El principal regulador de protección de datos de Facebook en la Unión Europea está listo para tomar su primera decisión sobre una demanda contra el propio Facebook. Y parece que es una maravilla.

La campaña de privacidad sin fines de lucro Noyb publicó hoy un proyecto de decisión de la Comisión de Protección de Datos de Irlanda (DPC) sobre una queja presentada bajo el Reglamento General de Protección de Datos (GDPR) de la UE.

El borrador del fallo de DPC propone imponer una multa de 36 millones de dólares a Facebook, una multa financiera que le llevaría al gigante de la tecnología publicitaria poco más de dos horas y media generar ingresos, en función de sus ingresos del segundo trimestre (29.000 millones de dólares).

Sí, también nos gustó …

Pero aún más preocupante para los defensores de la privacidad es el aparente deseo del DPC de permitir que Facebook simplemente eluda las regulaciones al afirmar que los usuarios le dan sus datos porque tienen un contrato con él para obtener, eh, publicidad dirigida …

En un resumen de sus hallazgos, el DPC escribe: “Facebook no tiene la obligación de buscar basarse únicamente en el consentimiento con el fin de legitimar el procesamiento de datos personales cuando ofrece un contrato a un usuario que ciertos usuarios podrían considerarlo como un contrato. que se refiere principalmente al procesamiento de datos personales. Facebook tampoco ha afirmado depender del consentimiento en virtud del RGPD.

“Creo que el caso del demandante no se ha establecido que el GDPR no permite que Facebook se base en 6 (1) (b) GDPR en el contexto de su oferta de términos de uso”, también escribe el DPC, sugiriendo que es totalmente auténtico para que Facebook reclame el derecho legal de procesar la información de las personas para la orientación de anuncios, ya que ahora sugiere que los usuarios de hecho han firmado un contrato con él para mostrarles anuncios.

Sin embargo, simultáneamente, el proyecto de decisión de la DPC Acaso descubra que Facebook ha violado los requisitos de transparencia del GDPR, en particular: los artículos 5 (1) (a), 12 (1) y 13 (1) (c), lo que significa que es poco probable que los usuarios comprendan que estaban firmando un Contrato de publicidad de Facebook cuando hicieron clic en “Acepto” en los términos y condiciones de Facebook.

Entonces el tl; dr aquí es que el marketing público de Facebook, que afirma que su servicio “lo ayuda a conectarse y compartir con las personas en su vida”, parece faltar algunos detalles críticos sobre el contrato publicitario. Realmente pidiéndote que entres, o algo …

Inserta aquí tu propio emoji facepalm.

Preste atención a la brecha de la aplicación

GDPR entró en vigor en toda la UE en mayo de 2018, aparentemente para cimentar y fortalecer las reglas de privacidad de larga data en la región que históricamente sufrió la falta de aplicación, agregando nuevas disposiciones como multas sobredimensionadas (hasta el 4% de la facturación mundial).

LEER  La próxima misión de Edtech: ir a todas partes - TechCrunch

Sin embargo, las normas de privacidad de la UE también se han visto afectadas por la falta de una aplicación rigurosa universal. ya que Actualización del RGPD. Y las sanciones que se han impuesto, incluido un puñado contra la gran tecnología, han estado muy por debajo de ese máximo teórico. La aplicación de la ley tampoco ha llevado a una modificación obvia de los modelos comerciales contra la privacidad, todavía.

Entonces, el reinicio no fue exactamente como esperaban los defensores de la privacidad.

A pesar de la existencia del GDPR, los gigantes de la tecnología publicitaria han logrado evitar una conciencia seria en Europa sobre sus modelos comerciales basados ​​en la vigilancia, mediante el uso de foros de compras y tácticas cínicas de demora.

Entonces, si bien no hay escasez de quejas de GDPR presentadas contra adtech, las quejas sobre la falta de aplicación en esta área también se están acumulando.

Y los demandantes ahora también están recurriendo a procedimientos legales.

El problema es que, según el mecanismo de ventanilla única del RGPD, las quejas y las investigaciones transfronterizas, como las dirigidas a las principales plataformas tecnológicas, están dirigidas por una sola agencia, generalmente cuando la empresa en cuestión tiene su base legal en la UE. .

Y en el caso de Facebook (y muchos otros gigantes tecnológicos), es Irlanda.

La autoridad irlandesa ha sido acusada durante mucho tiempo de ser un cuello de botella para la aplicación efectiva del GDPR, y los críticos apuntan a un ritmo helado de aplicación, docenas de quejas simplemente se retiraron sin ninguna actividad notable y, en los casos en que las quejas no se ignoran por completo. – Decisiones decepcionantes que terminan saliendo del otro lado.

Una de esas rondas de quejas de GDPR relacionadas con la tecnología publicitaria fue presentada por Noyb inmediatamente después de que la regulación entró en vigencia hace tres años, dirigida a varios gigantes de la tecnología publicitaria (incluido Facebook) en lo que Noyb llamó “consentimiento forzado”. Y, por supuesto, estas quejas terminaron en el escritorio de la DPC.

La queja de Noyb contra Facebook argumenta que el gigante tecnológico no recopila legalmente el consentimiento porque no da a los usuarios la libre elección de dar su consentimiento para el procesamiento de sus datos con fines publicitarios.

De hecho, según la legislación de la UE, el consentimiento debe darse libremente, ser específico (es decir, no agrupado) e informado para que sea válido. Entonces, el fondo de la queja no es exactamente tan complicado como la ciencia espacial.

LEER  La startup Insurtech expuso miles de aplicaciones de seguros sensibles - TechCrunch

Aún así, una decisión sobre la queja de Noyb tardó años en salir de la oficina del DPC, e incluso ahora, en forma de borrador diluido, parece completamente decepcionante.

Por Noyb, el DPC irlandés ha decidido aceptar lo que el grupo de campaña llama el ‘truco’ de Facebook para eludir el GDPR, en el que la compañía afirma que ha dejado de depender del consentimiento del usuario como base legal para procesar los datos de las personas para la orientación de anuncios para afirmar que de hecho, los usuarios tienen un contrato con ellos para que les inyecten anuncios en los ojos al mismo tiempo que entró en vigor el RGPD.

“Es dolorosamente obvio que Facebook simplemente está tratando de eludir las reglas claras del GDPR al volver a calificar el acuerdo sobre el uso de datos ‘contractuales'”, dijo el fundador y presidente de Noyb, Max Schrems, en un comunicado que se pone en guardia contra las sibilancias tan básicas como socavaría todo el asentamiento. ¡Habla de un plan inteligente!

“Si esto fuera aceptado, cualquier empresa podría simplemente consagrar el procesamiento de datos en un contrato y así legitimar cualquier uso de los datos de los clientes sin su consentimiento. Esto es absolutamente contrario a las intenciones del GDPR, que prohíbe explícitamente enmascarar los acuerdos de consentimiento en términos y condiciones. “

“No es innovador ni inteligente afirmar que un acuerdo es algo que no se trata de infringir la ley”, agrega. “Desde la época romana, los tribunales no han aceptado tal ‘reetiquetado’ de acuerdos. No se puede eludir las leyes sobre drogas simplemente escribiendo “polvo blanco” en una factura cuando claramente está vendiendo cocaína. Solo el DPC irlandés parece caer en este truco.

Irlanda ha emitido hasta ahora solo dos decisiones de GDPR en quejas de grandes tecnologías: el año pasado en un caso de violación de seguridad de Twitter (multa de $ 550,000); ya principios de este año en una investigación sobre la transparencia de los términos y condiciones (propiedad de Facebook) WhatsApp (multa de 267 millones de dólares).

Según el GDPR, una decisión sobre este tipo de quejas transfronterizas de GDPR debe pasar por un proceso de revisión colectiva, al que otras DPA tienen la oportunidad de oponerse. Es un cheque y un cheque para una agencia que se siente demasiado cómoda con los negocios y no hace cumplir la ley.

Y en los dos casos mencionados, se plantearon objeciones a los planes de CPD que terminaron aumentando las penas.

Por lo tanto, es muy probable que la decisión de Irlanda sobre Facebook se encuentre con numerosas objeciones que darán lugar a una sanción más severa para Facebook.

LEER  Twitter despliega imágenes más grandes y control de recorte en iOS y Android - TechCrunch

Noyb también destaca las pautas emitidas por la Junta Europea de Protección de Datos (EDPB), que dice que deja en claro que la elusión del GDPR no es legal y debe tratarse como consentimiento. Pero cita al DPC irlandés diciendo que “simplemente no está convencido” desde el punto de vista de sus colegas europeos, y sugiere que, por lo tanto, la EDPB tendrá que intervenir de nuevo.

“Nuestra esperanza descansa en las demás autoridades europeas. Si no toman medidas, las empresas pueden simplemente convertir el consentimiento en términos y así evitar el RGPD para siempre ”, dice Schrems.

Noyb tiene muchas más barbas para el DPC, acusando a la autoridad irlandesa de haber mantenido “reuniones secretas” con Facebook por su “elusión de consentimiento” (no es la primera vez); y retener los documentos que solicitó, continuando denunciando al regulador por actuar como un “gran asesor tecnológico” (no, ya sabes, un funcionario encargado de hacer cumplir la ley).

“Tenemos casos ante muchas autoridades, pero la DPC ni siquiera gestiona un procedimiento justo de forma remota”, añade Schrems. “Se retienen documentos, se niegan las audiencias y se presentan argumentos y los hechos simplemente no se reflejan en la decisión. los [Facebook] la decisión en sí es larga, pero la mayoría de las secciones simplemente terminan con una “visión” de la DPC, no una evaluación objetiva de la ley. “

Nos comunicamos con el DPC para comentar sobre las afirmaciones de Noyb, pero un portavoz se negó, citando un “proceso en curso”.

Una cosa es indudable en este momento, más de tres años después del reinicio insignia de la protección de datos en Europa: habrá aún más retraso en cualquier aplicación GDPR contra Facebook.

El mecanismo de ventanilla única del RGPD (revisión más la capacidad de otras DPA para presentar objeciones) ya ha agregado varios meses a las dos decisiones anteriores de “gran tecnología” de la DPC. Por lo tanto, la DPC que emite otro borrador de fallo débil sobre una investigación tardía parece estar convirtiéndose en una palanca de procedimiento estándar para ralentizar el ritmo de la aplicación del RGPD en la UE.

Esto solo aumentará la presión sobre los legisladores de la UE para acordar estructuras de aplicación alternativas para el creciente conjunto de regulaciones digitales del bloque.

Mientras tanto, mientras los APD luchan por intentar golpear a Facebook con una sanción, Mark Zuckerberg no puede simplemente reírse, Facebook puede continuar con su lucrativo negocio de minería de datos como de costumbre, mientras los ciudadanos de la UE se preguntan ¿dónde están mis derechos?

¡Haz clic para puntuar esta entrada!
(Votos: Promedio: )