Quase duas dúzias de grupos da sociedade civil e organizações sem fins lucrativos escrevi uma carta aberta ao Conselho Europeu de Proteção de Dados (EDPB), instando-o a não endossar uma estratégia usada pela Meta que, segundo eles, visa contornar as proteções de privacidade da UE para ganhos comerciais.
A carta chega antes de uma reunião do EDPB esta semana que deverá produzir orientações sobre uma tática controversa usada pelo Meta que força os usuários do Facebook e Instagram a consentirem com seu rastreamento.
Muitos dos signatários, que incluem empresas como EDRi, Access Now, noyb e Wikimedia Europe, assinaram uma carta aberta semelhante ao EDPB em fevereiro. Mas espera-se que o Conselho adote um parecer sobre “consentimento ou pagamento” (ou seja, “pagamento ou ok”) já nesta quarta-feira, então esta é provavelmente a última chance para os grupos de direitos humanos influenciarem corações e mentes sobre uma questão que alertam. é “fundamental” para o futuro da proteção de dados e da privacidade na Europa.
“Enquanto você se prepara para definir diretrizes sobre o modelo ‘Consentimento ou Pagamento’, pedimos que você evite endossar uma estratégia que seja apenas um esforço para contornar os regulamentos de proteção de dados da UE em prol de vantagens comerciais e defenda proteções robustas que priorizar a agência dos titulares dos dados e o controle sobre suas informações”, diz a carta aberta. “Enfatizar a necessidade de uma escolha genuína e de um consentimento significativo alinha-se com os princípios fundamentais da legislação de proteção de dados, o contexto mais amplo de todas as decisões relevantes do TJUE e serve para defender os direitos fundamentais dos indivíduos em todo o EEE [European Economic Area]”, continuou.
O porta-voz da Meta, Matthew Pollard, disse em um comunicado por e-mail que a oferta da empresa, que chama de “Assinatura sem anúncios”, está em conformidade com as leis da UE: “’Assinatura sem anúncios’ aborda os mais recentes desenvolvimentos regulatórios, orientações e julgamentos compartilhados pelos principais líderes europeus reguladores e os tribunais nos últimos anos. Especificamente, está em conformidade com a orientação dada pelo mais alto tribunal da Europa: em julho, o Tribunal de Justiça da União Europeia (TJUE) aprovou o modelo de assinaturas como uma forma de as pessoas consentirem no processamento de dados para publicidade personalizada.”
Uma série de reclamações foram apresentadas contra a implementação da tática de pagamento ou consentimento pela Meta desde que lançou a oferta de assinatura “sem anúncios” no outono passado. Além disso, num passo notável no mês passado, a União Europeia abriu uma investigação formal sobre a táctica da Meta, procurando descobrir se esta viola as obrigações que se aplicam ao Facebook e Instagram ao abrigo da Lei dos Mercados Digitais (DMA) focada na concorrência. Essa investigação continua em andamento.
A UE também questionou recentemente a Meta sobre “consentir ou pagar”, usando os seus poderes de supervisão que lhe permitem monitorizar a conformidade das plataformas maiores com a Lei dos Serviços Digitais (DSA), um regulamento irmão da DMA, que também se aplica às redes sociais da Meta, Facebook e Instagram.
Espera-se que a opinião do Conselho sobre “consentimento ou pagamento” forneça orientações sobre como o Regulamento Geral de Proteção de Dados (GDPR) da UE deve ser aplicado nesta área. No entanto, também parece relevante para o DMA, uma vez que a nova lei de contestabilidade do mercado se baseia no quadro de protecção de dados do bloco – referindo-se a conceitos estabelecidos no GDPR, como o consentimento.
Isto significa que a orientação do EDPB, um órgão diretor focado no GDPR, sobre como – ou, de fato, se – os modelos de “consentimento ou pagamento” podem cumprir as regras de proteção de dados da UE provavelmente terá um significado mais amplo para saber se o mecanismo é, em última análise, considerado compatível pela Comissão na sua avaliação da abordagem da Meta ao DMA.
Vale a pena notar que a opinião do Conselho analisará “consentimento ou pagamento” em geral, em vez de investigar especificamente a implantação do Meta. A Meta também não é o único provedor de serviços que impõe “consentimento ou pagamento” aos usuários. Na verdade, a tática foi pioneira em alguns editores de notícias europeus.
No entanto, é provável que tenha implicações importantes para o gigante das redes sociais. Isso poderia tornar mais difícil para o Meta alegar que sua tática de assinatura é compatível com o GDPR ou, se o EDPB acabar endossando um modelo controverso em que os usuários têm que pagar para obter seus direitos, rolhas de champanhe certamente estourarão em 1 Hacker Way já que o Meta prevalece sobre a privacidade dos europeus.
Os grupos de direitos humanos por trás da carta aberta dizem que escrever duas cartas sobre este assunto com algumas semanas de intervalo reflete “apreensão generalizada sobre as consequências” de “consentimento ou pagamento” ser carimbado pelos reguladores de privacidade.
O grupo de direitos de privacidade, noyb, e outros alertaram que uma luz verde para a táctica abrirá as comportas a aplicações de todos os tipos para alavancar a coerção económica para forçar os utilizadores a serem rastreados – destruindo elementos-chave do regime emblemático de protecção de dados da UE.
A carta aponta para as preocupações expressas pela Comissão após a abertura de uma investigação DMA sobre a implantação de “consentimento ou pagamento” pela Meta, na qual a UE citou dúvidas de que “a escolha binária imposta pelo modelo de ‘pagamento ou consentimento’ da Meta pode não fornecer um alternativa real no caso de os usuários não consentirem” e poderia, portanto, levar a um acúmulo contínuo de dados pessoais e à perda de privacidade dos usuários.
A carta argumenta que o pagamento invocado no modelo de “consentimento ou pagamento” “poderia ser considerado uma degradação das condições de serviço”, o que sugere uma violação do artigo 13(6) do DMA. Essa seção “corresponde ao princípio de equidade nos termos do Artigo 5(1)(a) do GDPR”.
“Dado que ambos os atos se referem ao Artigo 4(11) do GDPR, isso ressalta a necessidade premente de proteger o consentimento dado gratuitamente de forma consistente no contexto do DMA, bem como no âmbito do GDPR”, diz a carta.
A carta observa ainda que a Comissão já expressou dúvidas de que consentimento ou pagamento seja “uma alternativa confiável ao rastreamento”, em relação aos esforços para incentivar as empresas a simplificar os fluxos de consentimento de cookies (também conhecido como “Cookie Pledge”) devido ao número “extremamente limitado” de consumidores que concordam em pagar tendo em conta quantos aplicativos e sites diferentes podem usar a cada dia .
Salienta também que a resposta do CEPD à proposta da Comissão Cookie Pledge continha o que eles consideram um esclarecimento “de que esta opção ‘menos intrusiva’ deve ser oferecida gratuitamente”.
“Esta insistência na escolha genuína do utilizador sublinha o princípio fundamental de que o consentimento deve ser dado livremente”, prossegue. “No entanto, o modelo atual de ‘Consentimento ou Pagamento’ estabelece uma dinâmica coercitiva, deixando os usuários sem uma escolha real. A aceitação contínua deste modelo mina os princípios fundamentais do consentimento e perpetua um sistema que prioriza os interesses comerciais sobre os direitos individuais.”
Uma porta-voz do Conselho confirmou ter recebido “várias cartas” de organizações da sociedade civil sobre este tema. Ela também nos disse que o parecer sobre “consentimento ou pagamento” “diz respeito a uma questão de aplicação geral e não analisa empresas específicas”, enfatizando ainda: “O CEPD apenas analisará esta questão numa perspetiva de proteção de dados”.
“O parecer abordará a utilização de modelos de consentimento ou de pagamento por grandes plataformas online para fins de publicidade comportamental. Orientações mais gerais sobre consentimento ou modelos de remuneração serão adotadas posteriormente”, acrescentou ela, dizendo que se um parecer for adotado na quarta-feira, ainda haverá algum trabalho administrativo a ser feito antes que possa ser tornado público – recusando-se a confirmar a data de publicação. antes do tempo.
Este relatório foi atualizado depois de o CEPD ter respondido ao nosso pedido de comentários e esclarecimentos.
