12 de maio de 2023 é o prazo para o principal regulador de privacidade da Europa, Meta, tomar uma decisão final sobre uma reclamação de quase uma década contra as transferências de dados pessoais do Facebook da UE para os EUA que poderiam forçar a empresa a interromper o fluxo de dados.
A Comissão Irlandesa de Proteção de Dados (DPC) confirmou que tomará sua decisão final hoje.
No entanto, é normal que haja mais atrasos (pouco mais de uma semana) até que a decisão seja tornada pública. A data oficial de lançamento é 22 de maio, supondo que os detalhes não vazem.
O atraso na publicação da decisão adotada deve-se ao facto de a Meta ter tempo para rever o documento para identificar informações confidenciais e/ou comercialmente sensíveis que queira redigir, por um lado, e devido a um feriado que afeta outro regulador da UE envolvido.
A data de 12 de maio para a adoção da decisão final da DPC sobre a reclamação segue um cronograma estabelecido por uma decisão de solução de controvérsias tomada pela DPC. Conselho Europeu de Proteção de Dados o mês passado.
Aplicando mecanismos incorporados ao Regulamento Geral de Proteção de Dados (GDPR), o Conselho interveio para resolver a divergência entre vários reguladores da UE sobre o conteúdo da decisão: tomar uma decisão vinculativa sobre transferências de meta e dar ao DPC um mês para implementá-la.
A decisão de resolução de disputas do Conselho ainda não é conhecida, pois não foi tornada pública enquanto se aguarda a decisão final do DPC (que a implementará), portanto, o destino dos fluxos de dados europeus do Facebook ainda está em jogo. .
Dito isto, espera-se que a Meta seja condenada a suspender os fluxos de dados, uma vez que a empresa recebeu uma ordem preliminar de suspensão da DPC, no outono de 2020.
Naquela época, a empresa obteve uma suspensão do processo da DPC, o que ajudou a atrasar o cronograma de implementação do GPRD até que os tribunais irlandeses rejeitassem a contestação da Meta. Seguiram-se mais atrasos, quando o projeto de decisão do DPC sobre o caso enfrentou objeções de outras autoridades de proteção de dados da UE, que foram finalmente resolvidas pela decisão vinculativa do EDPB no mês passado.
Isto significa que o processo de contestação ao regulamento está a esgotar-se, mas espera-se que a Meta conteste qualquer ordem de suspensão nos tribunais irlandeses.
A empresa tentou continuamente minimizar a situação, alegando em sua última declaração que "relaciona-se a um conflito histórico entre as leis da UE e dos EUA, que está em processo de resolução". O que é uma referência a um projeto de acordo entre os dois legisladores para uma nova estrutura transatlântica de transferência de dados de alto nível destinada a resolver o conflito entre as práticas de vigilância dos EUA e os direitos de proteção de dados da UE.
No entanto, esta estrutura de privacidade de dados UE-EUA, como o acordo foi chamado, ainda está sob revisão pelas instituições da UE, que levantaram preocupações de que não possui salvaguardas fortes o suficiente. E apenas esta semana, os legisladores do Parlamento Europeu reiteraram um apelo à Comissão para que demore mais tempo a melhorar a proposta, sugerindo que pode haver mais atrasos na adoção de um acordo no qual a Meta parece estar apostando para salvar suas transferências de dados.
Embora a questão da suspensão de dados seja a principal questão deste caso GDPR, outros elementos importantes a serem considerados na decisão final da Irlanda incluem se a Meta receberá ou não ordens para excluir dados de usuários europeus se descobrir que eles foram transferidos ilegalmente para os EUA. .
Em março, MLex reportado que pelo menos duas autoridades de proteção de dados estavam fazendo lobby para isso, e que a Meta estava fazendo lobby nas instituições da UE contra tal movimento.
Além disso, documentos internos vazados no ano passado sugeriram que as práticas de gerenciamento de dados da gigante da tecnologia são, para dizer educadamente, uma bagunça. Portanto, a facilidade com que o Meta poderia identificar e isolar os dados do usuário europeu, se solicitado a removê-los, é uma grande (e muito cara) consideração/complicação.
Por que isso é tão importante? Bem, como lembrete, soubemos recentemente de uma decisão do tribunal federal de que o Facebook parece não ter como limpar retroativamente os dados do usuário. Eles disseram que levaria até um ano para obter todos os dados de um usuário.
Jason Kint (@jason_kint) 11 de maio de 2023
A Meta, é claro, também pode ser multada se for descoberto que transferiu dados ilegalmente.
O GPRD pode aplicar multas de até 4% do volume de negócios anual global, embora, até o momento, a Meta tenha tido um sucesso considerável em receber multas bem abaixo do máximo teórico.
O grupo de defesa dos direitos de privacidade, noyb, cujo fundador Max Schrems está por trás da reclamação contra a transferência de dados UE-EUA do Facebook, escreveu ao EDPB (Conselho Europeu para a Protecção de Dados) em janeiro para reclamar do valor da multa que a DPC recebeu no início deste ano. , sobre o processamento ilegal de dados de anúncios, argumentando que a penalidade de € 390 milhões era insignificante em comparação com a escala das violações (na verdade, ele sugeriu que ficou aquém de € 3500 bilhões).
De facto, a Irlanda tinha proposto um nível de multa muito mais baixo para essa infração, entre 28 e 36 milhões de euros, mas o regulador foi forçado a aumentá-lo para implementar a decisão vinculativa do EDPB.
Sem essa intervenção do Conselho, a Meta teria enfrentado uma situação ainda mais GDPR é fraco por processar milhões de dados ilegalmente Personagens europeus para publicidade comportamental. Portanto, será interessante ver qual nível de penalidade (se houver) está incluído na decisão final da Irlanda sobre as transferências de dados do Facebook.
Dito isso, penalidades financeiras impostas a gigantes da tecnologia costumam ser menos interessantes do que ordens operacionais que têm o potencial de forçar mudanças em modelos de negócios abusivos. E embora a Meta continue a extrair dados de usuários europeus para segmentação de anúncios comportamentais, ela foi pelo menos forçada a oferecer uma opção de exclusão como resultado da aplicação do GPRD mencionada acima. Algo que ele nunca fez antes.
Como a Meta pode ser forçada a modificar seu modelo de negócios para corrigir transferências transatlânticas ilegais de dados é uma questão em aberto.
Mas não há dúvida de que ele fará o possível para lutar contra qualquer ordem de suspensão na Justiça, então pode dar um jeito de adiar ter que agir o suficiente para que o quadro completo da meta se mova com a chegada de uma nova adequação de dados dos EUA. acordo.
Caso contrário, os custos serão reais e significativos.
Em uma apresentação de resultados com investidores no mês passado, a empresa admitiu que uma ordem para suspender o fluxo de dados da Europa poderia afetar 10% de sua receita publicitária global.
Ele obviamente espera que não chegue a esse ponto e está confiante de que o novo mecanismo de transferência de dados UE-EUA será adotado bem a tempo. Um porta-voz da empresa se recusou a discutir as contingências se for ordenado a suspender os fluxos de dados, apontando para o "progresso" que os políticos fizeram em direção a um novo pacto.
Mas mesmo que o acordo de alto nível chegue em breve para evitar o fechamento do Facebook na Europa este ano, Schrems sugere que a nova estrutura de alto nível "provavelmente" será derrubada pelo tribunal superior do bloco, como foram os dois acordos anteriores. , então ele estima que a Meta só "compraria mais dois anos ou mais" de expansão antes que o assunto surgisse novamente.
Para uma solução de longo prazo, ele sugeriu que a Meta precisará federar a infraestrutura do Facebook. Mas uma remodelação tão grande do seu negócio obviamente também seria muito cara.
