Sesizare către ANSPDCP cu privire la practici sistematice de încălcare a GDPR în publicitatea online

  • Posted on: 10 December 2020
  • By: Bogdan Manolea

Astăzi, 10 decembrie 2020, ApTI a depus o sesizare către Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal cu privire la practicile sistematice de încălcare a principiilor datelor personale pe care industria globală de publicitate online le desfășoară pe scară largă prin sistemul numit real-time bidding (licitații în timp real).

ApTI se alătură altor 5 organizații din Portugalia, Croația, Grecia, Cipru și Malta care au depus tot astăzi sesizări similare, și care le urmează celor depuse în 2018 și 2019 în alte 15 state membre ale Uniunii Europene, o parte începând să fie deja investigate în aceste țări. 

Sistemele actuale de publicitate online prin real-time bidding înseamnă trimiterea de date personale, fără un consimțământ real și informat, către sute și mii de companii, care licitează pentru acest spațiu de publicitate. Datele trimise pot include inclusiv informații sensibile cum ar fi preferințe politice, locațiile recente sau preferințe sexuale. Cine licitează cel mai mult, ajunge să-și pună reclama pe pagina unde ești online.

De partea utilizatorului de Internet, nu exista solicitarea permisiunii pentru trimiterea acestor date către companii, iar prelucrarea informațiilor personale poate avea efecte semnificative. De exemplu, persoane vulnerabile pot fi vizate de servicii care le pot aduce prejudicii, cum ar fi jocurile de noroc sau anumite produse financiare. Mai mult, nu există o posibilitate reală de a utiliza sau controla “amprentele digitale” care sunt colectate de industrie (prin utilizarea unor identificatori digitali care sunt legați de dispozitivele folosite și comportamentul individual) și nici posibilitatea reala de a exercita drepturile privind protecția datelor, cum ar fi accesul, ștergerea, obiecția, restricția de procesare și portabilitatea.

Acțiunea este coordonată la nivel european de un consorțiu format din organizațiile neguvernamentale Civil Liberties Union for Europe (Liberties), Open Rights Group (ORG) și Fundația Panoptykon.

Consorțiul cere autorităților interesate să ia o poziție la unison în acest domeniu și să se alăture investigației începute de autoritățile din Irlanda și Belgia, pentru a pune în aplicare mecanismele de cooperare prevăzute de GDPR, având în vedere că o investigație comună este necesară în contextul în care acțiunile au efecte similare negative în toate statele membre ale Uniunii Europene.

Întrebări frecvente legate de subiect

  1. Ce e ofertarea în timp real (RTB)?   

    Sistemele de ofertare în timp real (RTB) sunt piatra de temelie a industriei de publicitate online din ziua de azi.Aceste sisteme sunt bazate pe colectarea de cantități mari de date, de multe ori sensibile, privitoare la o persoană, de obicei prelucrare fără consimțământul adecvat al acesteia, ca, de exemplu, istoricul navigării online, ceea ce poate dezvălui preferințele sexuale ale persoanei respective, sau unde a fost această persoană, și apoi difuza aceste informații la sute, dacă nu chiar mii, de companii.

Companiile care doresc să facă publicitate produselor lor ofertează, în timp real, pentru a plasa reclame în fața persoanei atunci când persoana deschide un site web. Când o persoană vede o reclamă online, pe un magazin online sau pe un site de știri, sunt mari șanse ca acea reclamă a fost plasată acolo pe baza difuzării prin Internet a datelor personale ale respectivei persoane.

2. Cine se află în spatele sistemului de ofertare în timp real?

    Sunt doi mari jucători în spatele acestei metode de publicitate: Google și Interactive Advertising Bureau (IAB). IAB este organismul de standardizare și asociația profesională a industriei internaționale de publicitate online. Toate companiile de Adtech relevante sunt membre. IAB are francize locale pe tot mapamondul. Organismul de stabilire a standardelor este IAB TechLab.

3. De ce este sistemul actual RTB este o problemă?

Sistemul nu are încorporat nici un mecanism efectiv de protecție a datelor personale și, ca cetățeni, am pierdut controlul asupra cui are acces la datele noastre și cum sunt folosite aceste date.

Ofertarea în timp real are loc fără ca oamenii să fie conștienți că aceasta are loc, fără a putea să își dea sau să refuze să își dea consimțământul, și fără a avea vreo putere să facă ceva în legătură cu asta.

Singura variantă eficientă pentru utilizatorii de internet este una tehnică, de blocare, prin intermediul unor pluginuri de browser, gen AdBlocker (cum ar fi: uBlock, Privacy Badger sau Ghostery).

Motivația comercială principală pentru multe companii de Adtech este de a trimite cât mai multe date câtor mai mulți parteneri. Și nu există măsuri tehnice care să poată preveni situații cum ar fi cea în care beneficiarul unei oferte ar combina datele obținute cu alte date pentru a crea un profil, sau pentru a vinde mai departe datele.

Această stare de fapt dă posibilitatea unei organizații să discrimineze împotriva unei persoane, sau să aducă atingere drepturilor fundamentale ale acesteia. De exemplu, pot fi dezvăluite opinii politice angajatorului, sau obiceiuri sau stiluri de viață unor companii de asigurări. De asemenea, unele state au folosit aceste date pentru a urmări deplasările persoanelor și au putut ști astfel dacă respectiva persoană a luat parte la adunări sau greve, sau dacă a respectat restricțiile privind COVID-19.

Pentru mai multe detalii privind detaliile tehnice ale modului de funcționare a rețelelor de ofertare în timp real, consultați acest raport detaliat pregătit de Dr. Johnny Ryan (paginile 3-7).

4. Ce a fost făcut pentru protecția datelor personale până acum?

4.1. Sesizări din 2018

Primele plângeri cu privire la industria Adtech au fost depuse împotriva Google și IAB în Septembire 2018, de Dr. Johnny Ryan în Irlanda, și Open Rights Group și Dr. Michael Veale în Marea Britanie (UK).

Autoritatea britanica - UK Information Commissioner’s Office - a investigat practicile nelegale ale industriei Adthech dar, în ciuda descoperirii mai multor practici nelegale, a decis să închidă investigația în Septembrie 2020 fără a lua nici un fel de măsuri.

Deși autoritatea din Irlanda a deschis o investigație privind Google, iar cea din Belgia a deschis o investigație privind IAB, inițiatorii plângerii nu au primit nici un fel de informație decât foarte recent privind stadiul investigației.

4.2. Sesizări 2019

În 2019, o sesizare similară a fost depusă la autoritățile naționale de protecție a datelor cu caracter personal din încă 13 țări membre UE.

Au fost multe inconsistențe în modul în care diferitele autorități naționale de protecție a datelor cu caracter personal au reacționat la plângerile primite pe parcursul ultimilor doi ani: majoritatea autorităților au înaintat plângerile la autoritățile de supraveghere din Irlanda și Belgia, unele au inițiat investigații proprii, unele nu au reacționat în nici un fel și unele au clasat cazurile.

În Octombrie 2020, autoritatea belgiană a notificat anumiți petenți cu privire la investigația lor, dar un număr de petenți precedenți nu au primit nici o știre. Motivele pentru aceasta sunt neclare. Prin urmare, un consorțiu format din Liberties, Open Rights Group (ORG) și Fundația Panoptykon vor intra în legătură cu autoritățile naționale de protecție a datelor cu caracter personal pe acest subiect în următoarele zile.

4.3. Sesizările de azi

Autorii sesizărilor de azi cer în mod explicit autorităților naționale să înainteze cazul către autoritățile de reglementare principale și să colaboreze cu acestea pentru a proteja cetățenii europeni de practicile nelegale ale industriei de Adtech.

În loc să se bazeze pe practici nelegale de profilare, industria ar trebui să se îndrepte spre un model îmbunătățit de publicitate online care respectă legea și protejează în mod activ datele cu caracter personal ale indivizilor.

5. Poate GDPR rezolva problema

Regulamentul General privind Protecția Datelor (Regulamentul UE 679/2016 - General Data Protection Regulation - GDPR) este o legislație de referință care, pe hârtie, rebalansează drepturile persoanelor la protecția datelor personale și a vieții private online cu interesele companiilor. Este foarte posibil că GDPR poate rezolva problemele ofertării în timp real (RTB).

Cu toate acestea, GDPR suferă de o lipsă reală de aplicare, în special în astfel de cazuri. Autoritățile însărcinate cu protecția datelor personale nu sunt suficient de active în aplicarea GDPR, și nici nu se coordonează în cazuri în care apar plângeri privitoare la cazuri transfrontaliere.

6. Unde se poate găsi sesizarea din România?

Sesizarea completa, cu toate anexeke depuse sunt atașate la finalul acestui articol,

7. Alte resurse

Articol Liberties

Articol Techcrunch

Sesizare Grecia (Homo Digitalis)

Ce părere ai?

Plain text

  • Etichetele HTML nu sunt permise.
  • Adresele de situri web şi adresele de e-mail se transformă automat în linkuri.
  • Liniile şi paragrafele sunt rupte automat.