Este fenomenul “Pay or okay” conform?

Article Modelul utilizat de Facebook pay or ok este incompatibil cu GDPR

Introducere

Tărâmul digital trece printr-o schimbare, deoarece platformele majore, inclusiv Facebook și Instagram ale Meta, îmbrățișează serviciile de abonament plătite pentru a ocoli provocările legate de confidențialitate. Această schimbare determină o profundă analiză a complexității Regulamentului general privind protecția datelor (GDPR) și a Directivei asupra confidențialității și comunicațiilor electronice, necesitatea contractuală și apariția paywall-urilor cookie în peisajul digital.

Este evident până acum că, în urma multiplelor decizii atât ale autorităților, cât și ale instanțelor de judecată, Meta a încercat toate potențialele justificări pentru ca reclamele bazate pe analiza comportamentului utilizatorilor să fie justificate pentru cât mai mulți utilizatori și, astfel, să evite condițiile impuse consimțământului informat conform GDPR. Meta a proclamat întotdeauna cu tărie că o astfel de prelucrare este necesară pentru modelul de afaceri realizat de grup și că fără o astfel de prelucrare accesul liber la platformă nu ar putea fi posibil. Acest lucru i-a determinat să își întemeieze această activitate ca o necesitate contractuală, pentru un scurt timp pe  interes legitim și, în plus, atunci când li s-a ordonat să utilizeze consimțământul, paywall-ul.

Un cookie paywall este o procedură prin care o companie condiționează accesul la site-ul sau serviciul său de acordarea consimțământului vizitatorului pentru prelucrarea datelor sale personale - cel mai adesea în scopuri de marketing. În acest articol vom încerca să punem în perspectivă peisajul actual cookie paywall, precum și problemele pe care le aduc.

Cadrul juridic

Temeiul juridic esențial al oricărei prelucrări a datelor prin comunicații electronice, nu numai a datelor cu caracter personal, ci și a oricărui tip de date accesate sau stocate pe dispozitivul unui utilizator este consacrat la articolul 5 din Directiva e-Privacy care prevede în mod clar că accesul, stocarea sau utilizarea în alt mod a datelor, cu excepția cazului în care acest lucru este necesar în mod specific pentru serviciul solicitat de utilizator,  trebuie să fie supusă consimțământului utilizatorului. Consimțământul, desigur, este înțeles în sensul descris în Regulamentul general privind protecția datelor (GDPR), aducând toate condițiile relevante pentru aplicabilitatea acestuia.

Consimțământul trebuie să fie dat în mod liber, specific, informat și lipsit de ambiguitate. Pentru a obține consimțământul liber exprimat, acesta trebuie să fie dat în mod voluntar. Elementul de libertate implică o alegere reală a persoanei vizate, fără repercusiuni sau teamă de repercusiuni. Acest aspect, împreună cu dreptul de a-l retrage în orice moment, face ca problema unui cookie paywall să fie deosebit de conflictuală în ceea ce privește aplicabilitatea sa.

Problema principală a acestuia este simplă în concept și poate fi descrisă pe scurt într-o singură întrebare: "Condiționarea unui serviciu de plata pentru procesarea neesențială (cum ar fi publicitatea comportamentală) poate fi interpretată ca un consimțământ liber dat?"

În prezent, există opinii puternice de ambele părți, cu indicii că mai multe autorități de protecție a datelor din Europa, precum și Curtea Europeană de Justiție înclină spre abordarea permisivă a argumentului pe motive care nu sunt clare în totalitate.

Pozițiile autorităților

Mai multe autorități de protecție a datelor au făcut comentarii sau și-au explicat poziția cu privire la problema pereților de cookie-uri, pentru a numi câteva:

Autoritatea de reglementare belgiană este  una dintre puținele autorități care a dat un răspuns negativ clar în ceea ce privește cookie-wall-urile, considerând-o o practică care nu este compatibilă cu condițiile actuale de consimțământ stabilite de GDPR:

"Crearea unui «cookie wall» - care este o practică ce constă în blocarea accesului la un site web sau la o aplicație mobilă pentru care nu este de acord cu instalarea din cookie-uri «nu este strict necesară» - nu este conformă cu GDPR. Această practică împiedică, într-adevăr, colectarea consimțământului dvs. liber, deoarece sunteți obligat să consimțiți la instalarea și / sau citirea cookie-urilor pentru a putea accesa site-ul web sau aplicația mobilă.

Autoritatea daneză pentru protecția datelor a  adoptat o poziție mai temperată pe această temă, prescriind necesitatea unei evaluări suplimentare și oferind un număr de patru criterii care trebuie evaluate de la caz la caz pentru a stabili dacă un cookie wall este implementat într-un mod conform, astfel de criterii fiind 1. O alternativă rezonabilă, 2. Un preț rezonabil, 3. Limitat la ceea ce este necesar, 4. Prelucrarea datelor cu caracter personal ale utilizatorilor care au plătit:

"Așa cum am menționat, faptul că accesul la conținut sau serviciu este condiționat de acordarea de către vizitatori a consimțământului pentru prelucrarea datelor lor cu caracter personal poate afecta măsura în care acest consimțământ poate fi considerat voluntar.

Prin urmare, aprecierea validității consimțământului în cauză trebuie privită mai întâi din perspectiva aspectului dacă vizitatorilor li se propune o alternativă satisfăcătoare.

Ca punct de plecare orientativ, Agenția daneză pentru protecția datelor a stabilit următoarele patru criterii, care vor constitui baza pentru evaluarea de către supraveghere a procedurilor în cazul în care o companie necesită acces la conținutul său din consimțământul vizitatorilor.

Autoritatea austriacă a  afirmat, de asemenea, în mod clar că practica "remunerației sau bunătății" poate fi pusă în aplicare în mod legal, bazându-și avizul pe o ipoteză a legiuitorului UE din Directiva (UE) 2019/770:

"Autoritatea pentru protecția datelor a declarat deja că " pay or okay " sunt în principiu permise și " plata " este o alternativă la consimțământul pentru accesul la un site web poate (a se vedea nu rk Notificarea din 29. Martie 2023, GZ: 2023-0.174.027).

Această decizie a autorității pentru protecția datelor vorbește despre faptul că legiuitorul european presupune, de asemenea, că datele cu caracter personal – pot fi furnizate cel puțin într-o anumită măsură – pentru primirea unui serviciu (a se vedea Directiva (UE) 2019/770 idgF.).

În opinia autorității de protecție a datelor, trebuie respectate următoarele puncte atunci când se utilizează " pay or okay ":

- respectarea deplină a tuturor reglementărilor privind protecția datelor (în special DSGVO) pentru prelucrarea datelor care are loc pe baza consimțământului ("bine");

- Cu toate acestea, trebuie luate în considerare cerințele privind granularitatea consimțământului (a se vedea nota nr. 29. Martie 2023, GZ: 2023-0.174.027).

- nu există autorități sau alte organisme publice;

- lipsa exclusivității în ceea ce privește conținutul sau serviciile oferite, adică. Companiile cu o comandă publică (de furnizare) expresă sau furnizorul de serviciu universal nu pot utiliza " plătiți sau în regulă ";

- nici un monopol sau cvasi-monopol al companiei pe piață;

- un preț adecvat și echitabil pentru alternativa de plată ("plătește"), adică. alternativa de plată nu trebuie să fie oferită pro forma la un preț complet nerealist de ridicat;

- Dacă un utilizator obține acces la site folosind alternativa de plată, nu pot fi prelucrate date cu caracter personal în scopuri publicitare.

Cu toate acestea, ar trebui să se precizeze în mod expres că acesta este punctul de vedere actual al autorității pentru protecția datelor și că nu există nicio instanță a Curții Europene de Justiție cu privire la această chestiune.

Văzând o parte din contextul juridic, precum și pozițiile autorităților, putem începe să observăm mai multe complexități legate de publicitatea personalizată și modelul "pay or consent" / “pay or okay” care ridică întrebări fără răspuns:

  1. Specificitatea alegerii: Cât de specifică ar trebui să fie alegerea între plată și consimțământ? Granularitatea opțiunilor de consimțământ și posibila grupare a stimulentelor reprezintă provocări în ceea ce privește asigurarea unei alegeri cu adevărat libere pentru utilizatori.
  2. Taxă adecvată: Determinarea unei "taxe adecvate" devine o problemă controversată. Este posibil ca modelele de stabilire a prețurilor bazate pe venitul mediu istoric per utilizator (ARPU) să nu reflecte cu exactitate natura dinamică a renunțării la abonamente și factorii de piață.
  3. Dezechilibru și amploare: Abordarea dezechilibrului dintre utilizatori și operatori, în special în contextul puterii de piață și al amplorii prelucrării datelor, adaugă un alt nivel de complexitate. Editorii mai mici care participă la scheme de publicitate deschisă complică distincția dintre modelele de consimțământ pentru platformele mari și mass-media tradițională.

Este important de menționat că acestea nu sunt în mod restrictiv autoritățile care și-au exprimat opiniile în această privință, există surse suplimentare propuse de CNIL (autoritatea franceză), de exemplu, care pot fi consultate pentru compararea ulterioară a pozițiilor în această privință în cadrul Spațiului Economic European.

Exemplele anterioare servesc pentru a arăta că nu există o metodă unificată de evaluare a problemei sau o înțelegere între autorități, ceea ce nu face decât să sporească confuzia în rândul utilizatorilor și experților deopotrivă în ceea ce privește legalitatea problemei și riscurile potențiale viitoare.

 

Este în regulă implementarea "Pay or okay" de la Meta?

După cum ni s-a reamintit anterior, Meta a fost obligată să utilizeze consimțământul în ceea ce privește activitățile de publicitate comportamentală / prelucrare a profilurilor utilizând datele utilizatorului, prin încheierea invalidării oricărui potențial interes legitim cu privire la o astfel de utilizare a datelor.

O astfel de punere în aplicare a consimțământului pare a fi doar un alt pas în încercarea de a evita condițiile prevăzute de consimțământ și, deși nu se încadrează direct în lista tiparelor identificate de Ghidul 03/2022 (dark patterns) , este foarte asemănătoare din punctul de vedere al utilizatorului.

În mod evident, aspectul "liber exprimat" al consimțământului care poate fi dat de o persoană vizată este în prezent încă "liber" numai dacă banii susțin un astfel de consimțământ. Plata pentru prevenirea prelucrării datelor cu caracter personal care nu sunt esențiale pentru serviciile furnizate de o platformă nu poate îndeplini condițiile prevăzute de GDPR, în principal consimțământul nu este dat în mod liber în astfel de condiții, utilizatorul este îndemnat să consimtă, deoarece este posibil să nu dorească să plătească sau să îi pese de personal. Chiar și așa, importanța pe care o persoană vizată o acordă datelor sale personale nu ar trebui să fie exploatată de companii și este în mod clar un aspect apărat de către GDPR prin regulile de validitate a consimțământului.

Într-o astfel de problemă,, trebuie să luăm partea autorității de reglementare belgiene și să susținem argumentul conform căruia o astfel de prelucrare este o practică nelegală. În plus, există probleme semnificative cu permiterea unei astfel de practici de către o companie atât de mare, determinarea a ceea ce este un preț corect pentru consimțământ, când un astfel de paywall ar putea fi legal dacă este permis de instanță, ar vedea un număr mare de implementări, precum și evaluări care arată o nevoie clară de afaceri a companiei de a adopta practica "plătiți sau bine" pentru a să își susțină activitățile.

Prin acest argument, putem observa doar că pare o echilibrare a intereselor unui operator versus cele ale persoanei vizate, un temei juridic foarte diferit de consimțământ, ca atare nu ar trebui să transformăm consimțământul într-o versiune forțată a interesului legitim, cel puțin într-un astfel de caz, acestea sunt în mod clar incompatibile între ele.

Ce ne așteaptă

Pe măsură ce discutia înaintează, EDPB și autoritățile naționale pentru protecția datelor vor juca probabil un rol crucial în modelarea viitorului structurilor de marketing digital. Investigațiile în curs și potențialele schimbări în abordările de reglementare vor continua să afecteze nu numai Meta, ci și peisajul mai larg al serviciilor digitale.

Pe termen lung, discuțiile privind procesul legislativ privind confidențialitatea electronică pot oferi o claritate suplimentară, dar dezbaterile privind alternativele plătite la consimțământ, dezechilibrele și prețurile vor persista. Găsirea unui echilibru între drepturile utilizatorilor, modelele de afaceri și preocupările legate de confidențialitate rămâne o provocare formidabilă care necesită o analiză atentă și o colaborare între entitățile juridice, părțile interesate din industrie și factorii de decizie politică, luând în considerare impactul mai nuanțat al unei astfel de decizii, atât asupra marilor companii de social media care pot profita de un astfel de potențial, cât și asupra companiilor editoriale mai mici care efectuează o astfel de prelucrare pentru a-și susține activitățile.Partea superioară a formularului

 Alexandru Borlan

Senior Privacy & Data Protection Consultant la Decalex

 

Share:
DECALEX  TEAM
Autor: DECALEX TEAM We make privacy easy

PUNE O INTREBARE