Compania Meta a eludat aplicarea Regulamentului european privind Protecţia Datelor Personale, a decis Curtea de Justiţie a Uniunii Europene (CJUE), la finalul săptămânii trecute, în urma unei sesizări trimisă de organizaţia neguvernamentală NOYB (Centrul European pentru Drepturile Digitale) şi de Comitetul European pentru Protecţia Datelor(EDPB).
În cauza Meta vs Bundeskartellamt, CJUE i-a interzis companiei Meta să folosească date cu caracter personal dincolo de ceea ce este strict necesar pentru a furniza produse de bază (cum ar fi mesageria sau partajarea conţinutului). Toate celelalte procesări (cum ar fi publicitatea şi partajarea datelor cu caracter personal) necesită consimţământul liber şi valid al utilizatorilor, au stabilit magistraţii europeni.
CJUE consideră că GDPR oferă doar şase baze juridice pentru prelucrarea datelor, dintre care unul este consimţământul utilizatorilor, consimţământ pe care compania Meta a încercat să îl evite prin intermediul celorlaltor cinci baze juridice. CJUE a constatat că Meta a încercat în primul rând să eludeze cerinţa de consimţământ pentru urmărirea de către utilizatori a publicităţii online, argumentând că reclamele fac parte din "serviciul" pe care îl datorează contractual utilizatorilor. Presupusa schimbare a temeiului legal a avut loc exact în data de 25 mai 2018 la miezul nopţii, data intrării în vigoare a GDPR. "Necesitatea contractuală" menţionată la articolul 6 alineatul (1) litera (b) este în general înţeleasă în sens strict şi ar permite, de exemplu, unui magazin online să trimită adresa către un serviciu poştal, deoarece acest lucru este strict necesar la livrarea unei comenzi. Cu toate acestea, angajaţii companiei Meta au considerat că ar putea pur şi simplu adăuga elemente aleatorii la contract (cum ar fi reclame personalizate), pentru a evita ca utilizatorii să fie nevoiţi să-şi dea consimţământul prin da sau nu.
"În cazul în care un utilizator al unei reţele sociale online consultă site uri internet sau aplicaţii în raport cu una sau mai multe dintre categoriile prevăzute de această dispoziţie şi, dacă este cazul, introduce acolo date înscriindu se sau efectuând comenzi online, prelucrarea datelor cu caracter personal de către operatorul acestei reţele sociale online, care constă în colectarea, prin intermediul unor interfeţe integrate, al unor module «cookie» sau al unor tehnologii de stocare similare, a datelor provenite din consultarea acestor site uri şi a acestor aplicaţii, precum şi a datelor introduse de utilizator, în asocierea tuturor acestor date cu contul reţelei sociale al acestuia şi în utilizarea datelor menţionate de către operatorul respectiv, trebuie să fie considerată o «prelucrare de categorii speciale de date cu caracter personal», care este în principiu interzisă", arată CJUE în decizia sa în acest caz.
Magistraţii Curţii precizează că prelucrarea datelor cu caracter personal efectuată de un operator al unei reţele sociale online, care constă în colectarea de date ale utilizatorilor unei astfel de reţele provenite din alte servicii ale grupului din care face parte acest operator sau rezultate din consultarea de către aceşti utilizatori a unor site uri internet sau a unor aplicaţii terţe, în asocierea acestor date cu contul reţelei sociale al utilizatorilor menţionaţi şi în utilizarea datelor menţionate nu poate, în principiu şi sub rezerva unei verificări care trebuie efectuată de instanţa de trimitere, să fie considerată necesară pentru a proteja interesele vitale ale persoanei vizate sau ale unei alte persoane fizice, sau pentru îndeplinirea unei sarcini care serveşte unui interes public sau care rezultă din exercitarea autorităţii publice cu care este învestit operatorul. "Împrejurarea că operatorul unei reţele sociale online ocupă o poziţie dominantă pe piaţa reţelelor sociale nu se opune ca atare posibilităţii ca utilizatorii acestei reţele sociale să îşi dea în mod valabil consimţământul, în sensul articolului 4 punctul 11 din GDPR, pentru prelucrarea datelor lor cu caracter personal, efectuată de acest operator. Această împrejurare constituie însă un element important pentru a stabili dacă, într adevăr, consimţământul a fost dat în mod valabil şi în special în mod liber, aspect care trebuie dovedit de operatorul menţionat", afirmă CJUE în decizia pronunţată vinerea trecută.
"În loc să aibă o opţiune da/nu pentru anunţurile personalizate, au mutat doar clauza de consimţământ privind termenii şi condiţiile. Acest lucru nu este doar incorect, ci şi în mod evident ilegal. Nu cunoaştem nicio altă companie care să fi încercat să ignore GDPR într-un mod atât de arogant. (...) Salutăm decizia CJUE. Ea clarifică faptul că Meta nu poate ocoli pur şi simplu GDPR cu câteva paragrafe în documentele sale legale, care impun utilizatorilor să fie de acord cu lucrurile pe care nu le doresc", a declarat Max Schrems, fondator şi preşedinte onorific al NOYB.
Apărarea celor de la Meta că prin acţiunea lor au apărat un "interes legitim" s-a dovedit lipsită de sens în faţa argumentelor CJUE. a eşuat. Deşi Curtea nu a exclus existenţa unui interes legitim (de exemplu pentru securitatea reţelei), hotărârea clarifică că nu există niciun "interes legitim" care să prevaleze asupra drepturilor utilizatorului atunci când operatorii încearcă să difuzeze publicitate.
"Este o lovitură pentru Meta, dar şi pentru alte companii de publicitate online. Lămureşte faptul că diferitele teorii juridice folosite de industrie pentru eludarea GDPR sunt nule de drept", a mai spus Max Schrems.
Practic, conform deciziei Marii Camere a CJUE, Meta/Facebook trebuie să aibă consimţământul utilizatorilor pentru operaţiunile cruciale pe care se bazează pentru a obţine profit în Europa.