tercera "Lectura de Adviento" denoyb: El irrisorio Registro de Actividades de Tratamiento (ROPA) de Facebook
En su tercera "Lectura de Adviento" (en protesta por que el CPD retiró ilegalmente a noyb de un procedimiento pendiente) noyb publica el principal documento de cumplimiento del GDPR de Facebook: El "Registro de Actividades de Tratamiento" de Facebook según el artículo 30 del GDPR (abreviado: "ROPA"). Este documento, exigido por la ley, debería permitir evaluar fácilmente el cumplimiento del RGPD por parte de Facebook, pero en realidad solo tiene unas irrisorias cuatro páginas. Por lo general, estos documentos tienen cientos de páginas. Schrems:"El documento principal de Facebook sobre el cumplimiento del RGPD es sintomático de su ignorancia de la ley: solo tiene cuatro páginas. Normalmente, un documento de este tipo tendría cientos de páginas". ElCPD irlandés conoce la falta de documentación desde 2018, pero no tomó medidas."
¿Cumplimiento del GDPR en cuatro páginas? El documento en realidad dice muy poco, en lugar de una descripción detallada de miles de operaciones de procesamiento, Facebook se refiere principalmente a su política de privacidad y, por lo demás, agregó algunas líneas genéricas. Para profundizar en el tema, noyb contó con la colaboración de Peter Hense, socio de Spirit Legal, que ya ha trabajado en cientos de documentos de este tipo. Apenas pudo creer que el ROPA de Facebook se limite a cuatro páginas y comentó que"todos los clubes de fútbol tienen un ROPA más detallado" en la lectura de adviento de noyb. Continuó destacando que como auditor tendría que tratar este ROPA como inexistente y que el tratamiento de Facebook es por tanto "ilegal".
La DPC está al tanto desde 2018. La Comisión de Protección de Datos de Irlanda ("DPC") recibió este irrisorio "Registro de Actividades de Procesamiento" el 27.9.2018 por parte de Facebook, pero no ha tomado ninguna medida sobre la evidente violación del artículo 30 del GDPR hasta donde noyb sabe.
Max Schrems, presidente de noyb.eu: "El CPD irlandés sabía que Facebook Irlanda ni siquiera tiene los documentos de cumplimiento más básicos en orden y no hizo nada al respecto"
Amenaza para noyb en 2019. En lugar de tomar medidas sobre Facebook, el CPD fue a por noyb: una vez que el documento fue proporcionado a noyb en agosto de 2019 a través de la Autoridad de Protección de Datos austriaca ("DSB"), Max Schrems ha compartido el hecho de que el ROPA solo contiene cuatro páginas en Twitter, junto con una imagen de la parte trasera de los documentos. Esto provocó que la APD enviara airadas cartas a noyb, exigiendo que se borrara este tuit.
"Fan Mail" por el CPD y Facebook. Como noyb informa a todas las partes interesadas antes de nuestras Lecturas de Adviento, hemos vuelto a recibir cartas de amenaza (lo llamamos "fan mail") por parte del bufete de abogados de Facebook Mason Hayes y Curran y el DPC irlandés - básicamente amenazando con acciones legales contra noyb, a pesar de no tener ninguna base legal para hacerlo, como se señala en nuestras respuestas a Facebook y nuestra respuesta al DPC irlandés.
Base legal para la publicación. Como se señaló en nuestra Primera Lectura de Adviento, las cuatro Lecturas de Adviento de noyb son en protesta por la eliminación ilegal de noyb por parte del CPD en un procedimiento pendiente. Todos los documentos se facilitaron a través del OSD austriaco. El OSD austriaco decidió que estos documentos no están protegidos en virtud de la disposición pertinente (§ 17 Abs 3 AVG) y que noyb es libre de utilizarlos en virtud de la legislación austriaca aplicable. Incluso en virtud de la Ley de Protección de Datos irlandesa de 2018 (no aplicable), no hay base legal para retener o limitar de otro modo el uso de los documentos por las partes. Si bien el CPD suele ampararse en el artículo 26 de la ley, esta disposición claramente solo se aplica al personal del CPD ("personas relevantes") y no a terceros.
Posible "demanda SLAPP" por parte del CPD y Facebook Dadas las amenazas infundadas, a pesar de una clara base legal para estas publicaciones, noyb espera ahora "demandas SLAPP" infundadas (ver un gran resumen de John Oliver, desafortunadamente sólo en YouTube ) por parte del DPC y/o Facebook Ireland Limited. No es improbable que Facebook o el DPC intenten llevar un caso a Irlanda o al Reino Unido, ya que estos sistemas legales son extremadamente caros y son jurisdicciones perfectas para arruinar a una ONG. Por lo tanto, hemos geobloqueado los documentos relevantes en estas jurisdicciones.
Los documentos de hoy El documento ROPA es parte de nuestro litigio "GDPR bypass" y está disponible aquí:
- ROPA decuatro páginas de Facebook (puede no estar disponible en todos los países)
Intercambios sobre la legalidad de esta publicación:
- Carta del CPD sobre la publicación del ROPA
- Respuesta de noyb sobre por qué los puntos del CPD son incorrectos
- Carta del bufete de abogados de Facebook sobre la publicación del ROPA
- Respuesta de noyb sobre por qué la "intención" de Facebook no es un factor relevante
Resumen de la semana. Para cualquiera que esté interesado en lo que ha sucedido desde la lectura de Adviento de la semana pasada, recomendamos este artículo de POLITICO sobre cómo el CPD intentó colar el "bypass del GDPR" de Facebook en los papeles del EDPB. Esto desencadenó una serie de artículos interesantes, hasta llegar a llamamientos dentro de Irlanda para reemplazar la dirección del CPD. A finales de esta semana, POLITICO informó de una objeción del artículo 60 contra el proyecto de decisión del CPD sobre el "bypass del RGPD" por parte de la DPA noruega, destacando que el proyecto de decisión del CPD "derecho a la intimidad", según la DPA noruega. Esto lleva a nuevos debates en Irlanda sobre el CPD, como este reportaje del Irish Times.