Το Facebook αντιμέτωπο με ομαδική αγωγή στην Ευρώπη

To Facebook πρόκειται να βρεθεί αντιμέτωπο με αγωγή στην Ευρώπη, εξαιτίας της μαζικής διαρροής προσωπικών δεδομένων χρηστών του, η οποία σημειώθηκε το 2019 όμως ήρθε στο φως μόλις πρόσφατα, όταν έγινε γνωστό πως στοιχεία άνω των 533 εκατομμυρίων λογαριασμών είχαν αναρτηθεί σε ιστοσελίδα όπου συχνάζουν hacker και ήταν διαθέσιμα στον οιονδήποτε.

 Tην Παρασκευή η οργάνωση προστασίας των δικαιωμάτων των καταναλωτών Digital Rights Ireland (DRI) ανακοίνωσε πως είχε ξεκινήσει τις διεργασίες για την κατάθεση "ομαδικής αγωγής" σε βάρος του Facebook, κάνοντας λόγο για διεκδίκηση χρηματικής αποζημίωσης λόγω της παραβίασης του πλαισίου προστασίας των προσωπικών δεδομένων όπως αυτό περιγράφεται από το Γενικό Κανονισμό Προστασίας Δεδομένων (GDPR) της Ευρωπαϊκής Ένωσης.

Το Άρθρο 82 του GDPR προβλέπει το "δικαίωμα αποζημίωσης και λογοδοσίας" στις περιπτώσεις όπου κάποιο άτομο επηρεάζεται από την παραβίαση του νόμου. Από τη στιγμή που τέθηκε σε ισχύ ο συγκεκριμένος κανονισμός, το Μάιο του 2018, καταγράφεται αύξηση στις προσφυγές στα αστικά δικαστήρια της Ευρωπαϊκής Ένωσης.

Η DRI, η οποία εδρεύει στην Ιρλανδία, καλεί τους χρήστες του Facebook που κατοικούν στην Ευρωπαϊκή Ένωση ή τον Ευρωπαϊκό Οικονομικό Χώρο να ελέγξουν κατά πόσο τα δεδομένα τους διέρρευσαν -μέσω της ιστοσελίδας haveibeenpwned (η οποία προσφέρει τη δυνατότητα διασταύρωσης με την εισαγωγή της ηλεκτρονικής διεύθυνσης ή του κινητού του χρήστη)- και να δηλώσουν συμμετοχή στην κατάθεση αγωγής εφόσον πράγματι επηρεάζονται από τη διαρροή.

Μεταξύ των δεδομένων που διέρρευσαν συγκαταλέγονται προφίλ στο Facebook, τοποθεσίες, αριθμοί κινητών τηλεφώνων, διευθύνσεις ηλεκτρονικού ταχυδρομείου, καταστάσεις σχέσεων καθώς και στοιχεία εργασίας.

Η ευρωπαϊκή έδρα του τεχνολογικού κολοσσού βρίσκεται στην Ιρλανδία και νωρίτερα αυτή την εβδομάδα η εθνική ρυθμιστική αρχή προστασίας δεδομένων ξεκίνησε σχετική έρευνα, στο πλαίσιο της ευρωπαϊκής και ιρλανδικής νομοθεσίας περί προστασίας δεδομένων.

Ο GDPR περιλαμβάνει μηχανισμό διευκόλυνσης της διερεύνησης υποθέσεων οι οποίες ξεπερνούν τα σύνορα μίας χώρας, γεγονός που σημαίνει πως η ιρλανδική Επιτροπή Προστασίας Δεδομένων (DPC) έχει το ρόλο της επικεφαλής ρυθμιστικής αρχής για το Facebook στην Ευρωπαϊκή Ένωση, σε θέματα τα οποία άπτονται της προστασίας δεδομένων. Εντούτοις, η συγκεκριμένη επιτροπή έχει επικριθεί για τον τρόπο που προσεγγίζει και διαχειρίζεται ενστάσεις και έρευνες που αφορούν την εφαρμογή του GDPR, με ιδιαίτερο σημείο τριβής να αποτελεί ο χρόνος που μεσολαβεί προκειμένου να καταλήξει σε αποφάσεις οι οποίες αφορούν υποθέσεις με διεθνείς προεκτάσεις. Και αυτό ισχύει ιδιαίτερα στην περίπτωση του Facebook.

Την ώρα που πλησιάζει η τρίτη επέτειος εφαρμογής του GDPR, η DPC έχει μια σειρά από εκκρεμείς έρευνες σχετικά με διάφορες πτυχές των επιχειρηματικών δραστηριοτήτων του Facebook, όμως ακόμη δεν έχει καταλήξει σε κάποια απόφαση εις βάρος της εταιρίας.

Εντωμεταξύ, από το Μάιο του 2018 ο κανονισμός προστασίας προσωπικών δεδομένων στην Ευρωπαϊκή Ένωση προβλέπει -στα χαρτιά, τουλάχιστον- πρόστιμα ίσα με έως και 4% των παγκοσμίων εσόδων μιας εταιρίας, για τις σοβαρότερες περιπτώσεις παραβίασης του ρυθμιστικού πλαισίου. Στην πράξη, όμως, το μόνο πρόστιμο που έχει επιβληθεί μέχρι στιγμής από τη DPC στο πλαίσιο του GDPR σε βάρος τεχνολογικού κολοσσού, και πιο συγκεκριμένα του Twitter, απέχει πολύ από το θεωρητικό μέγιστο. Τον περασμένο Δεκέμβριο η ρυθμιστική αρχή ανακοίνωσε πρόστιμο ύψους 450 εκατομμυρίων ευρώ σε βάρος του Twitter, ποσό το οποίο ανέρχεται μόλις στο 0,1% περίπου των ετησίων εσόδων της εταιρίας.

Το συγκεκριμένο πρόστιμο είχε επίσης επιβληθεί για διαρροή δεδομένων, όμως η ειδοποιός διαφορά σε εκείνη την περίπτωση ήταν πως το περιστατικό είχε ανακοινωθεί επίσημα, όταν το Twitter διαπίστωσε τι είχε συμβεί, το 2019. Κάτι τέτοιο δεν ισχύει στην περίπτωση του Facebook. Το γεγονός πως το Facebook απέφυγε να γνωστοποιήσει το κενό ασφαλείας όταν το εντόπισε και, όπως ισχυρίζεται, διόρθωσε το Σεπτέμβριο του 2019, με αποτέλεσμα να διαρρεύσουν τα στοιχεία άνω των 533 εκατομμυρίων λογαριασμών, θα οδηγούσε εύλογα στο συμπέρασμα πως η εταιρία πρέπει να βρεθεί αντιμέτωπη με πρόστιμο υψηλότερο από εκείνο που επιβλήθηκε στο Twitter.

Όμως, ακόμη και αν το Facebook τελικώς κληθεί να καταβάλει βαρύτερο πρόστιμο για τη συγκεκριμένη παραβίαση του πλαισίου του GDPR, οι έρευνες που έχουν σωρευτεί στις ρυθμιστικές αρχές της Ιρλανδίας, σε συνδυασμό με τους βραδείς ρυθμούς ολοκλήρωσης των διαδικασιών δύσκολα θα επέτρεπε αισιοδοξία πως πρόκειται να υπάρξει γρήγορο αποτέλεσμα από μια έρευνα η οποία μετρά λίγες μόλις ημέρες.

Η διαμορφωμένη αυτή κατάσταση ενδεχομένως εξηγεί και το γιατί η DRI θεωρεί σκόπιμο να προχωρήσει τις διαδικασίες κατάθεσης ομαδικής αγωγής παράλληλα με την έρευνα που θα διεξάγουν οι αρμόδιες ρυθμιστικές αρχές.

"Η καταβολή αποζημιώσεων δεν είναι ο μόνος λόγος για τον οποίο αξίζει να συμμετάσχει κανείς σε αυτή την ομαδική αγωγή. Είναι σημαντικό να σταλεί ένα μήνυμα προς τις μεγάλες εταιρίες που ελέγχουν τεράστιους όγκους δεδομένων πως οφείλουν να σέβονται τη νομοθεσία και πως αν δεν το κάνουν θα υπάρξει κόστος", αναφέρει η DRI στην ιστοσελίδα της.

Το Facebook, εντωμεταξύ, επιδιώκει να υποβαθμίσει τη σημασία της διαρροής που απέφυγε να γνωστοποιήσει το 2019, κάνοντας λόγο για κάποια "παλιά δεδομένα", διατύπωση η οποία προσπερνά το γεγονός πως προσωπικά δεδομένα των χρηστών, όπως οι ημερομηνίες γέννησης, δεν μεταβάλλονται με την πάροδο του χρόνου, ούτε αλλάζουν κάθε τόσο οι περισσότεροι άνθρωποι αριθμό κινητού τηλεφώνου ή ηλεκτρονική διεύθυνση.

Πολλά από αυτά τα "παλιά δεδομένα" που διέρρευσαν από το Facebook θα μπορούσαν να αποδειχτούν ιδιαίτερα χρήσιμα για την αποστολή διαφημιστικών μηνυμάτων χωρίς καμία προηγούμενη συναίνεση των παραληπτών, ακόμη και για περιπτώσεις απάτης, πράγμα το οποίο σημαίνει πως το Facebook κινδυνεύει να οδηγηθεί στα δικαστήρια και για περιπτώσεις πρόκλησης ζημιών από κακόβουλη χρήση αυτών των στοιχείων.