Meta eludió una multa de privacidad de € 4BN por anuncios ilegales, argumenta el demandante de GDPR

Una multa de privacidad de 390 millones de euros para Meta anunciada a principios de este mes en la Unión Europea, por publicar anuncios de comportamiento en Facebook e Instagram en la región sin una base legal válida, fue varios miles de millones de dólares más pequeña de lo que debería haber sido, y órdenes de magnitud demasiado pequeños. ser un elemento disuasorio para que otros rompan las leyes de privacidad del bloque, según la organización sin fines de lucro que presentó la queja original sobre el “consentimiento forzado” de Facebook en mayo de 2018. Esta semana, el grupo de derechos de privacidad, noyb, ha escrito a la Junta Europea de Protección de Datos (EDPB) para armar un nuevo escándalo, argumentando que el regulador irlandés que emitió la decisión final sobre su queja contra los anuncios de Meta no siguió las instrucciones de la Junta para investigar los beneficios financieros que obtuvo del procesamiento ilegal de datos. Argumenta que la Comisión Irlandesa de Protección de Datos (DPC) no implementó la decisión vinculante de EDPB de diciembre, que instruyó al regulador tanto para encontrar la base legal que Meta había reclamado para publicar anuncios de comportamiento ilegales como para aumentar significativamente el tamaño de la multa que tenía el DPC. propuesto en su anterior proyecto de decisión. En la decisión final que emitió el DPC a principios de este mes, el DPC se negó a actuar según las instrucciones de la Junta para determinar una estimación del beneficio financiero que obtuvo Meta al dirigirse a los usuarios de la UE con anuncios conductuales en violación de la ley de protección de datos de la UE. Y aunque el regulador irlandés aumentó el nivel de la multa a Meta a 390 millones de euros, frente a los 28 a 36 millones de euros que había propuesto originalmente por fallas en la transparencia, la multa revisada no refleja la gravedad de la violación sistemática de los derechos fundamentales de los usuarios europeos. derechos, per noyb, ni implementa el requisito de la Junta de que el DPC determine los beneficios financieros ilegales acumulados por Meta al publicar anuncios que violan la ley de privacidad de la UE. noyb señala que, según las directrices de EDPB sobre el cálculo de multas (y el texto de la decisión final emitida por el DPC que incorpora las decisiones vinculantes de la Junta), el regulador irlandés necesitaba garantizar que cualquier multa “contrarrestara”.[e] las ganancias de la infracción” y también “imponer una multa que exceda ese [unlawfully obtained] Monto”. “En ausencia de instrucciones, el [DPC] no puede determinar una estimación de los asuntos identificados anteriormente. En consecuencia, no puedo tener en cuenta estos asuntos a los efectos de esta evaluación”, así es como Helen Dixon, del DPC, desestimó secamente las instrucciones de la EDPB: unas pocas líneas de texto que esencialmente permitieron que Meta se librara de lo que noyb calcula que debería haber sido. una sanción establecida en el máximo posible según el Reglamento General de Protección de Datos (GDPR) de la UE: 4% de los ingresos anuales. (O más de 4.000 millones de euros en el caso de Meta). La carta de noyb explica cómo ha estimado los ingresos totales que Meta generó, durante el período de infracción de más de 4,5 años, en los usuarios del Espacio Económico Europeo (EEE), una cifra que sitúa en alrededor de € 72.5BN. Dice que llegó a esta estimación al observar los informes financieros de la compañía que cotiza en bolsa (y ajustar las cifras de ingresos para reflejar solo a los usuarios en el EEE, no en el continente europeo en su conjunto), preguntando por qué el mucho más numeroso personal de DPC no podría haber hecho lo mismo “Si bien la ‘publicidad conductual’ no constituye todos los ingresos de la publicidad general de Meta, está claro que, en cualquier escenario realista, los ingresos de la ‘publicidad conductual’ en la UE superaron el máximo [possible, under GDPR] multa de 4.360 millones de euros”, argumenta también noyb. En un comunicado, su presidente honorario, Max Schrems, agrega: “Al no verificar siquiera la información disponible públicamente, el DPC le regaló 3.970 millones de euros a Meta”. “Nos llevó una hora y una hoja de cálculo hacer el cálculo”, continuó. “Estoy seguro de que a los contribuyentes irlandeses no les importaría tener ese dinero extra si un empleado de la DPC hubiera abierto un motor de búsqueda e investigado un poco”. solicitar al controlador de datos cualquier información requerida para el desempeño de sus tareas, lo que podría haberle proporcionado una ruta precisa para estimar qué tan rico se hizo Meta al procesar ilegalmente los datos de los europeos. “Dado que las SA [supervisory authorities] solo puede multar en función de los ingresos del último año, y el DPC irlandés ha tardado más de 4,5 años en emitir una decisión final, Meta ha obtenido ingresos sustanciales por violar la ley, incluso si la multa máxima del 4% de la facturación anual se aplica”, continúa Noyb. “Los ingresos estimados de los anuncios en el EEE de 72 530 millones de euros solo se reducirían a 68 170 millones de euros si se aplicara el 4 % completo. Esto claramente hace que incluso una multa máxima del 4% no sea ni remotamente “efectiva, proporcionada y disuasoria” en comparación con los ingresos ilegales obtenidos por Meta IE. [Ireland]. “Sin embargo, el EDPB y el DPC están obligados por los artículos 83 (1), (2) (k) y (5) del RGPD al mismo tiempo, lo que significa que la multa máxima del 4 % no puede sobrepasarse, sino que también debe utilizarse en su totalidad. para cumplir con los requisitos contradictorios del RGPD”. Entonces, tl; dr, incluso la sanción financiera máxima posible bajo GDPR no habría sido ni remotamente disuasoria para Meta en términos financieros, dado cuánto más dinero estaba acuñando al pisotear la privacidad de los usuarios europeos. Sin embargo, el truco es que Meta ni siquiera fue multado con esa cantidad máxima (inadecuada). ¡Jajaja! La carta de noyb presenta una evaluación claramente calculada y, francamente, condenatoria de las fallas de aplicación de alto perfil en el RGPD. Las fallas que permiten a las grandes tecnológicas jugar con el sistema buscando en el foro reguladores ‘amigables’ que pueden encontrar infinitas formas de rumiar las quejas y convertir las afirmaciones de protocolo y procedimiento en un baile completo de coqueteo y demora, y cuyas decisiones convenientes pueden , en última instancia, se puede confiar para ayudar a minimizar cualquier daño, en una burla cínica del debido proceso que ha convertido el marco de protección de datos insignia de la UE en un tigre de papel en lo que respecta a los derechos de los usuarios de Big Tech. noyb pide al EDPB que tome “medidas inmediatas” contra el DPC, para garantizar que su decisión vinculante “se implemente completamente en [or, well, by] Irlanda”. “Dada la clara evidencia de que Meta IE [Ireland] se ha beneficiado de la infracción del artículo 6, apartado 1, del RGPD por encima de la multa máxima del 4 % prevista en el artículo 83, apartado 5, del RGPD y del claro incumplimiento por parte del DPC irlandés de la decisión vinculante a este respecto, instamos al EDPB y a sus miembros tomar medidas inmediatas contra el DPC irlandés para garantizar que la decisión del EDPB se implemente por completo en Irlanda”, insta. Sin embargo, esta (meta – ¡ja!) queja de noyb, sobre el resultado de su queja de 2018 sobre los anuncios de Meta, probablemente llegue al final del camino en lo que respecta a los reguladores. Próxima parada: ¿Litigio al estilo de una demanda colectiva? La llamada de noyb se une a una pila de quejas (y acciones legales) que apuntan a la falla del regulador irlandés en hacer cumplir rigurosamente el RGPD contra los modelos comerciales abusivos de Big Tech, incluido el litigio por inacción (también frente a la industria de anuncios conductuales) y una acusación de delito. corrupción (también de noyb), por nombrar dos del aluvión de hondas y flechas disparadas contra el DPC desde que el RGPD entró en aplicación (en papel) y los denunciantes iniciaron el reloj en su interminable espera por la aplicación. Se contactó al DPC para hacer comentarios sobre la queja de noyb al EDPB, pero se negó a ofrecer una respuesta. También nos pusimos en contacto con la EDPB. Una portavoz de la Junta nos dijo que “toma nota” de la carta de noyb, pero declinó hacer más comentarios en este momento. Queda por ver qué acción, si alguna, tomará el cuerpo de dirección. Sus poderes son limitados en este contexto, ya que su competencia para intervenir en el proceso de aplicación de GDPR se relaciona con cualquier objeción planteada al proyecto de decisión de un supervisor principal (como sucedió en el caso de Meta ads). Después de que se emite una decisión final, la Junta no lleva a cabo una reevaluación completa de un caso. Entonces, la posibilidad de que pueda hacer mucho más aquí parece escasa. La legislación de la UE consagra la independencia de los reguladores de protección de datos de los Estados miembros, por lo que la Junta esencialmente tiene que trabajar con lo que se le indique en un proyecto de decisión (y/o cualquier objeción planteada por otras APD). Es por eso que el DPC también ve beneficios en impugnar la parte de la decisión vinculante de la Junta que le ordenó investigar más a fondo el procesamiento de datos de Meta, ya que argumenta que es una extralimitación jurisdiccional. Esta estructura significa efectivamente que un DPA líder puede hacer un trabajo considerable para dar forma a los resultados de GDPR que impactan a los usuarios de todo el bloque, para empezar, minimizando lo que investigan y luego, incluso si abren una investigación, analizando de manera estrecha estas consultas y limitando lo que tienen en cuenta en sus decisiones preliminares. En el caso de Meta, el DPC no proporcionó ningún dato sobre el beneficio financiero estimado que obtuvo de sus anuncios conductuales ilegales. Lo cual, una vez más, parece terriblemente conveniente para el gigante tecnológico. Si bien no hay mucho que los usuarios de Internet puedan hacer sobre una brecha de aplicación tan grande, aparte de esperar que los financiadores de litigios intervengan y provoquen más demandas de estilo colectivo para demandar por daños y perjuicios en estas infracciones importantes, los propios legisladores de la UE deberían estar muy preocupados. Preocupado porque una pieza emblemática del libro de reglas digitales de la UE, que ahora también es un componente clave en el corazón de un tapiz de regulaciones en expansión que el bloque ha estado construyendo en los últimos años en torno a la gobernanza de datos, para tratar de fomentar la confianza y hacer que fluyan más datos con la esperanza de impulsar una revolución en la innovación de IA de cosecha propia, está demostrando ser una gelatina frente al incumplimiento sistemático de la ley. Las reglas que no pueden proteger o corregir no van a impresionar a nadie a largo plazo. Y eso significa que el tigre de papel aún puede tener algunos dientes: si las fallas en la aplicación de GDPR siguen acumulándose, el sabor amargo que les queda a los ciudadanos de la UE cansados ​​​​de ver pisoteados sus derechos podría correr el riesgo de derrocar la confianza de las personas en todo el ‘proyecto europeo’ cuidadosamente construido.