Il DPC irlandese dà il via libera al "bypass del GDPR" di Facebook. Schrems: "La decisione mina un elemento chiave del GDPR"
La Commissione irlandese per la protezione dei dati (DPC) ha inviato una "bozza di decisione" (PDF) alle altre autorità europee per la protezione dei dati sul trucco legale di Facebook per aggirare il GDPR. noyb ha pubblicato oggi i documenti pertinenti
Secondo il DPC, Facebook può semplicemente scegliere di includere l'accordo sul trattamento dei dati in un "contratto", il che renderebbe i requisiti del GDPR per il "consenso" non più applicabili. Tuttavia, l'autorità suggerisce una sanzione da 28 a 36 milioni di euro in quanto Facebook avrebbe dovuto essere più trasparente su questo bypass.
- reclamo dinoyb del 25 maggio 2018 (PDF)
- osservazioni dinoyb del 9 settembre 2019 (PDF)
- osservazioni dinoyb dell'11 giugno 2020 (PDF)
- Progetto di decisione del DPC irlandese (PDF)
- Allegato al progetto di decisione (PDF)
L'accordo per utilizzare i dati non è "consenso"? L'argomento legale di Facebook è piuttosto semplice: Interpretando l'accordo tra l'utente e Facebook come un "contratto" (articolo 6(1)(b) GDPR) invece del "consenso" (articolo 6(1)(a) GDPR) le rigide regole sul consenso sotto il GDPR non si applicherebbero a Facebook - il che significa che Facebook può utilizzare tutti i dati che ha per tutti i prodotti che fornisce, compresa la pubblicità, il monitoraggio online e simili, senza chiedere agli utenti un consenso liberamente dato che potrebbero ritirarlo in qualsiasi momento. Il passaggio di Facebook dal "consenso" al "contratto" è avvenuto il 25.5.2018 a mezzanotte - esattamente quando il GDPR è entrato in vigore nell'UE.
Schrems: "È dolorosamente ovvio che Facebook cerca semplicemente di aggirare le chiare regole del GDPR rietichettando l'accordo sull'uso dei dati come un "contratto". Se questo fosse accettato, qualsiasi azienda potrebbe semplicemente scrivere il trattamento dei dati in un contratto e quindi legittimare qualsiasi uso dei dati dei clienti senza consenso. Questo è assolutamente contro le intenzioni del GDPR, che vieta esplicitamente di nascondere gli accordi di consenso in termini e condizioni"
Illegale fin dall'epoca romana Dall'epoca romana, la legge dice che gli accordi devono essere trattati come ciò che sono effettivamente (valutazione oggettiva), non come ciò che le parti sostengono che sia (valutazione formale)
Schrems:"Non è né innovativo né intelligente sostenere che un accordo è qualcosa che non è per aggirare la legge. Dall'epoca romana, i tribunali non hanno accettato tale 'rietichettatura' degli accordi. Non si possono aggirare le leggi sulla droga semplicemente scrivendo 'polvere bianca' su una fattura, quando si vende chiaramente cocaina. Solo il DPC irlandese sembra cadere in questo trucco. "
Il 64% degli utenti di Facebook vede il "consenso", ma il DPC si schiera con Facebook. Per valutare il reale significato dell'accordo, noyb ha commissionato all'Istituto Gallup uno studio obiettivo: Su 1.000 utenti di Facebook, solo l'1,6% ha visto un contratto sulla pubblicità (come sostenuto da Facebook), il 64% ha ritenuto che l'accordo fosse un "consenso". Il resto non era sicuro del significato legale dell'accordo.
DPC non è stato "semplicemente persuaso" dai colleghi europei. A livello europeo, le autorità di protezione dei dati (DPA) hanno emesso linee guida che un tale "bypass" del GDPR è illegale e deve essere trattato come consenso. Tuttavia, la DPC irlandese ha detto che "semplicemente non è persuasa" dal punto di vista dei suoi colleghi europei.
Dieci incontri segreti con Facebook sul "bypass del consenso". La sorprendente sentenza si basa probabilmente su un accordo tra Facebook e il DPC dalla primavera del 2018, poco prima che il GDPR diventasse applicabile. Mentre il DPC sostiene che questa sarebbe stata una procedura separata, la bozza di decisione fa riferimento a (non divulgate) "analisi specifiche" che il DPC ha fornito a Facebook. Facebook ha anche fatto affidamento su un tale accordo davanti a un tribunale in Austria. Nonostante le molteplici richieste di accesso a questi file, il DPC si rifiuta di rivelare qualsiasi dettaglio dei suoi rapporti con Facebook e chiama le critiche "infondate".
Schrems:"Il DPC ha sviluppato il 'GDPR bypass' con Facebook, che ora si sta facendo strada come regolatore. Invece di un regolatore, agisce come un consulente 'big tech'."
Da 28 a 36 milioni di euro di multa per non aver detto agli utenti che vengono fregati dai diritti del GDPR Nonostante l'affermazione che il "bypass del consenso" è legale, il DPC ha ancora emesso una multa a Facebook per non essere completamente trasparente sulla base legale per il trattamento dei dati dei suoi utenti. In sintesi, il DPC non ha quindi intenzione di agire sulla violazione sollevata dalla denuncia, ma ha invece solo proposto che Facebook renda più chiaro il bypass. La sanzione ammonterebbe a circa lo 0,048% delle entrate globali di Facebook, nonostante la possibilità di sanzioni fino al 4% nel GDPR.
Schrems:"Fondamentalmente il DPC dice che Facebook può aggirare il GDPR, ma deve essere più trasparente su it. Con questo approccio, Facebook può continuare a trattare i dati in modo illegale, aggiungere una linea alla politica sulla privacy e pagare solo una piccola multa, mentre il DPC può fingere di aver intrapreso qualche azione"
Schrems: "Procedura russa" Anche la procedura stessa solleva grandi preoccupazioni. Il DPC nega continuamente l'accesso a documenti cruciali. Mentre il DPC ha prodotto una massiccia bozza di decisione di 96 pagine, ha ampiamente "riformulato" le osservazioni scritte degli utenti o semplicemente ignorato parti chiave delle osservazioni degli utenti. Nel tentativo di chiarire direttamente la posizione del denunciante, noyb ha chiesto un'audizione orale - che è stata ugualmente negata dal DPC.
Schrems:"Abbiamo casi davanti a molte autorità, ma il DPC non sta nemmeno lontanamente gestendo una procedura equa. I documenti sono trattenuti, le udienze sono negate e le argomentazioni e i fatti presentati non sono semplicemente riflessi nella decisione. La decisione stessa è lunga, ma la maggior parte delle sezioni finisce semplicemente con un 'parere' del DPC, non con una valutazione obiettiva della legge"
Il caso probabilmente raggiungerà l'EDPBIl progetto di decisione è stato ora inviato alle altre autorità europee di protezione dei dati (DPA), che possono sollevare obiezioni alla soluzione proposta dal DPC irlandese. È molto probabile che questo caso raggiunga poi l'European Data Protection Board (EDPB) dove le DPA possono annullare il DPC irlandese, proprio come in un recente caso su WhatsApp.
Schrems:"La nostra speranza è nelle altre autorità europee. Se non prendono provvedimenti, le aziende possono semplicemente spostare il consenso nei termini e quindi bypassare il GDPR per sempre"