Amenzi de peste 400 de milioane de euro aplicate în industria tech pentru nerespectarea GDPR

Article Amenzi de peste 400 de milioane de euro aplicate în industria tech pentru nerespectarea GDPR

Finalul anului 2022 a adus o serie de amenzi usturătoare pentru cei mai mari jucători din industria tech. Facebook, Microsoft și Tiktok au fost amendați din cauza ignorării prevederilor impuse de legislația privind protecția datelor personale. Vom analiza pe rând amenzile pentru a înțelege mai exact ce au greșit companiile cu privire la aplicarea GDPR.

 

Tiktok UK și Tiktok Irlanda au fost amendate cu 5 milioane de euro

Autoritatea franceză de protecție a datelor personale (CNIL) a început controlul site-ului, nu și al  aplicației, Tiktok în iunie 2021, și a descoperit încălcări ale directivei e-Privacy (Directiva 2002/58/CE privind prelucrarea datelor personale și protejarea confidențialității în sectorul comunicațiilor publice (Directiva asupra confidențialității și comunicațiilor electronice)), cu privire la gestionarea cookie-urilor. Practic, pe site exista un buton de acceptare imediată și integrală a cookie-urilor, dar nu și unul corespondent pentru refuzarea acestora, fiind necesare mai multe click-uri pentru această acțiune. Mai mult, dreptul persoanelor vizate de a fi informate cu privire la prelucrarea datelor lor personale a fost încălcat prin lipsa unei informări corespunzătoare, atât pe primul banner de pe site, cât și pe link-ul prezent pe acest banner.

Mecanismul de refuzare a cookie-urilor a încălcat astfel libertatea consimțământului, până la momentul actualizării butonului de refuz a cookie-urilor de pe site.

Paragraful (25) din Directiva ePrivacy menționează: ”(25) Cu toate acestea, aceste procedee, de exemplu așa-numitele „cookies”, pot fi un instrument legitim și util, spre exemplu pentru analizarea eficienței designului și publicității efectuate pe un site și pentru verificarea identității utilizatorilor angajați în tranzacții on-line. Atunci când aceste instrumente sunt folosite în scopuri legitime, ca de exemplu pentru facilitarea furnizării de servicii ale societății informaționale, folosirea lor ar trebui permisă, cu condiția ca utilizatorilor să li se furnizeze informații clare și precise, conform Directivei 95/46/CE, cu privire la scopul acestor cookies sau al instrumentelor similare, pentru ca utilizatorii să știe ce informații sunt introduse în echipamentul terminal pe care îl folosesc.”

 

Apple a fost amendata cu 8 milioane de euro

În baza aceleași Directive asupra confidențialității și comunicațiilor electronice, Autoritatea franceză de protecție a datelor personale a sancționat și compania Apple cu 8 milioane de euro, din cauza faptului că au plasat identificatori de publicitate pe telefoanele iPhone fără a avea consimțământul utilizatorilor. Cea mai mare problemă pentru Apple în această situație nu este amenda aplicată, ci lovitura de imagine primită, care a anulat o mare parte din eforturile Apple de a se plasa ca jucător pe piața tech ce protejează datele personale ale utilizatorilor săi și le respectă dreptul la confidențialitate.

În perioada martie 2021 – 2022, autoritatea a investigat sistemul de operare 14.6 al iPhone și a descoperit faptul că nu a fost preluat niciun consimțământ pentru reclamele personalizate oferite în Aplicația App Store, deși rularea acestor reclame în aplicație nu era fost esențială pentru serviciul oferit de către aplicație. Așadar, Apple trebuia să ia consimțământul utilizatorilor pentru această prelucrare.

Pentru că identificatorii nu erau esențiali pentru furnizarea serviciului aplicației App Store, Apple ar fi trebuit să ceară consimțământul utilizatorilor, mai mult, acordul pentru această procesare aflat în setările telefonului era prebifat. La fel ca în situația amenzii aplicate Tik Tok, utilizatorul trebuia să efectueze mai multe acțiuni pentru a debifa acest acord din setări (utilizatorul trebuia să acceseze Setările, apoi Confidențialitatea, iar ulterior secțiunea ”Reclame Apple” pentru debifarea acordului).

 

Meta Irlanda (Facebook și Instagram) a fost amendata cu390 milioane de euro

Autoritatea irlandeză de protecție a datelor personale (DPC) a amendat cu 210 milioane de euro Facebook, și cu 180 milioane de euro Instagram, din cauza temeiului de prelucrare utilizat în oferirea celor două servicii, Facebook și Instagram. Plângerile datează din 25 mai 2018, de la intrarea în vigoare a Regulamentului GDPR. În pregătirea acestui moment, Meta Ireland a schimbat termenii și condițiile de utilizare pentru Meta și pentru Instagram, impunând temeiul de prelucrare contractual, pentru majoritatea prelucrărilor. Prin acceptarea termenilor și condițiilor, utilizatorii acceptau intrarea într-o relație contractuală cu Meta Ireland, în baza articolului 6 (1)(b) din Regulament, pentru utilizarea Facebook și Instagram, inclusiv pentru servicii personalizate și publicitate comportamentală.

Principalele încălcări identificate de autoritate au fost lipsa transparenței și lipsa unui temei de prelucrare justificat, conform Regulamentului. Dacă inițial, Meta utiliza în mod abuziv consimțământul, în sensul că forța utilizatorii să îl ofere, ulterior, compania a definitiv relația cu utilizatorul ca fiind una contractuală, astfel toate prelucrările intrând sub umbrela acestui temei de prelucrare, nici acesta justificat conform autorității. Paragraful (40) din Regulamentul GDPR menționează: ”(40) Pentru ca prelucrarea datelor cu caracter personal să fie legală, aceasta ar trebui efectuată pe baza consimțământului persoanei vizate sau în temeiul unui alt motiv legitim, prevăzut de lege, fie în prezentul regulament, fie în alt act din dreptul Uniunii sau din dreptul intern, după cum se prevede în prezentul regulament, inclusiv necesitatea respectării obligațiilor legale la care este supus operatorul sau necesitatea de a executa un contract la care persoana vizată este parte sau pentru a parcurge etapele premergătoare încheierii unui contract, la solicitarea persoanei vizate.”

Hotărârea autorității irlandeze a fost supusă dezbaterii comitetului autorităților statelor membre, care au confirmat perspectiva DPA privind încălcarea obligației de transparență, și au propus mărirea sancțiunilor propuse. O parte din autoritățile vizate au considerat nejustificată utilizarea temeiului contractual pentru oferirea publicității personalizate, pentru că nu este o funcție necesară pentru furnizarea principalului serviciu din contract. Autoritatea irlandeză nu a fost de acord cu acest punct de vedere, considerând ca central acest serviciu de publicitate personalizată oferit de Meta. Din cauza lipsei unui acord între autorități, speța a fost înaintată Comitetului european pentru protecția datelor. În urma consultărilor, Comitetul a susținut acuzația privind lipsa transparenței și mărirea sancțiunii pecuniare impuse, și a considerat că temeiul de prelucrare contractual pentru a oferi publicitate personalizată încalcă art 6 b(1)(b) din Regulament.

Pe lângă sancțiunile pecuniare, Meta a fost obligată să își conformeze activitatea cu Regulamentul GDPR în termen de 3 luni. 

 

Whatsapp Irlanda (Whatsapp)a fost amendata cu 5,5 milioane de euro 

În luna ianuarie, autoritatea irlandeză a finalizat o altă cercetare, de data aceasta cu privire la compania Whatsapp Irlanda și la serviciile oferite de aceasta. Amenda s-a ridicat la 5,5 milioane de euro, având complementară măsura de remediere în termen de maxim 6 luni de la finalizarea cercetării. 

Analiza a avut la bază o plângere făcută la data de 25 mai 2018 de către o persoană vizată din Germania. La cel moment, Whatsapp Irlanda și-a actualizat termenii și condițiile și a condiționat oferirea serviciilor sale de acceptarea acestora. La fel ca în cazul Meta, Whatsapp a utilizat ca temei de prelucrare contractul, conform articolului 6(1)(b) din Regulament. Plângerea a vizat faptul că, în practică, Whatsapp a forțat utilizatorii să își dea consimțământul pentru primirea serviciilor, acesta fiind temeiul real de prelucrare a datelor personale. 

În urma investigației, autoritatea a pregătit o decizie pe care a supus-o dezbaterii autorităților de supraveghere vizate, în care a invocat încălcarea articolelor 12 și 13 (1)(c) din Regulament, prin lipsa transparenței față de utilizatori. Toate autoritățile vizate au fost de acord cu acest punct. Al doilea punct discutat a fost nevoie de consimțământ din partea utilizatorilor. Autoritatea irlandeză a considerat că nu este nevoie de consimțământ pentru prelucrările specifice ale serviciului Whatsapp, că este conform temeiul contractual, inclusiv pentru îmbunătățirea serviciului și securității, ca fiind părți centrale în relația contractuală dintre Whatsapp și utilizatori, fiind de la sine înțeles că serviciile includ cele două elemente. Câteva din autoritățile vizate au obiectat și au susținut că nu ar trebui ca Whatsapp să se bazeze pe temeiul de prelucrare contractual, pentru că îmbunătățirea serviciului și securitatea nu sunt funcții esențiale ale furnizării serviciului Whatsapp. 

Din cauza lipsei unui consens între autorități, speța a fost înaintată Comitetului european pentru protecția datelor, care a susținut că Whatsapp Irlanda nu se poate baza pe temeiul de prelucrare contractual pentru a prelucra date personale în vederea îmbunătățirii și securității serviciului. Comitetul a direcționat autoritatea irlandeză să desfășoare o analiză și cu privire la legalitatea procesării de către Whatsapp a categoriilor speciale de date personale, conform articolului 9 din Regulament, procesare în scopul publicității comportamentale, furnizării de informații terțelor părți și schimbului de date cu afiliații săi, pentru îmbunătățirea serviciului.

 

Concluzii

Rațiunile sancțiunilor impuse de autoritățile de supraveghere pot fi împărțite în câteva categorii:

  1. Informații privind cookie-urile – companiile trebuie să ofere informații clare și complete cu privire la modul de gestionare al cookie-urilor.
  2. Modul de gestionare al acceptării/ refuzării cookie-urilor – site-urile trebuie să ofere posibilitatea refuzării sau acceptării cookie-urilor în mod deschis și egal, utilizarea de dark patterns în gestionarea cookie-urilor este interzisă.
  3. Utilizarea temeiurilor de prelucrare conforme – temeiurile de prelucrare a datelor personale ce se regăsesc în Regulamentul GDPR la articolul 6, ”Legalitatea prelucrării”, sunt piloni de bază ai unei prelucrări conforme, iar utilizarea lor trebuie să aibă în vedere realitatea faptică, adică să fie menționate în mod transparent și real, nu utilizate ca justificări precare și neverosimile ale unor prelucrări.
  4. Transparența în ceea ce privește temeiurile de prelucrare a datelor personale -  instrumentalizarea abuzivă a temeiurilor de prelucrare creează probleme ulterioare în informările ce trebuie făcute către persoanele vizate conform articolelor 12 și următoarele, pot apărea discrepanțe sau zone gri în detalierea prelucrărilor efectuate, dacă aceasta nu urmărește firul coerent al prelucrărilor reale. 

Pentru consultanta si suport in procesul de conformare cu prevederile GDPR ne puteti scrie la office@decalex.ro 

Acest articol a fost redactat de:

Maria IOSIF | Senior Privacy & Data Protection Consultant la Decalex

Share:
Decalex
Autor: DECALEX
Ultimele articole
REGULI PRIVIND PRELUCRAREA DATELOR ÎN PROCESUL DE RECRUTARE

REGULI PRIVIND PRELUCRAREA DATELOR ÎN PROCESUL DE RECRUTARE

Riscul AI depășește beneficiile sale?

Riscul AI depășește beneficiile sale?

Implementarea prevederilor din legea privind avertizorii de interes public

Implementarea prevederilor din legea privind avertizorii de interes public

Partajarea Datelor în Sectorul Sănătății

Partajarea Datelor în Sectorul Sănătății

Cele mai citite articole
Condiții pentru a fi scutit de impozit dacă lucrezi în domeniul IT

Condiții pentru a fi scutit de impozit dacă lucrezi în domeniul IT

Ai o firma inactiva? Procesul de lichidare voluntara te poate scapa de probleme!

Ai o firma inactiva? Procesul de lichidare voluntara te poate scapa de probleme!

Date cu caracter personal: Tot ce trebuie să știi

Date cu caracter personal: Tot ce trebuie să știi

Tot ce trebuie sa stii despre GDPR: ce inseamna, regulament, aplicare si riscuri

Tot ce trebuie sa stii despre GDPR: ce inseamna, regulament, aplicare si riscuri

PUNE O INTREBARE

Contactează-ne

CLIENTI