Lettera aperta sui rapporti "confidenziali" nel caso di Facebook

Maγ 24, 2020

Entro poche ore dall'entrata in vigore del nuovo GDPR il 25 maggio 2018, l'organizzazione europea senza scopo di lucro noyb.eu ha presentato tre reclami contro il Gruppo Facebook (tra cui WhatsApp e Instagram). Da allora, il Commissione irlandese per la protezione dei dati (DPC) ha dichiarato "riservato" il contenuto della procedura estremamente lenta e ha chiesto a noyb.eu di non divulgarlo in pubblico.

Nonostante questa presunta riservatezza, noyb.eu pubblica un Lettera aperta (PDF) oggi che espone come il PILR sia (non) stato (non) applicato due anni dopo la sua entrata in vigore. Anche secondo la procedura kafkiana descritta nella lettera e sotto, il Gruppo Facebook potrebbe dover affrontare una multa fino a 2,5 miliardi di euro se il CDC seguirà il suo rapporto investigativo interno.

Incontri segreti sul "bypass del consenso" tra DPC e Facebook. La lettera aperta espone per la prima volta che il DPC irlandese e il gruppo Facebook (inclusi WhatsApp e Instagram) hanno avuto dieci riunioni segrete prima che il GDPR diventasse applicabile nel 2018. In queste riunioni, Facebook afferma di aver avuto "un impegno diretto e dettagliato con la Commissione prima dell'attuazione" di un apparente "bypass del consenso" (dettagli sotto) per aggirare le rigide regole di consenso del GDPR. Nonostante il fatto che Facebook si sia basato su queste riunioni nelle sue osservazioni e abbia evidenziato che i documenti erano "soggetti a considerazione" da parte del CDC, l'autorità rifiuta l'accesso a qualsiasi documento di queste riunioni segrete, compreso un Libro bianco presentato da Facebook. Max Schrems, presidente di noyb.eu: "Suona molto simile a quelle 'decisioni fiscali' segrete in cui le autorità fiscali concordano segretamente con le grandi aziende tecnologiche su come aggirare le leggi fiscali - solo che ora lo fanno anche con il PILR"

Il "bypass del consenso" illegale di Facebook. Nelle procedure che sono state innescate da tre reclami presentati da noyb.eu due anni fa (entro le prime ore dall'entrata in vigore del GDPR), il Gruppo Facebook riconosce apertamente di essere passato da un "consenso" altamente regolamentato a un presunto "contratto di utilizzo dei dati". Questo contratto obbliga presumibilmente Facebook a monitorare, indirizzare e condurre ricerche sui suoi utenti. Secondo Facebook, questo passaggio è avvenuto allo scoccare della mezzanotte, quando la GDPR è diventata applicabile. Tale (reciproca) riformulazione di un accordo (in questo caso dal consenso al contratto) per aggirare la legge si chiama simulatio e non è valida. Max Schrems: "Non è altro che rossetto su un maiale. Fin dai tempi dei romani, la legge vieta di "rinominare" qualcosa solo per aggirare la legge. Quello che Facebook ha cercato di fare non è intelligente, ma risibile. L'unica cosa che è veramente preoccupante è che il DPC irlandese, a quanto pare, si è impegnato con Facebook quando stava progettando questa truffa e ora si suppone che lo riveda in modo indipendente"

In uno studio condotto dall'Istituto Gallup sul "bypass del consenso", il 64% dei 1.000 utenti ritiene di aver dato il proprio consenso, nonostante Facebook affermi il contrario. A seconda della domanda, solo l'1,6-2,5% pensa di aver effettivamente stipulato un "contratto di utilizzo dei dati" che include l'obbligo di Facebook di utilizzare i propri dati per la pubblicità o la ricerca. Il resto ha pensato che si trattasse di una mera informazione, un contratto senza tali obblighi o che non potesse vedere alcun significato nella pagina. Max Schrems: "Fondamentalmente nessuno dei 1.000 utenti a cui abbiamo chiesto pensa di aver firmato un tale presunto "contratto di utilizzo dei dati" con Facebook"

Il DPC limita l'analisi legale del "contratto di utilizzo dei dati" all'Oxford English Dictionary. Uno dei motivi per cui il CED non ha potuto trovare alcun problema con il presunto "contratto di elaborazione dati" su cui Facebook si basa è che il CED ha semplicemente deciso che l'analisi di un tale contratto è al di fuori delle sue competenze ("ultra vires"). Invece di analizzare il contratto secondo la legge applicabile, il CED ha letteralmente citato nei suoi rapporti la definizione di "contratto" dell'Oxford English Dictionary. Schrems: "Alla scuola di legge si impara a leggere libri di diritto per questioni legali, non un dizionario. Sembra che questa sia stata una tecnica vincente per secoli. È ovvio che il DPC sta cercando di non rivedere il presunto "contratto d'uso dei dati" di Facebook.

DPC festeggia il completamento di 1 di 6 passi in due anni. In una dichiarazione pubblica venerdì scorso, il CED ha sorprendentemente chiamato le tre procedure attivate da noyb.eu come esempi di grandi progressi nel lavoro del CED. Questo nonostante il CED abbia impiegato due anni per completare 1 passo su 6 della sua procedura su WhatsApp e Instagram e 2 su 6 passi su Facebook (vedi tabella riassuntiva). Dato che il CED ha riportato 7.125 reclami solo nel 2019 e zero multe del PILR contro qualsiasi attore privato, questo non è un risultato. Max Schrems: "È uno schiaffo a circa 10.000 denuncianti se il CED mette in evidenza il primo dei sei passi in due casi dopo due anni come un risultato"

Anche per il plagio del proprio rapporto ci sono voluti 10 mesi. L'orgoglio che il DPC ha avuto nel consegnare due bozze di rapporto (passo 1 di 6) su WhatsApp e Instagram la scorsa settimana è sembrato ancora più grottesco quando noyb.eu si è resa conto che questi rapporti si sovrappongono dal 76 all'82% con il rapporto di Facebook del 2019 (screenshot).

Max Schrems: "Abbiamo eseguito le bozze dei rapporti su Instagram e WhatsApp che il DPC ha orgogliosamente evidenziato la scorsa settimana attraverso un software per identificare il plagio e ci siamo fatti una bella risata: Il 76% e l'82%, rispettivamente, erano identici a una bozza di rapporto dell'anno scorso su Facebook. Sembra che anche solo per copiare e incollare una bozza di rapporto ci siano voluti più di 10 mesi"

Il rapporto del CED vede una violazione delle regole di trasparenza del GDPR. La multa potrebbe raggiungere i miliardi. Anche se il CDC si è opposto a rivedere la legalità del "consenso bypass" di Facebook, un rapporto d'inchiesta interno rileva tuttavia una violazione dei requisiti di trasparenza della RDPC di cui all'articolo 5 della RDPC per non aver informato adeguatamente gli utenti di Facebook, WhatsApp e Instagram circa la base giuridica per l'utilizzo dei loro dati. Se il CDC dovesse infine mantenere questa posizione, dovrebbe emettere una multa "efficace, proporzionata e dissuasiva" fino al 4% delle entrate annuali di Facebook (fino a 2,5 miliardi di euro o 2,83 miliardi di dollari).

Max Schrems: "In sostanza, l'indagine del DPC ha preso la posizione che Facebook può fregare gli utenti, purché siano più trasparenti al riguardo. Ciò significherebbe tuttavia che Facebook, Instagram e WhatsApp hanno elaborato i dati di tutti gli utenti europei in violazione del GDPR. Anche se il DPC si attiene solo a questo punto di vista, la multa potrebbe arrivare fino a 2,5 miliardi di euro.

La Commissione europea e le autorità di protezione dei dati devono agire. Nella Lettera aperta, noyb.eu invita anche la Commissione europea ad agire contro l'Irlanda. Con circa 10.000 denunce in due anni e nessuna multa contro attori privati, è ovvio che l'Irlanda non attua efficacemente il diritto comunitario

La Lettera aperta invita anche le altre autorità europee per la protezione dei dati (DPA) a prendere provvedimenti quando i colleghi si rifiutano di fare il loro lavoro. Sebbene la GDPR purtroppo spesso manchi di scadenze chiare, essa consente alle autorità di protezione dei dati di chiedere ai colleghi di intraprendere determinate azioni o di avviare una "procedura d'urgenza" se un'altra autorità di protezione dei dati è inattiva. Schrems: "Molte ATD sono frustrate da situazioni come quella irlandese, ma non basta chiamarle fuori. Devono anche utilizzare gli strumenti che il GDPR prevede. Noi, per esempio, abbiamo fatto richieste di questo tipo con l'autorità austriaca di protezione dei dati"

Per sostenere questo sforzo, noyb.eu ha inviato tutti i documenti rilevanti sulle procedure in corso alle altre autorità di protezione dei dati europee, nonostante il DPC irlandese abbia esplicitamente insistito affinché noyb.eu non fornisca questi documenti ai suoi colleghi.

Antefatti su noyb.eu. noyb.eu è un'organizzazione europea di protezione dei dati senza scopo di lucro che cerca di garantire l'applicazione del GDPR. noyb.eu è finanziata da oltre 3.200 membri sostenitori. Il team di noyb.eu, composto da 15 persone, comprende avvocati GDPR ed esperti tecnici di diversi Stati membri dell'UE. Finora, noyb.eu ha presentato più di 20 reclami GDPR su diverse questioni e contro aziende come Amazon, Apple, Google, Google, Facebook, DAZN, SoundCloud e Netflix.