Vanzarea de date personale prin intermediul platformei de food delivery DoorDash: analiza conformității prin raportare la GDPR si CCPA

Article Vanzarea de date personale prinn platforma de food delivery

Compania americană de livrare de mâncare DoorDash a fost amendată recent de procurorul general al Californiei pentru că a vândut datele personale ale consumatorilor către alte companii fără consimțământul acestora și fără a le oferi acestora posibilitatea de a renunța. După cum au descoperit autoritățile californiene, această vânzare făcea parte, după cum au descoperit autoritățile californiene, dintr-o schemă mai amplă de tranzacționare a datelor între companii care doreau să își sporească raza de acțiune.

Această amendă se ridică la 375.000 de dolari și a fost administrată DoorDash în conformitate cu prevederile legii californiene privind protecția vieții private a consumatorilor (California Consumer Privacy Act - CCPA). CCPA a fost introdusă în 2018, iar aceasta este a doua amendă care a fost aplicată cu ajutorul prevederilor sale. Astfel, amenda DoorDash urmează unei amenzi mai mari, de 1,2 milioane de dolari, aplicată de AG Sephora în 2022, dar marchează, de asemenea, continuarea aplicării unui nou instrument de protecție a datelor cu caracter personal în SUA și poate arăta dorința autorităților de reglementare de a intensifica aplicarea legii privind protecția vieții private în 2024. Dincolo de pedeapsa pecuniară, DoorDash a fost obligată, de asemenea, să respecte atât CCPA, cât și California Online Privacy Protection Act (CalOPPA) și să furnizeze rapoarte anuale de conformitate biroului AG.

Așadar, de ce este această amendă relevantă pentru noi, în Europa? Nu avem deja un set clar de reguli legat de protectia datelor, sub forma GDPR? Și nu este DoorDash disponibilă doar în SUA, Canada, Australia și Noua Zeelandă? Importanța acestei acțiuni legislative trebuie privită din perspectiva creării unei viziuni generale la nivel global, astfel legiuitorii lucrand spre atingerea unor obiective de bază comune, mai exact, aplicarea unor reguli generale privind gradul dorit de protecție a vieții private a persoanelor vizate. În această măsură, dispozițiile CCPA pot fi ușor de corelat cu articolele din GDPR, iar această comparație poate chiar ajuta la evidențierea diferențelor de gândire în ceea ce privește garantarea unor drepturi, sau crearea unor norme de procedură.

Atunci când CCPA este corelat cu GDPR, se poate observa că, deși rudimentar în formă și aplicare, CCPA reușește să stabilească anumite obligații care se regăsesc și în GDPR, cum ar fi drepturile persoanei vizate. Chiar dacă acestea nu sunt, în general, la fel de centrate pe protecția persoanei vizate ca și normele găsite în GDPR, CCPA implementând norme mai puțin stricte, ele reușesc să stabilească un set general de reguli care pot proteja în mod corespunzător viața privată a persoanei vizate.

În această măsură, și relevant pentru cazul de față, putem menționa:

-        Secțiunea 1798.110 CCPA, referitoare la dreptul persoanei vizate de a fi informată; (acest drept poate fi reflectat într-o combinație a articolelor 12 și 15 din GDPR) în special

-        Secțiunea 1798.115 CCPA, referitoare la dreptul persoanei vizate de a fi informată cu privire la ce date cu caracter personal ale sale sunt comercializate de către operatori; (pentru această secțiune, pare a fi o continuare a cerințelor de informare și este probabil conceput pentru a fi un drept mai specific), dar și

-        Secțiunea 1798.120 CCPA, care subliniază drepturile persoanei vizate de a renunța la partajarea informațiilor sale personale; (acest lucru este mai mult în concordanță nu cu condițiile privind consimțământul persoanei vizate care se regăsesc la articolul 4 alineatul (11) și la articolul 7 din RGPD, precum și cu dreptul de a se opune prelucrării datelor cu caracter personal care se regăsește la articolul 21 din RGPD).

Ceea ce este diferit între cele două abordări poate fi rezumat în afirmația că, în general, CCPA se preocupă mai mult de protejarea pieței și a activităților comerciale ale operatorului decât de interesele consumatorului, cel puțin atunci când se analizează aceleași standarde impuse de GDPR. Este deci clar că un grad mai mare de obligație este impus operatorilor cărora li se aplică GDPR.

Concluziile care pot fi trase din această amendă, dar și din această comparație pot fi rezumate în trei idei principale:

  1. Că noi, în calitate de Operatori, avem datoria să fim întotdeauna transparenți față de persoana vizată, mai ales când vine vorba de drepturile sale la a fi informată conform GDPR, care se pot dovedi a fi foarte stricte. Este necesar deci, să creăm și să păstrăm inventare de prelucrare a datelor cu caracter personal și să stabilim mecanisme care să ne permită să răspundem solicitărilor persoanelor vizate în mod eficient și în timp util. De asemenea, trebuie să fim atenți la formatarea răspunsurilor noastre. GDPR stabilește o procedură de comunicare și informare a persoanei vizate, oferind detalii specifice în cazul fiecărei solicitări pentru un drept acordat în temeiul articolelor 12-22.
  2. În plus, GDPR prevede că persoana vizată va fi informată cu privire la orice prelucrare a datelor sale personale înainte ca această prelucrare să aibă loc. Aceste informații pot lua forma, de exemplu, a unei anexe GDPR la un contract sau a unei Politici privind cookie-urile de pe site. Totuși, ceea ce este important de reținut este că orice prelucrare trebuie să îndeplinească, printre altele (a se vedea articolul 5 GDPR), o condiție de legitimitate. Și acest criteriu de legitimitate se poate dovedi dificil de aplicat în unele cazuri. O prelucrare poate fi legitimă dacă îndeplinește unul dintre următoarele:
  • Consimțământul persoanei vizate a fost obținut în mod legal (mai multe despre acest lucru la punctul următor);
  •          Prelucrarea datelor este necesară pentru îndeplinirea obligațiilor contractuale;
  •          Prelucrarea este necesară pentru îndeplinirea unei obligații legale a operatorului;
  •           Prelucrarea este în interesul vital sau public al persoanei vizate sau al altor terți sau prelucrarea datelor vizează o persoană publică în exercitarea atribuțiilor sale; și, în sfârșit
  •           Operatorul are interes legitim de a prelucra datele cu caracter personal ale persoanei vizate, în cazul în care acest interes legitim nu este anulat de alte drepturi fundamentale ale persoanei vizate (condiție care ar fi putut fi aplicabilă și în cazul amenzii Door Dash, când ne raportăm la interesul operatorului, dar vânzarea datelor către terți nu numai că nu a fost consensuală, ci a încălcat și dreptul la viață privată al persoanei vizate).
  1. În final trebuie să revenim la problema consimțământului, deoarece aceasta este centrală în cazul amenzii Door Dash. Consimțământul persoanei vizate trebuie să fie explicit, dat în mod liber și lipsit de ambiguitate și, pe deasupra, el trebuie sa fie specific prelucrării. Asta înseamnă că, dacă dorim să adăugăm prelucrări suplimentare de date cu caracter personal, trebuie nu numai să informăm din nou persoana vizată, ci și să obținem consimțământul acestuia înca o data, pentru fiecare prelucrare nou introdusă. În plus, modul în care sunt explicate condițiile prelucrării trebuie să fie suficient de clar pentru ca persoana vizată să poată înțelege pentru ce anume își dă consimțământul. Persoana vizată are, de asemenea, dreptul de a-și retrage consimțământul în orice moment, fără a fi nevoie să justifice această decizie. Articolul 7 din GDPR explică în continuare aplicabilitatea prelucrării bazate pe consimțământ, introducând câteva considerații importante:
  •        Noi, în calitate de operatori, trebuie să putem dovedi ca am obtinut consimțământului persoanei vizate, precum și să luăm în considerare faptul că, acesta poate fi retras în orice moment (deci trebuie să creăm mecanismele necesare pentru ca persoana vizată să poată face acest lucru cu ușurință);
  •         Consimțământul nu poate fi combinat cu alte obligații. Dacă el face parte dintr-un acord mai amplu, consimțământul pentru prelucrare trebuie să fie inclus într-o clauză separată și explicită a acordului.
  •          În sfârșit, trebuie să fim conștienți de faptul că, consimțământul pentru prelucrare nu poate și nu trebuie obținut prin influență ilicită precum condiționarea îndeplinirii unei obligații de acordarea consimțământului.

Mihai Alexe

Data protection trainee

Decalex Digital

Share:
DECALEX  TEAM
Autor: DECALEX TEAM We make privacy easy

PUNE O INTREBARE