GDPR 2018: Decizie-dinamită pentru administratorii paginilor de Facebook. Ce a pățit o firmă germană

Sursa imagine

O decizie recentă a Curții de Justiție a Uniunii Europene stabilește, în premieră, că „operator”, în sensul reglementărilor privind protecția datelor personale este și administratorul unei pagini pentru fani găzduite pe o rețea socială, cum e Facebook. Semnalul de alarmă este tras de avocatul Constantin-Cosmin PINTILIE care descrie speța și explică pe Hotnews ce a decis Curtea de Justiție.

Speța pe scurt:

Totul a plecat de la o dispută mai veche deschisă într-un tribunal german de o companie de servicii din domeniul educației.
Compania a fost somată de o autoritate regională de control în domeniul protecției datelor personale să își închidă pagina de Facebook.
Administratorul paginii a refuzat, s-a judecat în justiția Germană iar cazul său a ajuns la Curtea de Justiție a UE, de la care o instanță federală a cerut lămuriri. La ședința Marii Camere a Curții a fost reprezentată și Facebook Irlanda.
În esență, Curtea spune că dacă administratorul folosește, prin pagina de Facebook, profilarea audienței cu ajutorul unei secvențe de cod martor (cookies sau pixel) atunci acesta acesta are responsabilități de operator de date personale.

În Original: Hotărârea Curții de Justiție a Uniunii Europene în cauza C-2010/16

(Unabhängiges Landeszentrum für Datenschutz Schleswig‑Holstein împotriva Wirtschaftsakademie Schleswig‑Holstein GmbH)

Controversa juridică a apărut încă din toamna lui 2011 când autoritatea de protecție a datelor personale din Schleswig - Holstein (un land din nordul Germaniei) a cerut companiei Wirtschaftsakademie să închidă pagina sa de fani de pe Facebook, prin care se prezenta și promova servicii de formare profesională.

Motivul: compania ar fi folosit cookies (n.a. - curtea le numește fisiere-martori) pentru a strânge și prelucra informații cu caracter personal despre vizitatorii paginii de Facebook fără ca utilizatorii să fie informați despre acest lucru.

Pentru somația de închidere a paginii autoritatea de control nu a invocat Regulamentul European pentru Protecția Datelor Personale - GDPR ci o reglementare europeană mai veche din dreptul UE, respectiv Directiva 95/46 (în vigoare din 1995)

Directiva europeană a fost transpusă ulterior, în dreptul german, prin două legi: legea federală privind protecția datelor și legea privind comunicațiile electronice.

Compania s-a apărat în instanțele germane cu argumentul că nu răspunde, în raport cu dreptul aplicabil protecției datelor, nici de prelucrarea datelor efectuată de Facebook, nici de cookie‑urile instalate de acesta din urmă.

Mai mult, Wirtschaftsakademie a sugerat că autoritatea ar trebui să se îndrepte împotriva Facebook Irlanda care, consemnează Curtea, ”ar decide cu privire la finalitatea și la mijloacele referitoare la colectarea și la prelucrarea datelor cu caracter personal utilizate în cadrul funcției „Facebook Insight”, Wirtschaftsakademie neprimind decât informații statistice anonimizate”, de vreme ce pagina este realizată pe infrastructura informatică a Facebook.

Cum instanțele germane nu erau pe deplin convinse de explicațiile și argumentele tehnice, au cerut lămuriri de la Curtea de Justiție a UE, printr-o seamă de întrebări preliminare.

A fost sau nu Wirtschaftsakademie operator de date personale? După ce consemnează și descrie tehnic cum poate un administratorul unei pagini de Facebook să obțină prin cookies și apoi să prelucreze date personale - și ce fel de date personale, Curtea răspunde clar:

”(...)trebuie să se considere că administratorul unei pagini pentru fani găzduite pe Facebook, precum Wirtschaftsakademie, participă, prin acțiunea sa de stabilire a unor parametri, în funcție, printre altele, de audiența sa țintă, precum și de obiective de gestionare sau de promovare a activităților sale, la stabilirea scopurilor și a mijloacelor de prelucrare a datelor personale ale vizitatorilor paginii sale pentru fani.

Pentru acest motiv, acest administrator trebuie să fie, în cazul de față, calificat drept operator, în cadrul Uniunii, împreună cu Facebook Ireland, în sensul articolului 2 litera (d) din Directiva 95/46.

Astfel, faptul că un administrator al unei pagini pentru fani utilizează platforma instituită de Facebook pentru a beneficia de serviciile aferente acesteia nu îl poate exonera de respectarea obligațiilor sale în materie de protecție a datelor cu caracter personal.

Poți vizita o pagină de Facebook fără să ai cont pe Facebook?

Răspunsul simplu: da! Chiar dacă nu ai cont și Facebook te îndeamnă foarte vizibil să îți deschizi unul, poți vizita, o pagină de fani. Dacă pagina de Facebook are instalat un pixel de urmărire, administratorul poate colecta și prelucra datele personale ale vizitatorului pentru-a-i ”livra” apoi reclame personalizate printr-un procedee numite ”remarketing” și ”retargeting” cu ajutorul căruia poate îmbunătăți, uneori semnificativ, conversiile.

Punând la dispoziție pixel-ul, pe de altă parte, Facebook știe mult mai multe lucruri personale despre utilizatori și își rafinează propriile baze de date.

Iată cum descrie o agenție de marketing digital diferența dintre Facebook Pixels și obișnuitele cookies instalate pe website-uri.

”Pixelul Facebook este diferit de alte tipuri de cookie-uri în sensul că urmărește oameni, nu dispozitive. În cazul cookie-urilor tradiționale, dacă o persoană a vizitat un site de pe trei dispozitive diferite, Google Analytics ar urmări acest lucru ca trei vizite separate efectuate de trei persoane separate. Pixel-ul Facebook urmărește vizitele pe toate dispozitivele, astfel încât mai multe dispozitive pot fi atribuite unei singure persoane.”

Doar paginile de fani sau și alte lucruri?

Discuția tehnică e mult mai complexă așa că voi reveni la interpretarea, importantă, de la Curtea de Justiție.

Avocatul Cosmin Pintilie avertizează că, în opinia sa, intepretarea din decizia Curții se poate extinde și la alte situații similare:

”Nu doar „paginile pentru fani” ridică problema responsabilității pentru prelucrarea datelor cu caracter personal, ci și grupurile de Facebook sau altele asemenea. De exemplu, în unele situații, administratorii grupurilor de Facebook solicită date cu caracter personal suplimentare.

Dacă opțiunea de a fi parte într-un grup, opțiune care se manifestă prin apăsarea butonului „join”, poate fi interpretată ca o exprimare a consimțământului, nu mai puțin important este faptul că acest consimțământ trebuie să fie unul dat în cunoștință de cauză.

În astfel de situații, în care administratorul unui grup prelucrează date cu caracter personal într-o manieră prin care se depășește simpla idee de parte la o comunitate online (e.g., solicită date suplimentare, realizează o evidență sistematică a membrilor grupului), considerăm că acesta are obligația de a informa persoanele vizate cu privire la scopurile și temeiurile prelucrării.”

În loc de concluzie

Dacă administrezi una sau mai multe pagini de Facebook și, în afara statisticilor generale, din secțiunea ”Insights” folosești coduri de urmările precum Facebook Pixel, trebuie să reții că nu poți plasa responsabilitatea doar pe umerii rețelei sociale.

Potrivit interpretării Curții ești asimilat cu un ”operator” și ai obligația să informezi vizitatorii că aduni și prelucrezi date personale, mai cu seamă dacă folosești segmentări avansate ale audienței.