Amenda primită de Google pentru prelucrarea datelor cu caracter personal – un semnal de alarmă ce nu poate fi ignorat

La data de 21 ianuarie 2019, autoritatea de supraveghere din Franța (Commission Nationale de l'Informatique et des Libertés,  “CNIL”) a spulberat liniștea instaurată în materia protecției datelor cu caracter personal prin aplicarea unei amenzi de 50 de milioane de euro gigantului Google.

Această sancțiune este cea mai mare amendă după aplicarea  la nivel european a Regulamentului General privind Protecția Datelor („GDPR” sau “Regulamentul”), fapt ce poate determina autoritățile similare din alte state membre să “prindă curaj” în investigațiile desfășurate sau plănuite. De altfel, nerespectarea GDPR a mai fost sancționată și în ale situații (de autoritățile din Portugalia, Suedia sau Germania, de exemplu), însă nivelul amenzilor aplicate nu a fost la fel de spectaculos, iar investigațiile nu au vizat organizații de mărimea și notorietatea Google.

Fără a face vreo apreciere cu privire la temeinicia motivelor ce au stat la baza aplicării acestei amenzi și fără a analiza din punct de vedere juridic situația concretă de fapt ce a condus la aplicarea sancțiunii, decizia nefiind definitivă, considerăm totuși că este necesar să punctăm aspectele practice care au făcut obiectul investigației CNIL. Și asta pentru că cele investigate de CNIL sunt chestiuni general aplicabile, indiferent de mărimea sau profilul organizației ce prelucrează date cu caracter personal. 

Așadar, conform deciziei de sancționare, Google a fost amendată pentru neîndeplinirea obligației de transparență față de persoanele vizate, pentru furnizarea de informații neadecvate scopului prelucrării și pentru lipsa unui consimțământ valabil pentru marketingul personalizat în cazul configurării unui telefon cu sistem de operare Android, indiferent de producătorul acestuia din urmă.

Pe scurt, la baza investigației CNIL au stat două plângeri colective formulate, la data de 25 mai 2019, respectiv 28 mai 2019, de două organizații non-guvernamentale, None Of Your Business și La Quadrature du Net, ce reprezintă 9.974 de persoane fizice și care susțin că prelucrarea datelor cu caracter personal de către Google se face în lipsa unui temei legal, mai ales în privința prelucrărilor de date cu caracter personal în scopuri de marketing personalizat.

Pornind de la cele semnalate de cele două organizații non-guvernamentale, CNIL a făcut un exercițiu simplu. Au efectuat o cercetare prin care a fost verificată respectarea prevederilor GDPR cu ocazia configurării, de către un utilizator obișnuit, a unui dispozitiv mobil ce utilizează sistemul de operare Android. Au fost verificate astfel formularele ce trebuie completate, politicile ce trebuie acceptate și acțiunile pe care utilizatorii trebuie să le execute pentru a finaliza configurarea. 
 
Rezultatul, pe care nu îl comentăm sub aspectul temeiniciei, așa cum am arătat anterior, a fost că, în opinia CNIL, informațiile prezentate de Google utilizatorilor cu privire la activitățile de prelucrare nu sunt ușor accesibile. CNIL a constatat că sunt necesare acțiuni succesive, uneori în 5 sau 6 pași, pentru a ajunge la informația completă, fapt ce contrazice principiul accesului facil la informații complete cu privire la activitatea de prelucrare a datelor cu caracter personal conform Regulamentului.

În continuare, CNIL a apreciat că informațiile prezentate de Google utilizatorilor nu sunt întotdeauna ușor de înțeles. Scopurile de prelucrare sunt prezentate la nivel general, fără detalii concrete, fapt ce este agravat atât de complexitatea activităților de prelucrare, cât și de multitudinea de servicii și aplicații puse la dispoziția utilizatorilor. De asemenea, CNIL a constatat că nu sunt indicate categoriile de date cu caracter personal prelucrate.

Ultimul aspect ce a stat la baza sancțiunii aplicate este legat de nerespectarea cerințelor GDPR în privința obținerii unui consimțământ valabil al utilizatorilor, în special cu ocazia personalizării activităților de marketing. CNIL a ajuns la concluzia că utilizatorii nu sunt informați în mod corespunzător, adică nu știu de fapt pentru ce își dau consimțământul. Autoritatea de supraveghere a constatat că informațiile sunt cuprinse în mai multe documente, greu de urmărit și că, de fapt prin acceptarea termenilor și condițiilor Google, utilizatorii își dădeau consimțământul pentru o serie de prelucrări neidentificate corespunzător și complet. Prin urmare, s-a apreciat că, în cazul analizat, consimțământul persoanelor vizate nu este unul informat și lipsit de ambiguitate. Mai mult decât atât, deși exista posibilitatea configurării opțiunilor pentru marketing personalizat, analiza a relevat chiar prezența unor căsuțe pre-bifate, fapt ce contravine, din nou, regulilor stabilite de Regulament.

Așa cum am arătat deja, toate aspectele investigate de autoritatea de supraveghere din Franța sunt chestiuni elementare în materia protecției datelor cu caracter personal, iar analiza CNIL ar trebui să preocupe toate organizațiile ce realizează activități de prelucrare a unor astfel de date. Tocmai simplitatea aspectelor investigate reprezintă un semnal de alarmă menit să sporească atenția în relația cu persoanele vizate.

Un prim pas în direcția respectării Regulamentului ar trebui să fie redactarea unor documente care să răspundă exigențelor sale, pe de o parte, dar să fie și suficient de explicite și ușor de înțeles de către cei cărora li se adresează. Pare o chestiune greu de realizat, mai ales în lumina sancțiunii aplicate Google, dar asigurarea acestui echilibru este absolut necesară.

Mergând mai departe, subliniem că îndeplinirea obligației de informare a persoanelor vizate este de esența Regulamentului, motiv pentru care și sancțiunile prevăzute în caz de nerespectare sunt drastice. Indiferent de mărimea organizației, volumul sau categoriile de date cu caracter personal prelucrate, informarea persoanelor vizate trebuie să reprezinte o prioritate. Informațiile prezentate persoanelor fizice trebuie să fie complete, ușor accesibile și prezentate într-un limbaj ușor de înțeles. Persoanele vizate trebuie să știe exact cum, de ce și de către cine le sunt prelucrate datele cu caracter personal. În plus, atunci când temeiul legal al prelucrării este consimțământul, acesta trebuie obținut pentru fiecare activitate de prelucrare în parte și cu evitarea, cu orice preț, a căsuțelor pre-bifate.