Analiza consimțămintelor solicitate de Spotify, Instagram și Netflix. O epopee fără eroi!

Article Analiza consimțămintelor solicitate de Spotify, Instagram și Netflix din perspectiva GDPR.

 

De ce consimțământul?

Odată cu intrarea în vigoare a Regulamentului general privind protecția datelor cu caracter personal (GDPR), consimțământul a devenit un subiect controversat, fiind totodată și unul dintre temeiurile legale de prelucrare a datelor. Astfel, multe companii încă au dificultăți în a cere un consimțământ valabil, conform cu standardele impuse de Regulament și Ghidul de interpretare a grupului de lucru WP29. În plus, noțiunea de consimțământ consolidată prin noua legislație europeană, se transferă și consimțământului prevăzut de Directiva 2002/58/CE asupra confidențialității și comunicațiilor electronice (e-privacy Directive), ceea ce a reprezentat subiect de interes și pentru această analiză. 

Prezenta cercetare analizează modul în care trei companii (Sportify, Instagram și Netflix), cer consimțământul utilizatorului, ca baza de prelucrare a datelor în baza GDPR și a legii 506/2004 (de transpunere a directivei de e-privacy). În plus, este vizat și modul în care utilizatorul este informat cu privire la scopurile procesării, cookie-uri și accesul la locația dispozitivului. 

 

Spotify 

În procesarea datelor cu caracter personal, Spotify utilizează diferite temeiuri legale enunțate de art. 6 (1) din GDPR, printre care și consimțământul. Cu toate acestea, nu există o evidență clară când va fi utilizat consimțământul, ori altă bază juridică pentru prelucrarea datelor. În plus, având în vedere faptul că la nivel practic nu am întâlnit nicio situație în care să fie cerut consimțământul printr-un document separat, și că acesta se află la finalul listei pentru fiecare dintre scopurile precizate, tind să cred că principalele justificări pentru prelucrarea datelor se află printre celelalte condiții (interesul legitim, executarea unui contract).

 

(https://www.spotify.com/ro/legal/privacy-policy, 18.06.2020)

 

Politica de confidențialitate este ușor de identificat pe Google Play, AppStore și în aplicație, oferind astfel acces la informare înaintea prelucrării efective. Totuși aceasta nu este disponibilă în limba română, ceea ce poate ridica întrebări serioase cu privire la claritatea și accesibilitatea informării care este oferită unui utilizator din România.

La descărcarea aplicației nu este cerut consimțământul pentru prelucrarea datelor, iar același este cazul și la crearea contului, singura precizare fiind:

 

(Screenshot din aplicație la crearea contului, 16.06.2020)

 

La creare unui cont prin prelucarea datelor de la un terț (Facebook) Politica de confidențialitate prevede că “If you use a third party service to create an account, we will receive personal data via that third party service but only when you have consented to that third party service sharing your personal data with us.” Cu toate acestea, sunt transferate mai multe date decât cele necesare pentru crearea contului, iar în privința celor excesive (lista de prieteni, ziua de naștere), opțiunea apare prebifată, utilizatorul fiind nevoit să decurgă la operațiuni suplimentare (editarea datelor care vor fi transferate) și de tip opting-out pentru a împiedica transferul. De asemenea, numele și fotografia de profil sunt date obligatorii, grupate împreună, cu privire la care utilizatorul nu poate consimți separat. Mai mult, nu este specificat scopul pentru care ar fi obligatorie procesarea fotografii de profil, încălcând principiul limitării legate de scop - art. 5(1)b. GDPR. 

Astfel, nu consider că în acest caz consimțământul este solicitat printr-o acțiune clară, cu optare activă din partea utilizatorului, unde sunt prezentate scopurile pentru care va fi folosit fiecare tip de informații și oferindu-se posibilitatea de bifa individual fiecare tip de date procesate (granularea). În plus, Facebook și Spotify vor continua să distribuie în mod constant acele date, și nu vor fi folosite doar pentru crearea contului, însă cu privire la acest aspect consimțământul poate fi retras ulterior în Privacy Settings

 

(Screenshot din aplicație la crearea contului, 18.06.2020)

 

În politica de confidențialitate este precizat că va fi nevoie de consimțământul persoanei vizate (printre alte baze legale de procesare), pentru a oferi servicii personalizate; pentru a dezvolta noi tehnologii și a îmbunătăți serviciile Spotify; pentru marketing, promovare și comercializare; pentru a conduce research-uri, concursuri, sau sondaje. 

Totuși, nu am identificat un document separat care să solicite consimțământul utilizatorului pentru diferitele scopuri. Una dintre ipotezele posibile este ca acesta va fi solicitat înaintea procesării pentru un anumit scop (de ex. marketing, sondaje). Cu toate acestea, anumite servicii sunt oferite fără a fi solicitat consimțământul în prealabil (recomandările personalizate). 

În politica de confidențialitate, consimțământul este trecut ca ultimă bază legală pentru procesarea datelor la fiecare dintre scopurile amintite. Astfel, Spotify ar putea justifica faptul că procesările deja efectuate au fost realizate în baza altui temei juridic (pentru recomandările personalizate - executarea unui contract sau interesul legitim). Totuși, ar trebui să existe specificat concret când și pentru ce tip de date este utilizat consimțământul ca temei juridic pentru procesare. 

În plus, sunt de părere că pentru anumite servicii, cum este cel de oferire al recomandărilor personalizate (unde este utilizată profilare automată), ar trebui oferit persoanei vizate un control real asupra alegerii de a fi sau nu subiectul acestui tip de procesare prin consimțământ, prelucrat printr-un document separat. De asemenea, în Privacy Settings, este valabilă posibilitatea de a “retrage consimțământul” cu privire la primirea de reclame personalizate, în contextul în care aceasta este o caracteristică încorporată în aplicație la care utilizatorul nu a optat în mod activ (încălcând principiul privacy by design and by default).

 

(Screenshot din cont - Privacy Settings, 18.06.2020)

 

Același lucru se întâmplă parțial și cu consimțământul pentru primirea notificărilor. În timp ce pentru notificările în legătură cu muzica (recomandări bazate pe preferințele exprimate, noutăți), majoritatea opțiunilor sunt prebifate, oferind un consimțământ viciat, în privința noutăților Spotify, doar o parte dintre acestea sunt completate în prealabil. În orice caz, din perspectiva GDPR, acestea nu reprezintă manifestări valide ale consimțământului și vor face ca prelucrarea de date să fie nelegală.

Totuși, din perspectiva Directivei asupra confidențialității și comunicațiilor electronice (E-Privacy Directive) și a legii de transpunere 506/2004, aceste cazuri s-ar putea încadra sub temeiul interesului legitim al operatorului, care oferă un serviciu (contul Spotify) și ulterior face comunicări comerciale referitoare la produse sau servicii similare. În acest sens, sunt prebifate doar rubricile care conțin servicii similare unui cont Spotify (muzică, produse noi), în timp ce pentru noutățile și ofertele Spotify, utilizatorul trebuie să își exprime activ consimțământul.

 

(Screenshot din aplicație - Notification Settings, 18.06.2020)

 

În privința practicii de utilizare a cookie-urilor, nu este cerut un consimțământ de tip activ pe nici unul dintre mijloacele de a folosi serviciile Spotify (website, aplicația de Desktop, ori aplicația de telefon).

 

(Screenshot de pe website-ul Spotify, 25.06.2020)

 

Însă, în Politica de utilizare a cookie-urilor este menționat că este posibilă retragerea sau modificarea consimțământului (chiar dacă acesta nu a fost deloc oferit de către utilizator), pentru website sau aplicația de desktop. În cazul aplicației pentru telefon, această opțiune este posibilă doar dacă sistemul de operare al dispozitivului permite blocarea cookie-urilor care oferă reclame personalizate, sau reinițializarea identificatorilor de mobil. 

În conformitate cu art. 8, alin. 1 din Legea 506/2004 (de transpunere a directivei de e-privacy), datele de localizare pot fi procesate când acestea sunt transformate în date anonime, este obținut consimțământul utilizatorului, sau serviciul de localizare are ca scop transmiterea unidirecțională și nediferențiată a unor informații către utilizatori. În Politica de confidențialitate Spotify este menționat faptul că aceștia prelucrează două tipuri de date pentru localizare și sunt specificate scopurile procesării. Datele interceptate din anumite date tehnice (de ex. adresa IP, limba setată de utilizator), pentru a oferi conținut ori reclame personalizate, nu se încadrează la niciuna dintre situațiile permise de lege, prelucrarea lor fiind ilegală. Pentru datele de obținute prin serviciile GPS ale dispozitivului, este cerut consimțământul utilizatorului în momentul în care se cere permisiunea de a accesa serviciul de localizare, iar accesul (și implicit consimțământul), pot fi retrase ulterior din setările dispozitivului. Cu toate acestea, la momentul în care este cerută permisiunea de a accesa locația de pe telefon, utilizatorul nu este informat direct cu privire la scopul prelucrării, fiind nevoie de acțiuni suplimentare de căutare în Politica de confidențialitate.

Instagram

De asemenea, pentru Instagram nu am întâmpinat un document separat care să ceară consimțământul pentru prelucrarea datelor. Spre deosebire de Spotify, acesta nu este atât de des menționat nici în Politica de confidențialitate (care deși ușor accesibilă din AppStore, sau direct din aplicație, nu este disponibilă în limba română). 

Singura precizare utilă cu privire la consimțământ este în cadrul enumerării motivelor legale de procesare a datelor. Astfel, este menționat că datele sunt colectate și distribuite pentru diverse scopuri în acord cu consimțământul care poate fi retras în orice moment din setări.  Cu toate acestea, nu sunt disponibile informații despre ce date vor fi procesate, sau cu ce scop în situația în care va fi nevoie de consimțământ. 

De asemenea, nu este cerut consimțământul nici la crearea profilului, fie prin oferirea datelor în mod clasic, ori prin transferul de data de la Facebook.

 

  

(Screenshot din aplicație la crearea contului, 18.06.2020)

 

Mai mult, merită menționată lipsa de transparență a Politicii de confidențialitate Instagram, care deși a fost cumpărat de Facebook ar trebui să rămână o companie independentă. Cu toate acestea, Politica de confidențialitate conține numeroase link-uri către Facebook, sau prevede situații care se vor aplica doar serviciilor Facebook. În final, consider că Politica reprezintă doar o copie neadaptată la produsele și serviciile Instagram, care pe deasupra nu respectă anumite standarde de claritate și precizie. 

În cazul notificărilor, toate preferințele sunt prebifate, oferind un “acord” implicit, nevalid, inclusiv pentru promovarea unor produse și servicii (reprezintă marketing direct??). 

 

(Screenshot din aplicație - Notification Settings, 18.06.2020)

 

Privind Politica de utilizare a cookie-urilor, Instagram nu cere consimțământul utilizatorilor, în mod activ, ci îl extrag implicit din navigarea acestora pe website sau în aplicație. În plus, modificarea preferințelor în ceea ce privește cookie-urile, poate fi realizată doar prin setările browserului de internet.

 

(Screenshot de pe website-ul Instagram, 25.06.2020)

 

În acord cu legea 506/2004 Instagram cere acordul utilizatorului pentru a accesa serviciile de localizare ale telefonului. În schimb, nu este specificat în mod evident scopul procesării, iar utilizatorul îl va putea afla după cercetări suplimentare în Politica de confidențialitate că locația este folosită pentru a oferi servicii și reclame personalizate. Totuși, locația este procesată și prin alte surse care o pot dezvălui (adresa IP), însă cu privire la această prelucrare nu este cerut consimțământul utilizatorului.

Netflix

Spre deosebire de Spotify și Instagram, Politica de confidențialitate de la Netflix îndeplinește standardele de accesibilitate și claritate, fiind disponibilă și în limba română. 

Din nou, nu am identificat un document care să ceară în mod particular consimțământul pentru procesarea de date. Totuși, consimțământul ca bază legală de prelucrare a datelor este menționat în Politica de confidențialitate ca fiind folosit pentru participarea la anumite activități prin care sunt colectate statistici de la clienți, precum sondaje și focus grupuri, dar nu este specificat ce date sunt necesare în această situație. Este precizată posibilitatea retragerii consimțitului în cazul în care acesta a fost oferit. 

În schimb, nu este valabilă opțiunea de a modifica setările, care sunt oricum automat selectate în sensul prelucrării de date fără un consimțământ valid. Deși pagina de ajutor și asistență conține informații cu privire la o presupusă rubrică “Setări de comunicare”, iar un alt studiu critică lipsa unui consimțământ valid prin prezența rubricilor prebifate, în prezent, această categorie de setări nu este nici măcar disponibilă utilizatorului. Ca rezultat, pe lângă prelucrarea ilegală de date, persoana a cărei drepturi sunt violate nu are nici posibilitatea de a modifica acest aspect.

În privința utilizării de cookie-uri pe website, este precizat că Netflix utilizează mai multe tipuri de cookie-uri, iar navigarea echivalează cu un acord implicit la prelucrarea acestora. Totuși, este disponibil un link pentru modificarea preferințelor, care va direcționa utilizatorul spre un instrument transparent ce dezvăluie toți terții cu care vor fi distribuite datele și scopul prelucrării. Mai mult, opțiunea pentru cookie-urile neesentiale nu este prebifată, fiind nevoie de un consimțământ activ din partea utilizatorului.

 

(Screenshot de pe website-ul Netflix, 25.06.2020)

 

(Screenshot - Interest Based Ads / Cookie Choice Tool pentru Netflix, http://info.evidon.com/pub_info/1932?v=1, 25.06.2020)

Concluzii

Nici una dintre cele trei companii nu cere consimțământul utilizatorului pentru prelucrarea datelor printr-un document separat, care să respecte condițiile de validitate recomandate de GDPR și de Article 29 Working Party. Una dintre justificările posibile este faptul că își întemeiază prelucrarea de date pe alte temeiuri legale prevăzute de art. 6(1) din Regulament. Cu toate acestea, Politicile de confidențialitate ale celor trei aplicații prevăd și consimțământul ca baza legală pentru prelucrarea datelor, omițând însă să specifice scopul și datele care vor fi procesate în acest caz. 

Putem presupune că prevederile din Politicile de confidențialitate conțin doar o perspectivă generală, în care este inclusă posibilitatea de a prelucra date în temeiul consimțământului la un moment dat, iar când acest caz ca apărea concret, odată cu documentul de preluare a consimțământului, vor fi disponibile și toate detaliile pentru a asigura corecta informare a utilizatorului. Totuși, aceasta reprezintă doar o presupunere a modului în care companiile ar putea argumenta lipsa preluării consimțământului și a informațiilor necesare din Politica de confidențialitate. 

Pe caz concret, toate cele trei aplicații oferă utilizatorilor servicii și reclame personalizate, bazate pe interesele exprimate. Acestea sunt generate, de regulă, în mod automat, creându-se un profil al utilizatorului, în care se înregistrează preferințele sale, pentru a i se putea oferi servicii de interes. Conform recomandărilor Article 29 Working Part, în astfel de cazuri consimțământul joacă un rol extrem de important, fiind nevoie de oferirea acestui în mod explicit, însă în concordanță cu art. 22(2) GDPR, acesta nu este singura bază legală care poate fi folosită, companiile putând justifica procesul decizional automat sau crearea de profiluri și prin încheierea sau executarea unui contract, sau respectarea unei obligații legale. 

Nici cu privire la regulile impuse de legea 506/2004 și directiva de E-privacy nu sunt respectate cerințele necesare de prelucrare a datelor în temeiul consimțământului. Astfel, nu este cerut un consimțământ de tipul opt-in pentru prelucrarea cookie-urilor, iar datele privind locația sunt prelucrare fără consimțământ, ori fără o informare clară în legătură cu scopul prelucrării.


Bibliografie:

  1. Condiții sugerate de Article 29 Working Party - Guidelines on consent under Regulation 2016/679, pag. 12-13;
  2. Spotify, Cookie Policy, 3. How to manage your cookie preferences, disponibil pe https://www.spotify.com/ro/legal/cookies-policy/, accesat la 25.06.2020.
  3.  Punctul V. din Politica de confidențialitate, disponibilă la https://help.instagram.com/519522125107875, accesat pe 18.06.2020.
  4. Mathias Avocats - Privacy policies: Microsoft, Instagram and the GDPR, disponibil la https://www.avocats-mathias.com/donnees-personnelles/gdpr-impact-privacy-policies, consultat pe 18.06.2020.
  5. Instagram, About Cookies, disponibili pe https://help.instagram.com/1896641480634370?ref=ig, consultat la 25.06.2020.
  6. Transatlantic Consumer Dialogue, Heinrich-Böll-Stiftung Brussels European Union - Privacy in the EU and US: Consumer experiences across three global platforms, pag. 20, disponibil la https://eu.boell.org/sites/default/files/2019-12/TACD-HBS-report-Final.pdf, accesat pe 18.06.2020.
  7. Capitolul 4, Obtaining explicit consent.
Share:
Decalex
Autor: DECALEX

PUNE O INTREBARE