Los observadores de la privacidad deseosos de profundizar en el razonamiento regulatorio que sustenta dos decisiones importantes contra Meta a principios de este mes, que anularon el reclamo de necesidad contractual de Facebook e Instagram como una base legal válida para ejecutar publicidad conductual en los usuarios de la Unión Europea, ahora pueden revisar el detalle después de que el demandante, grupo de derechos de privacidad noyb, publicara los documentos de la decisión en línea.
Puede encontrar la decisión de Facebook de 188 páginas aquí y la decisión de Instagram de 196 páginas aquí, las cuales presentan redacciones realizadas por Meta, ya que se le permitió eliminar información comercialmente confidencial, por lo que faltan algunos detalles interesantes.
(Por ejemplo, se ha tachado un párrafo del documento de Facebook en el que la empresa proporciona una estimación de cuánto tiempo llevará aplicar las órdenes de cumplimiento, junto con otra oración de esta sección en la que se detalla el trabajo involucrado. Así que solo puedo especular si las palabras realmente se han cubierto aquí, o solo una línea de emojis gritando).
El principal regulador de protección de datos de Meta, la Comisión Irlandesa de Protección de Datos (DPC), emitió las decisiones finales, pero solo después de más de un año de disputas con las APD de la UE que no estaban de acuerdo con su proyecto de decisión (que no se opuso a que Meta alegara la necesidad contractual de microtarget). anuncios); y, por último, tras incorporar una decisión vinculante del Consejo Europeo de Protección de Datos (EDPB), que resolvió la disputa al obligar al DPC a rechazar el reclamo de necesidad contractual de Meta.
El EDPB también exigió a Meta que aumentara sustancialmente el tamaño de la sanción financiera emitida a Meta por infringir el Reglamento General de Protección de Datos (GDPR) de la UE.
Entonces, si bien el nombre y la marca del DPC irlandés se encuentran en estos documentos, son producto de un proceso de corregulación integrado en el RGPD, a través de un mecanismo de cooperación para tratar casos transfronterizos.
Los detalles en el documento ya están impulsando nuevos ataques contra el DPC por su enfoque muy criticado para la aplicación de GDPR, y nadie cuestiona por qué el regulador irlandés ha modificado la decisión (vinculante) de EDPB, que dice que solicitó enperíodo de tres meses para el cumplimiento de la orden desde el momento en que se entregó la orden (también conocido como en algún momento de diciembre) hasta la notificación de la decisión de la DPC (en algún momento de enero). “Esta salida del DPC de la decisión de EDPB parece ser ilegal”, argumenta noyb.
También discrepa de que el DPC aparentemente reduzca el alcance de la decisión del EDPB, para limitarla a Procesamiento solo para publicidad.
“Parece que otros aspectos de la denuncia no fueron tratados por la DPC, lo que en sí mismo puede ser ilegal”, sugiere.
Noyb también expresa su preocupación por el nivel de sanción financiera impuesta por el regulador irlandés, que el EDPB exigió al DPC que reevaluara y aumentara sustancialmente de acuerdo con su decisión vinculante de que hubo una violación de la base legal (y del principio de equidad del RGPD). ), no solo de transparencia como decidió inicialmente el DPC.
El grupo de privacidad señala que el regulador irlandés ha optado por aplicar la sanción más pequeña en relación con «el procesamiento ilegal real de datos personales de millones de usuarios de la UE»: solo 60 millones de euros en el caso de Facebook y 50 millones de euros en el caso de Instagram, que representa una pequeña fracción de los ingresos que Meta ha podido generar durante este período mientras procesaba ilegalmente los datos de las personas.
Noyb continúa advirtiendo que es posible que las decisiones del DPC no pongan fin a un caso que ya ha acumulado más de 4,5 años desde que se presentaron las quejas originales de «consentimiento forzado» en mayo de 2018, ya que argumenta que los hallazgos del regulador no parecen resolverse por completo. tratar sus quejas, ya que las decisiones se centran en anuncios personalizados y no cubren cuestiones como el uso de datos personales para mejorar la plataforma de Facebook o para contenido personalizado (que también requieren una base legal válida según la legislación de la UE).
Otro problema que noyb destaca es la negativa del DPC a realizar investigaciones adicionales solicitadas por el EDPB, algo que el DPC cuestiona como extralimitación jurisdiccional y busca anular, como informamos a principios de este mes.
También señala otro conflicto que, según dice, podría llevarlo a apelar la decisión, señalando que bajo la ley austriaca o alemana (también conocida como la ley que se aplica a noyb), la queja define el alcance del procedimiento, mientras que dice que el DPC cree que, según la ley irlandesa, puede limitar el alcance de una queja y agrega: “noyb puede tener que apelar la decisión por estos motivos”.
El DPC ha sido contactado para hacer comentarios.