继上周晚些时候Twitter 高级隐私和安全人员的一系列辞职之后,这家社交媒体公司通知其欧盟的主要数据保护监管机构,它已任命一名“代理”替代其中一个职位:数据保护官 (DPO)。
Twitter 首席信息安全官 Lea Kissner 的突然离职;首席隐私官(和 DPO)Damien Kieran;和首席合规官 Marianne Fogarty 立即对其在新的、破坏规范的扫帚 Elon Musk 的领导下满足监管要求的能力提出了质疑——他在上个月底才完成了440 亿美元的收购。
根据欧盟的通用数据保护条例 (GDPR),以 Twitter 的规模处理个人数据的公司有义务至少拥有 DPO——至少是最低限度。
Twitter 在 2011 年还与 FTC 达成了一项同意令,要求它定期提交报告,说明它如何履行保护用户数据的持续承诺——因此,高级隐私和安全人员的突然离职立即敲响了警钟。包括在爱尔兰数据保护委员会 (DPC),Twitter 是欧盟 GDPR 的首席数据主管。
在上周安排并于昨天举行的三人辞职之后,DPC 和 Twitter 之间紧接着举行了一次会议,在这次会议上,DPC 表示 Twitter 通知它已任命一名现有员工 Renato Monteiro 作为其“代理 DPO”。
根据他的 LinkedIn 个人资料,Monteiro 已在 Twitter 工作了两年九个月——从巴西圣保罗的 Match 2020 开始,担任拉丁美洲的数据保护顾问负责人,然后于今年夏天搬到 Twitter Ireland 担任国际隐私和数据保护主管负责人——管理欧洲、中东和非洲、北美和南美以及亚太地区的隐私和数据保护团队。
目前尚不清楚为什么蒙泰罗只被任命为“代理” DPO——或者他的任命是否只是作为权宜之计,同时寻求全面替代。
自马斯克接管推特以来,该公司已停止回应媒体询问,因此无法通过官方渠道获得确认。但马斯克似乎喜欢任命“表演”而不是实际的职位头衔,并且喜欢玩弄荒谬的职位头衔(例如,在他解雇并接替实际 CEO 之后,最初将自己命名为“首席傻瓜”;随后马斯克成为“推特投诉热线接线员”,似乎是对用户对他早期的产品决策和其他变化做出负面反应的评论)。
因此,可能出现的一个问题是,Monteiro 是否承担了 GDPR 规定的 DPO 角色所需的全部责任和义务——如果没有,“代理”框架是否会通过欧盟监管机构的审查。
在撰写本文时,DPC 尚未回答我们关于这一点的问题。但如果我们得到回应,我们会更新这份报告。
上周,爱尔兰监管机构告诉我们,除了利用周一与 Twitter 的会议向其寻求有关 DPO 情况的信息外,它还计划讨论一个更广泛的问题——询问该公司是否仍在声称其主要机构(出于 GDPR 目的)在爱尔兰。
这种结构很重要,因为它使 Twitter 能够参与 GDPR 的一站式服务 (OSS) 机制——该机制将 DPC 设置为欧盟数据保护问题的主要数据监管机构,这意味着在欧盟其他地方提出的投诉通常通过爱尔兰——允许这家总部位于美国的公司简化其 GDPR 合规性并降低监管风险。
然而,鉴于马斯克接管 Twitter 后发生的所有剧烈变化——据报道,标准的隐私和安全审查流程被取消——人们怀疑 Twitter 是否仍能像我们昨天报道的那样可靠地宣称其在爱尔兰的主要机构。
DPC 的副专员 Graham Doyle 拒绝在昨天的会议后就其对 Twitter 主要机构地位的质疑提供最新消息——只说:“我们继续与 Twitter 接触。”
其他欧盟数据保护机构可能会非常密切地关注这方面的发展。
法国 CNIL 的一位发言人告诉 TechCrunch,它将与 DPC 接洽,讨论自马斯克接任以来 Twitter 所报道的变化的性质和“可能的后果”。
尽管监管机构也告诉我们,目前,它没有“足够的信息”来质疑OSS的应用。
“到目前为止,监管机构掌握的证据使他们认为 Twitter 在欧盟的主要营业地点在爱尔兰,这使得 DPC 成为牵头机构。 CNIL 打算与 DPC 接触,讨论媒体提到的变化可能对 Twitter 爱尔兰机构的角色和地位产生的性质和可能的后果,”CNIL 发言人说。
“现阶段,CNIL 没有足够的信息来认为一站式服务系统的应用存在问题。”
在上周关键的隐私和安全问题发生后,推特将Natasha Lomas的名字命名为“代理 DPO”,最初发表在TechCrunch上
原文: https://techcrunch.com/2022/11/15/twitter-elon-musk-acting-dpo/