Comitetul European pentru Protecția Datelor a clarificat recent o serie de aspecte esențiale în ce privește publicitatea comportamentală, utilizată la scară largă de platformele online. Printr-un aviz publicat în data de 17 aprilie 2024, Comitetul a trasat direcțiile de urmat atunci când platformele online colectează și procesează datele cu caracter personal ale utilizatorilor pentru a implementa publicitatea comportamentală.
Context
Avizul Comitetului vine ca urmare a solicitărilor primite din partea autorităților de protecția datelor din Olanda, Norvegia și Germania privind examinarea opțiunii „consimți sau plătești”, utilizată în prezent de platformele online în contextul publicității comportamentale.
Concret, întrebarea autorităților era dacă opțiunea oferită de platformele online utilizatorilor, fie de a-și exprima consimțământul pentru prelucrarea datelor în scopul publicității comportamentale, fie de a plăti o taxă pentru a nu face obiectul prelucrării de date, reprezintă un consimțământ valid în sensul GDPR.
Publicitatea comportamentală în viziunea Comitetului European pentru Protecția Datelor
”Publicitatea comportamentală reprezintă în esență o formă de profilare, care implică prelucrarea unui volum mare de date, provenite din analiza activității și comportamentului persoanelor vizate în mediul online (date de tipul numărului de accesări sau al duratei petrecute pe un website, localizării ori al paginilor pe care persoana le apreciază sau le urmărește). De menționat că această colectare de date nu se limitează la monitorizarea comportamentului utilizatorilor exclusiv pe platformele respective, ci se poate extinde și la activitatea acestora pe alte website-uri, chiar deținute de alți operatori ”, a precizat Marc Barabas, Associate PeliPartners.
Prin monitorizarea și compilarea datelor respective, platformele online de tipul Facebook, Instagram sau Linkedin creează apoi, cu ajutorul unor operatori terți, un profil al fiecărui utilizator, pentru a afișa anunțuri și reclame personalizate conform intereselor specifice ale acestora.
Atât Comitetul, cât și alte autorități de protecția datelor consideră publicitatea comportamentală una dintre cele mai intruzive forme de publicitate, tocmai datorită posibilității de a oferi o imagine foarte detaliată asupra vieții personale și a preferințelor utilizatorilor. Sub acest aspect, autoritatea acordă o atenție particulară temeiului legal în baza căruia se realizează prelucrarea de date, în special în ce privește valabilitatea consimțământului utilizatorilor.
Consimțământul în contextul publicității comportamentale
Modelul utilizat cel mai frecvent de platformele online pentru a obține consimțământul utilizatorilor în contextul publicității comportamentale este cel de tipul „consimți sau plătești”. Utilizatorii sunt astfel puși în situația fie de a accepta monitorizarea comportamentului lor online, fie de a achita o taxă pentru a putea continua să utilizeze respectiva platformă online.
Comitetul a identificat mai multe deficiențe ale unui astfel de mecanism. În primul rând, autoritatea a subliniat în mod clar că prelucrarea datelor cu caracter personal nu poate servi ca mijloc de obținerea a unor profituri financiare. În acest sens, furnizarea unei singure alternative utilizatorilor, contra cost, pentru a evita prelucrarea datelor, nu poate constitui opțiunea implicită de urmat pentru operatori.
În ce privește consimțământul propriu-zis, Comitetul consideră că un astfel de mecanism poate afecta validitatea acestuia, având în vedere că:
- utilizatorii vor suferi un „prejudiciu” financiar dacă nu consimt la prelucrarea datelor, materializat în tariful pe care vor fi obligați să îl plătească pentru utilizarea platformei;
- în multe cazuri, există un dezechilibru de putere între utilizatori și platformele online; de altfel, prin hotărârea din 4 iulie 2023 în cauza C-252/21 vizând Meta Platforms, Curtea de Justiție a Uniunii Europene s-a pronunțat în sensul că platformele care au o poziție dominantă pe o anumită piață pot afecta libertatea consimțământului utilizatorilor tocmai datorită puterii și influenței pe care o au în mediul online;
- adesea consimțământul nu este suficient de specific exprimat și informat, ținând cont de volumul semnificativ de date care se procesează și de numeroasele modalități prin care datele sunt colectate.
Soluții propuse de autoritate pentru conformarea cu standardele impuse de GDPR
- În acest context, Comitetul oferă o serie de îndrumări și soluții pe care platformele online le pot implementa pentru a asigura conformitatea activității lor cu legislația de protecție a datelor:
- prezentarea utilizatorilor a unei alternative de operare a aplicației, care să nu implice deloc sau să presupună un număr redus de date prelucrate în scop de publicitate comportamentală; alternativa trebuie să fie una echivalentă, având aceleași funcții și caracteristici, astfel încât utilizatorii să aibă o posibilitate reală de a alege;
- o opțiune echivalentă gratuită, recomandabilă din perspectiva Comitetului, va avea un impact semnificativ în ce privește analiza validității consimțământului; dacă totuși se optează pentru perceperea unui tarif, operatorii trebuie să stabilească un cuantum care să nu fie în măsură să descurajeze un consimțământ liber exprimat, transformând opțiunea într-o versiune premium a platformei; analiza cuantumului va fi efectuată de la caz la caz de către operatori sau de către autoritățile de protecția datelor;
- alternativa oferită poate implica diferite alte forme de publicitate cum ar fi publicitatea contextuală sau cea bazată pe anumite subiecte de interes pe care utilizatorul le selectează dintr-o listă de subiecte propuse de platformă;
- utilizatorii trebuie să fie informați cu privire la toate scopurile, categoriile de date, precum și la destinatarii către care datele sunt transferate, evitându-se exprimarea unui consimțământ general care să înglobeze întreaga activitate de prelucrare în scopul publicității comportamentale;
- asigurarea unei modalități de retragere a consimțământului la fel de facilă și la care utilizatorii să poată opta liber, fără a exista presiunea că retragerea consimțământului ar implica automat perceperea unui tarif sau imposibilitatea de a utiliza platforma.
PeliPartners are o echipă specializată în proiecte complexe care solicită abordări inovative. Avocații PeliPartners au fost implicați în unele dintre cele mai importante proiecte și tranzacții de pe piața românească din ultimii 20 de ani. Echipa adună o bogată experiență în domenii variate, care includ fuziuni și achiziții, finanțări, concurență, infrastructură și concesiuni, energie, drept imobiliar, drept societar și protecția datelor.