Em 21 de janeiro de 2019, a Comissão Nacional de Tecnologia da Informação e Direitos Humanos da França (CNIL)
multou o Google em 50 milhões de euros por "falta de transparência, informações precárias e falta de consentimento válido" ao processar e usar os dados pessoais dos usuários para exibir anúncios personalizados.
A imposição de uma multa alta foi o resultado de uma investigação. Tudo começou com o fato de que, em 25 e 28 de maio de 2018, a CNIL recebeu reclamações coletivas das associações de direitos humanos None Of Your Business (NOYB) e La Quadrature du Net (LQDN), representando os interesses de mais de 10.000 pessoas. Nessas duas denúncias, as associações acusaram o Google da falta de uma estrutura legal apropriada para o processamento de dados pessoais dos usuários, inclusive para a personalização de publicidade.
Em 1º de junho de 2018, de acordo com as disposições sobre cooperação européia estabelecidas pelo GDPR, a CNIL enviou duas queixas a seus colegas europeus para confirmar que tem competência para considerá-las. O fato é que na UE existe um mecanismo de balcão único. Primeiro, você precisa determinar em qual país a “principal instituição” do réu está localizada. Consequentemente, o órgão jurídico da UE deste país se tornará o órgão "líder" na consideração deste caso. Antes de tomar uma decisão, o iniciador do processo deve coordenar-se com outras autoridades nacionais de proteção de dados.
A sede européia do Google está localizada na Irlanda. No entanto, nesse caso, no momento da revisão, o escritório irlandês não tinha autoridade para tomar decisões sobre os procedimentos executados no sistema operacional Android e os serviços prestados pelo Google LLC em conexão com a criação de uma conta de usuário ao configurar um telefone celular.
Como o sistema Single Window não era aplicável, a comissão francesa CNIL teve o poder de tomar decisões sobre o Google LLC. Ela fez isso aplicando o novo
Regulamento Europeu de
Proteção de Dados (GDPR) .
Segundo o GDPR , o valor da multa para uma empresa é determinado proporcionalmente ao crime cometido. Uma prática típica da UE em caso de repetidas violações sobre o mesmo assunto é o aumento da multa. Como pode aumentar rapidamente, a maioria das empresas tende a resolver rapidamente o problema. Cada interação com as agências de proteção de dados ocorre da mesma maneira: aviso, tudo bem, aumento muito bem. A multa máxima é de € 20 milhões ou
4% do faturamento anual do exercício anterior para a empresa, o que for maior. A penalidade máxima foi introduzida para garantir que gigantes como o Facebook e o Google não ignorem a lei, simplesmente pagando uma multa e continuando a prática anterior. Por exemplo, por violação da legislação russa sobre armazenamento de dados pessoais, o Facebook e o Twitter agora
enfrentam uma multa de até 5.000 rublos .
Para lidar com as reclamações, em setembro de 2018, a CNIL realizou uma auditoria online. O objetivo era verificar a conformidade com a lei GDPR, analisando as ações e documentos do usuário que ele pode acessar, criando uma Conta do Google ao configurar seu telefone celular para Android.
A auditoria revelou duas linhas de violações do GDPR.
Primeira violação:
não cumprimento de obrigações para garantir transparência e responsabilidade. Para os usuários, era difícil acessar as informações básicas que a empresa era obrigada a fornecer a eles de acordo com o GDPR, incluindo:
- as finalidades para as quais os dados são processados;
- período de retenção de dados.
As categorias de dados usadas para personalizar a publicidade estavam espalhadas por vários documentos que possuem botões e links separados para obter mais informações. Portanto, as informações relevantes estão disponíveis somente após algumas etapas e, às vezes, exigem até cinco ou seis ações do usuário. Na máxima extensão, as informações sobre a coleta de informações para personalizar a publicidade ou a geolocalização são ocultadas às pessoas. Além disso, as informações fornecidas nem sempre são claras.
Como resultado, os usuários não conseguem entender a extensão da vigilância instalada pelo Google, embora esses métodos sejam "especialmente massivos e intrusivos devido ao número de serviços oferecidos (cerca de 20), à quantidade e natureza dos dados processados e combinados", admitiu a agência francesa.
O Google deixa claro para os usuários que o consentimento explícito de uma pessoa é necessário para coletar dados. Parece que o Google tem todo o direito de coletar dados pessoais e não é necessário o consentimento do usuário.
Segunda violação:
não cumprimento do requisito de uma base legal para processar a personalização da publicidade . A Comissão reconheceu a informação insatisfatória e a falta de consentimento válido do usuário para o processamento de dados para segmentação por publicidade.
As informações sobre os procedimentos "não permitem que o usuário realize a escala". Por exemplo, a seção "Personalização de anúncios" não fala sobre os vários serviços, sites, aplicativos envolvidos no processamento de dados (pesquisa no Google, Youtube, Google Maps, Play Store, Google Photo etc.) e, portanto, o volume de dados processados e combinados . O experimento também mostrou que o consentimento obtido não é "específico" e "inequívoco".
Como resultado, foi tirada uma conclusão sobre uma violação constante dos padrões do RGPD. "É a primeira vez que a CNIL aplica a penalidade máxima estipulada pelo regulamento geral de proteção de dados", afirmou o relatório da CNIL.