.
Longos avisos de privacidade incluídos nos termos de serviço de uma plataforma de mídia social podem fazer pouco para ajudá-la a cumprir os requisitos de transparência da lei europeia, de acordo com documentos recentemente revelados de um caso em que a Meta foi multada em € 390 milhões (US$ 414 milhões).
Os documentos foram divulgados pelo noyb, o grupo de campanha pela lei de privacidade fundado por Max Schrems, o advogado que desafiou duas vezes com sucesso o compartilhamento de dados EUA-UE, incluindo os casos (Schrems I e II) que derrotou os acordos US Safe Harbor e Privacy Shield.
Apesar de ter vencido nominalmente o caso, a noyb disse que poderia prosseguir com sua reivindicação porque, em sua opinião, a Comissão de Proteção de Dados da Irlanda (DPC) deu à Meta muito tempo para cumprir a decisão e impôs multas muito baixas.
Uma saga jurídica entre Meta, Irlanda e União Europeia atingiu um marco no início deste mês quando o DPC aplicou uma multa combinada de € 390 milhões (US$ 414 milhões) por violações do Regulamento Geral de Proteção de Dados da UE e instruiu o grupo de mídia social a “colocar suas operações de processamento de dados em conformidade em um período de 3 meses”.
O veredicto do DPC seguiu a decisão do Conselho Europeu de Proteção de Dados (EDPB) em dezembro para anular uma decisão anterior do DPC que permitia à Meta adicionar consentimento de uso de dados em seus termos de serviço, aparentemente em uma tentativa de contornar a exigência do GDPR da UE para consentimento explícito .
A decisão avaliou a questão de saber se, para fins de anúncios personalizados, a Meta forneceu aviso suficiente aos usuários sobre como seus dados seriam usados e se o fez de forma transparente.
Na sequência da decisão do EDPB o DPC disse [PDF] “uma falha de um controlador em aderir aos requisitos de transparência provavelmente terá como resultado direto que o titular dos dados seja enganado.” (parágrafo 130)
A DPC também tentou vincular a notificação da Meta entre categorias específicas de dados, as finalidades do tratamento e a base legal em que se baseou. Ele não conseguiu encontrar tal conexão.
“A Política de Dados e material relacionado às vezes … demonstram um excesso de oferta de informações generalizadas e de nível muito alto, em detrimento de uma entrega mais concisa e significativa das informações essenciais necessárias para que o titular dos dados entenda o processamento que está sendo realizado e exerça sua direitos de uma forma significativa”, disse.
Ele também disse que o aviso de privacidade “informações generalizadas e repetitivas, em combinação com [its] forma circular… carece de clareza e concisão, o que, por sua vez, significa que é difícil para os usuários identificar ou ter informações significativas.”
Tudo isso tornou “impossível para o usuário identificar com qualquer grau de especificidade qual processamento é realizado em quais dados”, disse o DPC.
“A DPC realmente não gostou do aviso de privacidade da Meta”, apontou Joe Jones, diretor de pesquisa e insights da comunidade de privacidade IAPP, enquanto tuitava a decisão ao vivo.
‘Discordância maciça entre o DPC irlandês e o EDPB’
No uma afirmaçãonoyb argumentou que a decisão da DPC deixou claro que as autoridades de proteção de dados austríacas, alemãs, francesas, italianas, holandesas, norueguesas, polonesas, portuguesas e suecas haviam levantado objeções formais contra a própria decisão da DPC.
A DPC nem se preocupou em alterar a decisão e adaptar suas posições, mas simplesmente copiou a posição da EDPB na decisão anterior, alegou.
Schrems disse: “A decisão parece um dever de casa em que o aluno nem mesmo se preocupou em corrigir os erros, mas apenas copiou as correções do professor em um texto.”
Como a decisão “não parece dar conta integralmente das reclamações da noyb” e “não abrange questões como a utilização de dados pessoais para melhoria da plataforma do Facebook ou para conteúdos personalizados”, disse o grupo, pode ter que apelar. a decisão por estes motivos.
Strong The One deu ao DPC a oportunidade de comentar. ®
.