Cele trei lectii de invatat din amenzile uriase primite de Apple, Facebook si TikTok pentru neconformare GDPR
8/8592
calendar_month 03 Mai 2023, 15:20
Cristiana Deca, CEO&Cofondator Decalex:
Grupul de companii Meta, care detine platformele Facebook si Instagram, a fost amendat cu 390 milioane euro, la inceputul acestui an, pentru incalcari grave ale prevederilor GDPR. Pe langa amenda de 400 de milioane de euro aplicata acum, la finalul anului trecut a ramas definitiva si amenda de 225 de milioane pe care a primit-o pentru Whatsapp, tot pe motive de confidentialitate si securitate a datelor.
De asemenea, tot in luna, ianuarie a acestui an, Whatsap, care este parte a grupului Meta, a mai primit o amenda de cinci milioane de euro tot pe motive de GDPR. Tot atunci a fost amendata si reteaua de socializare Tik Tok, pe motiv ca nu respecta standardele de GDPR impuse prin legislatia internationala.
La fel, compania Apple, tot ianuarie acest an, s-a trezit cu o amenda de 8 milioane de euro, pentru acelasi motiv: nerespectare a regulilor de protectie a datelor si confidentialitatea acestora.
Ce retinem din amenzile aplicate? Daca prelucreaza date personale in baza consimtamantului oferit de persoanele in cauza, companiile in cauza trebuie sa se asigure ca acesta este obtinut in conformitate cu prevederile GDPR, adica liber exprimat, informat, specific si neechivoc. In acest sens, se analizeaza intotdeauna daca respectiva companie are sau nu o pozitie dominanta pe piata in care activeaza si daca in acest context poate constrange utilizatorul in a agreea termeni comerciali abuzivi. De exemplu, in cazul amenzii in valoare de opt milioane euro aplicate companiei Apple s-a constatat ca aceasta a incalcat normele GDPR pentru ca nu a solicitat si nu a obtinut consimtamantul utilizatorilor de iPhone pentru publicitatea personalizata.
Informarea corecta si completa a utilizatorilor despre datele pe care le colecteaza si despre cum acestea vor fi prelucrate in baza relatiei comerciale, este un aspect care a stat la baza amenzii aplicate Whatsapp pentru lipsa de transparenta in ceea ce priveste dezvaluirea catre utilizatori a modului in care au fost prelucrate datele lor.
Publicitatea online targetata si partajarea datelor cu caracter personal in acest scop nu sunt considerate prelucrari de date necesare pentru incheierea contractului intre parti, respectiv furnizarea de servicii sau bunuri solicitate de un consumator. In cazul Facebook, de exemplu, s-a constatat ca scopul pentru care utilizatorii isi creaza un cont in retelele de socializare este pentru a comunica cu alti utilizatori, nicidecum pentru a primi reclame personalizate.
Important de stiut, pentru companiile care pun la dispozitia consumatorilor aplicatii online sau platforme, este cum se pot feri de amenzi si care sunt masurile minime si obligatorii pe care trebuie sa le adopte?
Vorbim despre trei actiuni obligatorii pentru a evita riscul de sanctiuni pentru neconformare, astfel:
• sa se asigure ca prevederile GDPR sunt inglobate in solutia de la momentul conceperii acesteia.
• sa se asigure ca respecta drepturile utilizatorilor prin construirea unor canale facile de exercitare a acestora, care prin designul si modul in care sunt puse la dispozitie nu descurajeazi utilizatorul din exercitarea drepturilor. De exemplu, functii ascunse in sub-meniuri, care fac dificila pentru utilizator navigarea pana sa ajunga la functia in sine pe care o cauta spre accesare.
• sa nu colecteze date personale ce vor fi folosite pentru campanii de publicitate comportamentala fara acordul expres al utilizatorului sau fara a se asigura ca au un interes legitim ce poate fi justificat in conformitate cu prevederile legale.
Ratiunile sanctiunilor impuse de autoritatile de supraveghere pot fi impartite in cateva categorii:
1. Informatii privind cookie-urile – companiile trebuie sa ofere informatii clare si complete cu privire la modul de gestionare al cookie-urilor.
2. Modul de gestionare al acceptarii/ refuzarii cookie-urilor – website-urile trebuie sa ofere posibilitatea refuzarii sau acceptarii cookie-urilor in mod deschis si egal, utilizarea de dark patterns in gestionarea cookie-urilor este interzisa.
3. Utilizarea temeiurilor de prelucrare conforme – temeiurile de prelucrare a datelor personale ce se regasesc in Regulamentul GDPR la articolul 6, ”Legalitatea prelucrarii”, sunt piloni de baza ai unei prelucrari conforme, iar utilizarea lor trebuie sa aiba in vedere realitatea faptica, adica sa fie mentionate in mod transparent si real, nu utilizate ca justificari precare si neverosimile ale unor prelucrari.
4. Transparenta in ceea ce priveste temeiurile de prelucrare a datelor personale - instrumentalizarea abuziva a temeiurilor de prelucrare creeaza probleme ulterioare in informarile ce trebuie facute catre persoanele vizate conform articolelor 12 si urmatoarele, pot aparea discrepante sau zone gri in detalierea prelucrarilor efectuate, daca aceasta nu urmareste firul coerent al prelucrarilor reale.
Atentia la detalii GDPR a depasit deja nivelul de la inceputurile legiferarii domeniului, devenind din ce in ce mai important, astfel ca autoritatile verifica din ce in ce mai mult respectarea normelor si conformarea de catre companii. Ofiterul responsabil cu protectia datelor din companie este obligat sa urmareasca si conformarea acesteia la norme si sa sesizeze, spre a fi corectate, eventualele nerespectari sau derapaje.