Εκδόθηκαν οι αποφάσεις του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων για τη νομιμότητα της επεξεργασίας δεδομένων από τη Meta για σκοπούς συμπεριφορικής διαφήμισης
Επιμέλεια: Δημήτρης Βέρρας
Η είδηση των ημερών δεν είναι άλλη από την έκδοση των αποφάσεων του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων επί των καταγγελιών σε βάρος της Meta Platforms. Με την εξέλιξη αυτή, ένα ελεγκτικό saga τεσσάρων και ήμισυ ετών φτάνει σιγά σιγά προς το τέλος του, με τελευταίο βήμα την αναμενόμενη υιοθέτηση των αποφάσεων του ΕΣΠΔ από την αρμόδια εποπτική αρχή της Ιρλανδίας.
Στο άκουσμα της είδησης, πριν από λίγες ημέρες, το ενδιαφέρον στράφηκε στη βαρύτητα του – ακόμη άγνωστου – διοικητικού προστίμου που θα επιβληθεί. Στην πορεία όμως, κατέστη σαφές ότι σημαντικότερη είδηση αποτελεί η κρίση του ΕΣΠΔ ως προς τη νομιμότητα της επεξεργασίας δεδομένων για τον σκοπό της συμπεριφορικής διαφήμισης. Τούτο διότι, από την κρίση αυτή θα εξαρτηθεί, για την ώρα τουλάχιστον, ο τρόπος και η πρακτική που θα ακολουθείται για τη συλλογή προσωπικών δεδομένων των χρηστών, προκειμένου αυτοί να λαμβάνουν στοχευμένες διαφημίσεις με βάση τα ενδιαφέροντα και τις επιγραμμικές συνήθειές τους. Η αλλαγή της πρακτικής αυτής μπορεί να έχει πολύ βαρύτερες οικονομικές συνέπειες για τη δημοφιλή πλατφόρμα ακόμη και από ένα πρόστιμο εκατοντάδων εκατομμυρίων ευρώ.
Επί του ζητήματος αυτού δημοσιεύτηκε χτες ένα αποκαλυπτικό ρεπορτάζ της WSJ, το οποίο αναπαρήχθη από το noyb.eu με περισσότερες λεπτομέρειες από το ιστορικό της υπόθεσης. Στο παρόν κείμενο επιχειρείται, με βάση τις πληροφορίες αυτές, μια συνοπτική εξιστόρηση της υπόθεσης και μια πρώτη καταγραφή κάποιων βασικών συμπερασμάτων.
1. Η καταγγελία και το διακύβευμα
Την 25η Μαΐου 2018, ημέρα έναρξης της εφαρμογής του Γενικού Κανονισμού Προστασίας Δεδομένων, η noyb, οργάνωση που δημιουργήθηκε από τον Μαξ Σρεμς, υπέβαλε τέσσερις καταγγελίες σε ισάριθμες εποπτικές αρχές του ΓΚΠΔ για τη μη συμμόρφωση αμερικανικών εταιρειών με τις απαιτήσεις του νέου ενωσιακού νομοθετήματος. Μια εξ αυτών υποβλήθηκε στην αυστριακή αρχή προστασίας δεδομένων DSB και αφορούσε στη νομιμότητα της επεξεργασίας προσωπικών δεδομένων από το Facebook, προς τον σκοπό της παροχής προσωποποιημένης/συμπεριφορικής διαφήμισης.
Σύμφωνα με την καταγγελία, για την επεξεργασία των δεδομένων προς τον σκοπό αυτό, το δημοφιλές μέσο κοινωνικής δικτύωσης έμοιαζε να θεμελιώνει αυτή στη νομική βάση της συγκατάθεσης (άρθρο 6 παρ.1α ΓΚΠΔ), η οποία όμως ήταν άρρηκτα προσδεδεμένη με την αποδοχή των όρων χρήσης της πλατφόρμας· ως εκ τούτου δεν ήταν ελεύθερη, καθώς οι χρήστες δεν μπορούσαν να αρνηθούν να την παράσχουν, αφού μόνη εναλλακτική επιλογή ήταν το κλείσιμο του λογαριασμού.
Η καταγγελία της noyb διαβιβάστηκε από την αυστριακή εποπτική αρχή στην αρμόδια εποπτική αρχή της Ιρλανδίας. Η τότε Facebook, νυν Meta Platforms, έχει ως κύρια εγκατάσταση στην Ευρωπαϊκή Ένωση την Ιρλανδία, ενώ το άρθρο 56 ΓΚΠΔ προβλέπει ότι αρμόδια για τον έλεγχο των υπευθύνων επεξεργασίας που διενεργούν διασυνοριακές πράξεις επεξεργασίας («επικεφαλής εποπτική αρχή») είναι η εποπτική αρχή της χώρας της κύριας εγκατάστασης. Κατά συνέπεια, οποιαδήποτε καταγγελία σε βάρος της Facebook από υποκείμενο των δεδομένων στην Ένωση διαβιβάζεται υποχρεωτικώς στην Ιρλανδική Αρχή DPC, από την οποία και εξετάζεται. Είναι ο περίφημος «μηχανισμός μιας στάσης» (one-stop-shop) του ΓΚΠΔ.
Η καταγγελία της noyb υπήρξε άμεση και στοχευμένη. Εφόσον η δημοφιλής εταιρεία παρείχε στους χρήστες της στοχευμένη και προσωποποιημένη διαφήμιση με βάση τις πληροφορίες που συνέλεγε κατά τη χρήση του μέσου, όφειλε να στηρίζεται σε μια νομική βάση. Η νομική βάση αυτή θα μπορούσε να είναι η συγκατάθεση ή η εκτέλεση σύμβασης (άρθρο 6 παρ.1β’ ΓΚΠΔ) ή και το έννομο συμφέρον της (άρθρο 6 παρ.1στ΄ΓΚΠΔ). Σε κάθε περίπτωση, η νομική βάση θα έπρεπε να προκύπτει με σαφήνεια και να πληροί τις προϋποθέσεις που απαιτούνται για την επίκληση, τεκμηρίωση και εφαρμογή της.
Στην προκείμενη περίπτωση, με βάση τις πληροφορίες που δίνονταν στους χρήστες μέσα από τους όρους χρήσης του μέσου, σύμφωνα με την καταγγελία, προέκυπτε πως το Facebook στηριζόταν στη συγκατάθεση, όπως είχε κάνει και στο προ ΓΚΠΔ νομοθετικό καθεστώς. Η συγκατάθεση του ΓΚΠΔ όμως δεν είναι η συγκατάθεση της Οδηγίας 95/46, ως εκ τούτου η τυχόν επίκλησή της όφειλε να εξεταστεί υπό το πρίσμα των απαιτήσεων του νέου ρυθμιστικού πλαισίου. Αντίστοιχα θα έπρεπε να εξεταστεί και η ενημέρωση των χρηστών επί του ζητήματος αυτού, ενημέρωση η οποία συναρτάται με τη διαφάνεια στην επεξεργασία των προσωπικών δεδομένων, ως εκ τούτου αποτελεί κριτήριο και απαίτηση νομιμότητας της επεξεργασίας.
Από την απόφαση της αρμόδιας αρχής θα κρινόταν το καθεστώς επεξεργασίας δεδομένων για προσωποποιημένη διαφήμιση και εν τέλει η ίδια το καθεστώς για τη συνέχιση της πρακτικής αυτής. Είναι σαφές ότι η προσωποποιημένη διαφήμιση αποτελεί βασική πηγή εσόδων για ένα μέσο κοινωνικής δικτύωσης, καθώς δίνει τη δυνατότητα στους διαφημιζόμενους να απευθυνθούν σε συγκεκριμένο και στοχευμένο κοινό που δυνητικώς θα ενδιαφερθεί για το διατιθέμενο προϊόν ή την παρεχόμενη υπηρεσία. Αντίστροφα, ένας περιορισμός στη δυνατότητα στόχευσης των διαφημίσεων θα συνεπαγόταν και μείωση των εσόδων από τη δραστηριότητα αυτή.
2. Η εξέλιξη της υπόθεσης
Ο «μηχανισμός μιας στάσης», ο οποίος διαμορφώθηκε με τον ΓΚΠΔ προκειμένου να απαλλάξει τις εταιρείες με διασυνοριακές δραστηριότητες από το βάρος της συνεργασίας με τις εποπτικές αρχές των 27+3 (27 κράτη μέλη και 3 χώρες του ΕΟΧ) χωρών του ΓΚΠΔ δίνει στην επικεφαλής εποπτική αρχή την εξουσία να ελέγχει τις εταιρείες που διατηρούν κύρια εγκατάσταση στην επικράτειά της, δεν την καθιστά όμως παντοδύναμη. Σύμφωνα με τον μηχανισμό συνεργασίας του άρθρου 60 ΓΚΠΔ, η επικεφαλής εποπτική αρχή δεν έχει το δικαίωμα να εκδώσει απόφαση, χωρίς τη γνώμη των υπολοίπων εθνικών αρχών («ενδιαφερόμενες εποπτικές αρχές»), πολίτες των οποίων αποτελούν υποκείμενα των δεδομένων στις ελεγχόμενες πράξεις επεξεργασίας. Η επικεφαλής εποπτική αρχή έχει την πρωτοβουλία ως προς την έρευνα των καταγγελλομένων και διατηρεί το αποκλειστικό δικαίωμα να συνομιλεί με τον ελεγχόμενο, δεν μπορεί ωστόσο να αποφασίσει χωρίς να λάβει υπόψιν τη γνώμη τους και είτε να την υιοθετήσει ή να διαβιβάσει την υπόθεση στο Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων. Στην τελευταία περίπτωση, το ΕΣΠΔ εφαρμόζει τον μηχανισμό συνεκτικότητας και εκδίδει την κατ’ άρθρον 65 ΓΚΠΔ προβλεπόμενη δεσμευτική απόφαση.
Αυτό συνέβη και στην περίπτωση αυτή.
Μετά τη διαβίβαση των τριων καταγγελιών της noyb (για Facebook, Instagram και WhatsApp) από τις εποπτικές αρχές, στις οποίες αυτές είχαν υποβληθεί (Αυστρία, Βέλγιο και Αμβούργο, αντίστοιχα), η Ιρλανδική Αρχή DPC ξεκίνησε έρευνα σχετικά με τους όρους νομιμότητας για τις καταγγελλόμενες πράξεις επεξεργασίας.
Στις 6 Οκτωβρίου 2021, περισσότερα από τρια χρόνια μετά την υποβολή της καταγγελίας σε βάρος του Facebook, η DPC υπέβαλε σχέδιο απόφασης προς τις ενδιαφερόμενες εποπτικές αρχές, οι οποίες εν προκειμένω και λαμβανομένου υπόψιν του χαρακτήρα της κρινόμενης υπηρεσίας, ήταν όλες οι εποπτικές αρχές του ΓΚΠΔ. Το σχέδιο απόφασης αυτό δημοσιεύτηκε από τη noyb, μολονότι τούτο δεν προβλέπεται σε αυτό το στάδιο της διαδικασίας, παρέχοντας έτσι μια σπάνια ευκαιρία να λάβει κανείς γνώση ως προς τους χειρισμούς, το σκεπτικό και την αρχική εισήγηση της Ιρλανδικής Αρχής, καθώς και τους ισχυρισμούς καταγγέλλοντος και καταγγελλομένου.
3. Το κρίσιμο ερμηνευτικό ζήτημα
Η καταγγελία που υποβλήθηκε από τη noyb υπήρξε αρκετά προσεκτική και περίτεχνη ως προς τη διατύπωσή της. Όπως ουσιαστικά παρατηρήθηκε και από την ίδια την Ιρλανδική Αρχή, η noyb προσπάθησε να εγκλωβίσει ελεγχόμενο και ελέγχοντα στη μοναδική νομική βάση που θα μπορούσε νομίμως να τύχει επίκλησης και εφαρμογής, τη συγκατάθεση.
Στην καταγγελία μνημονευόταν και η έτερη περίπτωση της νομικής βάσης της εκτέλεσης σύμβασης, με τρόπο όμως ουσιαστικά που την απέκλειε εξαρχής: όταν παρουσιάζεις στον χρήστη ένα κείμενο όρων χρήσης και τον υποχρεώνεις να αποδεχθεί τα πάντα, άλλως να διαγράψει τον λογαριασμό του, τότε δεν πραγματοποιείς επεξεργασία για την εκτέλεση σύμβασης, εν προκειμένω παροχή υπηρεσίας. Ουσιαστικά τον εξαναγκάζεις, μέσω της υποχρεωτικής επιλογής «συμφωνώ» και «αποδέχομαι» να παράσχει τη συγκατάθεσή του για κάθε πράξη επεξεργασίας των δεδομένων του, ανεξαρτήτως σκοπού και σύνδεσης με την παρεχόμενη υπηρεσία καθαυτή.
Υπό το σκεπτικό αυτό, η νομική βάση της εκτέλεσης σύμβασης θα έπρεπε να αποκλειστεί εκ προοιμίου, ενώ μοναδική ασφαλής νομική βάση ήταν αυτή της συγκατάθεσης, η οποία όμως δεν πληρούσε τις απαιτήσεις νομιμότητας του ΓΚΠΔ.
Το σκεπτικό αυτό προσπάθησε εξαρχής να αντικρούσει η ελεγχόμενη εταιρεία, αλλά και η Ιρλανδική Αρχή.
Πράγματι, ο πρώτος και κύριος ισχυρισμός της Facebook υπήρξε πως ουδέποτε ζήτησε τη συγκατάθεση των χρηστών για την επεξεργασία των προσωπικών δεδομένων τους· μια τέτοια συγκατάθεση άλλωστε δεν θα ήταν νόμιμη. Η επεξεργασία των προσωπικών δεδομένων των χρηστών έγινε στη νομική βάση της εκτέλεσης σύμβασης, εν προκειμένω της παροχής υπηρεσίας, συστατικό στοιχείο και άρρηκτη παράμετρος της οποίας είναι και η παροχή στοχευμένης διαφήμισης.
Η noyb αντέκρουσε τον ισχυρισμό αυτό με αυτό που έγινε γνωστό ως «consent bypass», η παράκαμψη της συγκατάθεσης. Σύμφωνα με τους ισχυρισμούς της ενώπιον της Αρχής, η θεμελίωση της επεξεργασίας εν συνόλω στην εκτέλεση σύμβασης δεν είναι νόμιμη, καθώς η νομική αυτή βάση δεν μπορεί να δικαιολογεί οποιαδήποτε πράξη επεξεργασίας, ανεξαρτήτως σύνδεσης με την παροχή της υπηρεσίας. Η επεξεργασία δεδομένων για τον σκοπό της παροχής προσωποποιημένης διαφήμισης δεν είναι αναγκαία για την παροχή της υπηρεσίας, ως εκ τούτου θα έπρεπε να εδράζεται σε διαφορετική νομική βάση και συγκεκριμένα στη συγκατάθεση.
Αυτό που, σύμφωνα με τη noyb, έκανε η εταιρεία ήταν να παρακάμψει την υποχρέωση λήψης συγκατάθεσης ενσωματώνοντας και τη συγκεκριμένη πράξη επεξεργασίας μέσα στους γενικούς όρους χρήσης και άρα μέσα στις υποχρεωτικώς αποδεκτές προϋποθέσεις για τη σύναψη και την εκτέλεση της σύμβασης.
Η Ιρλανδική Αρχή δεν συμφώνησε, συντασσόμενη εμφατικώς με την καταγγελλόμενη εταιρεία. Σύμφωνα με το σχέδιο απόφασής της, ο Γενικός Κανονισμός Προστασίας Δεδομένων δεν υποχρεώνει τον υπεύθυνο επεξεργασίας να θεμελιώνει συγκεκριμένες πράξεις επεξεργασίας στη συγκατάθεση, ούτε παρουσιάζουν οι νομικές βάσεις του άρθρου 6 κάποια ιεράρχηση ως προς το κύρος τους. Όταν συνάπτεται μια σύμβαση, η κύρια νομική βάση για τη συλλογή και επεξεργασία δεδομένων του αντισυμβαλλομένου είναι η εκτέλεση σύμβασης του άρθρου 6 παρ.1β ΓΚΠΔ, ενώ ο βαθμός στον οποίο μπορεί ο υπεύθυνος επεξεργασίας να στηριχθεί σε αυτήν εξαρτάται από τους όρους της σύμβασης και την αναγκαιότητα της επεξεργασίας των δεδομένων για την εκτέλεση αυτή.
Επί της αναγκαιότητας αυτής, η Ιρλανδική Αρχή επιχείρησε να στηριχθεί στις σκέψεις του ΕΣΠΔ, όπως αυτές διατυπώθηκαν στις Κατευθυντήριες Γραμμές 2/2019 «για την επεξεργασία δεδομένων προσωπικού χαρακτήρα σύμφωνα με το άρθρο 6 παράγραφος 1 στοιχείο β) του ΓΚΠΔ στο πλαίσιο της παροχής επιγραμμικών υπηρεσιών σε υποκείμενα δεδομένων». Οι Κατευθυντήριες Γραμμές αυτές, σύμφωνα με τη noyb, προέκυψαν μετά από πρωτοβουλία και εισήγηση της ίδια της Ιρλανδικής Αρχής, προς τον σκοπό της κάλυψης της ερμηνείας που ήθελε να προωθήσει στην επίμαχη υπόθεση. Ατυχώς για την DPC, το τελικό κείμενο του ΕΣΠΔ, όπως αυτό διαμορφώθηκε μετά από αντιρρήσεις των υπολοίπων αρχών δεν φάνηκε να δικαιώνει την προσπάθειά της, καθώς έκρινε ότι:
«Για να ισχύει το άρθρο 6 παράγραφος 1 στοιχείο β), απαιτείται η επεξεργασία να είναι αντικειμενικά απαραίτητη για σκοπό που είναι αναπόσπαστος από την παροχή στο υποκείμενο των δεδομένων των υπηρεσιών που προβλέπει η σύμβαση. Δεν εξαιρείται η επεξεργασία στοιχείων πληρωμής για τους σκοπούς της χρέωσης της υπηρεσίας. Ο υπεύθυνος επεξεργασίας θα πρέπει να είναι σε θέση να αποδεικνύει πως το κύριο αντικείμενο της συγκεκριμένης σύμβασης με το υποκείμενο των δεδομένων δεν μπορεί, βάσει πραγματικών στοιχείων, να εκτελεστεί αν δεν διενεργηθεί η συγκεκριμένη επεξεργασία των εν λόγω δεδομένων προσωπικού χαρακτήρα. Το σημαντικό ζήτημα εδώ είναι ο σύνδεσμος μεταξύ των δεδομένων προσωπικού χαρακτήρα και των σχετικών δραστηριοτήτων επεξεργασίας και της εκτέλεσης ή αδυναμίας εκτέλεσης της υπηρεσίας που παρέχεται σύμφωνα με τη σύμβαση.» (σκ.30)
«Όταν η σύμβαση αποτελείται από διάφορες ξεχωριστές υπηρεσίες ή στοιχεία υπηρεσιών που εύλογα μπορούν να εκτελεστούν στην πραγματικότητα ανεξάρτητα το ένα από το άλλο, προκύπτει το ερώτημα σε ποιον βαθμό μπορεί το άρθρο 6 παράγραφος 1 στοιχείο β) να αποτελέσει τη νομική βάση. Η εφαρμογή του άρθρου 6 παράγραφος 1 στοιχείο β) θα πρέπει να εκτιμηθεί στο πλαίσιο κάθε μιας από τις υπηρεσίες αυτές ξεχωριστά, εξετάζοντας τι είναι αντικειμενικά απαραίτητο για την εκτέλεση κάθε μιας από τις υπηρεσίες ξεχωριστά που το υποκείμενο των δεδομένων έχει ενεργά αιτηθεί ή συμφωνήσει. Η εκτίμηση αυτή ενδέχεται να αποκαλύψει ότι ορισμένες δραστηριότητες επεξεργασίας δεν είναι απαραίτητες για τις συγκεκριμένες υπηρεσίες που αιτήθηκε το υποκείμενο των δεδομένων, αλλά μάλλον απαραίτητες για το ευρύτερο επιχειρηματικό μοντέλο του υπεύθυνου επεξεργασίας. Στην περίπτωση αυτή, το άρθρο 6 παράγραφος 1 στοιχείο β) δεν μπορεί να αποτελέσει τη νομική βάση για τις εν λόγω δραστηριότητες. Ωστόσο, μπορεί να είναι διαθέσιμες άλλες νομικές βάσεις για την εν λόγω επεξεργασία, όπως αυτές του άρθρου 6 παράγραφος 1 στοιχεία α) ή στ), υπό την προϋπόθεση ότι πληρούνται τα σχετικά κριτήρια.» (σκ.37)
«Κατά γενικό κανόνα, η επεξεργασία των δεδομένων προσωπικού χαρακτήρα για συμπεριφορική διαφήμιση δεν είναι απαραίτητη για την εκτέλεση σύμβασης επιγραμμικών υπηρεσιών. Κανονικά, θα ήταν δύσκολο να επιχειρηματολογήσει κανείς ότι η σύμβαση δεν εκτελέστηκε επειδή δεν υπήρχαν συμπεριφορικές διαφημίσεις. Αυτό στηρίζεται επιπλέον και στο γεγονός ότι τα υποκείμενα των δεδομένων έχουν το απόλυτο δικαίωμα σύμφωνα με το άρθρο 21 να εναντιώνονται στην επεξεργασία των δεδομένων τους για σκοπούς απευθείας εμπορικής προώθησης.» (σκ. 52)
Τούτο δεν φάνηκε να κάμπτει την DPC, η οποία επικαλούμενη την (κατ΄ επανάληψιν αναφερόμενη ως μη δεσμευτική) γνώμη του ΕΣΠΔ κατέληξε ότι:
«Αν και δέχομαι ότι, κατά γενικό κανόνα, το ΕΣΠΔ θεωρεί ότι η επεξεργασία για την επιγραμμική συμπεριφορική διαφήμιση δεν θα ήταν απαραίτητη για την εκτέλεση σύμβασης για διαδικτυακές υπηρεσίες, στη συγκεκριμένη περίπτωση, λαμβάνοντας υπόψη τους ειδικούς όρους της σύμβασης και τη φύση της υπηρεσίας που παρέχεται και συμφωνήθηκε από τα μέρη, συμπεραίνω ότι το Facebook μπορεί κατ’ αρχήν να βασίζεται στο άρθρο 6 παράγραφος 1 στοιχείο β) ως νομική βάση για την επεξεργασία των δεδομένων των χρηστών που είναι απαραίτητα για την παροχή της υπηρεσίας του, μεταξύ άλλων μέσω της παροχής συμπεριφορικής διαφήμισης στο βαθμό που αυτή αποτελεί βασικό μέρος αυτής της υπηρεσίας που προσφέρεται και γίνεται αποδεκτή από τους χρήστες.»
Ένα τέτοιο συμπέρασμα πολύ δύσκολα θα γινόταν αποδεκτό από το ίδιο το όργανο της Ένωσης που είχε εκδώσει τις Κατευθυντήριες Γραμμές. Όπως φαίνεται, το ΕΣΠΔ μάλλον δεν συμφώνησε με την ερμηνεία της Ιρλανδικής Αρχής.
4. Η μεγάλη ηττημένη
Η πολυαναμενόμενη απόφαση φαίνεται πως θα αποτελέσει μια συντριπτική ήττα της κεντρικής, από άποψη συγκέντρωσης αμερικανικών εταιρειών τεχνολογίας στην επικράτειά της, επικεφαλής εποπτικής αρχής του ΓΚΠΔ. Η DPC έχει ήδη υποστεί σοβαρά επικοινωνιακά πλήγματα από τον χειρισμό της υπόθεσης αυτής. Μέσα από συνεχόμενα δημοσιεύματα και αποκαλύψεις της noyb, η Ιρλανδική Αρχή παρουσιάζεται ως μη έχουσα τα εχέγγυα αμεροληψίας για να προστατεύσει τα δικαιώματα των υποκειμένων της Ένωσης έναντι των big tech εταιρειών που εδρεύουν στην Ιρλανδία. Η Αρχή αυτή φαίνεται να συντάσσεται απολύτως με τους ισχυρισμούς της καταγγελλόμενης εταιρείας, να ευθύνεται για την τετραετή καθυστέρηση στην ολοκλήρωση της υπόθεσης, ακόμη και να κάνει lobbying στο ΕΣΠΔ, προκειμένου να διαμορφώσει κείμενα κατευθύνσεων που θα εξυπηρετούσαν τις θέσεις της, συγκρουόμενη έτσι με την πλειοψηφία των υπολοίπων εποπτικών αρχών.
Παράλληλα, η εμφατική απόφαση του ΕΣΠΔ αποτελεί σαφές πλήγμα για την αμεροληψία της και τον εν γένει ρόλο της στο ρυθμιστικό περιβάλλον του ΓΚΠΔ.
5. Ο αδιαμφισβήτητος πρωταγωνιστής
Θα μπορούσε να παρατηρηθεί ότι μεγάλος πρωταγωνιστής στην υπόθεση αυτή είναι ο Μαξ Σρεμς, ο άνθρωπος που έχει ήδη ακυρώσει δύο αποφάσεις διαβιβάσεων δεδομένων. Η ανάγνωση αυτή δεν είναι αβάσιμη, δεν είναι όμως και πρωτοφανής.
Αυτό που είναι μάλλον καινοφανές, ως εκ τούτου σημαντικότερο, στην υπόθεση αυτή είναι ο εμφατικά αναβαθμισμένος ρόλος του ΕΣΠΔ στο ρυθμιστικό περιβάλλον του Γενικού Κανονισμού Προστασίας Δεδομένων. Όπως προκύπτει ήδη από τα πρώτα δημοσιεύματα, αυτός που διαπιστώνει την παραβίαση και θα επιβάλει τις όποιες διοικητικές κυρώσεις δεν είναι η Ιρλανδική Αρχή, μετά από παρέμβαση του ΕΣΠΔ, όπως γινόταν δεκτό μέχρι σήμερα σε προηγούμενες υποθέσεις. Είναι το ίδιο το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων, όπως αυτό εκπροσωπεί το σύνολο των εποπτικών αρχών, την Ένωση και τους πολίτες της.
Ήταν ήδη γνωστό το ότι το ΕΣΠΔ δεν είναι απλά ένα όργανο συμβουλευτικό, που διαδέχθηκε την Ομάδα Εργασίας του Άρθρου 29, όπως αυτή λειτούργησε υπό το νομοθετικό καθεστώς της Οδηγίας 95/46. Το ΕΣΠΔ έχει αυξημένες αρμοδιότητες, σημαντικότερη εκ των οποίων είναι αυτή του ελέγχου του μηχανισμού μιας στάσης.
Το προηγούμενο χρονικό διάστημα κατεγράφησαν δικαιολογημένες αμφιβολίες και προβληματισμοί ως προς την ικανότητα του μηχανισμού μιας στάσης να αντιμετωπίσει τις μεγάλες διασυνοριακές υποθέσεις. Χαρακτηριστική ήταν η δημόσια παρέμβαση του Γερμανού Ομοσπονδιακού Επιτρόπου για την προστασία των προσωπικών δεδομένων Ulrich Kelber, ο οποίος είχε διαμαρτυρηθεί για την καθυστέρηση της Ιρλανδίας στον έλεγχο του big tech και είχε ζητήσει την εξέταση ενός νέου μοντέλου με κεντρικότερο έλεγχο των μεγάλων υποθέσεων απευθείας από την ίδια την Ένωση.
Με την απόφασή του αυτή, το Συμβούλιο υπό μια έννοια καθησυχάζει τον προβληματισμό αυτό, καθώς δείχνει παρά τα όποια προβλήματα, τον τελικό λόγο, όσα χρόνια και αν χρειαστεί να περάσουν, θα τον έχει η ίδια η Ένωση.