Google prime?te cea mai mare amend? pentru înc?lcarea GDPR
O amend?-record de 50 milioane euro a fost aplicat? ast?zi, 21 ianuarie 2019, gigantului Google de c?tre autoritatea francez? de supraveghere a datelor personale, CNIL (Commission nationale de l’informatique et des libertés).
Este prima amend? aplicat? companiei Google conform prevederilor GDPR ?i, totodat?, amenda cu cea mai mare valoare aplicat? în Uniunea Europeana de la momentul începerii aplic?rii Regulamentului UE 2016/679 – 25 mai 2018.
Controlul demarat de autorit??ile din Fran?a a avut la baz? doua plângeri colective formulate de asocia?ia „None of Your Business” („NOYB”) ?i asocia?ia „La Quadrature du Net” („LQDN”) la data de 25 ?i respectiv 28 mai 2018, în numele a peste 10.000 de persoane fizice. În aceste dou? plângeri, asocia?iile au criticat compania Google c? nu are un temei legal valabil pentru a prelucra datele personale ale utilizatorilor serviciilor sale, în special în scopul personaliz?rii publicit??ii.
Sanc?iunea de 50 de milioane de euro aplicata ast?zi companiei Google LLC în temeiul prevederilor GDPR prive?te înc?lcarea regulilor de transparen??, a inform?rii insuficiente a peroanelor vizate ?i, nu în ultimul rând, a lipsei unui consim??mânt valabil exprimat de c?tre persoanele vizate pentru personalizarea publicit??ii livrate prin intermediul telefoanelor mobile cu sistem de operare Android.
Conform comunicatului de pres? emis de CNIL, investiga?ia a început prin stabilirea competen?ei de efectuare a verific?rilor de c?tre autorit??ile franceze, ?tiut fiind ca Google opereaz? pe teritoriul Uniunii Europene printr-o companie cu sediul în Irlanda. In urma schimbului de informa?ii cu celelalte autorit??i de supraveghere din statele membre, în special cu autoritatea irlandeza de protec?ie a datelor, s-a convenit c? Google nu avea un sediu principal în Uniunea European?. În special, la data la care CNIL a început procedura, s-a re?inut ca subsidiara irlandez? a Google nu a avut o putere decizional? asupra func?iilor sistemului de operare Android ?i a serviciilor oferite de Google LLC în leg?tur? cu crearea unui cont de utilizator Google la momentul configur?rii de c?tre utilizatorul final a unui cont Google pe un telefon mobil Android.
Pentru a investiga plângerile care i-au fost adresate, CNIL a efectuat un control on-line în septembrie 2018. Obiectivul a fost de a verifica respectarea legisla?iei privind comunica?iile electronice ?i a GDPR raportat la prelucr?rile datelor personale efectuate de Google, prin analizarea pa?ilor efectua?i de un utilizator ?i a documentelor la care acesta are acces atunci când î?i creaz? un cont Google în vederea configur?rii unui telefon mobil cu SO Android.
In urma controlului, autoritatea francez? a concluzionat c? arhitectura general? a informa?iilor alese de Google pentru efectuarea inform?rii peroanelor vizate nu duce la respectarea obliga?iilor din Regulament. Informa?iile esen?iale, cum ar fi scopurile pentru care sunt prelucrate datele, perioada de timp în care sunt stocate datele sau categoriile de date personale utilizate pentru a personaliza publicitatea, sunt excesiv împr??tiate în mai multe documente, butoane ?i linkuri care necesit? s? fie activate pentru a citi informa?ii suplimentare. Informa?iile relevante sunt accesibile numai dup? mai mul?i pa?i, uneori implicând pân? la cinci sau ?ase ac?iuni. Acesta este cazul, de exemplu, în situa?ia în care un utilizator dore?te s? aib? informa?ii complete cu privire la colectarea informa?iilor sale pentru personalizarea anun?urilor sau pentru geo-localizarea sa. Astfel, utilizatorii nu sunt în m?sur? s? în?eleag? deplin amploarea prelucr?rilor de date personale efectuate de Google. Reiese faptul ca activit??ile de prelucrare sunt masive ?i intruzive, datorit? num?rului mare de servicii oferite (aproximativ dou?zeci), cantit??ii ?i naturii datelor prelucrate ?i combinate. În special, autoritatea arat? c? perioada de p?strare a unor date nu este indicat?, scopurile prelucr?rii sunt descrise prea generic ?i vag, la fel ?i faptul ca datele prelucrate pentru aceste scopuri sunt diferite. În mod similar, informa?iile furnizate nu sunt suficient de clare pentru ca utilizatorul s? în?eleag? c? temeiul legal al prelucr?rii datelor pentru personalizarea reclamelor este consim??mântul, ?i nu interesul legitim al companiei Google.
Pentru lipsa consim??mântului valabil exprimat, CNIL a re?inut doua înc?lc?ri ale prevederilor GDPR.
În primul rând, consim??mântul utilizatorului nu este suficient de explicit. Informa?iile despre modul în care sunt prelucrate datele personale sunt împ?r?ite în mai multe documente ?i astfel nu permit utilizatorului s? devin? con?tient de amploarea acestor prelucr?ri. De exemplu, în sec?iunea pentru „Personalizarea anun?urilor”, nu este posibil? con?tientizarea pluralit??ii de servicii, site-uri ?i aplica?ii implicate în aceste activit??i de prelucrare (Google Search, Youtube, Google Home, Google Maps, Playstore, Google Photos) ?i, prin urmare, a volumului de date personale prelucrate ?i combinate.
În al doilea rând, CNIL constat? c? Google nu a ob?inut un consim??mânt „specific” ?i „neechivoc„. Desigur, atunci când creeaz? un cont, utilizatorul are op?iunea de a modifica câ?iva dintre parametrii asocia?i contului f?când clic pe butonul „mai multe op?iuni„, prezent înaintea butonului „Crea?i un cont„. În special, este posibil s? fie setate modurile de afi?are pentru anun?urile personalizate. Astfel se ajunge la înc?lcarea GDPR. Într-adev?r, nu numai ca utilizatorul trebuie s? acceseze butonul „mai multe op?iuni” pentru a accesa setarea, dar în plus, afi?area anun?urilor personalizate este activata în prealabil. Fata de toate acestea, consim??mântul este „univoc„, conform cerin?elor GDPR, numai dac? utilizatorul efectueaz? un act pozitiv (bifa?i, de exemplu, o caset? necontrolat?). În cele din urm?, înainte de a crea contul, utilizatorul este rugat s? bifeze casetele „Accept termenii de utilizare a Google” ?i „Accept c? informa?iile mele sunt utilizate a?a cum este descris mai sus ?i detaliat în politica de confiden?ialitate” pentru a crea un cont. O astfel de metod? duce utilizatorul la exprimarea unui consim??mânt în bloc, pentru toate scopurile urm?rite de Google pe baza acestui acord (personalizarea publicit??ii, recunoa?terea vocal?, localizare, etc.). Dar consim??mântul este „specific”, conform cerin?elor GDPR, numai dac? este dat separat pentru fiecare scop.
Cuantumul amenzii aplicate ast?zi a fost calculat prin aplicarea procentului din cifra de afaceri globala anuala a grupului Alphabet din care face parte si compania Google. Atât amenda aplicata, cât ?i publicitatea ei, sunt în primul rând justificate de gravitatea înc?lc?rilor principiilor esen?iale ale GDPR: transparen??, informare ?i consim??mânt. În ciuda m?surilor puse în aplicare de Google (documenta?ie ?i instrumente de configurare), deficien?ele identificate priveaz? utilizatorii de garan?iile fundamentale cu privire la prelucr?rile de date care ar putea dezv?lui p?r?i largi ale vie?ii private, fiind bazate pe un volum considerabil de date, o varietate servicii ?i posibilit??i pentru combinarea aproape nelimitat? a datelor. Autoritatea francez? reaminte?te c? natura ?i obiectul prelucr?rilor de date în cauz?, la scar? larg?, impune ca utilizatorii s? men?in? controlul asupra datelor lor ?i, prin urmare, s? fie suficient de informa?i ?i pu?i în pozi?ia de a consim?i în mod valabil.
Citi?i aici întreaga decizie de sanc?ionare a Google
Sursa informa?iilor: www.cnil.fr