1 pontos por GN⁺ 2024-01-12 | 1 comentários | Compartilhar no WhatsApp
  • A noyb entende que a Meta viola a exigência do GDPR de que retirar o consentimento deve ser tão fácil quanto consentir, ao exigir que usuários que querem retirar o consentimento de rastreamento no Facebook e Instagram migrem para uma assinatura paga
  • Desde o início de novembro de 2023, usuários que não querem ser rastreados precisam pagar uma “privacy fee” de até €251,88 por ano; caso contrário, precisam aceitar o rastreamento para publicidade personalizada
  • O consentimento pode ser dado com um único botão “Okay”, mas a retirada foi estruturada de forma que o usuário precise passar por várias janelas e banners até encontrar a página de assinatura paga
  • A noyb já havia apresentado uma reclamação em novembro de 2023 sobre a etapa de consentimento do modelo “pay or okay” da Meta; desta vez, contestou separadamente o procedimento de retirada do consentimento junto à DSB da Áustria
  • A noyb pede que a Meta ofereça um meio gratuito e simples de retirar o consentimento e que também sejam consideradas multas para evitar novas violações do GDPR

Estrutura “pay or okay” da Meta e retirada paga

  • Desde o início de novembro de 2023, usuários do Facebook e Instagram que não querem ser rastreados precisam optar por uma assinatura paga de até €251,88 por ano
  • Se não pagarem, precisam aceitar o rastreamento para anúncios personalizados; por isso, a noyb considera que a estrutura impõe um custo à opção mais favorável à privacidade
  • A noyb já havia apresentado, em novembro de 2023, uma reclamação sobre a abordagem “pay or okay” da Meta relacionada à etapa de consentimento
  • Esta nova reclamação foca na situação em que o usuário primeiro concorda com o rastreamento e depois tenta retirar esse consentimento

Artigo 7 do GDPR e processo na DSB da Áustria

  • O Artigo 7 do GDPR determina que o procedimento para retirar o consentimento deve ser tão fácil quanto o procedimento para concedê-lo
  • No modelo atual da Meta, o consentimento termina com um clique, mas a retirada exige a compra de uma assinatura paga e uma navegação complexa por várias telas
    • A reclamante teve de passar por várias janelas e banners para encontrar a página real de retirada
    • Massimiliano Gelmi, advogado de proteção de dados da noyb, afirmou que exigir €251,88 por ano certamente não é tão fácil quanto clicar no botão “Okay”
  • As diretrizes do European Data Protection Board (EDPB) citam custos financeiros como exemplo de ônus incompatível com os princípios do Artigo 7 do GDPR
  • A noyb apresentou a reclamação à autoridade austríaca de proteção de dados, a DSB, em nome de uma reclamante
    • A organização pede que a DSB ordene que as operações de tratamento da Meta sejam colocadas em conformidade com a legislação europeia de proteção de dados
    • Também pede que os usuários tenham um meio fácil e gratuito de retirar o consentimento
    • E propõe a aplicação de multas para evitar novas violações do GDPR
  • O caso pode ser encaminhado à DPC da Irlanda, a “lead authority” da Meta na União Europeia

1 comentários

 
GN⁺ 2024-01-12
Comentários do Hacker News
  • Claro que sim. Hoje em dia, quando você clica em Save settings num banner de cookies, não faço a menor ideia do que realmente acontece.
    Parece que deve haver alguma caixa marcada escondida em algum lugar permitindo tudo, e a lista enorme de pop-ups só serve para te deixar tranquilo, mas provavelmente ainda te rastreia.
    Já inventaram até coisas como “cookies essenciais para fins de marketing”, e depois veio até o pop-up de “aceite anúncios rastreados ou pague”.

    • As configurações de privacidade do Reddit também eram parecidas da última vez que vi. Eu desmarcava tudo e, ao entrar de novo, algumas opções continuavam e outras não. Não dá para saber.
  • Gosto muito da NOYB e, se possível, gostaria que as pessoas fizessem doações recorrentes. Eles estão fazendo um trabalho que realmente tem grande impacto na proteção da privacidade.

    • É impressionante que uma questão tão importante, envolvendo mais de 300 milhões de pessoas, dependa na prática de um indivíduo.
    • Eles já disseram algo sobre o TikTok? Pesquisei e parece que não há nada.
  • Entendo perfeitamente que a Meta encontre maneiras de ganhar dinheiro escapando da lei e, às vezes, violando-a discretamente.
    Mas é bastante surpreendente que a infração revelada seja tão grande e descarada.
    Eu esperava um método mais sutil, como continuar perguntando “por engano” as preferências de cookies toda vez que o usuário acessa o site, até ele acabar clicando em aceitar, e então nunca mais perguntar.
    Porque, se fossem investigados, poderiam dizer facilmente que “foi um bug causado pelo fato de a recusa de cookies do usuário estar armazenada em um cookie”.

    • Enquanto violar a lei em grande escala for mais lucrativo, o Facebook continuará fazendo isso. Outras empresas também; multas ou punições leves de puxão de orelha não significam nada, então nem precisam esconder.
      Quando começarem a mandar CEOs ou acionistas para a prisão, veremos como eles passam a cumprir a lei rapidamente.
  • Se for legalmente possível, a DPC deveria aplicar agora a multa máxima. A Meta deixou bem claro que fará qualquer coisa para contornar essas leis com violações repetidas e deliberadas.
    Se fosse um operador antigo que não conseguiu administrar direito suas obrigações do GDPR e acabou comprando alguma solução suspeita de “gestão de conformidade” que o levou a violar as regras, eu até teria alguma simpatia por uma aplicação mais branda, tipo puxão de orelha.
    Mas a Meta é alvo de fiscalização desde o início do GDPR, claramente entende as regras e tentou contorná-las desde o começo; dá até para dizer que ela é um dos motivos de essas regulações existirem.
    Agora quero ver a multa de 4% da receita global se acumulando continuamente.

    • A DPC é corrupta e não quer aplicar a multa máxima. Ela foi extremamente indulgente com o Facebook, embora pudesse ter imposto punições mais severas.
  • Desde que esse ultimato saiu, não mexi mais no Instagram.
    Espero conseguir resistir. Se houvesse algum motivo para eu realmente precisar usar, seria só para contatar pessoas cujos contatos estão apenas lá.

    • Eu também perdi um encontro de Natal de amigos antigos por causa do Facebook :/
      Ainda assim, considero um sinal muito positivo de que a cultura está mudando aos poucos o fato de as pessoas que realmente foram ao evento terem “culpado” o organizador por ter feito o convite apenas pelo Facebook.
      Não no sentido negativo, mas no sentido de “o que você esperava ao convidar só pelo Facebook?”.
  • Apoio movimentos como esse e, pessoalmente, prefiro pagar por um serviço em vez de virar o produto. Só fico preocupado que essa não seja uma ideia popular.
    As pessoas, pelo menos conscientemente, não querem pagar. Estou curioso para ver como isso vai se desenrolar.

    • O clichê de “pagar por um serviço em vez de virar o produto” não é mais correto. Tenho dúvidas se algum dia foi, e repeti-lo só ajuda os piores infratores.
      Mesmo pagando, você ainda pode ser o produto. Basta ver serviços de streaming que cobram e ainda exibem anúncios, ou TVs, dispositivos físicos comprados, que enviam hábitos de uso ao fabricante.
      Pagar não é garantia de que uma empresa respeita você ou sua privacidade.
    • Mesmo pagando, você sempre é o produto. Enquanto for legal e lucrativo — talvez até quando for ilegal —, você sempre será o produto.
    • A privacidade de usuários pagantes vale mais do que a de usuários que não pagam ;)
    • Essa ideia de que as pessoas não querem pagar é bem recente. Era normal pagar para ter um número de telefone, e também era normal pagar a mais para fazer ligações.
      Também era comum pagar por serviços telefônicos que informavam a hora atual ou a previsão do tempo, e pagar por um endereço de e-mail também era normal. Ainda hoje, a maioria das pessoas paga por conexão à internet.
      O problema está mais no fato de as pessoas não gostarem de algo que era “grátis” virar pago. Se a maioria pagasse por algum serviço, isso seria aceito como a forma natural.
      Por exemplo, se o GPS não tivesse sido gratuito desde o início, acho que as pessoas teriam pago de bom grado mais de 1 dólar por mês.
    • As pessoas pagam bastante por espaços sociais como centros comunitários, bibliotecas, academias e clubes. Mas só quando o preço é razoável.
      Normalmente o preço é razoável porque esses clubes não tentam crescer até dominar o mundo. São espaços de tamanho mais ou menos fixo, e a assinatura é usada para mantê-los.
      A maior parte dos custos operacionais de mídias sociais é de cerca de 1 dólar por ano. Não por mês, por ano [1]. Mas as empresas de mídia social querem cobrar 50 a 100 dólares por ano.
      As pessoas não são idiotas. Por que pagariam mais do que 2 dólares por ano?
      [1] https://news.ycombinator.com/item?id=38291427
  • Para equilibrar as coisas, o Facebook deveria ser obrigado a pagar €251,88 por ano a todos os usuários que consentiram. Se os dados que violam a privacidade básica valem isso para o Facebook, então isso é justo.

  • É uma lógica interessante. Fico curioso para saber como seria tratado se o Facebook, em vez disso, criasse dois planos e ambos fossem pagos.
    Ou seja, para usar o Facebook você teria que pagar uma tarifa básica e ser rastreado; para eliminar o rastreamento, teria que pagar por um plano premium.
    Deixando de lado os problemas éticos óbvios dessa estrutura, a exigência de que “retirar o consentimento deve ser tão fácil quanto dar consentimento” parece que continuaria valendo mesmo nesse caso.
    Eticamente, acho que, no mundo pós-GDPR, pagar por privacidade não tem lugar. Apoio o GDPR, e é vergonhoso que várias autoridades de proteção de dados tenham tolerado isso em relação a jornais locais.
    Se o Facebook usar esse método, é bem provável que acabe levando o caso até o CJEU, e esse pode ser o pior resultado para esse plano. O CJEU tende a não gostar nem um pouco das bobagens da GAFAM do tipo “não viola a letra, mas viola o espírito” da lei.
    Pessoalmente, não ficaria surpreso se o CJEU acabasse derrubando esse método como violação do GDPR.

    • É discutível que a exigência de “retirar o consentimento deve ser tão fácil quanto dar consentimento” seja mantida. Imagine que o plano básico custe 1 euro e o premium 1 milhão de euros; poucas pessoas poderiam arcar com o segundo.
      Seja 25 euros, 10 euros ou menos, se houver qualquer diferença de preço, uma opção não é tão fácil quanto a outra.
    • Isso é pagar por privacidade ou pagar com privacidade?
    • Você pode explicar o que significam essas siglas? Conheço GDPR, mas as outras são novas para mim.
  • A Meta deixou passar a parte de que sua compensação não precisa ser uma solução fácil. Eles cavaram a própria cova.

    • Por que se importariam, se a multa provavelmente será menor do que o dinheiro que ganham vendendo a vida dos usuários para qualquer um?
  • https://web.archive.org/web/20240111074148if_/https://noyb.e...