A multa de €390 milhões (cerca de US$ 413 milhões) será contestada pela Meta, holding do Facebook. De acordo com a Comissão Irlandesa de Proteção de Dados (DPC) a empresa agiu de maneira equivocada em relação ao Regulamento Geral de Proteção de Dados (GDPR) da União Europeia.
A Meta Ireland foi a que recebeu a multa, dividida em €210 milhões por descumprimento no Facebook e €180 milhões relacionada ao Instagram. Durante o processo, outros órgãos de supervisão haviam escolhido valores mais altos para multa.
O erro que levou a aplicação das multas foi a escolha da base legal feita pela Meta que utilizava para processar os dados pessoais dos usuários. Em relação a GDPR a instituição possui seis bases legais para decidir.
LEIA TAMBÉM:
- Após sofrer ataque cibernético, CPTM comunica ANPD sobre o ocorrido
- Autoridades do Japão anunciam recuperação de dados de vítima do ransomware LockBit
Não obstante, enquanto antes a Meta precisava do consentimento dos usuários para processar as informações pessoais a fim de repassar publicidade e entender os usuários, depois houve alteração desse cenário para outro visto como “necessidade contratual”.
Com isso, se os usuários precisassem acessar o Instagram ou Facebook precisariam aprovar um contrato extenso com Termos de Serviço. Após visualizarem o contrato dois usuários, um belga e um austríaco, pediram por mudanças.
Segundo o DPC, “os reclamantes alegaram que, ao contrário da posição declarada da Meta Ireland, a empresa ainda estava procurando confiar no consentimento para fornecer uma base legal para o processamento dos dados dos usuários”.
“Eles argumentaram que, ao condicionar a acessibilidade de seus serviços à aceitação dos usuários dos Termos de Serviço atualizados, a Meta Ireland os estava de fato ‘forçando’ a consentir no processamento de seus dados pessoais para publicidade comportamental e outros serviços personalizados. Os reclamantes argumentaram que isso violava o GDPR.”
Comissão Irlandesa de Proteção de Dados (DPC)
Após entender o caso, a DPC percebeu a falta de transparência da Meta e entregou as multas. Ela alegou que a empresa delineou a base legal na qual as informações estavam sendo processadas.
Com isso, o Conselho Europeu de Proteção de Dados (EDPB) entendeu que a empresa “não tinha o direito de confiar na base legal do ‘contrato’ como fornecendo uma base legal para o processamento de dados pessoais para fins de publicidade comportamental”.
Por outro lado, a Meta trouxe seu ponto de vista destacando que sua atitude respeita o regulamento europeu e que sempre agiu de maneira transparente com os tribunais e reguladores.
A instituição ainda revela que “tem havido uma falta de clareza regulatória sobre esse assunto, e o debate entre reguladores e formuladores de políticas sobre quais bases legais são mais apropriadas em uma determinada situação já está em andamento há algum tempo. Esta questão também está sendo debatida pelos tribunais superiores da UE, que ainda podem chegar a uma conclusão totalmente diferente”.
Por fim, Meta detalha que “é por isso que discordamos fortemente da decisão final da DPC e acreditamos que cumprimos totalmente a GDPR ao confiar na necessidade contratual para anúncios comportamentais, dada a natureza de nossos serviços.”
“Como resultado, apelaremos da substância da decisão. Dado que os próprios reguladores discordaram entre si sobre esta questão até à fase final destes processos em dezembro, é difícil compreender como podemos ser criticados pela abordagem que temos tido até agora e, por isso, também pretendemos desafiar o tamanho das multas aplicadas”.
Fonte: CISO Advisor
