamou de “consentimento forçado”. E essas reclamações, claro, acabaram na mesa do DPC.
noyb’s reclamação contra o Facebook argumenta que o gigante da tecnologia não coleta consentimento legalmente porque não oferece aos usuários a liberdade de escolha para consentir que seus dados sejam processados para publicidade.
Isso ocorre porque, de acordo com a legislação da UE, o consentimento deve ser dado livremente, específico (ou seja, não agrupado) e informado para ser válido. Portanto, o conteúdo da reclamação não é exatamente tão complicado quanto a ciência do foguete.
No entanto, uma decisão sobre a reclamação de noyb levou anos para emergir da mesa do DPC – e mesmo agora, em forma de rascunho diluído, parece totalmente nada assombroso.
Por noyb, o DPC irlandês decidiu aceitar o que o grupo de campanha chama de “truque” do Facebook para contornar o GDPR – no qual a empresa afirma que mudou de depender do consentimento dos usuários como base legal para processar dados de pessoas para segmentação de anúncios para alegando que os usuários estão, na verdade, em um contrato com ele para que os anúncios sejam injetados em seus olhos no exato momento em que o GDPR entrou em vigor.
“É dolorosamente óbvio que o Facebook simplesmente tenta contornar as regras claras do GDPR, renomeando o acordo sobre o uso de dados como um ‘contrato’”, disse o fundador e presidente da noyb, Max Schrems, em um comunicado que avisa que foram um chiado tão básico que fosse tolerado minaria todo o regulamento. Fale sobre um plano astuto!
“Se isso fosse aceito, qualquer empresa poderia simplesmente escrever o processamento de dados em um contrato e, assim, legitimar qualquer uso de dados do cliente sem consentimento. Isso é absolutamente contra as intenções do GDPR, que proíbe explicitamente ocultar acordos de consentimento em termos e condições. ”
“Não é inovador nem inteligente afirmar que um acordo é algo que não é para contornar a lei”, acrescenta. “Desde os tempos romanos, os tribunais não aceitaram essa ‘reetiquetagem’ de acordos. Você não pode contornar as leis de drogas simplesmente escrevendo ‘pó branco’ em uma conta, quando você claramente vende cocaína. Apenas o DPC irlandês parece cair nesse truque. ”
A Irlanda emitiu apenas duas decisões GDPR em queixas contra grandes tecnologias até agora: No ano passado, em um caso contra uma violação de segurança do Twitter (multa de US $ 550.000); e no início deste ano em uma investigação sobre a transparência dos T & Cs do WhatsApp (propriedade do Facebook) (multa de US $ 267 milhões).
De acordo com o GDPR, uma decisão sobre esse tipo de reclamação internacional do GDPR deve passar por um processo de revisão coletiva – onde outros DPAs têm a chance de se opor. É um obstáculo para uma agência ficar muito confortável com os negócios e deixar de fazer cumprir a lei.
E em ambos os casos mencionados foram levantadas objeções às minutas da DPC que acabaram aumentando as penalidades.
Portanto, é altamente provável que a decisão da Irlanda no Facebook enfrente muitas objeções que terminam em uma penalidade mais dura para o Facebook.
noyb também aponta para diretrizes divulgado pelo European Data Protection Board (EDPB) – que afirma deixar claro que contornar o GDPR não é legal e deve ser tratado como consentimento. Mas cita o DPC irlandês dizendo que “simplesmente não está persuadido” pela opinião dos seus colegas europeus e sugere que o EDPB terá, portanto, de intervir mais uma vez.
“Nossa esperança está com as outras autoridades europeias. Se não tomarem providências, as empresas podem simplesmente transformar o consentimento em termos e, assim, contornar o GDPR para sempre ”, afirma Schrems.
noyb tem muito mais farpas para o DPC – acusando a autoridade irlandesa de realizar “reuniões secretas” com o Facebook em seu “desvio de consentimento” (não pela primeira vez); e de reter documentos solicitados – passando a denunciar o regulador como agindo como um “consultor de ‘big tech’” (não, sabe, um agente da lei).
“Temos casos perante muitas autoridades, mas o DPC não está conduzindo nem remotamente um procedimento justo”, acrescenta Schrems. “Documentos são retidos, audiências são negadas e argumentos apresentados e os fatos simplesmente não estão refletidos na decisão. o [Facebook] a decisão em si é demorada, mas a maioria das seções apenas termina com uma ‘visão’ do DPC, não uma avaliação objetiva da lei. ”
Entramos em contato com o DPC para comentar as afirmações de noyb – mas um porta-voz recusou, citando um “processo em andamento”.
Uma coisa está fora de dúvida neste momento, após três anos da reinicialização da proteção de dados carro-chefe da Europa: Haverá ainda mais atraso em qualquer aplicação do GDPR contra o Facebook.
O mecanismo de balcão único do GDPR – de revisão mais a chance de outros DPAs apresentarem objeções – já acrescentou vários meses às duas decisões anteriores de ‘grande tecnologia’ do DPC. Portanto, o DPC emitindo outro esboço de decisão fraco sobre uma investigação em andamento parece que está se tornando uma alavanca de procedimento padrão para desacelerar o ritmo de aplicação do GDPR em toda a UE.
Isso só aumentará a pressão para que os legisladores da UE cheguem a um acordo sobre estruturas alternativas de fiscalização para o crescente conjunto de regulamentações digitais do bloco.
Enquanto isso, enquanto as DPAs lutam para tentar acertar o Facebook com uma penalidade que Mark Zuckerberg não pode simplesmente rir, o Facebook continua seu lucrativo negócio de mineração de dados como de costume – enquanto os cidadãos da UE ficam perguntando onde estão meus direitos?
