Μία απόφαση η οποία ενδέχεται να έχει σημαντική επιρροή στον τρόπο με τον οποίο ρυθμίζεται η online διαφήμιση δημοσίευσε η Γαλλική αρχή προστασίας Δεδομένων (CNIL).
Συγκεκριμένα, στις 9 Νοεμβρίου 2018 η CNIL ανακοίνωσε ότι εξέδωσε επίσημη προειδοποίηση, με την οποία διέταξε την εταιρεία Vectaury να τροποποιήσει τους μηχανισμούς λήψης συγκατάθεσης για τους πελάτες της και να διαγράψει όλα τα δεδομένα που είχε συλλέξει βάσει του παράτυπου τρόπου συγκατάθεσηςι.
Το Vectaury είναι ένα διαφημιστικό δίκτυο το οποίο αγοράζει διαδικτυακό χώρο διαφήμισης για λογαριασμό των πελατών του (διαφημιστές).
Η εταιρεία προσφέρει επίσης ένα λογισμικό, το οποίο οι διαφημιζόμενοι μπορούν να ενσωματώσουν στις εφαρμογές τους για τη συλλογή δεδομένων και γεωγραφικής τοποθεσίας από τη συσκευή και το πρόγραμμα περιήγησης των χρηστών.
Η εταιρεία αναλύει αυτά τα δεδομένα, τα συγκρίνει με ορισμένα γεωγραφικά σημεία ενδιαφέροντος (π.χ. φυσικά καταστήματα) και δημιουργεί προφίλ με τις συνήθειες των χρηστών.
Με βάση αυτά τα προφίλ, η εταιρεία διοργανώνει στοχευμένες διαφημιστικές καμπάνιες για λογαριασμό των διαφημιζόμενων. Επίσης, παρακολουθεί τους χρήστες ενώ βρίσκονται στα φυσικά καταστήματα των διαφημιζόμενων, προκειμένου να αξιολογήσει την αποτελεσματικότητα των διαφημιστικών καμπανιών.
Ο μηχανισμός συγκατάθεσης που προσφέρονται από τις εφαρμογές παρείχε μια σύντομη ειδοποίηση που εξηγούσε ότι η εφαρμογή συγκεντρώνει το ιστορικό του προγράμματος περιήγησης των χρηστών και τη γεωγραφική θέση τους για σκοπούς στοχευμένης διαφήμισης.
Οι προϋποθέσεις του GDPR για τη συγκατάθεση στο infographic του Lawspot:
Ο μηχανισμός παρείχε στους χρήστες τρεις επιλογές: την αποδοχή, την άρνηση ή την προσαρμογή των προτιμήσεών τους.
Σύμφωνα με τη CNIL, η συγκατάθεση που συλλέγεται μέσω του εργαλείου αυτού δεν συμμορφώνεται με τρεις από τις απαιτήσεις που θέτει ο GDPR για τη συγκατάθεση.
Πρώτον, η CNIL διαπίστωσε ότι η συγκατάθεση δεν ήταν “εν πλήρει επιγνώσει” (informed), καθώς οι παρεχόμενες πληροφορίες ήταν ασαφείς, με τη χρήση σύνθετων όρων και δεν ήταν εύκολα προσβάσιμες (ιδιαίτερα ο κατάλογος των τρίτων που αποκτούσαν πρόσβαση στα δεδομένα).
Δεύτερον, η συγκατάθεση που αποκτήθηκε κατά τη στιγμή της εγκατάστασης της εφαρμογής δεν ήταν επαρκώς “συγκεκριμένη” (specific), διότι έδινε στους χρήστες μόνο τη δυνατότητα να δεχθούν ή να αρνηθούν. Οι χρήστες δεν κλήθηκαν να παρέχουν τη συγκατάθεσή τους συγκεκριμένα για την επεξεργασία των δεδομένων γεωγραφικής θέσης τους για σκοπούς στοχευμένης διαφήμισης.
Τρίτον, η CNIL επεσήμανε ότι η συγκατάθεση που αποκτήθηκε μέσω της εφαρμογής δεν βασιζόταν σε μια “θετική ενέργεια” (affirmative action). Οι χρήστες που επέλεγαν να “προσαρμόσουν τις προτιμήσεις τους” κατευθύνοντας σε ξεχωριστό αναδυόμενο παράθυρο (pop-up window) με προ-επιλεγμένες ρυθμίσεις.
Κατά τη διάρκεια της έρευνας της CNIL, η Vectaury εφάρμοσε το εργαλείο “πλατφόρμα διαχείρισης συγκατάθεσης” (Consent Management Platform) που ανέπτυξε το Interactive Advertising Bureau (IAB).
Ωστόσο, η CNIL διαπίστωσε ότι οι παρεχόμενες πληροφορίες και η συγκατάθεση που αποκτήθηκε με αυτό το εργαλείο επίσης δεν πληροί τις προϋποθέσεις που θέτει ο GDPRγια τη συγκατάθεση για συναίνεση που καθορίζονται από το GDPR.
Η συγκεκριμένη απόφαση έχει ιδιαίτερο ενδιαφέρον, καθώς εκδίδεται από μία εκ των πλέον αυστηρών αλλά και πρωτοπόρων αρχών προστασίας δεδομένων στην ΕΕ, ενώ αφορά σε ένα πολύ ευαίσθητο ζήτημα, το οποίο μάλιστα προκαλεί προβληματισμούς και καθυστερήσεις στην έκδοση του Κανονισμού ePrivacy.
Αξίζει να σημειωθεί ότι εν προκειμένω η Vectaury είχε εφαρμόσει μηχανισμούς λήψης συγκατάθεσης, επέτρεπε στους χρήστες να αρνηθούν την παροχή της και παρείχε δυνατότητα διαβαθμισμένων επιλογών στον χρήστη: Ωστόσο, σύμφωνα με τη CNIL, τα μέτρα αυτά δεν ήταν επαρκή.
Η απόφαση της CNIL είναι διαθέσιμη στο legifrance.gouv.fr και μία πρώτη ανάλυση των επιπτώσών της στο techcrunch.com