Il principale regolatore della protezione dei dati di Facebook nell’Unione europea si sta avvicinando a prendere la sua prima decisione su un reclamo contro Facebook stesso. E sembra che sia una sciocchezza.

Campagna sulla privacy senza scopo di lucro noyb ha pubblicato oggi un progetto di decisione della Commissione irlandese per la protezione dei dati (DPC) su un reclamo presentato ai sensi del regolamento generale sulla protezione dei dati (GDPR) dell’UE.

La bozza di decisione della DPC propone di multare Facebook per 36 milioni di dollari – una sanzione finanziaria che richiederebbe al gigante dell’adtech poco più di due ore e mezza di guadagno, in base ai suoi guadagni del secondo trimestre (di 29BN dollari).

Sì, anche noi abbiamo fatto lol…

Ma ancora più preoccupante per i sostenitori della privacy è l’apparente volontà del DPC di consentire a Facebook di aggirare semplicemente il regolamento sostenendo che gli utenti gli stanno dando i loro dati perché sono in un contratto con lui per ottenere, ehm, annunci mirati…

In una sintesi delle sue conclusioni, il DPC scrive: “Non c’è alcun obbligo per Facebook di cercare di fare affidamento solo sul consenso al fine di legittimare il trattamento dei dati personali quando offre un contratto a un utente che alcuni utenti potrebbero valutare come uno che riguarda principalmente il trattamento dei dati personali. Né Facebook ha preteso di fare affidamento sul consenso ai sensi del GDPR”.

“Trovo che il caso del denunciante non è fatto che il GDPR non consente l’affidamento da parte di Facebook sul 6(1)(b) GDPR nel contesto della sua offerta di Termini di servizio”, il DPC scrive anche, suggerendo che è totalmente in buona fede per Facebook di rivendicare un diritto legale di elaborare le informazioni delle persone per il targeting degli annunci, perché ora sta suggerendo che gli utenti hanno effettivamente firmato un contratto con lui per fornire loro annunci.

Eppure – contemporaneamente – il progetto di decisione del DPC fa trova che Facebook ha violato i requisiti di trasparenza del GDPR – in particolare: Articoli 5(1)(a), 12(1) e 13(1)(c) – nel senso che è improbabile che gli utenti abbiano capito che stavano firmando per un contratto pubblicitario di Facebook quando hanno cliccato “Accetto” sulle T&C di Facebook.

Quindi il tl;dr qui è che il marketing di Facebook rivolto al pubblico – che sostiene che il suo servizio “ti aiuta a connetterti e a condividere con le persone della tua vita” – sembra mancare alcuni dettagli critici sul contratto pubblicitario che è effettivamente chiedendoti di entrare, o qualcosa del genere…

Inserisci il tuo facepalm emoji proprio qui.

Attenzione al divario di applicazione

Il GDPR è entrato in applicazione in tutta l’UE nel maggio 2018 – apparentemente per cementare e rafforzare le norme sulla privacy di lunga data nella regione che avevano storicamente sofferto di una mancanza di applicazione, aggiungendo nuove disposizioni come le multe sovradimensionate (fino al 4% del fatturato globale).

Tuttavia le norme sulla privacy dell’UE hanno anche sofferto di una mancanza di applicazione universalmente vigorosa da l’aggiornamento del GDPR. E quelle sanzioni che sono state emesse – tra cui una manciata contro le grandi tecnologie – sono state molto più basse di quel massimo teorico. Né l’applicazione ha portato a un ovvio ritocco dei modelli di business ostili alla privacy – ancora.

Quindi il riavvio non è andato esattamente come i sostenitori della privacy speravano.

Soprattutto i giganti Adtech sono riusciti ad evitare una seria resa dei conti in Europa sui loro modelli di business basati sulla sorveglianza, nonostante l’esistenza del GDPR – attraverso l’uso di forum shopping e ciniche tattiche di ritardo.

Così, mentre non c’è carenza di reclami GDPR presentati contro l’adtech, i reclami per la mancanza di applicazione della normativa in questo settore si stanno ugualmente accumulando.

E i denuncianti stanno ora ricorrendo anche all’azione legale.

Il problema è che, secondo il meccanismo dello sportello unico del GDPR, i reclami e le indagini transfrontaliere, come quelli rivolti alle principali piattaforme tecnologiche, sono guidati da un’unica agenzia – in genere dove l’azienda in questione ha la sua base legale nell’UE.

E nel caso di Facebook (e di molti altri giganti tecnologici) questa è l’Irlanda.

L’autorità irlandese è stata a lungo accusata di essere un collo di bottiglia per l’effettiva applicazione del GDPR, con i critici che indicano un ritmo glaciale di applicazione, decine di reclami semplicemente abbandonati senza alcuna attività discernibile e – nei casi in cui i reclami non sono totalmente ignorati – decisioni insoddisfacenti che alla fine spuntano dall’altra parte.

Una di queste serie di reclami GDPR legati all’adtech è stata presentata da noyb immediatamente dopo l’entrata in vigore del regolamento tre anni fa – prendendo di mira una serie di giganti dell’adtech (tra cui Facebook) per quello che noyb ha chiamato “consenso forzato”. E queste denunce, ovviamente, sono finite sulla scrivania del DPC.

noyb’s denuncia contro Facebook sostiene che il gigante tecnologico non raccoglie il consenso legalmente perché non offre agli utenti la libera scelta di acconsentire al trattamento dei loro dati per la pubblicità.

Questo perché secondo la legge europea il consenso deve essere dato liberamente, specifico (cioè non in blocco) e informato per essere valido. Quindi la sostanza della denuncia non è esattamente complicata come la scienza missilistica.

Eppure una decisione sul reclamo di Noyb ha impiegato anni per emergere dalla scrivania del DPC – e anche ora, in forma di bozza diluita, sembra del tutto insoddisfacente.

Per noyb, il DPC irlandese ha deciso di accettare quello che il gruppo della campagna chiama il “trucco” di Facebook per aggirare il GDPR – in cui la società sostiene di essere passata dal fare affidamento sul consenso degli utenti come base giuridica per l’elaborazione dei dati delle persone per il targeting degli annunci a sostenere che gli utenti sono in realtà in un contratto con essa per ottenere annunci iniettati nei loro occhi nel momento stesso in cui il GDPR è entrato in vigore.

“È dolorosamente ovvio che Facebook cerca semplicemente di aggirare le chiare regole del GDPR rietichettando l’accordo sull’uso dei dati come un ‘contratto'”, ha detto il fondatore e presidente di noyb, Max Schrems, in una dichiarazione che continua ad avvertire che se si permettesse a un simile espediente di stare in piedi, minerebbe l’intero regolamento. Parliamo di un piano astuto!

“Se questo fosse accettato, qualsiasi azienda potrebbe semplicemente scrivere il trattamento dei dati in un contratto e quindi legittimare qualsiasi uso dei dati dei clienti senza consenso. Questo è assolutamente contro le intenzioni del GDPR, che vieta esplicitamente di nascondere gli accordi di consenso in termini e condizioni.”

“Non è né innovativo né intelligente sostenere che un accordo è qualcosa che non è per aggirare la legge”, aggiunge. “Fin dai tempi dei romani, i tribunali non hanno accettato tale ‘rietichettatura’ degli accordi. Non si possono aggirare le leggi sulla droga semplicemente scrivendo ‘polvere bianca’ su una fattura, quando si vende chiaramente cocaina”. Solo il DPC irlandese sembra cadere in questo trucco”.

L’Irlanda ha emesso solo due decisioni GDPR in reclami contro le big tech finora: L’anno scorso in un caso contro una violazione della sicurezza di Twitter (multa di $550k); e all’inizio di quest’anno in un’indagine sulla trasparenza delle T&C di WhatsApp (di proprietà di Facebook) (multa di $267M).

Secondo il GDPR, una decisione su questo tipo di reclami transfrontalieri GDPR deve passare attraverso un processo di revisione collettiva – dove le altre DPA hanno la possibilità di opporsi. È un controllo e un bilanciamento su un’agenzia che diventa troppo intima con il business e non riesce a far rispettare la legge.

E in entrambi i casi citati sono state sollevate obiezioni sulle bozze del DPC che hanno finito per aumentare le sanzioni.

Quindi è molto probabile che la decisione irlandese su Facebook affronterà un sacco di obiezioni che finiranno in una pena più dura per Facebook.

noyb segnala anche linee guida pubblicate dall’European Data Protection Board (EDPB) – che dice di chiarire che bypassare il GDPR non è legale e deve essere trattato come consenso. Ma cita il DPC irlandese che dice di “non essere semplicemente persuaso” dalla visione dei suoi colleghi europei, e suggerisce che l’EDPB dovrà quindi intervenire ancora una volta.

“La nostra speranza è nelle altre autorità europee. Se non agiscono, le aziende possono semplicemente spostare il consenso nei termini e quindi bypassare il GDPR per sempre”, dice Schrems.

noyb ha molte altre frecciate per il DPC – accusando l’autorità irlandese di tenere “riunioni segrete” con Facebook sul suo “bypass del consenso” (non per la prima volta); e di trattenere i documenti che ha richiesto – continuando a denunciare il regolatore come se agisse come un “consulente ‘big tech'” (non, sapete, un esecutore della legge).

“Abbiamo casi davanti a molte autorità, ma il DPC non sta nemmeno lontanamente gestendo una procedura equa”, aggiunge Schrems. “I documenti sono trattenuti, le udienze sono negate e gli argomenti e i fatti presentati non si riflettono semplicemente nella decisione. Il [Facebook] La decisione stessa è lunga, ma la maggior parte delle sezioni finisce solo con un ‘parere’ del DPC, non con una valutazione obiettiva della legge”.

Abbiamo raggiunto il DPC per un commento sulle affermazioni di noyb – ma un portavoce ha rifiutato, citando un “processo in corso”.

Una cosa è senza dubbio a questo punto, dopo più di tre anni di riavvio della protezione dei dati in Europa: Ci sarà ancora più ritardo in qualsiasi applicazione del GDPR contro Facebook.

Il meccanismo one-stop-shop del GDPR – di revisione più la possibilità per le altre DPA di presentare obiezioni – ha già aggiunto diversi mesi alle due precedenti decisioni “big tech” del DPC. Quindi il DPC che emette un altro debole progetto di decisione su un’indagine in ritardo sembra che stia diventando una leva procedurale standard per decelerare il ritmo dell’applicazione del GDPR in tutta l’UE.

Questo aumenterà solo la pressione per i legislatori dell’UE per concordare strutture di applicazione alternative per la crescente suite di regolamenti digitali del blocco.

Nel frattempo, mentre le autorità di protezione dei dati combattono per cercare di colpire Facebook con una sanzione che Mark Zuckerberg non può semplicemente ridere, Facebook può continuare la sua lucrosa attività di estrazione dei dati come al solito – mentre i cittadini dell’UE si chiedono dove sono i miei diritti?

Source link