Grande vitória para a privacidade: Coima recorde contra o Facebook graças a Max Schrems.

A Meta terá de pagar 1,2 mil milhões de euros por ter violado o regulamento europeu RGPD.

2023-05-24 / First published: 2022-12-09
Facebook business model to force users to agree to tracking and then posting personalized ads is illegal in Europe.
A UE impôs uma multa recorde de 1,2 mil milhões de euros à empresa-mãe do Facebook, a Meta, por ter enviado dados de utilizadores para os EUA. A Meta foi igualmente condenada a pôr termo à transferência de dados. Embora se trate de uma grande vitória para a privacidade, a Meta pretende intentar uma acção judicial contra a multa.

A nova multa recorde do Facebook, no valor de 1,2 mil milhões de euros, foi emitida graças a duas figuras muito proeminentes: Max Schrems, que processou o Facebook há anos por transferir dados pessoais de cidadãos da UE para os EUA, e Edward Snowden, que tornou público que os serviços secretos norte-americanos podem obter dados de serviços norte-americanos como o Meta com bastante facilidade - o que viola o Regulamento Geral sobre a Protecção de Dados (RGPD).

Dez anos após as revelações de Snowden, o Facebook foi finalmente multado em 1,2 mil milhões de euros por ter potencialmente revelado dados de cidadãos da UE aos serviços secretos dos EUA: Após pressão da UE, a autoridade irlandesa para a protecção de dados (DPC) aplicou uma multa recorde de 1,2 mil milhões de euros à plataforma de comunicação social.

A coima imposta pela DPC supera a anterior, de 746 milhões de euros, aplicada à Amazon pelo Luxemburgo em 2022.

O motivo da multa foi uma queixa apresentada pelo activista austríaco da protecção de dados Max Schrems, que exigiu repetidamente consequências das revelações de Snowden, levando o assunto até ao Tribunal de Justiça Europeu. Como resultado, o Tribunal declarou ilegal o acordo do Escudo de Protecção da Privacidade entre os EUA e a UE.

Os motivos para anular o Escudo de Protecção da Privacidade continuam a ser válidos. O problema é que as leis dos EUA não protegem adequadamente os dados dos cidadãos europeus, uma vez que os programas de vigilância nos EUA não se limitam ao estritamente necessário.

Assim, a Meta deve interromper qualquer transferência de dados pessoais europeus para os Estados Unidos, uma vez que a empresa continua sujeita às leis de vigilância dos EUA. O gigante tecnológico de Silicon Valley tem seis meses para cumprir esta decisão.

A decisão só se aplica ao Facebook

A Meta considera que foi injustamente multada e anunciou que vai recorrer. "Não se trata de práticas de protecção de dados de uma empresa - existe um conflito jurídico fundamental entre as regras do governo dos EUA sobre o acesso aos dados e os direitos europeus de protecção de dados, que os decisores políticos deverão resolver no Verão", afirma o Facebook num comunicado enviado à SPIEGEL.

Max Schrems, que fundou a organização sem fins lucrativos NOYB para continuar a sua luta pela privacidade, concorda com este ponto: "Qualquer outro grande fornecedor de serviços em nuvem dos EUA, como a Amazon, a Google ou a Microsoft, poderia ser afectado por uma sanção semelhante ao abrigo da legislação da UE".

"A DPC irlandesa fez tudo o que estava ao seu alcance para impedir esta decisão, mas foi repetidamente repreendida pelos tribunais e instituições europeias. É um pouco absurdo que a multa recorde vá para a Irlanda - o Estado-Membro da UE que fez tudo o que podia para garantir que esta sanção não fosse imposta", explica Schrems.

Desde a introdução do RGPD em 2018, o Meta viu quatro mil milhões de euros em multas impostas pelos reguladores da UE.

Entre as dez empresas com as multas mais altas com base no GDPR, a Meta está agora representada seis vezes - um recorde negativo.

10 maiores multas do GDPR até agora

  1. Multa Meta GDPR - 1,2 mil milhões de euros impostos pela Irlanda em Maio de 2023

  2. Multa Amazon GDPR - 746 milhões de euros imposta pelo Luxemburgo em julho de 2021

  3. Multa Meta RGPD - 405 milhões de euros imposta pela Irlanda em setembro de 2022

  4. Multa Meta RGPD - 390 milhões de euros imposta pela Irlanda em janeiro de 2023

  5. Multa Meta RGPD - 265 milhões de euros imposta pela Irlanda em novembro de 2022

  6. Multa WhatsApp RGPD - 225 milhões de euros imposta pela Irlanda em setembro de 2021

  7. Multa RGPD da Google LLC - 90 milhões de euros imposta pela França em Dezembro de 2021

  8. Multa RGPD da Google Irlanda - 60 milhões de euros imposta pela França em dezembro de 2021

  9. Multa Facebook Irlanda RGPD - 60 milhões de euros imposta pela França em Dezembro de 2021

  10. Multa RGPD da Google França - 50 milhões de euros imposta pela França em janeiro de 2019


Modelo de negócio do Facebook ilegal na UE

A multa recorde de 1,2 mil milhões de euros aplicada à Meta é apenas o acto final de uma longa batalha jurídica, que mostra que o modelo de negócio do Facebook é ilegal na Europa devido às suas violações da privacidade dos dados e ao risco de os dados dos cidadãos europeus caírem nas mãos dos serviços secretos dos EUA.

No início deste ano, em Janeiro de 2023, a Meta já tinha sido multada em 390 milhões de euros. Os reguladores da privacidade da UE dizem que o Facebook e o Instagram não podem forçar os utilizadores a concordar com o rastreio, colocando este requisito nos seus termos. Este modelo de negócio da Meta é ilegal de acordo com o RGPD.

Uma vez que o Facebook - bem como outros gigantes da tecnologia - não se concentram em proteger a nossa privacidade ou encriptar os nossos dados, todos os dados que recolhem podem ser facilmente transmitidos.

Temos de nos lembrar: se é grátis, tu és o produto.

Quote: If it’s free, you are the product.

TL;DR: A prática do Meta de exigir que os utilizadores autorizem o rastreio através dos seus termos não é legal de acordo com o RGPD. O Facebook, o Instagram e o WhatsApp têm de oferecer uma opção Sim e Não para que os utilizadores possam dar o seu consentimento de forma activa - ou recusá-lo. Trata-se de um rude golpe para o modelo de negócio da Meta de publicidade baseada na vigilância.

Lição aprendida com isto: Parem de esperar pelo Facebook e comecem já a utilizar serviços que respeitem o vosso direito à privacidade.

A Comissão Irlandesa para a Protecção de Dados (DPC) confirmou, num comunicado de imprensa, que a prática da Meta de aplicar acordos de cookies no Facebook e no Instagram é ilegal ao abrigo do RGPD. O gigante da tecnologia foi multado em 390 milhões de euros por esta violação da privacidade - já metade do valor que a Meta foi multada em 2022 devido a violações do RGPD europeu, e 2023 ainda agora começou. A decisão final sobre o WhatsApp ainda está pendente.

Este é mais um sinal da abordagem mais rigorosa da Europa para lidar com violações de privacidade em relação ao GDPR.

Inicialmente, a DPC pretendia apenas 28 a 36 milhões de euros, cerca de 10% da decisão final. No entanto, o EDPB europeu anulou o DPC e insistiu em multas maciças para a Meta - afirmando que a Meta tinha violado intencionalmente o RGPD e a privacidade das pessoas para seu próprio lucro.

Max Schrems, da ONG NOYB, que processou a Meta pelas violações de privacidade, afirma

"A sanção será aplicada à Irlanda - o Estado que tomou o partido da Meta e atrasou a aplicação da lei durante mais de quatro anos. Este caso será provavelmente objecto de recurso por parte da Meta, o que implicará mais custos para a noyb".

Leia mais sobre a luta legal para conseguir privacidade na Europa na página inicial da NOYB.

O modelo de negócio da Meta - forçar os utilizadores a concordar com o rastreio através dos seus termos - foi declarado ilegal na UE. O Facebook, o Instagram e o WhatsApp já não podem publicar anúncios personalizados sem o consentimento activo do utilizador.

Publicação original

Decisão dos reguladores da privacidade da UE

Numa decisão de grande alcance, na segunda-feira, os reguladores de privacidade da UE afirmaram que a Meta Platforms Inc. não pode forçar os utilizadores a concordar com anúncios personalizados com base na sua actividade online. A decisão pode limitar enormemente os dados que a Meta pode utilizar para vender anúncios direccionados.

De acordo com o Regulamento Geral sobre a Protecção de Dados (RGPD), a simples inclusão de um parágrafo nos termos de serviço - com o qual os utilizadores têm de concordar - não é suficiente. Tais termos não são justificação para recolher dados e publicar anúncios direccionados. Em vez disso, as plataformas Facebook, Instagram e WhatsApp devem dar aos utilizadores uma opção clara de "sim" e "não", em que podem concordar activamente em serem seguidos - ou recusar.

O chamado consentimento forçado do gigante da tecnologia para continuar a rastrear e direcionar os utilizadores, processando os seus dados pessoais para criar perfis para publicidade comportamental, foi adicionado aos termos do Meta após a publicação do RGPD em 2018. Agora foi declarado ilegal pelos vigilantes da privacidade da UE.

EU decision makes requiring tracking via terms illegal.

Esta decisão foi tomada na sequência de queixas apresentadas pela ONG europeia de privacidade noyb assim que o RGPD entrou em vigor em Maio de 2018. A UE levou cerca de 4,5 anos para finalmente decidir sobre a questão.

A razão para este longo processo é que a Comissão Irlandesa de Protecção de Dados (DPC) declarou originalmente que os termos actualizados da Meta cumprem os requisitos do RGPD. A Irlanda é o principal regulador de privacidade da Meta no bloco, porque é onde a sede europeia da Meta está sediada.

A Meta explicou que os seus termos actualizados se baseiam no conceito de "necessidade contratual" do RGPD. O RGPD proíbe principalmente as empresas de forçar os utilizadores a fornecer informações pessoais para utilizar os seus serviços. A única excepção é quando essas informações são necessárias para executar um contrato: por exemplo, uma aplicação de partilha de automóveis precisa de saber a sua localização para poder mostrar carros perto de si.

A Meta baseou-se nessa disposição contratual do RGPD, com a qual o regulador de privacidade irlandês concordou inicialmente.

Mas agora, os reguladores da privacidade da UE estão a passar a decisão de volta para a DPC, dizendo que a "necessidade contratual" não é satisfeita por aplicações como o Facebook, Instagram e WhatsApp e que é obrigação da DPC fazer cumprir os direitos de privacidade adequados para os cidadãos europeus.

A DPC tem agora um mês para emitir uma decisão final, juntamente com coimas significativas.

Impacto

O impacto da decisão da UE de que a actual prática de rastreio do Facebook é ilegal é enorme: afecta directamente o modelo de negócio do Facebook. Actualmente, o Facebook e o Instagram lucram muito com o facto de as pessoas terem de fornecer os seus dados privados para utilizar o serviço. Por sua vez, o Meta utiliza esses dados para criar perfis e publicar anúncios direccionados, uma mina de ouro para o gigante de Silicon Valley.

No entanto, a decisão da UE limitará o acesso do Facebook a esta mina de ouro e, por conseguinte, terá um impacto directo nas receitas.

Um sinal de como esta decisão é má para os lucros da Meta é a decisão do ano passado da Apple. Em 2021, a Apple exigiu que os criadores de aplicações para o iPhone perguntassem aos utilizadores se queriam que a sua utilização fosse rastreada. E - sem surpresa - muitos utilizadores do iPhone recusaram ser seguidos e traçados.

Consequentemente, as receitas da Meta em 2021 sofreram uma redução de 8% só porque os utilizadores do iPhone já não estavam dispostos a partilhar os seus dados privados com o Facebook, o Instagram e o WhatsApp.

A redução do rastreio do Facebook em linha beneficia enormemente a privacidade dos utilizadores e, simultaneamente, prejudica as receitas da Meta. Os dados das pessoas valem muito mais para as Big Tech do que muitos pensam.

A UE limita a localização do Facebook

A última decisão da UE é mais um sinal do interesse crescente das autoridades europeias em limitar a localização baseada na vigilância. Finalmente, as pessoas e os políticos estão a despertar para os perigos da publicidade comportamental e os funcionários da UE estão a começar a regulamentá-la de forma a proteger a privacidade das pessoas.

No entanto, para empresas como o Facebook, a Google e a Amazon, este negócio vale milhares de milhões de dólares por ano.

Saiba aqui como está a ser traçado o seu perfil online e como o pode impedir.

De qualquer forma, até a Califórnia - onde se situa a maioria das grandes empresas de tecnologia - adoptou leis de privacidade excelentes que permitem aos utilizadores optarem por não participar naquilo a que se chama publicidade comportamental cruzada.

Talvez a razão para esta legislação seja o facto de os californianos saberem melhor como o rastreio e a publicidade comportamental são prejudiciais, uma vez que este modelo de negócio teve origem na Califórnia.

Consequências para os utilizadores

Infelizmente, a decisão da UE não terá consequências directas para os utilizadores, uma vez que pode ser objecto de recurso. Esse recurso conduziria a um longo processo judicial.

No entanto, se for confirmada, esta decisão tornará muito mais difícil para o Facebook e outras plataformas mostrar aos utilizadores anúncios com base no que clicam, gostam, partilham e vêem nas suas próprias aplicações.

Embora o Meta já permita que os utilizadores optem por não personalizar os anúncios com base em dados de outros sítios Web e aplicações, nunca deu essa opção para anúncios baseados em dados sobre a actividade dos utilizadores nas suas próprias plataformas.

Para o Facebook - e outras grandes empresas de tecnologia - limitar o acesso ao rastreio dos utilizadores seria um duro golpe, uma vez que a construção de audiências para anúncios personalizados constitui a maior parte das receitas dessas empresas.

"Esta não é a decisão final e é muito cedo para especular", disse um porta-voz da Meta ao Wall Street Journal, acrescentando que a legislação da UE pode permitir outras justificações legais para a segmentação dos seus anúncios. "Colaborámos plenamente com a DPC nos seus inquéritos e continuaremos a colaborar com eles à medida que finalizarem a sua decisão."

No entanto, o RGPD permite multas elevadas para violações graves - até 4% do volume de negócios anual global.

Reforço crescente da protecção da privacidade

Embora o RGPD da UE tenha começado a ser aplicado já em Maio de 2018, a aplicação política só começou a aumentar nos últimos meses. Neste momento, muitas grandes empresas tecnológicas já foram alvo de pesadas coimas.

A DPC irlandesa multou a Meta em mais de 900 milhões de dólares em quatro outros casos nos últimos 15 meses e tem actualmente 10 inquéritos adicionais sobre a empresa.

No ano passado, a filial irlandesa da Meta tinha afectado quase 3 mil milhões de euros a multas por violação da privacidade na UE - um aumento de 1,97 mil milhões de euros em relação ao ano anterior, de acordo com os registos empresariais irlandeses.

De qualquer modo, até agora, parece muito mais rentável para os gigantes de Silicon Valley pagarem as multas, em vez de alterarem o seu modelo de negócio.

Isto significa que temos de continuar a lutar para acabar com o rastreio baseado em anúncios. Comece já por adicionar um bloqueador de anúncios ao seu browser!