Google a fost sancționat, pe 21 ianuarie 2019, cu 50 de milioane euro pentru încălcarea de lungă durată a unor prevederi fundamentale prevăzute de GDPR cu privire la obligațiile de informare, dar si de justificare a unui temei legal, cu care entitățile trebuie să se conformeze atunci când procedează la prelucrarea datelor cu caracter personal ale persoanelor vizate.

Silvia Axinescu, Cristina IacobescuFoto: Deloitte si Reff&Asociatii

Sancționarea Google în acest fel este un răspuns firesc având în vedere varietatea de date pe care le prelucrează și impactul inerent asupra vieții private a utilizatorilor care rezultă din combinarea seturilor de date și identificarea unor caracteristici intrinseci comportamentului, identității și preferințelor utilizatorilor. Vom prezenta în cele ce urmează principalele aspecte de interes care rezultă în urma analizării deciziei autorității din Franța (CNIL).

Google nu pare să se poată prevala de aplicabilitatea conceptului de one stop shop prevăzut de GDPR

În urma consultării cu autoritățile de protecție a datelor din alte State Membre (i.e., inclusiv cu cea din Irlanda), CNIL consideră că sediul principal al Google nu poate fi identificat ca fiind într-un singur stat membru, deoarece deciziile privind scopurile și mijloacele de prelucrare a datelor cu caracter personal se iau în mai multe sedii din UE ale operatorului. Principala așteptare a Google era că în legătură analiza cazurilor de potențială încălcare a prevederilor GDPR urma să fie efectuată de autoritatea de protecție a datelor din Irlanda, ca autoritate principală, aferentă sediului principal - i.e., din perspectivă societară.

Însă, CNIL contrazice această așteptare, menționând că din perspectiva protecției datelor la stabilirea sediului principal (i.e., pe cale de consecință a autorității de supraveghere principală) trebuie acordată atenție deosebită identificării locului unde se stabilesc scopurile și mijloacele de prelucrare, dacă un astfel de loc unitar există la nivel Uniunii. Iar, conform CNIL nu există nicio dovadă a faptului că deciziile referitoare la nota de informare, temeiul de prelucrare pentru furnizarea de reclame comerciale personalizate, sunt luate exclusiv și unitar de către entitatea Google din Irlanda.

Pe cale de consecință, nu se poate identifica un sediu principal cu privire la aceste prelucrări, acestea fiind realizate în mai multe locuri în Uniunea Europeană, garantând astfel competență de soluționare pentru fiecare autoritate din Statele Membre. La momentul analizării plângerii de către CNIL, Google nu finalizase “mutarea” sediului principal privind activitățile desfășurate în Europa în Irlanda, aspect care ar fi putut influența decizia CNIL daca aceasta mutare ar fi implicat si transferul puterii de a lua decizii cu privire la scopurile și mijloacele de prelucrare a datelor cu caracter personal către entitatea din Irlanda.

Google nu respectă principiul transparenței prevăzut de GDPR

În urma analizării informațiilor existente pe site-urile Google, precum și a celor furnizate de către operator la momentul configurării telefonului cu sistem de operare Android prin utilizarea datelor de identificare si sistemelor Google, CNIL consideră că informația furnizată este dispersată în mod excesiv, fragmentată, incompletă și neclară. Spre exemplu, pentru a înțelege modul în care sunt personalizate reclamele furnizate de Google de către Google, este nevoie de 5 acțiuni sau mai multe - accesarea politicii generale de confidențialitate, a funcției "mai multe informații", precum și citirea altor documente ce conțin reguli de confidențialitate și a secțiunilor referitoare la servicii personalizate. Astfel, persoana vizată trebuie permanent să pună la îndoială caracterul complet al informației furnizate, verificând în numeroase locuri pentru a putea înțelege modul în care îi sunt prelucrate datele cu caracter personal.

Mai mult decât atât, critica adusă Google subliniază faptul că din arhitectura sistemului de furnizare a informațiilor, utilizatorul este mai înclinat să acceseze aceste date ulterior activării contului pe dispozitivele Android, și implicit colectării suplimentare de date, și nu de la momentul sau anterior colectării acestor date. Astfel, așteptările persoanelor vizate cu privire la implicațiile și consecințele aferente prelucrării datelor cu caracter personal de către Google sunt scăzute. În plus, Google nu prevede nici perioade de retenție sau reguli de determinare a acestora pentru datele pe care le prelucrează.

Conform CNIL, necesitatea furnizării acestor informații în conformitate cu prevederile GDPR este foarte importantă, în special datorită cantității de date cu caracter personal colectate (i.e., milioane de utilizatori), a caracterului intruziv al acestora (i.e., inclusiv date de natură comportamentală) și varietății de surse utilizate (i.e., de la date stocate în telefon, la cuvinte căutate pe Google, videoclipuri vizualizate pe Youtube sau acțiuni realizate pe paginile de internet ale entităților terțe care utilizează plug-in-uri/cookie-uri Google).

Google nu respectă condițiile de validitate ale consimțământului prevăzute de GDPR

În acest sens, CNIL nu consideră că acordul oferit de utilizatorii Google cu privire la personalizarea reclamelor furnizate de acesta este informat, exprimat printr-o acțiune afirmativă, specific și distinct față de celelalte prevederi ale termenilor si condițiilor Google.

Având în vedere că acordul pentru personalizarea reclamelor este inclus in termenii și condițiile Google, observațiile anterioare referitoare la informare sunt aplicabile și în acest caz. În plus, acesta este oferit en bloc și în mod nespecific, pentru toate scopurile de prelucrare a datelor prevăzute în respectivii termeni și condiții, fiind astfel exprimat prin aceeași acțiune prin care utilizatorii își exprima acordul cu privire la activarea contului Google. Pe lângă toate acestea, decizia CNIL menționează și faptul că deși utilizatorii au posibilitatea de a modifica acordul cu privire la prezentarea de reclame personalizate, pot face aceasta ulterior, după activarea contului, acest acord fiind considerat a fi acordat în mod automat la activare.

Astfel, deși toate acestea par erori de bază ale Google în raport cu prelucrarea datelor cu caracter personal, acesta a perseverat în replicarea lor de la momentul la care a dezvoltat aplicația aferenta contului Google. Ele reprezintă, bineînțeles mici puncte de analiză pe lângă problemele mai importante ale Google cu privire la profilarea utilizatorilor, furnizarea informațiilor statistice cu privire la activitatea acestor utilizatori către terțe părți, colectarea nelimitată a datelor prin cookies sau social plug ins.

Impactul deciziei

De fapt, impactul acestei decizii este mult mai mare decât cel raportat strict la persoanele fizice care utilizează serviciile Google (deloc de neglijat nici acesta, în contextul popularizării imense și utilizării pe scară largă a serviciilor). Practic, efectele deciziei vizează și entitățile terțe care se utilizează produsele Google – de tip Google Analytics, Google Ads, social plug-inurile aferente Google sau Youtube. De ce? În special pentru că acestea de multe ori se bazează pe informarea realizată de Google cu privire la produsele lor, și, uneori chiar și pe temeiul identificat de acesta în cazurile în care acționează ca și operator.

Care ar fi pașii următori?

Fiecare business ar trebui sa analizeze atent produsele Google utilizate, în special datele colectate prin intermediul acestora (e.g., de la date cu caracter personal obișnuite, la date obținute prin cookies) și să procedeze la informarea persoanelor vizate cu privire la aceste prelucrări pe cont propriu. Entitățile trebuie să încerce să negocieze cu Google termenii contractuali, deoarece având în vedere ultimele evenimente este posibil ca acesta să fie mai receptiv în acest sens. De asemenea, nu este exclus focusul imediat următor al altor autorități din UE cu privire la aspectele semnalate în cadrul deciziei CNIL, cu atât mai mult cu cat autoritățile competente din Suedia și Cehia au anunțat imediat ulterior publicării deciziei că investighează diferite plângeri împotriva Google vizând informarea utilizatorilor și modalitatea de obținere a consimțământului.

Un articol semnat de Silvia Axinescu, Avocat Reff și Asociații și Cristina Iacobescu, Avocat Reff și Asociații