Carta abierta sobre tratos "confidenciales" en el caso de Facebook

May 24, 2020

A pocas horas de que el nuevo PIBR sea aplicable el 25 de mayo de 2018, la organización europea sin fines de lucro noyb.eu presentó tres quejas contra el Grupo de Facebook (incluyendo WhatsApp e Instagram). Desde entonces, el Comisión Irlandesa de Protección de Datos (DPC) ha declarado "confidencial" el contenido del extremadamente lento procedimiento y ha pedido a noyb.eu que no lo haga público.

A pesar de esta supuesta confidencialidad, noyb.eu publica un Carta abierta (PDF) hoy que expone cómo el GDPR ha (no) sido aplicado dos años después de que se haya puesto en práctica. Incluso bajo el procedimiento kafkiano descrito en la carta y a continuación, el Grupo de Facebook podría tener que enfrentarse a una multa de hasta 2,5 mil millones de euros en el futuro, si el DPC sigue el informe de su investigador interno.

Reuniones secretas sobre "bypass de consentimiento" entre la DPC y Facebook. La carta abierta expone por primera vez que la DPC irlandesa y el Grupo de Facebook (incluyendo WhatsApp e Instagram) tuvieron diez reuniones secretas antes de que el GDPR se aplicara en 2018. En estas reuniones, Facebook afirma haber tenido "un compromiso directo detallado con la Comisión antes de la implementación" de una aparente "desviación de consentimiento" (detalles abajo) para eludir las estrictas reglas de consentimiento de la GDPR. A pesar de que Facebook se basó en estas reuniones en sus presentaciones y destacó que los documentos estaban "sujetos a consideración" por la DPC, la autoridad se niega a acceder a cualquier registro de estas reuniones secretas, incluyendo un Libro Blanco presentado por Facebook. Max Schrems, presidente de noyb.eu: "Se parece mucho a esas 'decisiones fiscales' secretas donde las autoridades fiscales acuerdan en secreto con las grandes compañías de tecnología cómo evitar las leyes fiscales - sólo que ahora también lo hacen con el GDPR"

El "bypass de consentimiento" ilegal de Facebook. En los procedimientos que se iniciaron a raíz de tres denuncias presentadas por noyb.eu hace dos años (dentro de las primeras horas de la entrada en vigor de la RPI), el Grupo de Facebook reconoce abiertamente que simplemente pasó de un "consentimiento" altamente regulado a un supuesto "contrato de uso de datos". Este contrato supuestamente obliga a Facebook a rastrear, seleccionar y realizar investigaciones sobre sus usuarios. Según Facebook, este cambio se produjo al filo de la medianoche, cuando la GDPR pasó a ser aplicable. Este replanteamiento (mutuo) de un acuerdo (en este caso de consentimiento a contrato) para eludir la ley se llama simulatio y no es válido. Max Schrems: "No es más que lápiz de labios en un cerdo. Desde la época romana, la ley prohíbe 'renombrar' algo sólo para eludir la ley. Lo que Facebook trató de hacer no es inteligente, sino risible. Lo único que es realmente preocupante es que el DPC irlandés aparentemente se involucró con Facebook cuando estaban diseñando esta estafa y ahora se supone que debe revisarla independientemente"

En un estudio realizado por el Instituto Gallup sobre la "derivación del consentimiento", el 64% de 1.000 usuarios creen que dieron su consentimiento, a pesar de las afirmaciones de Facebook en sentido contrario. Dependiendo de la pregunta, sólo el 1,6-2,5% pensó que realmente entraron en un "contrato de uso de datos" que incluye el deber de Facebook de usar sus datos para publicidad o investigación. El resto pensó que es mera información, un contrato sin tales deberes o no pudo ver ningún significado en la página. Max Schrems: "Básicamente ninguno de los 1.000 usuarios que hemos preguntado piensa que han firmado tal supuesto 'contrato de uso de datos' con Facebook"

El DPC limita el análisis legal del "contrato de uso de datos" al Diccionario de Inglés de Oxford. Una de las razones por las que el DPC no pudo encontrar ningún problema con el supuesto "contrato de uso de datos" en el que se basa Facebook es que el DPC simplemente decidió que el análisis de dicho contrato está fuera de sus competencias ("ultra vires"). En lugar de analizar el contrato con arreglo a la legislación aplicable, el CPD citó literalmente la definición de "contrato" del Oxford English Dictionary en sus informes. Schrems: "En la escuela de derecho, se aprende a leer libros de derecho para cuestiones legales, no un diccionario. Parece que esta fue una técnica ganadora durante siglos. Es obvio que el DPC está tratando de no revisar el supuesto "contrato de uso de datos" de Facebook.

DPC celebra haber terminado 1 de 6 pasos en dos años. En una declaración pública a finales del viernes pasado, el DPC sorprendentemente nombró los tres procedimientos desencadenados por noyb.eu como ejemplos de gran progreso en el trabajo del DPC. Esto a pesar de que el DPC tardó dos años en completar 1 de cada 6 pasos de su procedimiento en WhatsApp e Instagram, y 2 de cada 6 pasos en Facebook (ver tabla general). Dado que el DPC reportó 7.125 quejas sólo en 2019 y cero multas de GDPR contra cualquier actor privado, esto difícilmente es un logro. Max Schrems: "Es una bofetada en la cara de unos 10.000 demandantes si el DPC destaca el primero de los seis pasos en dos casos después de dos años como un logro"

Incluso plagiar el propio informe tomó 10 meses. El orgullo que tuvo el DPC al entregar dos borradores de informes (paso 1 de 6) sobre WhatsApp e Instagram la semana pasada pareció aún más grotesco cuando noyb.eu se dio cuenta de que estos informes se superponen en un 76 a 82% con el informe de Facebook de 2019 (captura de pantalla).

Max Schrems: "Pasamos los borradores de los informes sobre Instagram y WhatsApp que el DPC destacó con orgullo la semana pasada por un software para identificar el plagio y nos reímos mucho: 76% y 82%, respectivamente, fueron idénticos a un borrador de informe del año pasado en Facebook. Parece que incluso copiar y pegar ampliamente un borrador de informe les tomó más de 10 meses"

El informe de la DPC ve una violación de las normas de transparencia de la GDPR. La multa podría llegar a miles de millones. A pesar de que el DPC se resistió a revisar la legalidad del "bypass de consentimiento" de Facebook, un informe de investigación interna, sin embargo, encuentra una violación de los requisitos de transparencia del GDRP en el Artículo 5 de la GDPR al no informar adecuadamente a los usuarios de Facebook, WhatsApp e Instagram sobre la base legal para utilizar sus datos. Si el DPC se aferra en última instancia a esta opinión, tendría que emitir una multa "efectiva, proporcionada y disuasoria" de hasta el 4% de los ingresos anuales de Facebook (hasta 2.500 millones de euros o 2.830 millones de dólares).

Max Schrems: "Básicamente, la investigación de la DPC tomó la posición de que Facebook puede joder a los usuarios siempre y cuando sean más transparentes al respecto. Sin embargo, esto significaría que Facebook, Instagram y WhatsApp han procesado los datos de todos los usuarios europeos en violación de la GDPR. Incluso si el DPC sólo se aferra a esta opinión, la multa podría ascender a 2,5 mil millones de euros.

La Comisión Europea y las APD deben tomar medidas. En la Carta Abierta, noyb.eu también pide a la Comisión Europea que tome medidas contra Irlanda. Con cerca de 10.000 quejas en dos años y ninguna multa en absoluto contra los actores privados, es evidente que Irlanda no aplica efectivamente la legislación de la UE

La carta abierta también pide a otras autoridades europeas de protección de datos que tomen medidas cuando los colegas se nieguen a hacer su trabajo. Aunque lamentablemente la RPI carece a menudo de plazos claros, permite que las DPA soliciten a sus colegas que tomen ciertas medidas o que inicien un "procedimiento de urgencia" si otra DPA está inactiva. Schrems: "Muchos DPA se frustran con situaciones como la de Irlanda, pero sólo llamarlos no es suficiente. También tienen que utilizar las herramientas que prevé el GDPR. Por ejemplo, hemos hecho tales aplicaciones con la DPA austriaca ahora"

Para contribuir a este esfuerzo, noyb.eu ha enviado todos los documentos relevantes sobre los procedimientos pendientes a las demás APD europeas, a pesar de que el CPD irlandés ha insistido explícitamente en que noyb.eu no puede proporcionar estos documentos a sus colegas.

Antecedentes de noyb.eu. noyb.eu es una organización europea sin fines de lucro de protección de datos que trata de garantizar la aplicación de la RPI. noyb.eu está financiado por más de 3.200 miembros de apoyo. El equipo de noyb.eu, formado por 15 personas, incluye abogados y expertos en tecnología de la GDPR de diferentes estados miembros de la UE. Hasta ahora, noyb.eu ha presentado más de 20 denuncias de la GDPR sobre diferentes asuntos y contra empresas como Amazon, Apple, Google, Facebook, DAZN, SoundCloud y Netflix.