segunda "lectura de adviento" denoyb: Cómo el CPD irlandés trató de presionar el "bypass del GDPR" de Facebook en las directrices europeas.
Esta semana, noyb publicó dos rondas de documentos como parte de sus "Lecturas de Adviento" de documentos del CPD y de Facebook: Una carta de Facebook al CPD irlandés confirma que el CPD tuvo diez reuniones con Facebook en las que discutieron y acordaron la derivación de Facebook al GDPR. La segunda ronda de documentos muestra que el CPD trató de impulsar este bypass para los "medios sociales" en las directrices del Consejo Europeo de Protección de Datos (CEPD), pero se encontró con duras críticas de otras autoridades europeas de protección de datos (APD), llegando hasta el final con comentarios como "Creemos que esta interpretación socava el sistema y el espíritu del GDPR" o"Esto reduce el GDPR a un instrumento pro-forma." El intento del CPD de incluir el bypass del RGPD en las directrices tuvo lugar mientras se le encomendaba la tarea de ser un decisor independiente en un caso pendiente sobre el "bypass del RGPD" de Facebook.
Diez reuniones entre Facebook y el CPD. Como se informó anteriormente, Facebook mantuvo diez reuniones con el CPD sobre cómo abordar el GDPR. En estas reuniones, la multinacional y el regulador irlandés han acordado un"bypass del GDPR", simplemente trasladando la cláusula de consentimiento a los términos y condiciones de Facebook, alegando que así se obviarían las normas de consentimiento del GDPR bajo el artículo 6(1)(a) del GDPR, pero haciendo aplicable el artículo 6(1)(b) en su lugar.
La propuesta de directrices de la BDPI. Los documentos recién descubiertos van más allá: En 2018, el CPD irlandés declaró una iniciativa a nivel de la UE y comenzó un nuevo proyecto en el "Subgrupo de Disposiciones Clave" del EDPB sobre el artículo 6(1)(b) del GDPR - exactamente la disposición que ha acordado previamente con Facebook para usar como una derivación del GDPR. El CPD lideraba el grupo que tuvo su primera reunión en abril de 2018 - otras autoridades europeas se unieron al grupo. Los participantes exactos no están claros en los documentos. En octubre de 2018, el CPD irlandés envió entonces una carta en la que esbozaba un enfoque "estricto" y, lo que el CPD llamaba, un enfoque de"libertad de contratación". El enfoque de "libertad de contrato" era un eufemismo para un enfoque en el que los controladores podían escribir cualquier cosa en sus términos y, por lo tanto, eludir el GDPR. El Comité de Protección de Datos propuso un proyecto de directrices que pretendía avanzar hacia el enfoque de "elusión". Esto básicamente permitía a las empresas poner una cláusula en sus términos y condiciones para hacer que la recolección de datos fuera "necesaria" para un contrato y así eludir el requisito de consentimiento bajo el GDPR.
La reacción de otras APD. Las reacciones de otras APD fueron extremadamente negativas. Algunos ejemplos son(A70): "Tparece que se acepta la monetización de los datos personales y la elusión de las demás bases jurídicas (véanse los comentarios anteriores). Creemos que esta interpretación socava el sistema y el espíritu del RGPD." o(A90): "No estoy de acuerdo. Esto reduce el RGPD a un instrumento proforma." o (A103): "Contrarioa todo lo que creemos (lo siento, pero es cierto), así como a las anteriores orientaciones del A29WP."
Papel de los "medios sociales" en las directrices. Las directrices son generales para cualquier sector de la industria, sin embargo la propuesta del CPD se centra repetidamente en las "redes sociales" y los "medios sociales", por lo que es exactamente el sector de la industria donde Facebook tiene un monopolio de facto. Otras APDs lo advierten en sus comentarios (A96): "Además, todos los ejemplos parecen referirse a las redes sociales." o (A105): "Sugerimos que se elimine este ejemplo, ya que se refiere de nuevo a las redes sociales." Otros comentarios atacaban explícitamente la sugerencia del CPD de que los "medios sociales" podrían utilizar simplemente todos los datos para publicidad en el marco de un contrato(A103): "¿Esposible proporcionar cuentas de medios sociales sin rastrear ni elaborar perfiles? Sí, de hecho lo es. Por lo tanto, el seguimiento o la elaboración de perfiles no son necesarios para la ejecución de ese contrato."
¿Conflicto con el caso pendiente? Resulta especialmente interesante que el CPD haya hecho esta propuesta, cuando ya estaba ante el regulador una denuncia de noyb sobre el bypass de consentimiento de Facebook. En lugar de adoptar una posición neutral, el DPC ha tratado incluso de presionar para que Facebook se salte el GDPR a nivel europeo.
El resultado final. El subgrupo ha terminado el proyecto y las ha publicado como Directrices EDPB 2/2019. Se eliminaron todas las referencias a las redes sociales y la opción de eludir el consentimiento a través de un supuesto "contrato", en contra de la posición del DPC. El CPD parece haber propuesto retrasar la publicación de las directrices que van en contra de su acuerdo con Facebook, pero tampoco tuvo éxito en retrasar las directrices (ahora muy desfavorables).
Max Schrems, presidente de noyb.eu: "Los documentos muestran un plan claro: En primer lugar, el regulador irlandés acordó un bypass del GDPR con Facebook. Después, trata de introducir este desvío en las directrices europeas. Está claro que el CPD no actúa en interés de la protección de datos, sino en el de las multinacionales estadounidenses. Normalmente son los grupos de presión de Facebook los que intentan influir en las directrices en interés de su sector industrial, aquí el regulador se ha convertido en un grupo de presión."
Situación legal de los documentos. Los documentos del EDPB fueron facilitados por el EDPB en virtud de las normas de libertad de información de la UE. La carta de Facebook se facilitó en virtud del artículo 17 de la Ley Administrativa austriaca (AVG) y, por lo tanto, no se consideró confidencial, a pesar de llevar el sello de "estrictamente confidencial" y de la exigencia de Facebook de que el CPD no pudiera compartir los documentos.
Todos los documentos: A continuación puede encontrar todos los documentos que publicamos para esta lectura de advenimiento. Recomendamos encarecidamente leer también nuestro resumen primero, ya que el proyecto de documento es ligeramente confuso cuando se lee por primera vez. El comentario A89R88 es especialmente relevante, ya que no fue ennegrecido y dice "El CPD irlandés está preocupado porque...", lo que demuestra que el CPD es el autor de estas reacciones. Lo hemos confirmado a través de fuentes adicionales y fragmentos digitales en los documentos. El DPC no reaccionó cuando se le pidió un comentario, pero tampoco negó la autoría.
Nota: En el caso de los documentos de la BDP, cabe señalar que se han eliminado los nombres de las APD individuales. Sin embargo, los comentarios suelen tener un número que empieza por "A" (como "A88"). Las reacciones del CPD irlandés a estos comentarios suelen llevar una "R" en el número, lo que indica que se trata de una reacción al comentario que sigue a ese número ("A89R88" es, por tanto, el comentario 89, pero también una reacción a A88"). En las páginas con demasiados comentarios, éstos se encuentran en las últimas páginas del documento, bajo el número correspondiente que empieza por "A"
Here you can watch a video with many of these comments read out by noyb staff and current or former noyb trainees:
Role of "Social Media" in the Guidelines. The guidelines are general guidelines for any industry sector, however the DPC proposal is repeatedly focusing on "social networks" and "social media", so exactly the industry sector where Facebook has a de facto monopoly. Other DPAs notices this in their comments (A96): "Furthermore, all the examples seem to relate to social networks." or (A105) “We suggest removing this example, as this refers again to social media." Other comments explicitly attacked the DPC's suggestion that "social media" could just use all data for advertisement under a contract (A103): "Is it possible to provide social media accounts without tracking and profiling? Yes, in fact it is. Therefore, tracking or profiling is not necessary for the performance of that contract."
Conflict with pending Case? It is especially interesting that the DPC has made these proposals, when a complaint by noyb on Facebook's consent bypass was already before the regulator. Instead of taking a neutral position, DPC has even tried to lobby for Facebook's GDPR bypass on the European level.
The End Result. The subgroup has finished the project and published them as EDPB Guidelines 2/2019. All references to social networks and the option to bypass consent via an alleged "contract" were removed, against the DPC's position. The DPC seems to have proposed to delay the publication of the guidelines that go contrary to their agreement with Facebook, but was not successful with delaying the (now highly unfavourable) guidelines either. According to POLITICO, the DPC was the only DPA voting against the final guidelines.
Max Schrems, chairperson of noyb.eu: "The documents show a clear plan: First the Irish regulator agreed on a GDPR bypass with Facebook. Then it tries to squeeze this bypass into European guidelines. The DPC clearly does not act in the interest of data protection, but in the interest of US multinationals. Usually it is Facebook lobbyists that try to influence guidelines in the interest of their industry sector, here the regulator has turned into a lobbyist."
Legal Status of Documents. The EDPB documents were provided by the EDPB under the EU freedom of information rules. The letter by Facebook was provided under § 17 of the Austrian Administrative Act (AVG) and was therefore not deemed confidential - despite being stamped "strictly confidential" and Facebook's demand that the DPC may not share the documents.
All Documents: Below you can find all documents we published for this advent reading. We highly recommend to also read our overview first, as the draft document is slightly confusing when read the first time. Comment A89R88 is especially relevant, as it was not blackened and says "The Irish DPC is concerned that...", showing that the DPC is the author of these reactions. We have confirmed this via additional sources and digital fragments in the documents. The DPC did not react when asked for a comment, but also did not deny authorship.
Note: For the EDPB documents, it should be noted that the names of individual DPAs were removed. However, comments usually have a number starting with "A" (like "A88") reactions by the Irish DPC to these comments, usually have an "R" in the number, which indicates which comment this is a reaction to the comment after that number ("A89R88" is therefore comment 89, but also a reaction to A88"). On pages with too many comments, the comments can be found on the final pages of the document, under the relevant number starting with "A".
