De Britse waakhond voor gegevensbescherming heeft gisteren gereageerd op Meta’s aankondiging dat het van plan is (andere) Europeanen de vrije keuze te bieden om zijn tracking-for-ad-targeting te weigeren, maar Britse gebruikers niet om toestemming zal vragen voor het toezicht – met sommige , eh, scherpe opmerkingen.
Neem het weg Stephen Almond, de uitvoerend directeur van het Information Commissioner’s Office (ICO) voor regelgevend risico, met deze “ICO-verklaring over Meta“:
Als digitale toezichthouder letten we goed op hoe bedrijven internationaal opereren en hoe de rechten van mensen worden gerespecteerd.
We zijn op de hoogte van de plannen van Meta om toestemming van gebruikers te vragen voor gedragsadvertenties in de EU, met uitsluiting van het VK. Dit volgt op gerelateerde bevindingen van het Hof van Justitie van de Europese Unie, de Ierse gegevensbeschermingscommissie en de Noorse gegevensbeschermingsautoriteit.
We beoordelen wat dit betekent voor informatierechten van mensen in het VK en overwegen een passende reactie.
De zorgvuldig geformuleerde opmerkingen van Almond (“aandacht”; “beoordelen wat dit betekent voor de informatierechten van mensen in het VK”, “een passende reactie overwegen”) suggereren dat de toezichthouder niet erg blij is dat de adtech-gigant, voorheen bekend als Facebook, dat niet is van plan om Britse gebruikers hetzelfde niveau van respect voor hun gegevensrechten te geven als mensen in de EU, de Europese Economische Ruimte (EER) en Zwitserland, blijkbaar binnenkort.
Simpel gezegd, het ziet er inderdaad erg ongemakkelijk uit voor de ICO, en vreselijk nieuws voor Britse gebruikers die vastzitten in hun post-Brexit niet-zo-zonnige hooglanden, dat Meta heeft berekend dat het niet dezelfde mate van respect voor hun informatie hoeft te bieden zoals het moet voor Europeanen die elders in de regio wonen.
Vooral omdat Meta dit doet in een tijd waarin de Britse wetgeving inzake gegevensbescherming nog gebaseerd is op de pan-Europese Algemene Verordening Gegevensbescherming (AVG). (Ik bedoel, het plan van de Britse regering om het binnenlandse privacyregime af te zwakken, via aangeprezen post-Brexit data “hervormingen”, is nog niet eens in de wetboeken terechtgekomen! Dus op papier is het privacyregime hetzelfde als het was toen het VK in de EU was.)
Het specifieke probleem waarmee de ICO hier wordt geconfronteerd, is dat de verdediging van de nationale gegevensbeschermingsregels nu volledig op haar schouders valt – zonder beschermende afscherming van het Hof van Justitie van de EU dat het laatste woord uitspreekt over hoe de wet moet worden gehandhaafd. Sinds 31 januari 2020, toen de Brexit volledig werd aangenomen door de Britse regering, zijn uitspraken van het HvJ-EU niet meer van toepassing in de Britse wetgeving. En, met name, Meta is alleen verplaatst om – eindelijk – zijn voornemen aan te kondigen om Europeanen de keuze te geven om zijn tracking-for-ads te weigeren in de nasleep van een belangrijke uitspraak van het HvJ-EU vorige maand.
Dat volgde ook op een belangrijke handhaving van de AVG in januari 2023 door EU-regelgevers voor gegevensbescherming. En een noodinterventie vorige maand door Noorwegen waarbij Meta’s gedragsadvertenties lokaal werden verboden vanwege de kwestie van de rechtsgrondslag – in plaats van te wachten tot Ierland, Meta’s hoofdregulator, het in de hele EU doet.
Door de cumulatieve impact van al deze EU-procedures heeft de technologiegigant geen wettelijke basis meer om op grond van de EU-wetgeving aanspraak te maken op de gegevensverwerking die hij uitvoert om advertenties te “personaliseren”, behalve toestemming. Er zit nu dus een momentum achter de handhaving van de AVG die een tastbare impact heeft op de hervorming van privacyvijandige bedrijfsmodellen. Maar helaas voor mensen in het VK valt het buiten de EU-implementatie van GDPR. En dus … geen intentie van Meta-toestemming voor Britten!
Het blok heeft ook niet stilgestaan bij het maken van wetgeving sinds het VK omhoog ging en vertrok. Het is eigenlijk zeer actief geweest op het gebied van digitale regelgeving. Waaronder het uitvoeren van een groot deel van de ex ante concurrentiehervorming, de Digital Markets Act genaamd – die Meta ook lijkt te laten nadenken over de verwerking van advertentiegegevens.
De update van het blogbericht van het bedrijf gisteren, waarin het de intentie aankondigde om over te schakelen op toestemming voor de verwerking van advertentiegegevens in de EU, verwees naar “een aantal zich ontwikkelende en opkomende wettelijke vereisten in de regio, met name hoe onze leidende toezichthouder voor gegevensbescherming in de EU, de Irish Data Protection Commission (DPC), interpreteert de AVG nu in het licht van recente juridische uitspraken, en anticipeert ook op de inwerkingtreding van de Digital Markets Act (DMA)” als informatie voor zijn beslissing.
En ja, de DMA is ook niet van toepassing in het VK. Net zoals de handhaving van de AVG door de Ierse DPC en de interpretatie van het HvJ over hoe de AVG moet worden toegepast dat niet doen.
Meta schakelde eerder dit jaar de gegevens van Britse gebruikers over van haar Ierse dochteronderneming naar haar Amerikaanse entiteit, waardoor Britse gebruikers definitief buiten de jurisdictie van de EU vielen. Dat is Brexit mensen! (Een ‘Made in the UK’ digitale ex ante mededingingshervorming heeft ook geen nationale wetgeving gehaald na vertragingen als gevolg van politieke onrust in de regerende conservatieve partij in de nasleep van, eh, Brexit… Er is dus geen VK-equivalent ook niet naar de DMA.)
Het nog specifiekere probleem voor de ICO is dat het systematisch heeft nagelaten om te reageren op soortgelijke klachten over adtech-tracking zonder een goede wettelijke basis voor – letterlijk – jaren.
Het werd in 2020 eigenlijk aangeklaagd wegens nietsdoen vanwege zo’n klacht. En zelfs het onderzoek naar adtech volledig onderbroken tijdens de pandemie, omdat het zei dat het de industrie in zo’n moeilijke tijd niet met “onnodige druk” wilde opzadelen.
Hoe zit het met de rechten van Britse gebruikers om tijdens Covid niet onwettig door adverteerders te worden binnengedrongen? De ICO vond toen blijkbaar niet dat het de industrie onder druk moest zetten om zich om dergelijke details te bekommeren – of, nou ja, sindsdien eigenlijk. Het is dus een beetje rijk voor de ICO om plotseling tegenover Meta te komen met impliciete zorgen dat de informatierechten van Britten niet correct worden gerespecteerd. Tenzij dit het Damascene-conversiemoment van de toezichthouder is – over de noodzaak om daadwerkelijk te handhaven tegen adtech-misbruik waar het al jaren publiekelijk kritisch over is.
Eerder beschouwde de Britse toezichthouder een “passende reactie” op de ongebreidelde wetsovertredingen door de adtech-industrie door het bijeenroepen van een paar rondetafelgesprekken waar reclameleiders schijnbaar in staat waren om de kamer te vullen met hete lucht over respect voor naleving, terwijl ze lucratieve gegevens mochten voortzetten -mijnbouw zoals gewoonlijk terwijl de ICO doorging met ‘onderzoeken’.
Het is dus niet duidelijk welke actie de Britse toezichthouder “gepast” zou kunnen achten om tegen Meta te ondernemen als het de rechten van lokale gebruikers blijft vertrappen om het volgen ervan te weigeren. Hopelijk zien we niet weer een onderzoek met een open einde/nooit eindigend.
Technisch gezien staat de Britse AVG sancties toe voor bevestigde inbreuken die kunnen oplopen tot 4% van de wereldwijde jaaromzet – wat in het geval van Meta kan oplopen tot een paar miljard pond. Maar de ICO is niet in de buurt van de theoretische maxima afgedwaald in de AVG-handhaving die het tot nu toe heeft gekalkt. Dus de adtech-gigant heeft mogelijk besloten dat er een minimaal regelgevend risico is op Britse bodem – en heeft het niveau van respect voor de gegevens van lokale gebruikers dienovereenkomstig ingesteld. Ergo: Geen toestemming voor jou, je bent Brits.
We hebben contact opgenomen met de ICO met vragen over het historische gebrek aan handhaving van adtech’s tracking en profilering, en om te vragen welke specifieke reacties het zou kunnen overwegen als Meta Britse gebruikers een lager niveau van gegevensbescherming blijft bieden dan andere mensen in Europa, maar de toezichthouder vertelde ons dat het niets meer toe te voegen had dan de openbare opmerkingen van Almond.
Meta weigerde ook commentaar op de verklaring van de ICO. Maar de woordvoerder wees ons terug naar het gedeelte van zijn blogpost dat we hierboven citeerden – waar het zegt dat het voornemen om over te schakelen naar toestemming in de EU en de EER werd genomen als reactie op een aantal handhavingsbesluiten door de regelgevers en rechtbanken in de regio. Dus eigenlijk maakt Meta het meest opvallende punt dat de dreigende omschakeling van wettige basis handhavingsmaatregelen volgt. Geen handhaving, geen overstap. Eenvoudig!
Dit betekent natuurlijk ook de ICO doet de macht hebben om te veranderen hoe Britse gebruikersrechten worden behandeld door Meta of andere adtech-entiteiten die op Britse bodem actief zijn. Dat wil zeggen door de Britse wet op de adtech-industrie daadwerkelijk te handhaven, zoals privacyactivisten al jaren vragen.
Michael Veale, docent digitale rechten aan het University College London, die in 2018 een van de personen was achter de bovengenoemde klacht over de praktijken van de adtech-industrie bij de ICO – en die vervolgens ook juridische stappen ondernam nadat de toezichthouder de klacht een paar keer had gesloten van jaren later zonder een beslissing te nemen – drong er bij de ICO op aan om de kans te grijpen die het nu heeft om gevolg te geven aan zijn geuite zorgen over de rechten van gebruikers in het VK door adtech-giganten zoals Meta rechtstreeks te reguleren.
“Sinds Meta zijn relevante hoofdkantoor voor Britse gebruikers van Ierland naar de VS heeft verplaatst, is het VK nu verplicht om het technologiebedrijf zelf te reguleren, niet om op Ierland te wachten. Dit zou een geweldige tijd zijn [for the ICO] om te laten zien dat het klaar is voor deze belangrijke nieuwe verantwoordelijkheden”, vertelde hij aan TechCrunch.
“De tekst van de relevante wet die van toepassing is op Meta is in alle relevante opzichten identiek in de EU en het VK. Meta’s keuze om niet dezelfde rechten uit te breiden naar gebruikers in het VK, is een berekende beslissing die de privacyhandhaving in het VK zwak genoeg is om te negeren”, voegde Veale eraan toe. “Sommige rechterlijke uitspraken zijn wel van toepassing op de EU en niet op het VK, aangezien ze na eind 2020 zijn uitgesproken. Maar dat betekent niet dat de toezichthouder geen duidelijke actie kan ondernemen op basis van de informatie die in de loop van deze uitspraken is verstrekt. en op de solide redenering die erin zit.”
Source link: https://techcrunch.com/2023/08/02/ico-meta-warning/
