ZRP
Tuca Zbarcea & Asociatii

Amenda primită de Google pentru prelucrarea datelor cu caracter personal – un semnal de alarmă ce nu poate fi ignorat

31 Ianuarie 2019   |   Daniel Vinerean, Avocat Asociat, D&B David si Baias

Conform deciziei de sancționare, Google a fost amendată pentru neîndeplinirea obligației de transparență față de persoanele vizate, pentru furnizarea de informații neadecvate scopului prelucrării și pentru lipsa unui consimțământ valabil pentru marketingul personalizat în cazul configurării unui telefon cu sistem de operare Android, indiferent de producătorul acestuia din urmă.

Daniel Vinerean, Avocat Asociat, D&B David si Baias

 
 
La data de 21 ianuarie 2019, autoritatea de supraveghere din Franța (Commission Nationale de l'Informatique et des Libertés,  “CNIL”) a spulberat liniștea instaurată în materia protecției datelor cu caracter personal prin aplicarea unei amenzi de 50 de milioane de euro gigantului Google.

Această sancțiune este cea mai mare amendă după aplicarea  la nivel european a Regulamentului General privind Protecția Datelor („GDPR” sau “Regulamentul”), fapt ce poate determina autoritățile similare din alte state membre să “prindă curaj” în investigațiile desfășurate sau plănuite. De altfel, nerespectarea GDPR a mai fost sancționată și în ale situații (de autoritățile din Portugalia, Suedia sau Germania, de exemplu), însă nivelul amenzilor aplicate nu a fost la fel de spectaculos, iar investigațiile nu au vizat organizații de mărimea și notorietatea Google.


Fără a face vreo apreciere cu privire la temeinicia motivelor ce au stat la baza aplicării acestei amenzi și fără a analiza din punct de vedere juridic situația concretă de fapt ce a condus la aplicarea sancțiunii, decizia nefiind definitivă, considerăm totuși că este necesar să punctăm aspectele practice care au făcut obiectul investigației CNIL. Și asta pentru că cele investigate de CNIL sunt chestiuni general aplicabile, indiferent de mărimea sau profilul organizației ce prelucrează date cu caracter personal. 

Așadar, conform deciziei de sancționare, Google a fost amendată pentru neîndeplinirea obligației de transparență față de persoanele vizate, pentru furnizarea de informații neadecvate scopului prelucrării și pentru lipsa unui consimțământ valabil pentru marketingul personalizat în cazul configurării unui telefon cu sistem de operare Android, indiferent de producătorul acestuia din urmă.

Pe scurt, la baza investigației CNIL au stat două plângeri colective formulate, la data de 25 mai 2019, respectiv 28 mai 2019, de două organizații non-guvernamentale, None Of Your Business și La Quadrature du Net, ce reprezintă 9.974 de persoane fizice și care susțin că prelucrarea datelor cu caracter personal de către Google se face în lipsa unui temei legal, mai ales în privința prelucrărilor de date cu caracter personal în scopuri de marketing personalizat.

Pornind de la cele semnalate de cele două organizații non-guvernamentale, CNIL a făcut un exercițiu simplu. Au efectuat o cercetare prin care a fost verificată respectarea prevederilor GDPR cu ocazia configurării, de către un utilizator obișnuit, a unui dispozitiv mobil ce utilizează sistemul de operare Android. Au fost verificate astfel formularele ce trebuie completate, politicile ce trebuie acceptate și acțiunile pe care utilizatorii trebuie să le execute pentru a finaliza configurarea. 
 
Rezultatul, pe care nu îl comentăm sub aspectul temeiniciei, așa cum am arătat anterior, a fost că, în opinia CNIL, informațiile prezentate de Google utilizatorilor cu privire la activitățile de prelucrare nu sunt ușor accesibile. CNIL a constatat că sunt necesare acțiuni succesive, uneori în 5 sau 6 pași, pentru a ajunge la informația completă, fapt ce contrazice principiul accesului facil la informații complete cu privire la activitatea de prelucrare a datelor cu caracter personal conform Regulamentului.

În continuare, CNIL a apreciat că informațiile prezentate de Google utilizatorilor nu sunt întotdeauna ușor de înțeles. Scopurile de prelucrare sunt prezentate la nivel general, fără detalii concrete, fapt ce este agravat atât de complexitatea activităților de prelucrare, cât și de multitudinea de servicii și aplicații puse la dispoziția utilizatorilor. De asemenea, CNIL a constatat că nu sunt indicate categoriile de date cu caracter personal prelucrate.

Ultimul aspect ce a stat la baza sancțiunii aplicate este legat de nerespectarea cerințelor GDPR în privința obținerii unui consimțământ valabil al utilizatorilor, în special cu ocazia personalizării activităților de marketing. CNIL a ajuns la concluzia că utilizatorii nu sunt informați în mod corespunzător, adică nu știu de fapt pentru ce își dau consimțământul. Autoritatea de supraveghere a constatat că informațiile sunt cuprinse în mai multe documente, greu de urmărit și că, de fapt prin acceptarea termenilor și condițiilor Google, utilizatorii își dădeau consimțământul pentru o serie de prelucrări neidentificate corespunzător și complet. Prin urmare, s-a apreciat că, în cazul analizat, consimțământul persoanelor vizate nu este unul informat și lipsit de ambiguitate. Mai mult decât atât, deși exista posibilitatea configurării opțiunilor pentru marketing personalizat, analiza a relevat chiar prezența unor căsuțe pre-bifate, fapt ce contravine, din nou, regulilor stabilite de Regulament.

Așa cum am arătat deja, toate aspectele investigate de autoritatea de supraveghere din Franța sunt chestiuni elementare în materia protecției datelor cu caracter personal, iar analiza CNIL ar trebui să preocupe toate organizațiile ce realizează activități de prelucrare a unor astfel de date. Tocmai simplitatea aspectelor investigate reprezintă un semnal de alarmă menit să sporească atenția în relația cu persoanele vizate.

Un prim pas în direcția respectării Regulamentului ar trebui să fie redactarea unor documente care să răspundă exigențelor sale, pe de o parte, dar să fie și suficient de explicite și ușor de înțeles de către cei cărora li se adresează. Pare o chestiune greu de realizat, mai ales în lumina sancțiunii aplicate Google, dar asigurarea acestui echilibru este absolut necesară.

Mergând mai departe, subliniem că îndeplinirea obligației de informare a persoanelor vizate este de esența Regulamentului, motiv pentru care și sancțiunile prevăzute în caz de nerespectare sunt drastice. Indiferent de mărimea organizației, volumul sau categoriile de date cu caracter personal prelucrate, informarea persoanelor vizate trebuie să reprezinte o prioritate. Informațiile prezentate persoanelor fizice trebuie să fie complete, ușor accesibile și prezentate într-un limbaj ușor de înțeles. Persoanele vizate trebuie să știe exact cum, de ce și de către cine le sunt prelucrate datele cu caracter personal. În plus, atunci când temeiul legal al prelucrării este consimțământul, acesta trebuie obținut pentru fiecare activitate de prelucrare în parte și cu evitarea, cu orice preț, a căsuțelor pre-bifate.
 
 

PNSA

 
 

ARTICOLE PE ACEEASI TEMA

ARTICOLE DE ACELASI AUTOR


     

    Ascunde Reclama
     
     

    POSTEAZA UN COMENTARIU


    Nume *
    Email (nu va fi publicat) *
    Comentariu *
    Cod de securitate*







    * campuri obligatorii


    Articol 125 / 13732
     

    Ascunde Reclama
     
    BREAKING NEWS
    ESENTIAL
    LegiTeam: Reff & Associates is looking for Litigation Manager
    LegiTeam: Reff & Associates is looking for Senior Litigation Lawyer
    Hotărâre definitivă obținută de Niculeasa Law Firm în fața ICCJ cu privire la caracterul subsidiar al procedurii penale în raport de procedura fiscală pentru o creanță fiscală de aproximativ 4 mil. €
    Echipa Stratulat Albulescu & Asociaţii urcă spre pragul de 40 de avocați și ia în calcul extinderea în afara Capitalei. M&A și Real Estate rămân în topul sectoarelor care vor aduce, probabil, cele mai multe tranzacții și proiecte și în acest an
    LegiTeam: ZRP recrutează avocat stagiar pentru departamentul Litigii
    Mihai Selegean, Head of Legal la BRD-GSG, printre cei mai buni profesioniști europeni nominalizați de Lexology. Pe lista scurtă pentru European Counsel Awards 2019 mai este un român
    Gabriel Zbârcea, Managing Partner Ţuca Zbârcea & Asociaţii: În România, o firmă de avocați poate ajunge la afaceri de 20 mil. € anual. În anii următori se va consolida tendința de divizare a pieței
    KPMG Legal cooptează doi avocați de talie grea. Vlad Peligrad și Cătălin Oroviceanu se alătură echipei ca parteneri coordonatori
    Cum văd partenerii Noerr evoluția firmei în perioada următoare. Prof. dr. Jörg K Menzer, Head CEE Offices, Noerr: În 2019 vom mări și echipele, dar și baza de clienți. În ciuda ultimelor schimbări juridice din Ungaria, România și Polonia – pe alocuri foarte controversate – am remarcat că există în continuare interes pentru fuziuni, achiziții și investiții noi în regiune
    KPMG Legal – Toncescu Mihai Olteanu SPRL a câștigat definitiv anularea taxelor vamale, antidumping și TVA impuse de autoritățile vamale la importurile produselor din afara spațiului UE pentru unul dintre cei mai importanți producători de piese pentru industria automotive
    Cei mai buni avocați de fuziuni și achiziții din România. Clasamentul Chambers Global 2019
    La un an de la înființarea departamentului de drept penal, CLO își mărește echipa de „white collar crime”. Departamentul numără, la început de an, 6 avocați specializați
     
    Citeste pe SeeNews Digital Network
    • BizBanker

    • BizLeader

        in curand...
    • SeeNews

      in curand...