Google amenda

Google a fost amendat cu 50 mil EURO pentru incalcarea GDPR. Dar de ce?

8 minute • Ana-Maria Udriste • 22 ianuarie 2019


Am citit ieri în presă când toată lumea a vuit că Google a primit o amendă de 50 mil EURO din partea autorității privind supraveghere datelor cu caracter personal din Franța. Aceasta este cea mai mare amendă sub imperiul GDPR care a fost emisă de o autoritate europeană de reglementare și, pentru prima dată, unul dintre gigantii de tehnologie a fost considerat că nu respectă noile reglementări dure care au intrat în vigoare în luna mai a anului trecut.
Bun, dar de ce?
În primul rând, trebuie să clarificăm că este vorba despre anunțuri (Google Ads), nu despre orice altceva înseamnă Google și serviciile acestuia.

Google a încălcat GDPR pentru că nu a fost transparent

Informațiile furnizate de Google privind politica de prelucrare a datelor cu caracter personal nu sunt ușor accesibile utilizatorilor.

După cum ziceam atât în kitul complet despre GDPR și webinare,  una din obligațiile principale și de o maximă importanță sub GDPR este să prezinți informațiile de o manieră clară, transparentă și accesibilă către utilizatori. Adică să înțeleagă și cineva cu doctorat la MIT, dar și o persoană care a terminat o post-liceală. Ceea ce este normal – trebuie să ne adaptăm cu toții la cei din jur și să îi informăm în consecință.
Revenind la Google. Într-adevăr, structura generală a informațiilor alese de Google nu permite respectarea regulamentului. Informațiile esențiale, cum ar fi scopurile prelucrării datelor, perioadele de stocare a datelor sau categoriile de date personale utilizate pentru personalizarea anunțurilor, sunt difuzate excesiv în mai multe documente, cu butoane și link-uri pe care trebuie să faceți click pentru a accesa informații complementare. Informațiile relevante sunt accesibile după mai multe etape, implicând uneori până la 5 sau 6 acțiuni. De exemplu, acesta este cazul când un utilizator dorește să aibă o informație completă cu privire la datele sale colectate în scopuri de personalizare sau pentru serviciul de urmărire geografică.
De reținut! Când faceți o politică pentru prelucrarea datelor cu caracter personal (sau cum se tot numește – politică de confidențialitate, notificare, notă de informare, politică GDPR etc.), trebuie ca documentul scris să fie făcut într-o manieră accesibilă, un tot unitar de sus până jos, ca să fie ușor de citit cap-coadă. Găsiți modele și la noi în KIT.
Unele informații nu sunt întotdeauna clare și complete.
Utilizatorii nu sunt în măsură să înțeleagă pe deplin amploarea operațiunilor de procesare efectuate de Google. Dar operațiunile de prelucrare sunt deosebit de masive și intruzive datorită numărului de servicii oferite (aproximativ douăzeci), cantității și naturii datelor prelucrate și combinate. Scopul prelucrării este descris într-o manieră prea generică și vagă, la fel și categoriile de date prelucrate în aceste scopuri diferite. În mod similar, informațiile comunicate nu sunt suficient de clare, astfel încât utilizatorul să poată înțelege că baza legală a operațiunilor de prelucrare a personalizării anunțurilor este consimțământul, și nu interesul legitim al companiei. Informațiile privind perioada de păstrare nu sunt furnizate pentru unele date.
Practic, de aici trebuie să reținem că:

  • trebuie să informăm utilizatorul complet – nu să ne apucăm acum să luam fiecare element de date până la ultimul bit pe care să-l explicăm pentru că nu am mai termina vreodată, dar să îi spunem ce date prelucrăm, de ce le prelucrăm, în baza a ce le prelucrăm, ce facem cu ele, cât le stocăm.
  • trebuie să scriem totul într-o manieră accesibilă – gândiți-vă că pe site-ul vostru intră persoane din toate colțurile țării (lumii), cu diferite graduri de educație și de înțelegere. Ei bine, trebuie să înțeleagă toți. Evitați limbajul pompos, fad, avocățesc care ia ochii lumii – că ia doar ochii, dar voi rămâneți cu amenda.
  • dacă prea în detaliu e prea mult, pentru că nu putem să mai respectăm cerința accesibilității și transparenței, prea vag nu e iarași bine. Trebuie găsită o formulă magică de compromis.

Google a încălcat GDPR pentru că nu a obținut un consimțământ valabil

Consimțământul trebuie să fie liber exprimat, dat în mod neechivoc, să fie dat ca urmare a unei informări corecte și complete și să presupună o acțiune.

Citiți mai multe despre cum se obține un consimțământ valabil aici. O explicație completă cu check list de urmat pas cu pas o găsiți în kit.
Google afirmă că obține consimțământul utilizatorului de a prelucra date în scopul personalizării anunțurilor. Cu toate acestea, autoritatea din Franța a considerat că acordul nu este obținut în mod valabil din două motive.
În primul rând, acordul utilizatorilor nu este suficient informat.
Informațiile despre operațiile de prelucrare a personalizării anunțurilor sunt diluate în mai multe documente și nu permit utilizatorului să fie conștienți de amploarea lor. De exemplu, în secțiunea “Personalizarea anunțurilor”, nu este posibil să fii conștient de multitudinea serviciilor, site-urilor web și aplicațiilor implicate în aceste operații de prelucrare (Google căutare, Google Youtube, Google Home, Google Maps, Playstore, Google Imagini … ) și, prin urmare, a cantității de date prelucrate și combinate.
În al doilea rând, consimțământul colectat nu este nici “specific“, nici “neechivoc.
Atenție! Consimțământul nu trebuie oferit în mod generic, global, ca să fie pentru toate chestiile pe ideea că suntem acoperiți. Nu, consimțământul trebuie oferit în mod specific pentru prelucrarea respectivă.
Atunci când un cont este creat, utilizatorul poate modifica anumite opțiuni asociate contului făcând clic pe butonul «Mai multe opțiuni», accesibil deasupra butonului «Creare cont». Astfel se pot configura anuțurile personalizate (dar cine face asta, pentru că ne prindem urechile până ajungem acolo?).
Asta nu înseamnă că GDPR este respectat. Într-adevăr, utilizatorul nu trebuie doar să facă clic pe butonul “Mai multe opțiuni” pentru a accesa configurația, dar afișarea personalizării anunțurilor este, de asemenea, pre-bifată. Cu toate acestea, așa cum se prevede în GDPR, consimțământul este “neechivoc” doar cu o acțiune clară afirmativă a utilizatorului (prin bifarea unei casete care nu este pre-bifată, de exemplu). În cele din urmă, înainte de a crea un cont, utilizatorul este rugat să bifeze casetele “Sunt de acord cu Termenii și condițiile Google” și “Sunt de acord cu prelucrarea informațiilor mele așa cum sunt descrise mai sus și explicate în continuare în Politica de confidențialitate” pentru a crea cont. Prin urmare, utilizatorul își dă consimțământul în întregime pentru toate operațiunile de prelucrare efectuate de Google pe baza acestui consimțământ (personalizarea anunțurilor, recunoașterea vorbirii etc.). Cu toate acestea, GDPR prevede că acordul este “specific” numai dacă este acordat distinct pentru fiecare scop.
Practic, de aici trebuie să reținem că:

Google trebuie să fie mai atent acum. La fel și ceilalți.

Aceasta este prima mare amendă dată de o autoritate din UE unui gigant din tehnologie pentru nerespectarea drepturilor privind protecția datelor cu caracter personal. 50 milioane euro este semnificativ, iar autoritatea a avut în vedere următoarele aspecte când a stabilit această amendă:

  • numărul de utilizatori implicați (like, hello, zeci de milioane de oameni folosesc serviciile Google și își fac un cont nou în fiecare zi)
  • impactul acestor prelucrări (Google, prin aplicațiile sale, este prietenul nostru de zi cu zi peste tot aproape)
  • o imensitate de date implicate
  • modalități infinite de combinare a acestor date
  • o varietate foarte mare de servicii oferite (numiți o chestie pe care nu o face Google).

De reținut că GDPR nu înseamnă doar o politică pusă pe un site, ci este un prim pas spre protejarea drepturilor persoanelor privind conștientizarea datelor personale și ce se poate face cu ele.
Chiar dacă nu este cazul să vorbim în activitatea de zi cu zi de un impact al prelucrării precum al celor de la Google, este important să avem în vedere riscurile la care ne supunem. Totodată, gândiți-vă că o aliniere frumoasă la regulile GDPR vă poate aduce beneficii de imagine și să întărească relația bazată pe încredere cu utilizatorii voștri.


Moment publicitar: Dacă vrei să începi să afli mai multe despre GDPR și să ai un punct de plecare pentru conformare, ai la îndemână și următoarele resurse:

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *