Trafic de date personale sub clar de lună. Studiu de caz – aplicația Flo trimite date despre fertilitate și ovulație către alte părți interesate
25 minute • Alexandra Cruceru • 18 februarie 2021
Flo – aplicația de monitorizare a fertilității și ciclului, cu peste 100 milioane de utilizatoare (din toată lumea), a fost acuzată de trafic de date personale sensibile către Facebook, pentru ca mai apoi motoarele de advertising ale Facebook să targeteze persoanele în cauză cu reclame țintite în funcție de interesele lor specifice și ținând cont de perioada în care se aflau.
Să povestim puțin despre datele personale și well… viață.
Datele personale sunt practic toate informațiile care au legătură cu noi, toată paleta de trăsături sau atribute care ne identifică, și mai nou (adică totuși de ceva vreme, dar oarecum pe nesimțite) ne transformă pe fiecare în parte sau en gros în produse dezirabile de tranzacționat.
Altfel spus, datele personale sunt o monedă într-o societate din ce în ce mai data-driven.
Și de ce sunt oare așa de prețioase?
Pentru că din datele personale se pot extrage o multitudine de informații despre cum suntem, cum gândim, cum ne simțim și, cel mai important pentru unii, cum cumpărăm în raport cu firea, gândirea și simțirea noastră.
Așa că datele noastre sunt cumpărate ca un produs de diverși colecționari de date din lume pentru a înțelege cât mai bine cum ne pot determina mai apoi să cumpărăm produsele lor. What comes around, goes around. Circular.
Și nu, nu e o teorie conspiraționistă. E ceva ce se întâmplă și a atras recunoașterea European Data Protection Board (EDPB) care e organismul ce asigură implementarea uniformă a legislației privind protecția datelor – GDPR, în Europa:
”Anumite abordări de targeting pot submina autonomia individuală și libertatea, de exemplu, prin transmiterea de mesaje individualizate create pentru a exploata sau chiar pentru a accentua anumite vulnerabilități, valori personale sau preocupări. De exemplu, o analiză de conținut distribuit pe social media poate dezvălui informații despre starea emoțională (prin analizarea anumitor cuvinte cheie folosite). Asemenea informații pot fi folosite să targeteze individul cu anumite mesaje într-un anumit moment în care este de așteptat ca el să fie mai receptiv, astfel în mod clandestin influențând procesul său de gândire, emoțiile și comportamentul.” (Ghidul 8/2020 privind targetarea utilizatorilor rețelelor sociale, p.6 – EDPB).
Asta se numește, în legislația de protecție a datelor, profilare. Această profilare stă uneori la baza unor decizii exclusiv automate care pot impacta semnificativ utilizatorul. Potrivit GDPR profilarea și mai ales procesul decizional automatizat sunt mecanisme cu grad înalt de intruziune în viața consumatorului și trebuie folosite respectând anumite condiții. Vom vorbi despre asta mai jos.
Altfel spus, profilarea în sine nu este interzisă, însă trebuie avute în vedere anumite reglementări ca să nu fie depășită o limită destul de… fină. În continuare, acest studiu subliniază această limită care atinge anumite momente din viața unor femei când sunt mai vulnerabile emoțional, mai moody și tind să facă anumite cumpărături impulsive. Da, fetelor, vorbim de ACELE perioade din lună.
Studiu de caz
Situația pe scurt
Să luăm un caz cu adevărat sensibil: Flo – aplicația de monitorizare a fertilității și ciclului, cu peste 100 milioane de utilizatoare (din toată lumea), a fost acuzată că a distribuit date personale sensibile către Facebook (printre altele). În continuare Facebook a folosit aceste date pentru a targeta persoanele în cauză cu reclame țintite în funcție de interesele lor specifice și ținând cont de perioada în care se aflau.
Aplicația a înșelat încrederea utilizatorilor întrucât a oferit asigurări prin politica de confidențialitate că datele personale sensibile precum stadiul sarcinii, date privind calendarul biologic, sau orice alte informații despre sănătatea utilizatorilor, precum și despre viața lor intimă, nu vor fi distribuite către terțe părți fără consimțământ expres.
În schimb, aceste date, nu doar că au fost divulgate, ci, potrivit unui studiu al The Wall Street Journal din 2019, au fost folosite pentru a integra în profilul de Facebook al utilizatorilor reclame care să exploateze circumstanțele lor personale și vulnerabilitățile.
Cum se întâmplă asta mai exact?
Aplicația Flo a transmis date personale către Facebook prin intermediul unui instrument numit SDK (Software Developer Kit) Facebook. Prin acest instrument developerii de aplicații ca Flo pot primi informații analitice care îi ajută să înțeleagă mai bine ce doresc utilizatorii de la aplicație și cum o pot îmbunătăți. În același timp Facebook poate de asemenea să folosească aceste date personalizând la maxim publicitatea afișată pentru fiecare utilizator, în funcție de mood (starea de spirit).
Aceste artificii de marketing sunt posibile cu ajutorul inteligenței artificiale. SF, știu! Dar nu tocmai. Mecanismul funcționează așa: un algoritm care rulează multe, multe date, a fost programat să afișeze reclame pentru a vinde un produs. Din nenumăratele încercări de a vinde produsul el reține tot felul de statistici. Aceste statistici îl ajută să facă legături între datele despre utilizator (profilul de utilizator) și situațiile în care produsul a fost cumpărat de asemenea utilizatori. Algoritmul învață pe parcurs că utilizatorul cu profilul: femeie însărcinată în 7 luni va fi mai probabil să cumpere biberoane decât utilizatorul cu profilul: femeie preocupată de metode contraceptive.
De aici, există diferite grade de subtilitate pe care un astfel de algoritm le poate atinge. Cu cât are mai multe date, cu atât va fi mai precis în atingerea scopului său. Iar datele despre stări, emoții sau predispoziții sunt poate cele mai importante dintre toate pentru acest mecanism.
Cu alte cuvinte, cu ajutorul aplicației Flo, algoritmul a aflat date despre stadiul sarcinii utilizatoarelor, sau aspirațiile lor, despre calendarul lor de ovulație, despre alte probleme de sănătate în legătură cu sistemul reproducător sau date despre perioadele din lună în care se află și implicit (statistic vorbind) despre gradul de irascibilitate sau impulsivitate corelate unor anumite perioade.
Totodată, pe lângă toate instrumentele mai ”tehnice” despre sarcină, ovulație și ciclu, există integrat în interfața aplicației Flo și un chat, în care poți să discuți cu un health asistant robot pe anumite teme. În funcție de temă, uneori îți adresează întrebări, adesea chiar foarte intime, despre viața sexuală și alte obiceiuri sexuale sau despre sănătate, simptome, medicație etc. Toate aceste date pot fi folosite pentru a crea un profil extrem de detaliat al utilizatorului.
Mai departe, folosind toate aceste date, algoritmul poate afișa reclame precis destinate pe profilul utilizatorilor Facebook, în concordanță cu „punctele lor slabe”.
Și dacă un asemenea instrument se sincronizează cu fazele lunare feminine poate fi chiar irezistibil! E o exagerare, desigur, dar ca orice exagerare conține o posibilitate. Dincolo de legendele despre fazele lunii (moon cycle) în viața unei femei, trebuie să fim pregătite să recunoaștem că avem perioade de intuiție trează și perioade de vulnerabilitate întunecată. Și algoritmul stă la pândă și încearcă să ghicească toanele și capriciile, sau cu alte cuvinte momentul perfect când poate introduce în schemă încă o pereche de pantofi, lumânări parfumate sau… o stație de călcat.
Reacția Flo și consecințe
Deși nu a recunoscut oficial acuzațiile privind transmiterea unor date personale, în Ianuarie 2021 compania Flo Health Inc. a căzut la învoială cu Federal Trade Commission (FTC) care e autoritatea americană de protecție a consumatorilor și se va supune tuturor măsurilor impuse.
Purtătorii de cuvânt ai companiei, într-un e-mail pentru The Verge, afirmă:
„Convenția noastră cu FTC nu e o recunoaștere a vreunui lucru făcut greșit. În schimb, e o înțelegere pentru a evita timpul și costurile unui litigiu și ne ajută să lăsăm această problemă în spate, definitiv.”
„Suntem mulțumiți că am ajuns la o înțelegere cu FTC și am rezolvat problema. Vom demara o evaluare de conformitate a politicilor și procedurilor noastre, ca parte a Convenției și vom furniza către FTC informații despre evoluția acestor demersuri, în mod regulat. Suntem determinați să vă asigurăm că acordăm protecției datelor personale de sănătate ale utilizatorilor noștri o importanță crucială.”
Potrivit Convenției cu FTC, Flo Health Inc. trebuie să obțină o evaluare independentă a practicilor sale de privacy și trebuie să obțină consimțământul utilizatorilor înainte de a distribui date personale privind sănătatea acestora.
De asemenea, companiei îi este interzis să prezinte informații înșelătoare despre scopurile cu care colectează sau folosește datele personale, sau despre entitățile cărora le transmite date și despre controlul pe care utilizatorii îl au asupra procesării de date. În același timp trebuie să ofere informații reale despre cum colectează, cum folosește, cum transmite, cum șterge și cum protejează datele personale, precum și despre orice politică de privacy sau program de compliance pe care îl urmează.
Flo trebuie să notifice utilizatorii afectați de transmiterea datelor către terți și să notifice acele părți terțe care au primit date personale de sănătate să distrugă aceste date.
Federal Trade Commission nu impune, în schimb, nicio sancțiune financiară (!!) pentru Flo Health Inc., însă există voci care aplaudă chiar și așa inițiativa FTC de a acționa pentru prima oară împotriva unui caz din sfera de privacy.
Nu putem totuși să nu ne gândim că dacă ar fi fost vorba de o încălcare a regulilor europene în materie de protecție a datelor cu caracter personal consecințele ar fi arătat cu totul altfel…
Implicații GDPR
Având în vedere că aplicația americană Flo e disponibilă și pentru Europa – Flo Health Cyprus Ltd (având sediu și în Cipru), în toate cazurile în care prelucrează date personale ale utilizatorilor care se află în Spațiul Economic European, este pe deplin aplicabilă legislația în materie de protecția datelor, mai exact Regulamentul general privind protecția datelor personale – GDPR.
În Decembrie 2018 asociația britanică Privacy International a demarat o analiză similară The Wall Street Journal față de Flo, privind datele personale ale utilizatorilor europeni. Din fericire, există diferențe majore de comportament al companiei în raport cu locul de rezidență al utilizatorilor săi. Sub scutul GDPR, aplicația nu își permite să abuzeze de datele personale ale europenilor, cum a procedat în SUA. În continuare vom afla de ce.
Principiile GDPR
Potrivit GDPR datele cu caracter personal trebuie să fie:
- prelucrate în mod legal, echitabil și transparent față de persoana vizată (utilizator) – principiul “legalitate, echitate și transparență“;
Adică o aplicație de genul Flo (în sensul legii, operator de date) poate prelucra date privind sănătatea și viața sau orientarea sexuală (care se încadrează în categoria de date speciale) ale utilizatorilor săi (în sensul legii persoane vizate) doar având un temei legal. Temeiul legal în această situație nu poate fi decât consimțământul utilizatorului.
În același timp Flo poate prelucra date personale doar în măsura în care o face în mod corect și transparent față de utilizator. Acesta are dreptul de a fi informat cu privire la prelucrare. Detalii mai jos.
- colectate în scopuri determinate, explicite şi legitime şi să nu fie prelucrate ulterior într-un mod incompatibil cu aceste scopuri – principiul “limitări legate de scop“;
Aplicarea practică a acestui principiu se regăsește în secțiunea referitoare la consimțământ.
- adecvate, relevante şi limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate – principiul “reducerea la minimum a datelor“;
Flo are, când vorbim de date personale, responsabilitatea de a obține de la utilizator doar datele necesare funcționării serviciilor prezentate de aplicație (nu toate datele posibile!).
- exacte şi, în cazul în care este necesar, să fie actualizate; trebuie să se ia toate măsurile necesare pentru a se asigura că datele cu caracter personal care sunt inexacte, având în vedere scopurile pentru care sunt prelucrate, sunt şterse sau rectificate fără întârziere – principiul “exactitate“;
- păstrate într-o formă care permite identificarea persoanelor vizate pe o perioadă care nu depăşeşte perioada necesară îndeplinirii scopurilor în care sunt prelucrate datele – principiul “limitări legate de stocare“;
- prelucrate într-un mod care asigură securitatea adecvată a datelor cu caracter personal, inclusiv protecția împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare – principiul “integritate și confidențialitate“.
De asemenea, operatorul este responsabil de respectarea principiilor și tuturor dispozițiilor GDPR și trebuie să poată demonstra această respectare – principiul “responsabilitate“.
Consimțământul
Potrivit GDPR pentru ca o aplicație ca Flo să poată prelucra date personale privind sănătatea și viața sau orientarea sexuală (date speciale) este necesar consimțământul explicit al utilizatorului . Niciun alt temei de prelucrare dintre cele enunțate de GDPR pentru datele sensibile nu ar putea fi aplicabil în cazul de față!
Acest consimțământ trebuie să fie explicit, liber exprimat, specific, acordat în cunoștință de cauză și neechivoc. De asemenea, acest consimțământ poate fi retras oricând. Detalii despre condițiile consimțământului poți afla aici.
Prin bifarea căsuței de pe prima pagină a aplicației, după instalare, și prin furnizarea tuturor acelor date personale de care am vorbit utilizatorii din Europa și-au dat consimțământul cu privire la folosirea lor de către Flo.
Atenție însă (!!) consimțământul a fost dat pentru folosirea datelor de către Flo în scopuri conexe aplicației, pentru a monitoriza ciclul, ovulația, sarcina, pentru predicții despre acestea, pentru a oferi informații despre perioadele de fertilitate etc. Consimțământul nu a fost dat pentru ca datele să fie trimise către terțe părți care să se folosească de ele în scopuri de marketing. Acesta este aplicarea practică a principiului GDPR numit limitare legată de scop.
Mai mult, dacă utilizatorul nu și-a dat acordul pentru distribuirea datelor de către Flo către Facebook, aceasta din urmă nu are niciun alt temei legal de prelucrare a datelor, având în vedere că acestea fac parte din categoria datelor sensibile. Și chiar dacă primește date sensibile din partea Flo ar fi obligat să le șteargă și să solicite Flo să înceteze transmiterea acestei categorii de date.
În cazul studiat, Facebook afirmă că așa a reacționat. Purtătorii de cuvânt au susținut că Termenii și condițiile Facebook instruiesc aplicațiile ca Flo să nu trimită informații privind sănătatea, informații financiare și alte categorii de date sensibile. Iar în cazul în care primesc astfel de date sensibile, acestea sunt automat șterse de Facebook.
În plus, în acest context Facebook a declarat că va implementa garanții suplimentare pentru a se asigura că astfel de date nu ajung să fie stocate de companie. Astfel de promisiuni mai fuseseră făcute, chiar de Mark Zuckerberg cu un an înaintea incidentului. Potrivit declarațiilor acestuia urma să apară la Facebook funcția Clear history (ștergerea istoricului de navigare al utilizatorului), în legătură cu reclamele personalizate în funcție de activitatea utilizatorului pe alte site-uri sau aplicații.
În același timp, în prezent, la instalare, chiar și aplicația Flo susține că datele privind sănătatea nu sunt distribuite către partenerii săi advertiseri. Orice date distribuite către anumiți parteneri (ca Facebook) sunt trimise exclusiv cu scopul de a te găsi pe Facebook pentru a-ți reaminti că nu ai mai folosit aplicația de mult. What? În fine… să zicem că așa e. Mai departe.
Drepturile utilizatorului
Odată cu învoirea de a prelucra datele cu caracter personal apar și o serie de drepturi ale utilizatorului – persoană vizată și obligații ale aplicației – operator de date personale (Flo).
Dreptul de a fi informat
Primul dintre acestea este dreptul de a fi informat într-un formă ușor de înțeles și ușor accesibilă, printre altele, despre scopurile în care sunt prelucrate aceste date, destinatarii cărora vor fi divulgate și despre intenția operatorului de a transfera date către o companie dintr-un stat terț (companii din SUA, de exemplu). Această companie dintr-un stat terț este orice entitate care are sediul în afara Spațiului Economic European. Dacă există această intenție, trebuie să fie furnizate utilizatorului și informații despre garanțiile privind protejarea datelor personale într-un mod similar protecției asigurată de GDPR.
Flo are astfel obligația, dacă vorbim de date personale, să explice pentru ce sunt folosite datele, către cine vor fi trimise și, dacă vor fi trimise către SUA sau alte teritorii unde GDPR nu e direct aplicabil, ce garanții de protecție sunt oferite.
Și dacă ajunge, prin orice mod să prelucreze astfel de date, această obligație se extinde și la Facebook. În calitate de operator de date, Facebook trebuie să informeze persoanele vizate despre sursa din care are datele lor (în cazul de față, Flo), despre scopurile în care folosește datele respective (în cazul de față marketing) și în plus despre existența unui proces decizional automatizat incluzând crearea de profiluri (dacă alcătuiește profiluri care stau la baza unor decizii automatizate cu potențial impact semnificativ pentru utilizator).
Dreptul de acces și dreptul de rectificare
Utilizatorul are dreptul de a accesa propriile date personale la cerere, precum și dreptul de a solicita rectificarea datelor incorecte și inexacte.
În ceea ce privește dreptul de acces, cei de la Privacy International au realizat în Decembrie 2020 un experiment. Acest experiment constă într-o cerere de acces la date către 5 astfel de aplicații de monitorizare a fertilității.
Din raportul Privacy International, Flo pare că trece testul dreptului de acces, însă descoperim că toate datele, notele, mesajele din sistemul lor de chat automat sau cu alți utilizatori și care conțin cele mai intime informații posibile rămân stocate pe serverele lor și contribuie la o profilare amănunțită a utilizatorului.
Dreptul de ștergere
Utilizatorul are dreptul de a solicita ștergerea datelor sale. În cazul Flo această ștergere poate să intervină în urma retragerii consimțământului față de prelucrarea datelor personale.
Dacă utilizatorul exercită acest drept, aplicația Flo trebuie „să uite” de existența sa și a datelor sale personale.
Dreptul la portabilitate
Utilizatorul are dreptul de a solicita transferul datelor sale personale de la Flo, pentru uzul personal, într-un format structurat, utilizat în mod curent, care funcționează pe un calculator sau pe un alt dispozitiv. Sau are dreptul de a solicita transferul datelor sale personale de la Flo către un alt operator, să zicem o aplicație similară, în măsura în care acest lucru e posibil din punct de vedere tehnic (dacă sistemele folosite de cele două aplicații sunt similare și compatibile).
Dreptul la opoziție
Posibilitatea de a se opune prelucrării datelor este un alt drept al utilizatorului. În cazurile de prelucrare a datelor în scopuri de marketing, utilizatorul poate să-și manifeste opoziția în orice moment față de respectiva prelucrare și față de orice profilare cu acest scop. Și în situația de față, având în vedere că datele prelucrate sunt din cele mai sensibile, interesele legitime ale operatorului sunt dislocate și nu vor prevala în fața intereselor utilizatorului. Ca urmare a exercitării acestui drept datele trebuie șterse.
Dreptul de a nu face obiectul unei proces decizional automatizat, inclusiv crearea de profiluri
Profilarea utilizatorului este acceptabilă cât timp se întâmplă în scopurile pentru care acesta și-a dat consimțământul să-i fie prelucrate datele (pentru predicții despre perioadele fertile, de exemplu). Când profilul este folosit pentru a fi targetat prin intermediul Facebook cu reclame despre tratamente de fertilitate, scopul inițial este depășit și prelucrarea este ilegală. Este vorba despre acea limitare legată de scop, despre care am vorbit mai sus.
Procesul decizional exclusiv automatizat reglementat de GDPR pentru protecția persoanelor vizate se referă la orice decizie bazată exclusiv pe prelucrare automată, de exemplu un profil creat de un algoritm. Condiția suplimentară este că această decizie, luată fără niciun fel de intervenție umană, trebuie să fie în măsură să afecteze semnificativ utilizatorul.
Și în cazul în care îl afectează semnificativ, utilizatorul are dreptul de a nu fi supus unui astfel de proces decizional automatizat bazat pe profil, decât dacă își dă consimțământul în mod explicit.
În ce măsură procesul decizional automatizat, prin care se ajunge la o profilare extensivă și o targetare în scopuri de marketing în concordanță cu profilul, afectează semnificativ utilizatorul este discutabil. EDPB și-a însușit poziția Grupului de lucru „Articolul 29” pentru protecția datelor – WP29 care afirmă că trebuie să existe o analiză de la caz la caz:
„În multe cazuri tipice, decizia de a prezenta anunțuri publicitare direcționate în funcție de profilurile create nu va avea un efect care afectează într-o măsură semnificativă persoanele, de exemplu un anunț privind o lichidare de stoc într-un magazin de modă online destinat publicului larg pe baza unui simplu profil demografic: femei din regiunea orașului Bruxelles, cu vârste cuprinse între 25 și 35 de ani, care ar putea fi interesate de modă și de anumite articole de îmbrăcăminte.
„Totuși, e posibil să aibă un efect semnificativ, depinzând de caracteristicile particulare ale cazului, inclusiv:
- gradul de intruziune a procesului de creare a unui profil, inclusiv urmărirea persoanelor pe diferite site-uri web și la nivel de diferite dispozitive și servicii;
- așteptările și dorințele persoanelor în cauză;
- felul în care este transmis anunțul; sau
- utilizarea cunoștințelor despre vulnerabilitățile respectivelor persoane vizate.”(Ghidul Grupului de lucru „Articolul 29” pentru protecția datelor – WP29 – privind procesul decizional individual automatizat și profilarea în cadrul Regulamentului 2016/679)
În același timp, Ghidul EDPB 8/2020 privind targetarea utilizatorilor rețelelor sociale, afirmă că:
„O evaluare dacă targetarea va afecta semnificativ o persoană vizată trebuie să fie demarată de operatorul de date (sau operatorii asociați, după caz) în fiecare situație, cu referire la aspecte specifice procesului de targetare.”
Analizând situația din SUA, gradul de intruziune a profilului este considerabil întrucât Flo Health Inc. a prelucrat date personale privind sănătatea și alte circumstanțe foarte intime, iar aceste date au fost distribuite către Facebook. În cazul în care Facebook avea deja un profil pentru utilizatorul respectiv, toate aceste date de pe diferite platforme și dispozitive au fost combinate. În temeiul GDPR într-o asemenea situație Flo și Facebook erau operatori asociați răspunzători împreună pentru soarta datelor respective.
În același timp, așteptările persoanelor în cauză sunt acelea de a primi serviciul prezentat de Flo ca aplicație de monitorizare a fertilității și celelalte funcții conexe, nicidecum să fie urmărite, profilate și targetate cu reclame insidioase. Felul în care sunt transmise aceste reclame încalcă principiile de transparență și corectitudine GDPR.
Mai mult, afișarea acestor anunțuri se bazează în mod clar pe vulnerabilitățile persoanelor în cauză.
Având în vedere toate aceste aspecte, Flo și Facebook împreună ar trebui să considere că în acest caz deciziile algoritmului Facebook de a targeta utilizatorii Flo în funcție de datele sensibile prelucrate, într-un mod netransparent, îi pot afecta semnificativ pe aceștia și e nevoie de consimțământul lor explicit.
Revenind în Europa în prezent, același studiu al Privacy International dezvăluie faptul că Flo Health Cyprus Ltd consideră că:
„Flo Health creează profiluri pentru fiecare utilizator pentru scopuri pur operaționale, totuși niciun proces decizional automatizat, care poate cauza efecte legale sau care ar putea afecta într-un mod similar utilizatorul, nu este implicat în procesul de prestare a serviciilor.”
Dreptul de a depune plângere la Autoritatea de supraveghere națională și dreptul de a acționa în justiție
În cazul în care este subiect al GDPR orice utilizator se poate adresa Autorității de supraveghere din statul membru cu o plângere împotriva operatorului care i-a încălcat drepturile. În același timp și independent de plângerea menționată poate introduce o acțiune în justiție la instanțele competente.
Posibile sancțiuni
Pentru încălcarea principiilor GDPR; pentru nesocotirea consimțământului utilizatorului și implicit pentru prelucrarea datelor fără temei legal; pentru nerespectarea dreptului utilizatorului la informare; precum și pentru nerespectarea dreptului utilizatorului de a nu fi profilat și de a nu face obiectul unei decizii automatizate care sa-l impacteze, Flo și Facebook, ca operatori asociați ar putea fi sancționați de Autoritatea de supraveghere a unui stat membru cu o amendă de până la 20 de milioane de euro sau de până la 4% din cifra de afaceri mondială totală anuală a fiecăruia.
În același timp, alături de amendă, Autoritatea de supraveghere poate:
- să dea dispoziţii operatorului să asigure conformitatea operaţiunilor de prelucrare cu dispoziţiile GDPR, specificând, după caz, modalitatea şi termenul-limită pentru aceasta;
- să oblige operatorul să informeze persoana vizată cu privire la o încălcare a protecţiei datelor cu caracter personal;
- să impună o limitare temporară sau definitivă, inclusiv o interdicţie asupra prelucrării;
- să dispună rectificarea sau ştergerea datelor cu caracter personal sau restricţionarea prelucrării, precum şi notificarea acestor acţiuni destinatarilor cărora le-au fost divulgate datele cu caracter personal.
Situații similare
Dacă Flo oferă asigurări că prelucrează datele personale ale utilizatorilor din UE în conformitate cu GDPR, există numeroase alte cazuri de aplicații și platforme care au potențial să amenințe în mod similar integritatea datelor personale protejate de GDPR.
Printre acestea se regăsesc aplicații de monitorizare a pulsului (ca Instant Heart Rate Monitor), aplicații de meditație și mindfulness (Breethe) sau aplicații de exerciții fizice și nutriție (BetterMe: Weight Loss Workouts), care au fost și ele investigate și învinovățite odată cu Flo în raportul The Wall Street Journal.
Din informații ca cele privind sănătatea inimii, sănătatea mentală, obiceiurile alimentare, rutina exercițiilor fizice poate rezulta un amalgam de stări și predispoziții care sunt ușor de speculat în prezența unui calup nesfârșit de date și care pot lăsa utilizatorul descoperit și influențabil în fața celor interesați.
Final fericit
Am menționat mai devreme funcția Clear History (Golește istoricul) de la Facebook. Între timp a fost și implementată, la început de 2020, dar probabil mulți utilizatori în continuare nu au aflat. Sau nu le pasă neapărat.
Ce e asta? Practic, e un buton prin care ai posibilitatea ca user să ștergi istoricul tău de navigare de pe alte site-uri de care Facebook se folosește să afișeze reclame personalizate. Pe lângă acțiunea asta concretă există o secțiune acolo unde poți vedea toate site-urile pe care le-ai vizitat și care transmit date despre tine și activitatea ta către Facebook (Off-Facebook Activity/ Activitate în afara Facebook).
Trebuie să recunosc, nici eu n-am testat prea mult până acum opțiunile de privacy de la Facebook, (pentru că, să zicem că am avut lucruri mai bune de făcut), dar acum instalând Flo am fost curioasă să văd dacă voi regăsi aplicația în listă, printre cei care transmit date la Facebook. Nu este, deci well done, Flo!
Am descoperit în schimb alte 903 aplicații și site-uri web care trimit către Facebook diverse date despre mine. Și nici măcar nu e o listă completă pentru că… sincer n-am înțeles de ce.
Revenind. Facebook a primit date despre mine referitoare la ce site-uri și aplicații am vizitat din 31 Iulie 2019 și până în prezent, ce am căutat, ce am adăugat în coș, ce am achiziționat și alte interacțiuni personalizate nedefinite. Printre aplicații se numără și Zoom, Booking, Insight Timer – Meditation & Sleep, dar și Revolut, Regina Maria și Synevo. Mă întreb ce date a primit Facebook de aici.
Voi mai investiga puțin și apoi click pe butonul de Clear History cu o maximă satisfacție!
Poză de Gantas Vaičiulėnas pe Pexels