Google primește cea mai mare amendă pentru încălcarea GDPR

O amendă-record de 50 milioane euro a fost aplicată astăzi, 21 ianuarie 2019, gigantului Google de către autoritatea franceză de supraveghere a datelor personale, CNIL (Commission nationale de l’informatique et des libertés).

f89m3o5st0eh4v2j

Este prima amendă aplicată companiei Google conform prevederilor GDPR și, totodată, amenda cu cea mai mare valoare aplicată în Uniunea Europeana de la momentul începerii aplicării Regulamentului UE 2016/679 – 25 mai 2018.

Controlul demarat de autoritățile din Franța a avut la bază doua plângeri colective formulate de asociația „None of Your Business” („NOYB”) și asociația „La Quadrature du Net” („LQDN”) la data de 25 și respectiv 28 mai 2018, în numele a peste 10.000 de persoane fizice. În aceste două plângeri, asociațiile au criticat compania Google că nu are un temei legal valabil pentru a prelucra datele personale ale utilizatorilor serviciilor sale, în special în scopul personalizării publicității.

Sancțiunea de 50 de milioane de euro aplicata astăzi companiei Google LLC în temeiul prevederilor GDPR privește încălcarea regulilor de transparență, a informării insuficiente a peroanelor vizate și, nu în ultimul rând, a lipsei unui consimțământ valabil exprimat de către persoanele vizate pentru personalizarea publicității livrate prin intermediul telefoanelor mobile cu sistem de operare Android.

Conform comunicatului de presă emis de CNIL, investigația a început prin stabilirea competenței de efectuare a verificărilor de către autoritățile franceze, știut fiind ca Google operează pe teritoriul Uniunii Europene printr-o companie cu sediul în Irlanda. In urma schimbului de informații cu celelalte autorități de supraveghere din statele membre, în special cu autoritatea irlandeza de protecție a datelor, s-a convenit că Google nu avea un sediu principal în Uniunea Europeană. În special, la data la care CNIL a început procedura, s-a reținut ca subsidiara irlandeză a Google nu a avut o putere decizională asupra funcțiilor sistemului de operare Android și a serviciilor oferite de Google LLC în legătură cu crearea unui cont de utilizator Google la momentul configurării de către utilizatorul final a unui cont Google pe un telefon mobil Android.

Pentru a investiga plângerile care i-au fost adresate, CNIL a efectuat un control on-line în septembrie 2018. Obiectivul a fost de a verifica respectarea legislației privind comunicațiile electronice și a GDPR raportat la prelucrările datelor personale efectuate de Google, prin analizarea pașilor efectuați de un utilizator și a documentelor la care acesta are acces atunci când își crează un cont Google în vederea configurării unui telefon mobil cu SO Android.

In urma controlului, autoritatea franceză a concluzionat că arhitectura generală a informațiilor alese de Google pentru efectuarea informării peroanelor vizate nu duce la respectarea obligațiilor din Regulament. Informațiile esențiale, cum ar fi scopurile pentru care sunt prelucrate datele, perioada de timp în care sunt stocate datele sau categoriile de date personale utilizate pentru a personaliza publicitatea, sunt excesiv împrăștiate în mai multe documente, butoane și linkuri care necesită să fie activate pentru a citi informații suplimentare. Informațiile relevante sunt accesibile numai după mai mulți pași, uneori implicând până la cinci sau șase acțiuni. Acesta este cazul, de exemplu, în situația în care un utilizator dorește să aibă informații complete cu privire la colectarea informațiilor sale pentru personalizarea anunțurilor sau pentru geo-localizarea sa. Astfel, utilizatorii nu sunt în măsură să înțeleagă deplin amploarea prelucrărilor de date personale efectuate de Google. Reiese faptul ca activitățile de prelucrare sunt masive și intruzive, datorită numărului mare de servicii oferite (aproximativ douăzeci), cantității și naturii datelor prelucrate și combinate. În special, autoritatea arată că perioada de păstrare a unor date nu este indicată, scopurile prelucrării sunt descrise prea generic și vag, la fel și faptul ca datele prelucrate pentru aceste scopuri sunt diferite. În mod similar, informațiile furnizate nu sunt suficient de clare pentru ca utilizatorul să înțeleagă că temeiul legal al prelucrării datelor pentru personalizarea reclamelor este consimțământul, și nu interesul legitim al companiei Google. 

Pentru lipsa consimțământului valabil exprimat, CNIL a reținut doua încălcări ale prevederilor GDPR.

În primul rând, consimțământul utilizatorului nu este suficient de explicit. Informațiile despre modul în care sunt prelucrate datele personale sunt împărțite în mai multe documente și astfel nu permit utilizatorului să devină conștient de amploarea acestor prelucrări. De exemplu, în secțiunea pentru „Personalizarea anunțurilor”, nu este posibilă conștientizarea pluralității de servicii, site-uri și aplicații implicate în aceste activități de prelucrare (Google Search, Youtube, Google Home, Google Maps, Playstore,  Google Photos) și, prin urmare, a volumului de date personale prelucrate și combinate.

În al doilea rând, CNIL constată că Google nu a obținut un consimțământ „specific” și „neechivoc„. Desigur, atunci când creează un cont, utilizatorul are opțiunea de a modifica câțiva dintre parametrii asociați contului făcând clic pe butonul „mai multe opțiuni„, prezent înaintea butonului „Creați un cont„. În special, este posibil să fie setate modurile de afișare pentru anunțurile personalizate. Astfel se ajunge la încălcarea GDPR. Într-adevăr, nu numai ca utilizatorul trebuie să acceseze butonul „mai multe opțiuni” pentru a accesa setarea, dar în plus, afișarea anunțurilor personalizate este activata în prealabil. Fata de toate acestea, consimțământul este „univoc„, conform cerințelor GDPR, numai dacă utilizatorul efectuează un act pozitiv (bifați, de exemplu, o casetă necontrolată). În cele din urmă, înainte de a crea contul, utilizatorul este rugat să bifeze casetele „Accept termenii de utilizare a Google” și „Accept că informațiile mele sunt utilizate așa cum este descris mai sus și detaliat în politica de confidențialitate”  pentru a crea un cont. O astfel de metodă duce utilizatorul la exprimarea unui consimțământ în bloc, pentru toate scopurile urmărite de Google pe baza acestui acord (personalizarea publicității, recunoașterea vocală, localizare, etc.). Dar consimțământul este „specific”, conform cerințelor GDPR, numai dacă este dat separat pentru fiecare scop.

Cuantumul amenzii aplicate astăzi a fost calculat prin aplicarea procentului din cifra de afaceri globala anuala a grupului Alphabet din care face parte si compania Google. Atât amenda aplicata, cât și publicitatea ei, sunt în primul rând justificate de gravitatea încălcărilor principiilor esențiale ale GDPR: transparență, informare și consimțământ. În ciuda măsurilor puse în aplicare de Google (documentație și instrumente de configurare), deficiențele identificate privează utilizatorii de garanțiile fundamentale cu privire la prelucrările de date care ar putea dezvălui părți largi ale vieții private, fiind bazate pe un volum considerabil de date, o varietate servicii și posibilități pentru combinarea aproape nelimitată a datelor. Autoritatea franceză reamintește că natura și obiectul prelucrărilor de date în cauză, la scară largă, impune ca utilizatorii să mențină controlul asupra datelor lor și, prin urmare, să fie suficient de informați și puși în poziția de a consimți în mod valabil.

Citiți aici întreaga decizie de sancționare a Google

Sursa informațiilor: www.cnil.fr

Lasă un răspuns

Acest sit folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.

%d blogeri au apreciat: