- A noyb entende que a Meta viola a exigência do GDPR de que retirar o consentimento deve ser tão fácil quanto consentir, ao exigir que usuários que querem retirar o consentimento de rastreamento no Facebook e Instagram migrem para uma assinatura paga
- Desde o início de novembro de 2023, usuários que não querem ser rastreados precisam pagar uma “privacy fee” de até €251,88 por ano; caso contrário, precisam aceitar o rastreamento para publicidade personalizada
- O consentimento pode ser dado com um único botão “Okay”, mas a retirada foi estruturada de forma que o usuário precise passar por várias janelas e banners até encontrar a página de assinatura paga
- A noyb já havia apresentado uma reclamação em novembro de 2023 sobre a etapa de consentimento do modelo “pay or okay” da Meta; desta vez, contestou separadamente o procedimento de retirada do consentimento junto à DSB da Áustria
- A noyb pede que a Meta ofereça um meio gratuito e simples de retirar o consentimento e que também sejam consideradas multas para evitar novas violações do GDPR
Estrutura “pay or okay” da Meta e retirada paga
- Desde o início de novembro de 2023, usuários do Facebook e Instagram que não querem ser rastreados precisam optar por uma assinatura paga de até €251,88 por ano
- Se não pagarem, precisam aceitar o rastreamento para anúncios personalizados; por isso, a noyb considera que a estrutura impõe um custo à opção mais favorável à privacidade
- A noyb já havia apresentado, em novembro de 2023, uma reclamação sobre a abordagem “pay or okay” da Meta relacionada à etapa de consentimento
- Esta nova reclamação foca na situação em que o usuário primeiro concorda com o rastreamento e depois tenta retirar esse consentimento
Artigo 7 do GDPR e processo na DSB da Áustria
- O Artigo 7 do GDPR determina que o procedimento para retirar o consentimento deve ser tão fácil quanto o procedimento para concedê-lo
- No modelo atual da Meta, o consentimento termina com um clique, mas a retirada exige a compra de uma assinatura paga e uma navegação complexa por várias telas
- A reclamante teve de passar por várias janelas e banners para encontrar a página real de retirada
- Massimiliano Gelmi, advogado de proteção de dados da noyb, afirmou que exigir €251,88 por ano certamente não é tão fácil quanto clicar no botão “Okay”
- As diretrizes do European Data Protection Board (EDPB) citam custos financeiros como exemplo de ônus incompatível com os princípios do Artigo 7 do GDPR
- A noyb apresentou a reclamação à autoridade austríaca de proteção de dados, a DSB, em nome de uma reclamante
- A organização pede que a DSB ordene que as operações de tratamento da Meta sejam colocadas em conformidade com a legislação europeia de proteção de dados
- Também pede que os usuários tenham um meio fácil e gratuito de retirar o consentimento
- E propõe a aplicação de multas para evitar novas violações do GDPR
- O caso pode ser encaminhado à DPC da Irlanda, a “lead authority” da Meta na União Europeia
1 comentários
Comentários do Hacker News
Claro que sim. Hoje em dia, quando você clica em Save settings num banner de cookies, não faço a menor ideia do que realmente acontece.
Parece que deve haver alguma caixa marcada escondida em algum lugar permitindo tudo, e a lista enorme de pop-ups só serve para te deixar tranquilo, mas provavelmente ainda te rastreia.
Já inventaram até coisas como “cookies essenciais para fins de marketing”, e depois veio até o pop-up de “aceite anúncios rastreados ou pague”.
Gosto muito da NOYB e, se possível, gostaria que as pessoas fizessem doações recorrentes. Eles estão fazendo um trabalho que realmente tem grande impacto na proteção da privacidade.
Entendo perfeitamente que a Meta encontre maneiras de ganhar dinheiro escapando da lei e, às vezes, violando-a discretamente.
Mas é bastante surpreendente que a infração revelada seja tão grande e descarada.
Eu esperava um método mais sutil, como continuar perguntando “por engano” as preferências de cookies toda vez que o usuário acessa o site, até ele acabar clicando em aceitar, e então nunca mais perguntar.
Porque, se fossem investigados, poderiam dizer facilmente que “foi um bug causado pelo fato de a recusa de cookies do usuário estar armazenada em um cookie”.
Quando começarem a mandar CEOs ou acionistas para a prisão, veremos como eles passam a cumprir a lei rapidamente.
Se for legalmente possível, a DPC deveria aplicar agora a multa máxima. A Meta deixou bem claro que fará qualquer coisa para contornar essas leis com violações repetidas e deliberadas.
Se fosse um operador antigo que não conseguiu administrar direito suas obrigações do GDPR e acabou comprando alguma solução suspeita de “gestão de conformidade” que o levou a violar as regras, eu até teria alguma simpatia por uma aplicação mais branda, tipo puxão de orelha.
Mas a Meta é alvo de fiscalização desde o início do GDPR, claramente entende as regras e tentou contorná-las desde o começo; dá até para dizer que ela é um dos motivos de essas regulações existirem.
Agora quero ver a multa de 4% da receita global se acumulando continuamente.
Desde que esse ultimato saiu, não mexi mais no Instagram.
Espero conseguir resistir. Se houvesse algum motivo para eu realmente precisar usar, seria só para contatar pessoas cujos contatos estão apenas lá.
Ainda assim, considero um sinal muito positivo de que a cultura está mudando aos poucos o fato de as pessoas que realmente foram ao evento terem “culpado” o organizador por ter feito o convite apenas pelo Facebook.
Não no sentido negativo, mas no sentido de “o que você esperava ao convidar só pelo Facebook?”.
Apoio movimentos como esse e, pessoalmente, prefiro pagar por um serviço em vez de virar o produto. Só fico preocupado que essa não seja uma ideia popular.
As pessoas, pelo menos conscientemente, não querem pagar. Estou curioso para ver como isso vai se desenrolar.
Mesmo pagando, você ainda pode ser o produto. Basta ver serviços de streaming que cobram e ainda exibem anúncios, ou TVs, dispositivos físicos comprados, que enviam hábitos de uso ao fabricante.
Pagar não é garantia de que uma empresa respeita você ou sua privacidade.
Também era comum pagar por serviços telefônicos que informavam a hora atual ou a previsão do tempo, e pagar por um endereço de e-mail também era normal. Ainda hoje, a maioria das pessoas paga por conexão à internet.
O problema está mais no fato de as pessoas não gostarem de algo que era “grátis” virar pago. Se a maioria pagasse por algum serviço, isso seria aceito como a forma natural.
Por exemplo, se o GPS não tivesse sido gratuito desde o início, acho que as pessoas teriam pago de bom grado mais de 1 dólar por mês.
Normalmente o preço é razoável porque esses clubes não tentam crescer até dominar o mundo. São espaços de tamanho mais ou menos fixo, e a assinatura é usada para mantê-los.
A maior parte dos custos operacionais de mídias sociais é de cerca de 1 dólar por ano. Não por mês, por ano [1]. Mas as empresas de mídia social querem cobrar 50 a 100 dólares por ano.
As pessoas não são idiotas. Por que pagariam mais do que 2 dólares por ano?
[1] https://news.ycombinator.com/item?id=38291427
Para equilibrar as coisas, o Facebook deveria ser obrigado a pagar €251,88 por ano a todos os usuários que consentiram. Se os dados que violam a privacidade básica valem isso para o Facebook, então isso é justo.
É uma lógica interessante. Fico curioso para saber como seria tratado se o Facebook, em vez disso, criasse dois planos e ambos fossem pagos.
Ou seja, para usar o Facebook você teria que pagar uma tarifa básica e ser rastreado; para eliminar o rastreamento, teria que pagar por um plano premium.
Deixando de lado os problemas éticos óbvios dessa estrutura, a exigência de que “retirar o consentimento deve ser tão fácil quanto dar consentimento” parece que continuaria valendo mesmo nesse caso.
Eticamente, acho que, no mundo pós-GDPR, pagar por privacidade não tem lugar. Apoio o GDPR, e é vergonhoso que várias autoridades de proteção de dados tenham tolerado isso em relação a jornais locais.
Se o Facebook usar esse método, é bem provável que acabe levando o caso até o CJEU, e esse pode ser o pior resultado para esse plano. O CJEU tende a não gostar nem um pouco das bobagens da GAFAM do tipo “não viola a letra, mas viola o espírito” da lei.
Pessoalmente, não ficaria surpreso se o CJEU acabasse derrubando esse método como violação do GDPR.
Seja 25 euros, 10 euros ou menos, se houver qualquer diferença de preço, uma opção não é tão fácil quanto a outra.
A Meta deixou passar a parte de que sua compensação não precisa ser uma solução fácil. Eles cavaram a própria cova.
https://web.archive.org/web/20240111074148if_/https://noyb.e...