El CPD irlandés da luz verde al "bypass del GDPR" de Facebook. Schrems: "La decisión socava un elemento clave del GDPR"
La Comisión de Protección de Datos de Irlanda (DPC) ha enviado un "proyecto de decisión" (PDF) a las demás autoridades europeas de protección de datos sobre el truco legal de Facebook para eludir el RGPD. noyb ha publicado hoy los documentos correspondientes
En opinión de la DPC, Facebook puede optar simplemente por incluir el acuerdo sobre el tratamiento de datos en un "contrato", lo que haría que los requisitos del GDPR para el "consentimiento" ya no fueran aplicables. Sin embargo, la autoridad sugiere una sanción de 28 a 36 millones de euros, ya que Facebook debería haber sido más transparente en esta derivación.
- denuncia denoyb del 25 de mayo de 2018 (PDF)
- alegaciones denoyb del 9 de septiembre de 2019 (PDF)
- alegaciones denoyb del 11 de junio de 2020 (PDF)
- Proyecto de decisión del CPD irlandés (PDF)
- Anexo al proyecto de decisión (PDF)
¿Acordar el uso de los datos no es "consentimiento"? El argumento jurídico de Facebook es bastante sencillo: Al interpretar el acuerdo entre el usuario y Facebook como un "contrato" (artículo 6, apartado 1, letra b) del RGPD) en lugar de un "consentimiento" (artículo 6, apartado 1, letra a) del RGPD), las estrictas normas sobre el consentimiento del RGPD no se aplicarían a Facebook, lo que significa que Facebook puede utilizar todos los datos que tiene para todos los productos que ofrece, incluida la publicidad, el seguimiento en línea y similares, sin pedir a los usuarios un consentimiento libremente dado que podrían retirar en cualquier momento. El cambio de Facebook del "consentimiento" al "contrato" se produjo el 25.5.2018 a medianoche, exactamente cuando el GDPR entró en vigor en la UE.
Schrems: "Es dolorosamente obvio que Facebook simplemente trata de eludir las reglas claras del GDPR reetiquetando el acuerdo sobre el uso de datos como un "contrato". Si esto se aceptara, cualquier empresa podría simplemente escribir el procesamiento de datos en un contrato y, por lo tanto, legitimar cualquier uso de los datos de los clientes sin consentimiento. Esto va absolutamente en contra de las intenciones del GDPR, que prohíbe explícitamente ocultar los acuerdos de consentimiento en los términos y condiciones"
Ilegal desde la época de los romanos Desde la época de los romanos, la ley dice que los acuerdos tienen que ser tratados como lo que realmente son (evaluación objetiva), no como lo que las partes dicen que es (evaluación formal)
Schrems:"No es innovador ni inteligente afirmar que un acuerdo es algo que no es para saltarse la ley. Desde la época de los romanos, los tribunales no han aceptado este tipo de "reetiquetado" de los acuerdos. No se puede eludir la legislación sobre drogas escribiendo simplemente "polvo blanco" en una factura, cuando es evidente que se vende cocaína. Sólo el CPD irlandés parece caer en este truco. "
El 64% de los usuarios de Facebook ven "consentimiento", pero el CPD se pone del lado de Facebook. Para evaluar el significado real del acuerdo, noyb ha encargado al Instituto Gallup un estudio objetivo: De 1.000 usuarios de Facebook, sólo el 1,6% vio un contrato sobre publicidad (como afirma Facebook), el 64% asumió que el acuerdo era un "consentimiento". El resto no estaba seguro del significado legal del acuerdo.
El CPD "simplemente no fue persuadido" por sus colegas europeos. A nivel europeo, las Autoridades de Protección de Datos (APD) han emitido directrices en las que se indica que tal "elusión" del RGPD es ilegal y debe tratarse como un consentimiento. Sin embargo, la APD irlandesa dijo que "simplemente no está persuadida" por la opinión de sus colegas europeos.
Diez reuniones secretas con Facebook sobre el "bypass del consentimiento". La sorprendente sentencia se basa probablemente en un acuerdo entre Facebook y el CPD de la primavera de 2018, justo antes de que el GDPR fuera aplicable. Mientras que el CPD argumenta que esto habría sido un procedimiento separado, el Proyecto de Decisión se refiere a un "análisis específico" (no revelado) que el CPD proporcionó a Facebook. Facebook también se basó en dicho acuerdo ante un tribunal de Austria. A pesar de las múltiples solicitudes para acceder a estos archivos, el CPD se niega a revelar cualquier detalle de sus acuerdos con Facebook y califica las críticas de "infundadas".
Schrems:"El CPD desarrolló el 'bypass del RGPD' con Facebook, que ahora está dando luz verde como regulador. En lugar de un regulador, actúa como un asesor de las 'grandes tecnologías'."
Multa de 28 a 36 millones de euros por no informar a los usuarios de que se les han quitado los derechos del GDPR A pesar de afirmar que el "bypass del consentimiento" es legal, el CPD sigue emitiendo una multa a Facebook por no ser totalmente transparente sobre la base legal para el tratamiento de los datos de sus usuarios. En resumen, el CPD no tiene previsto tomar medidas sobre la infracción planteada en la denuncia, sino que se limita a proponer que Facebook aclare el desvío. La sanción ascendería a aproximadamente el 0,048% de los ingresos globales de Facebook, a pesar de que el RGPD prevé sanciones de hasta el 4%.
Schrems:"Básicamente, el CPD dice que Facebook puede saltarse el RGPD, pero que debe ser más transparente sobre it. Con este enfoque, Facebook puede seguir procesando datos de forma ilegal, añadir una línea a la política de privacidad y simplemente pagar una pequeña multa, mientras que el CPD puede fingir que tomó alguna medida."
Schrems: "Procedimiento ruso" El procedimiento en sí también suscita grandes preocupaciones. El CPD niega continuamente el acceso a documentos cruciales. Mientras que el CPD elaboró un enorme proyecto de decisión de 96 páginas, en gran medida "reformuló" las alegaciones escritas de los usuarios o simplemente ignoró partes clave de las mismas. En un intento de aclarar directamente la posición del denunciante, noyb ha solicitado una audiencia oral, que fue igualmente denegada por el CPD.
Schrems:"Tenemos casos ante muchas autoridades, pero el CPD no está llevando a cabo ni remotamente un procedimiento justo. Se retienen documentos, se deniegan audiencias y los argumentos y hechos presentados simplemente no se reflejan en la decisión. La decisión en sí es larga, pero la mayoría de las secciones sólo terminan con una "opinión" del CPD, no una evaluación objetiva de la ley"
Es probable que el caso llegue a la JEPEl proyecto de decisión se ha enviado ahora a las demás autoridades europeas de protección de datos (APD), que pueden plantear objeciones a la solución propuesta por el CPD irlandés. Es muy probable que este caso llegue al Consejo Europeo de Protección de Datos (CEPD), donde las APD pueden anular al CPD irlandés, al igual que en un caso reciente sobre WhatsApp.
Schrems:"Nuestra esperanza está en las demás autoridades europeas. Si no toman medidas, las empresas pueden simplemente trasladar el consentimiento a los términos y así eludir el GDPR para siempre."