El asediado regulador de protección de datos de Irlanda, el DPC, ha anunciado la presentación de un proyecto de decisión enviado a otras APD de la UE el viernes en relación con una investigación del Reglamento General de Protección de Datos (GDPR) sobre el manejo de datos de niños por parte de Instagram que se abrió hace más de un año.
El DPC anunció dos investigaciones legales sobre Instagram, en octubre de 2020, analizando cómo el gigante de las redes sociales procesa la información de los niños luego de una serie de quejas, incluida una investigación que dijo que examinaría la base legal de las afirmaciones de Facebook para procesar los datos de los niños en Instagram, y si existen o no “garantías adecuadas”.
La segunda consulta estaba programada para examinar el perfil de Instagram y la configuración de la cuenta, analizando la “adecuación” de la configuración para los niños, para quienes el RGPD establece un estándar muy alto de protección de datos en principios clave como “Protección de datos por diseño y predeterminado”.
En una declaración de hoy, el comisionado adjunto de DPC, Graham Doyle, confirmó que el regulador ha entregado la batuta a otras autoridades de protección de datos (DPA) de la UE para que intervengan, escribiendo:
Como autoridad supervisora principal de Facebook/Instagram, abrimos esta consulta en septiembre de 2020. Se inició en respuesta a la información proporcionada al DPC por un tercero, y también en relación con los problemas identificados por el DPC luego del examen del usuario de Instagram. Proceso de registro. La semana pasada presentamos nuestro proyecto de decisión a nuestros colegas para conocer sus opiniones al respecto. Esto es parte del proceso en virtud del artículo 60 del RGPD, en el que enviamos proyectos de decisión a otras autoridades de control competentes y tienen un mes para enviarnos sus “objeciones razonadas y pertinentes”. Esta es la séptima consulta de DPC que ha llegado a la etapa del Artículo 60 en virtud del RGPD. Además de esta consulta de Instagram, otras dos consultas de DPC en Facebook se encuentran actualmente en la etapa del Artículo 60.
La presentación de un proyecto de decisión por parte de una autoridad supervisora principal es una parte estándar del proceso regulatorio para casos de GDPR transfronterizos. Permite que otros DPA revisen las conclusiones del DPA principal y presenten objeciones si no están de acuerdo, como ha sucedido con todos los demás borradores de decisiones de GDPR de DPC relacionados con la gran tecnología.
Las únicas dos decisiones finales emitidas por Irlanda en tales casos hasta el momento, en Twitter y WhatsApp, pasaron por este proceso de revisión del Artículo 60 y ambas recibieron objeciones que llevaron a mayores sanciones (sustancialmente mayores en el caso de WhatsApp) frente a la sugerencia de bola más baja de el DPC.
Es probable que el proyecto de decisión de Irlanda sobre Instagram enfrente un rechazo similar por parte de otros supervisores de datos en todo el bloque. Aunque el DPC mantiene sus conclusiones en secreto.
En términos de marco de tiempo, podría tomar más de medio año antes de que se resuelva una decisión final sobre la queja de Instagram, a juzgar por cuánto tiempo ha llevado el proceso para reelaborar las decisiones preliminares del DPC.
En el caso de Twitter, la DPC presentó un proyecto de decisión en mayo de 2020 y se emitió una decisión final en diciembre del mismo año. Si bien el borrador de WhatsApp se presentó en enero de 2021, se tomó hasta septiembre para acordar la multa de $ 267 millones para WhatsApp.
Por lo tanto, es posible que la decisión final sobre Instagram no llegue antes de mediados de 2022.
Mientras tanto, la red social enfrenta una presión de alto nivel en su país de origen por su impacto en usuarios vulnerables como los adolescentes, luego de las revelaciones de la denunciante de Facebook, Frances Haugen, quien filtró miles de documentos internos a los medios este otoño, incluida una investigación que parece para mostrar que la plataforma tiene un impacto tóxico en la imagen corporal de las adolescentes.
Y en septiembre, en medio de una ola de prensa negativa y reacciones críticas, Instagram anunció que estaba “deteniendo” el desarrollo de una versión de su servicio prevista para menores de 13 años.
Esta semana, el jefe de Instagram, Adam Mosseri, fue llamado a declarar ante el Senado de los EE. UU., como parte de una serie de audiencias sobre la seguridad en línea para niños y adolescentes. Y antes de esa audiencia, la plataforma acaba de anunciar una lista de nuevas funciones de seguridad para “jóvenes”, incluidas sus primeras herramientas para padres (que estarán disponibles a principios del próximo año).
Entonces, cualquiera que sea la decisión de GDPR que finalmente surja de las investigaciones de Instagram dirigidas por Irlanda, Meta podrá afirmar que la plataforma ha avanzado en la forma en que maneja los datos de los niños, y que cualquier aplicación que ordene la UE ya está desactualizada.
Críticas al trabajo cercano de DPC con Meta
El momento de la notificación pública del DPC sobre la presentación del borrador de Instagram se produce cuando el regulador se enfrenta a una tormenta de nuevas críticas por su estrecha colaboración con Facebook/Meta: también conocido como el gigante tecnológico propietario de Instagram y sobre cuyo imperio de extracción de datos tiene el DPC. (en papel) una función de supervisión principal, gracias al mecanismo de ventanilla única (OSS) del RGPD (forum shopping-friendly).
UN documento publicado el domingo por el grupo europeo de campaña de privacidad noyb detalla una intervención del DPC que está claramente alineada con los intereses de Facebook, ya que se puede ver al regulador presionando para que lo que noyb factura como una “omisión de consentimiento” se escriba en las pautas de GDPR de EDPB.
Claramente alineado porque Facebook de hecho ha tratado de jugar con el cumplimiento de GDPR al cambiar de una base legal basada en el consentimiento para procesar los datos de los usuarios para la orientación de anuncios (lo cual es legalmente problemático ya que Facebook no ofrece a los usuarios la libertad de elegir si aceptan anuncios de comportamiento o no). ; de hecho, no hay otra opción a menos que deje de usar Facebook por completo; sin embargo, para que el consentimiento sea legal según el RGPD, debe ser específico, informado y otorgado libremente… ) — a, como la regulación entró en vigencia en 2018, la omisión del consentimiento antes mencionada mediante la cual cambió a una afirmación de que los usuarios de sus servicios en realidad tienen un acuerdo contractual con él para recibir anuncios dirigidos… Lo que sería un gran robo de datos personales para llevar a cabo, si ese cambio fuera aceptado por los reguladores europeos de protección de datos.
De hecho, noyb ha estado desafiando a Facebook por este “consentimiento forzado” desde mayo de 2018, cuando presentó sus primeras quejas de GDPR.
El DPC aún tiene que decidir sobre la queja, pero el regulador tiene la intención de aceptar la omisión de consentimiento de GDPR de Facebook, según un borrador de decisión que noyb publicó en octubre.
La organización sin fines de lucro siguió esa revelación al presentar un cargo de corrupción criminal contra el DPC el mes pasado, acusando al regulador de “chantaje procesal” y revelando que había escrito a noyb exigiendo que anulara el proyecto de decisión. El DPC también presionó a noyb para que firmara una orden de no divulgación en relación con el procedimiento en curso contra Facebook, y la correspondencia del regulador implicaba que excluiría a noyb como parte del proceso de GDPR en curso si no aceptaba la demanda general de confidencialidad.
Noyb argumenta que no existe una base legal para que el DPC amordace el proceso de supervisión de esta manera. (De hecho, literalmente le pide al regulador que presente una demanda en su contra para que pueda impugnar cualquier reclamo de este tipo en los tribunales).
Ha redoblado las críticas a los intentos del DPC de hacer cumplir la confidencialidad al publicar más documentos cada domingo antes de Navidad, para arrojar más luz sobre la función interna (y, según los críticos, la disfunción) del DPC.
El regulador ha respondido con extensas refutaciones que, sin embargo, no abordan los puntos legales fundamentales planteados por noyb (por ejemplo, consulte las actualizaciones de este informe).
Hoy la DPC ha emitido una nueva declaración pública — en el que niega haber actuado de “mala fe a raíz de las reuniones que mantuvo con Facebook como parte de su función reguladora”; niega haber “presionado” al Consejo Europeo de Protección de Datos (EDPB) para tratar de que adoptara pautas que habrían sido “en el mejor interés” de Facebook; y otras afirmaciones: “[noyb’s] las acusaciones son completamente falsas”.
Sin embargo, su declaración admite haber proporcionado a Facebook, entre finales de 2017 y marzo de 2018, lo que el regulador caracteriza como “retroalimentación de alto nivel” con respecto al “programa de preparación de GDPR” de Facebook.
Le hemos pedido al DPC más detalles sobre los comentarios que proporcionó a Meta/Facebook durante este período.
La declaración del DPC continúa negando que haya ayudado a Facebook a desarrollar la omisión de consentimiento de GDPR, y el regulador escribe: “[A]En ningún momento en el curso de su compromiso con Facebook… el DPC aprobó, desarrolló, respaldó, consintió o negoció conjuntamente las operaciones de procesamiento de Facebook. Tampoco se debe enfatizar si el DPC en algún momento sugirió o insinuó a Facebook que el Artículo 6(1)(b) [“processing is necessary for the performance of a contract”] era una base legal apropiada sobre la cual basar sus operaciones de procesamiento”.
Sin embargo, la declaración del DPC parece confirmar que discutió el potencial de Facebook basándose en el Artículo 6(1)(b), también conocido como trasladar el consentimiento a los T&C como una cláusula del contrato, como una estrategia para el cumplimiento de GDPR, ya que el regulador especifica que “no hubo discusiones sobre este asunto… solo en la medida en que sondear a Facebook sobre sus consideraciones con respecto al Artículo 6(1)(b) y buscar la justificación de su razonamiento legal”.
Actualizaremos este informe si el DPC envía aclaraciones adicionales sobre estas discusiones.
Source link