la terza "Lettura dell'Avvento" dinoyb: Il ridicolo record delle attività di trattamento (ROPA) di Facebook
Nella sua terza "lettura dell'Avvento" (per protestare contro il DPC che ha illegalmente rimosso noyb da una procedura in corso) noyb pubblica il principale documento di conformità al GDPR di Facebook: Il "Registro delle attività di trattamento" di Facebook ai sensi dell'articolo 30 GDPR (in breve: "ROPA"). Tale documento legalmente richiesto dovrebbe consentire di valutare facilmente la conformità di Facebook al GDPR, ma in realtà ha solo quattro pagine ridicole. Di solito tali documenti hanno altrimenti centinaia di pagine. Schrems:"Il documento di conformità di Facebook al GDPR è sintomatico della loro ignoranza della legge - ha solo quattro pagine. Di solito un tale documento sarebbe di centinaia di pagine. IlDPC irlandese sa della mancanza di documentazione dal 2018, ma non ha preso provvedimenti"
Conformità al GDPR in quattro pagine? Il documento in realtà dice molto poco, invece di una descrizione dettagliata di migliaia di operazioni di trattamento, Facebook fa riferimento principalmente alla sua politica sulla privacy e altrimenti ha aggiunto alcune linee generiche. Per un'immersione più profonda noyb è stato raggiunto da Peter Hense, Partner di Spirit Legal, che ha già lavorato su centinaia di documenti di questo tipo. Egli potrebbe difficilmente credere che la ROPA di Facebook è limitata a quattro pagine e ha commentato"Ogni club di calcio ha una ROPA più dettagliata" nella lettura dell'Avvento di noyb. Ha continuato evidenziando che come revisore dovrebbe trattare questo ROPA come inesistente e che il trattamento di Facebook è quindi "illegale".
La DPC è consapevole dal 2018. La Commissione irlandese per la protezione dei dati ("DPC") ha ricevuto questo risibile "Record of Processing Activities" il 27.9.2018 da Facebook, ma non ha intrapreso alcuna azione sull'evidente violazione dell'articolo 30 GDPR per quanto ne sappia noyb.
Max Schrems, presidente di noyb.eu:"Il DPC irlandese sapeva che Facebook Ireland non ha nemmeno i più elementari documenti di conformità in ordine e non ha fatto nulla al riguardo"
Minaccia per noyb nel 2019. Invece di agire su Facebook, il DPC se l'è presa con noyb: una volta che il documento è stato fornito a noyb nell'agosto 2019 tramite l'autorità austriaca per la protezione dei dati ("DSB"), Max Schrems ha condiviso il fatto che il ROPA contiene solo quattro pagine su Twitter, insieme a una foto del retro dei documenti. Questo ha scatenato il DPC a inviare lettere arrabbiate a noyb, chiedendo che questo tweet sia cancellato.
"Fan Mail" da parte del DPC e di Facebook. Come noyb informa tutte le parti interessate prima delle nostre letture d'Avvento, abbiamo nuovamente ricevuto lettere di minaccia (noi le chiamiamo "fan mail") dallo studio legale di Facebook Mason Hayes e Curran e il DPC irlandese - sostanzialmente minacciando azioni legali contro noyb, nonostante non abbia alcuna base legale per farlo, come sottolineato nelle nostre risposte a Facebook e nella nostra risposta al DPC irlandese.
Base legale per la pubblicazione. Come sottolineato nella nostra Prima Lettura d'Avvento, le quattro Letture d'Avvento di noyb sono in protesta contro la rimozione illegale di noyb da parte del DPC in una procedura in corso. Tutti i documenti sono stati forniti tramite il DSB austriaco. Il DSB austriaco ha deciso che questi documenti non sono protetti dalla disposizione pertinente (§ 17 Abs 3 AVG) e noyb è libera di usarli secondo la legge austriaca applicabile. Anche sotto il (non applicabile) Irish Data Protection Act 2018, non c'è una base legale per trattenere o altrimenti limitare l'uso dei documenti dalle parti. Mentre il DPC di solito fa affidamento sulla sezione 26 della legge, questa disposizione si applica chiaramente solo al personale del DPC ("persone rilevanti") e non a terzi.
Potenziale "causa SLAPP" da parte del DPC e di Facebook Date le minacce infondate, nonostante una chiara base legale per queste pubblicazioni, noyb si aspetta ora "SLAPP suits" senza fondamento (vedi un grande riassunto di John Oliver, purtroppo solo su YouTube) da parte del DPC e/o Facebook Ireland Limited. Non è improbabile che Facebook o il DPC cerchino di portare una causa in Irlanda o nel Regno Unito, dato che questi sistemi legali sono estremamente costosi e una giurisdizione perfetta per rovinare una ONG. Abbiamo quindi geobloccato i documenti rilevanti in queste giurisdizioni.
I documenti di oggi Il documento ROPA fa parte del nostro contenzioso "GDPR bypass" ed è disponibile qui:
- Facebook's Four Page ROPA (potrebbe non essere disponibile in tutti i paesi)
Scambi sulla legalità di questa pubblicazione:
- Lettera del DPC sulla pubblicazione del ROPA
- Risposta di noyb sul perché i punti del DPC non sono corretti
- Lettera dello studio legale di Facebook sulla pubblicazione del ROPA
- Risposta di noyb sul perché "l'intenzione" di Facebook non è un fattore rilevante
Settimana in rassegna. Per chiunque sia interessato a ciò che è successo dopo la lettura dell'Avvento della scorsa settimana, consigliamo questo articolo di POLITICO su come il DPC ha cercato di spremere il "GDPR bypass" di Facebook nei documenti EDPB. Questo ha innescato una serie di articoli interessanti, fino alle chiamate all'interno dell'Irlanda per sostituire la leadership del DPC. Più tardi questa settimana, un'obiezione all'articolo 60 contro il progetto di decisione del DPC sul "bypass del GDPR" da parte della DPA norvegese è stata riportata da POLITICO, sottolineando che il progetto di decisione del DPC avrebbe "fine diritto alla privacy" secondo la DPA norvegese. Questo porta a ulteriori discussioni all'interno dell'Irlanda sul DPC, come questa segnalazione dell'Irish Times.