ZRP
Tuca Zbarcea & Asociatii

Amenda primită de Google pentru prelucrarea datelor cu caracter personal – un semnal de alarmă ce nu poate fi ignorat

31 Ianuarie 2019   |   Daniel Vinerean, Avocat Asociat, D&B David si Baias

Conform deciziei de sancționare, Google a fost amendată pentru neîndeplinirea obligației de transparență față de persoanele vizate, pentru furnizarea de informații neadecvate scopului prelucrării și pentru lipsa unui consimțământ valabil pentru marketingul personalizat în cazul configurării unui telefon cu sistem de operare Android, indiferent de producătorul acestuia din urmă.

Daniel Vinerean, Avocat Asociat, D&B David si Baias

 
 
La data de 21 ianuarie 2019, autoritatea de supraveghere din Franța (Commission Nationale de l'Informatique et des Libertés,  “CNIL”) a spulberat liniștea instaurată în materia protecției datelor cu caracter personal prin aplicarea unei amenzi de 50 de milioane de euro gigantului Google.

Această sancțiune este cea mai mare amendă după aplicarea  la nivel european a Regulamentului General privind Protecția Datelor („GDPR” sau “Regulamentul”), fapt ce poate determina autoritățile similare din alte state membre să “prindă curaj” în investigațiile desfășurate sau plănuite. De altfel, nerespectarea GDPR a mai fost sancționată și în ale situații (de autoritățile din Portugalia, Suedia sau Germania, de exemplu), însă nivelul amenzilor aplicate nu a fost la fel de spectaculos, iar investigațiile nu au vizat organizații de mărimea și notorietatea Google.


Fără a face vreo apreciere cu privire la temeinicia motivelor ce au stat la baza aplicării acestei amenzi și fără a analiza din punct de vedere juridic situația concretă de fapt ce a condus la aplicarea sancțiunii, decizia nefiind definitivă, considerăm totuși că este necesar să punctăm aspectele practice care au făcut obiectul investigației CNIL. Și asta pentru că cele investigate de CNIL sunt chestiuni general aplicabile, indiferent de mărimea sau profilul organizației ce prelucrează date cu caracter personal. 

Așadar, conform deciziei de sancționare, Google a fost amendată pentru neîndeplinirea obligației de transparență față de persoanele vizate, pentru furnizarea de informații neadecvate scopului prelucrării și pentru lipsa unui consimțământ valabil pentru marketingul personalizat în cazul configurării unui telefon cu sistem de operare Android, indiferent de producătorul acestuia din urmă.

Pe scurt, la baza investigației CNIL au stat două plângeri colective formulate, la data de 25 mai 2019, respectiv 28 mai 2019, de două organizații non-guvernamentale, None Of Your Business și La Quadrature du Net, ce reprezintă 9.974 de persoane fizice și care susțin că prelucrarea datelor cu caracter personal de către Google se face în lipsa unui temei legal, mai ales în privința prelucrărilor de date cu caracter personal în scopuri de marketing personalizat.

Pornind de la cele semnalate de cele două organizații non-guvernamentale, CNIL a făcut un exercițiu simplu. Au efectuat o cercetare prin care a fost verificată respectarea prevederilor GDPR cu ocazia configurării, de către un utilizator obișnuit, a unui dispozitiv mobil ce utilizează sistemul de operare Android. Au fost verificate astfel formularele ce trebuie completate, politicile ce trebuie acceptate și acțiunile pe care utilizatorii trebuie să le execute pentru a finaliza configurarea. 
 
Rezultatul, pe care nu îl comentăm sub aspectul temeiniciei, așa cum am arătat anterior, a fost că, în opinia CNIL, informațiile prezentate de Google utilizatorilor cu privire la activitățile de prelucrare nu sunt ușor accesibile. CNIL a constatat că sunt necesare acțiuni succesive, uneori în 5 sau 6 pași, pentru a ajunge la informația completă, fapt ce contrazice principiul accesului facil la informații complete cu privire la activitatea de prelucrare a datelor cu caracter personal conform Regulamentului.

În continuare, CNIL a apreciat că informațiile prezentate de Google utilizatorilor nu sunt întotdeauna ușor de înțeles. Scopurile de prelucrare sunt prezentate la nivel general, fără detalii concrete, fapt ce este agravat atât de complexitatea activităților de prelucrare, cât și de multitudinea de servicii și aplicații puse la dispoziția utilizatorilor. De asemenea, CNIL a constatat că nu sunt indicate categoriile de date cu caracter personal prelucrate.

Ultimul aspect ce a stat la baza sancțiunii aplicate este legat de nerespectarea cerințelor GDPR în privința obținerii unui consimțământ valabil al utilizatorilor, în special cu ocazia personalizării activităților de marketing. CNIL a ajuns la concluzia că utilizatorii nu sunt informați în mod corespunzător, adică nu știu de fapt pentru ce își dau consimțământul. Autoritatea de supraveghere a constatat că informațiile sunt cuprinse în mai multe documente, greu de urmărit și că, de fapt prin acceptarea termenilor și condițiilor Google, utilizatorii își dădeau consimțământul pentru o serie de prelucrări neidentificate corespunzător și complet. Prin urmare, s-a apreciat că, în cazul analizat, consimțământul persoanelor vizate nu este unul informat și lipsit de ambiguitate. Mai mult decât atât, deși exista posibilitatea configurării opțiunilor pentru marketing personalizat, analiza a relevat chiar prezența unor căsuțe pre-bifate, fapt ce contravine, din nou, regulilor stabilite de Regulament.

Așa cum am arătat deja, toate aspectele investigate de autoritatea de supraveghere din Franța sunt chestiuni elementare în materia protecției datelor cu caracter personal, iar analiza CNIL ar trebui să preocupe toate organizațiile ce realizează activități de prelucrare a unor astfel de date. Tocmai simplitatea aspectelor investigate reprezintă un semnal de alarmă menit să sporească atenția în relația cu persoanele vizate.

Un prim pas în direcția respectării Regulamentului ar trebui să fie redactarea unor documente care să răspundă exigențelor sale, pe de o parte, dar să fie și suficient de explicite și ușor de înțeles de către cei cărora li se adresează. Pare o chestiune greu de realizat, mai ales în lumina sancțiunii aplicate Google, dar asigurarea acestui echilibru este absolut necesară.

Mergând mai departe, subliniem că îndeplinirea obligației de informare a persoanelor vizate este de esența Regulamentului, motiv pentru care și sancțiunile prevăzute în caz de nerespectare sunt drastice. Indiferent de mărimea organizației, volumul sau categoriile de date cu caracter personal prelucrate, informarea persoanelor vizate trebuie să reprezinte o prioritate. Informațiile prezentate persoanelor fizice trebuie să fie complete, ușor accesibile și prezentate într-un limbaj ușor de înțeles. Persoanele vizate trebuie să știe exact cum, de ce și de către cine le sunt prelucrate datele cu caracter personal. În plus, atunci când temeiul legal al prelucrării este consimțământul, acesta trebuie obținut pentru fiecare activitate de prelucrare în parte și cu evitarea, cu orice preț, a căsuțelor pre-bifate.
 
 

PNSA

 
 

ARTICOLE PE ACEEASI TEMA

ARTICOLE DE ACELASI AUTOR


     

    Ascunde Reclama
     
     

    POSTEAZA UN COMENTARIU


    Nume *
    Email (nu va fi publicat) *
    Comentariu *
    Cod de securitate*







    * campuri obligatorii


    Articol 408 / 14015
     

    Ascunde Reclama
     
    BREAKING NEWS
    ESENTIAL
    Ce proiecte i-au ținut ocupați pe avocații de Real Estate de la Biriș Goran, în ultimul an. Punctele vulnerabile ale tranzacțiilor din piața imobiliară, explicate de Gabriel Biriș, fondatorul firmei
    LegiTeam: Zamfirescu Racoţi & Partners recrutează Paralegal
    Transferurile de proprietate și închirierile, cea mai mare pondere în mandatele echipei de Real Estate de la Radu & Asociații, în ultimele luni. Lucian Vițelaru, Senior Managing Associate, explică la ce se uită investitorii și ce precauții își iau bancile care finanțează proiectele
    Cei mai buni avocați de Banking & Finance, recomandați de Legal 500 în ediția 2019. Cu ce proiecte au punctat firmele evidențiate și avocații listați
    The European Legal 500, ediția 2019 | Cele mai bune firme de avocatură din România, în 15 arii de practică. NNDKP, ŢZA, PeliFilip, CMS și PNSA s-au distanțat de pluton. Cine sunt avocații considerați ‘Leading individuals’ și ‘Next Generation’
    Mihai Mareș, singurul avocat român din elita “Leading individuals” – Legal 500 EMEA 2019, remarcat pentru practica “white-collar crime” | Avocatul la care trebuie să te duci, în România, pentru infracțiuni legate de criminalitatea gulerelor albe
    Nestor Nestor Diculescu Kingston Petersen anunță formalizarea Centrului de Excelență în Litigii Fiscale (NNDKP CELF)
    Noerr își consolidează departamentul de taxe, prin cooptarea a doi membri noi
    Practica de Banking & Finance din KPMG Legal a reprezentat aproximativ 50% din totalul veniturilor societății de avocatură. Laura Toncescu, Partener KPMG în România: În afară de tranzacții și finanțări, un factor de succes a fost orientarea noastra spre zona de FinTech
    RTPR Allen & Overy a asistat Barclays Bank PLC în calitate de aranjor pentru Alpha Bank România în cadrul primului program de emisiuni de obligațiuni ipotecare din România. A fost o tranzacție extraordinar de complexă și solicitantă, spun avocații
    Clifford Chance Badea a asistat Alpha Bank România la lansarea primului program de emisiune de obligațiuni ipotecare realizată de un emitent român. Ce avocați au făcut parte din echipă
    Echipa de Real Estate a BSMP lucrează în cinci proiecte de achiziție a unor terenuri din București pe care se vor construi birouri și ansambluri rezidențiale. Daniela Milculescu, Partener: Suntem implicați și într-o serie de discuții privind potențiale tranzacții pe piața hotelieră
     
    Citeste pe SeeNews Digital Network
    • BizBanker

    • BizLeader

        in curand...
    • SeeNews

      in curand...