la seconda "lettura dell'Avvento" dinoyb: Come il DPC irlandese ha cercato di fare pressione sul "bypass del GDPR" di Facebook nelle linee guida europee.
Questa settimana, noyb ha pubblicato due serie di documenti come parte delle loro "letture dell'Avvento" dai documenti del DPC e di Facebook: Una lettera di Facebook al DPC irlandese conferma che il DPC ha avuto dieci incontri con Facebook dove hanno discusso e concordato il bypass del GDPR di Facebook. La seconda serie di documenti mostra che il DPC ha cercato di spingere questo bypass per i "Social Media" nelle linee guida dell'European Data Protection Board (EDPB), ma è stato accolto con aspre critiche da altre autorità europee di protezione dei dati (DPA), andando fino in fondo con commenti come "Pensiamo che questa interpretazione comprometta il sistema e lo spirito del GDPRo"Questo riduce il GDPR a uno strumento proforma"." Il tentativo del DPC di includere il bypass del GDPR nelle linee guida ha avuto luogo, mentre era incaricato di essere un decisore indipendente in un caso pendente sul "bypass del GDPR" di Facebook.
Dieci incontri tra Facebook e il DPC. Come precedentemente riportato, Facebook ha avuto dieci incontri con il DPC su come avvicinarsi al GDPR. In questi incontri la multinazionale e il regolatore irlandese hanno concordato un"bypass del GDPR", semplicemente spostando la clausola di consenso nei termini e condizioni di Facebook, sostenendo che questo avrebbe aggirato le regole di consenso del GDPR sotto l'articolo 6(1)(a) del GDPR, ma rendendo invece applicabile l'articolo 6(1)(b).
Le linee guida proposte per l'EDPB. I documenti appena scoperti vanno ancora oltre: Nel 2018, il DPC irlandese ha dichiarato un'iniziativa a livello UE e ha avviato un nuovo progetto nel "Sottogruppo Disposizioni chiave" dell'EDPB sull'articolo 6(1)(b) GDPR - esattamente la disposizione che ha precedentemente concordato con Facebook di utilizzare come bypass del GDPR. Il DPC guidava il gruppo che ha avuto la sua prima riunione nell'aprile 2018 - altre autorità europee si stavano unendo al gruppo. I partecipanti esatti non sono chiari dai documenti. Nell'ottobre 2018 il DPC irlandese ha poi inviato una lettera che delineava un approccio "rigoroso" e, quello che il DPC chiamava, una "libertà di contratto". L'approccio "libertà di contratto" era un eufemismo per un approccio in cui i controllori potevano scrivere qualsiasi cosa nei loro termini e quindi aggirare il GDPR. Il DPC ha proposto una bozza di linee guida che avevano lo scopo di muoversi verso l'approccio "bypass". Questo fondamentalmente permetteva alle aziende di mettere una clausola nei loro termini e condizioni per rendere la raccolta dei dati "necessaria" per un contratto e quindi bypassare il requisito del consenso ai sensi del GDPR.
La reazione delle altre DPA. Le reazioni delle altre DPA sono state estremamente negative. Alcuni esempi includono(A70):"Tuesto sembra accettare la monetizzazione dei dati personali e l'aggiramento delle altre basi legali (vedi i commenti fatti sopra). Pensiamo che questa interpretazione comprometta il sistema e lo spirito del GDPR." o(A90): "Non sono d'accordo. Questo riduce il GDPR a uno strumento proforma." o (A103): "Contrario a tutto ciò in cui crediamo (scusate, ma è vero), così come alla precedente guida A29WP"
Ruolo dei "social media" nelle linee guida. Le linee guida sono linee guida generali per qualsiasi settore industriale, tuttavia la proposta del DPC si concentra ripetutamente su "social network" e "social media", quindi esattamente il settore industriale dove Facebook ha un monopolio di fatto. Altre DPA lo notano nei loro commenti (A96):"Inoltre, tutti gli esempi sembrano riferirsi ai social network.o (A105) "Suggeriamo di rimuovere questo esempio, dato che si riferisce di nuovo ai social media." Altri commenti hanno attaccato esplicitamente il suggerimento del DPC che i "social media" potrebbero semplicemente usare tutti i dati per pubblicità sotto un contratto(A103):"È possibile fornire account di social media senza tracciare e profilare? Sì, in effetti lo è. Pertanto, il tracciamento o la profilazione non sono necessari per l'esecuzione di quel contratto."
Conflitto con il caso pendente? È particolarmente interessante che il DPC abbia fatto queste proposte, quando una denuncia di noyb sul bypass del consenso di Facebook era già davanti al regolatore. Invece di prendere una posizione neutrale, il DPC ha persino cercato di fare lobby per il bypass del GDPR di Facebook a livello europeo.
Il risultato finale. Il sottogruppo ha terminato il progetto e le ha pubblicate come linee guida EDPB 2/2019. Tutti i riferimenti ai social network e l'opzione di bypassare il consenso attraverso un presunto "contratto" sono stati rimossi, contro la posizione del DPC. Il DPC sembra aver proposto di ritardare la pubblicazione delle linee guida che vanno contro il loro accordo con Facebook, ma non ha avuto successo nemmeno nel ritardare le linee guida (ora molto sfavorevoli).
Max Schrems, presidente di noyb.eu:"I documenti mostrano un piano chiaro: Prima il regolatore irlandese ha concordato un bypass del GDPR con Facebook. Poi cerca di schiacciare questo bypass nelle linee guida europee. Il DPC chiaramente non agisce nell'interesse della protezione dei dati, ma nell'interesse delle multinazionali americane. Di solito sono i lobbisti di Facebook che cercano di influenzare le linee guida nell'interesse del loro settore industriale, qui il regolatore si è trasformato in un lobbista."
Stato legale dei documenti. I documenti dell'EDPB sono stati forniti dall'EDPB secondo le regole della libertà d'informazione dell'UE. La lettera di Facebook è stata fornita ai sensi del § 17 della legge amministrativa austriaca (AVG) e quindi non è stata considerata confidenziale - nonostante il timbro "strettamente confidenziale" e la richiesta di Facebook che il DPC non può condividere i documenti.
Tutti i documenti: Qui sotto potete trovare tutti i documenti che abbiamo pubblicato per questa lettura dell'avvento. Raccomandiamo vivamente di leggere prima anche la nostra panoramica, poiché la bozza del documento è leggermente confusa quando viene letta la prima volta. Il commento A89R88 è particolarmente rilevante, in quanto non è stato annerito e dice "The Irish DPC is concerned that...", mostrando che il DPC è l'autore di queste reazioni. Abbiamo confermato questo attraverso fonti aggiuntive e frammenti digitali nei documenti. Il DPC non ha reagito quando gli è stato chiesto un commento, ma non ha nemmeno negato la paternità.
Nota: Per i documenti EDPB, va notato che i nomi delle singole DPA sono stati rimossi. Tuttavia, i commenti di solito hanno un numero che inizia con "A" (come "A88") le reazioni del DPC irlandese a questi commenti, di solito hanno una "R" nel numero, che indica quale commento è una reazione al commento dopo quel numero ("A89R88" è quindi il commento 89, ma anche una reazione a A88"). Nelle pagine con troppi commenti, i commenti possono essere trovati nelle pagine finali del documento, sotto il relativo numero che inizia con "A"
Here you can watch a video with many of these comments read out by noyb staff and current or former noyb trainees:
Role of "Social Media" in the Guidelines. The guidelines are general guidelines for any industry sector, however the DPC proposal is repeatedly focusing on "social networks" and "social media", so exactly the industry sector where Facebook has a de facto monopoly. Other DPAs notices this in their comments (A96): "Furthermore, all the examples seem to relate to social networks." or (A105) “We suggest removing this example, as this refers again to social media." Other comments explicitly attacked the DPC's suggestion that "social media" could just use all data for advertisement under a contract (A103): "Is it possible to provide social media accounts without tracking and profiling? Yes, in fact it is. Therefore, tracking or profiling is not necessary for the performance of that contract."
Conflict with pending Case? It is especially interesting that the DPC has made these proposals, when a complaint by noyb on Facebook's consent bypass was already before the regulator. Instead of taking a neutral position, DPC has even tried to lobby for Facebook's GDPR bypass on the European level.
The End Result. The subgroup has finished the project and published them as EDPB Guidelines 2/2019. All references to social networks and the option to bypass consent via an alleged "contract" were removed, against the DPC's position. The DPC seems to have proposed to delay the publication of the guidelines that go contrary to their agreement with Facebook, but was not successful with delaying the (now highly unfavourable) guidelines either. According to POLITICO, the DPC was the only DPA voting against the final guidelines.
Max Schrems, chairperson of noyb.eu: "The documents show a clear plan: First the Irish regulator agreed on a GDPR bypass with Facebook. Then it tries to squeeze this bypass into European guidelines. The DPC clearly does not act in the interest of data protection, but in the interest of US multinationals. Usually it is Facebook lobbyists that try to influence guidelines in the interest of their industry sector, here the regulator has turned into a lobbyist."
Legal Status of Documents. The EDPB documents were provided by the EDPB under the EU freedom of information rules. The letter by Facebook was provided under § 17 of the Austrian Administrative Act (AVG) and was therefore not deemed confidential - despite being stamped "strictly confidential" and Facebook's demand that the DPC may not share the documents.
All Documents: Below you can find all documents we published for this advent reading. We highly recommend to also read our overview first, as the draft document is slightly confusing when read the first time. Comment A89R88 is especially relevant, as it was not blackened and says "The Irish DPC is concerned that...", showing that the DPC is the author of these reactions. We have confirmed this via additional sources and digital fragments in the documents. The DPC did not react when asked for a comment, but also did not deny authorship.
Note: For the EDPB documents, it should be noted that the names of individual DPAs were removed. However, comments usually have a number starting with "A" (like "A88") reactions by the Irish DPC to these comments, usually have an "R" in the number, which indicates which comment this is a reaction to the comment after that number ("A89R88" is therefore comment 89, but also a reaction to A88"). On pages with too many comments, the comments can be found on the final pages of the document, under the relevant number starting with "A".