Μεγάλη καθυστέρηση στις καταγγελίες για την παραβίαση του Κανονισμού για τα Προσωπικά Δεδομένα (GDPR)
Πριν από δύο χρόνια, στις 27 Νοεμβρίου 2018, επτά (7) Εθνικές Οργανώσεις Καταναλωτών στην Ευρώπη, μεταξύ των οποίων και και η ΕΚΠΟΙΖΩ, οι οποίες αποτελούν μέλη της Ευρωπαϊκής Ομοσπονδίας Καταναλωτών (BEUC), υπέβαλαν καταγγελίες, μέσω συντονισμένης δράσης, κατά της Google για την παραβίαση του Κανονισμού για τα Προσωπικά Δεδομένα (GDPR). Οι καταγγελίες στηρίζονταν στην έρευνα που διεξήχθη από τη Νορβηγική Οργάνωση Καταναλωτών “Forbrukerrådet”, η οποία αποκάλυψε τον τρόπο που η Google συλλέγει τα δεδομένα τοποθεσίας των χρηστών και συγκεκριμένα των λειτουργιών “ιστορικό τοποθεσίας” και “δραστηριότητα ιστού και εφαρμογών” μέσω της χρήσης διαφόρων τεχνασμάτων (“σκοτεινά πρότυπα”/“dark patterns”) προκειμένου να διασφαλίσει ότι, οι χρήστες έχουν ενεργοποιήσει τα συγκεκριμένα λειτουργικά στις τηλεφωνικές τους συσκευές. Η εταιρεία επίσης δεν παρέχει στους καταναλωτές άμεσες και απλές πληροφορίες για τη σημασία των εν λόγω λειτουργιών και την τελική χρήση τους από την Google.
Γιατί έχει σημασία;
Τα δεδομένα τοποθεσίας μπορούν να αποκαλύψουν πολλά για την προσωπική ζωή των χρηστών, καθώς οι κινήσεις μας εν γένει λένε πολλά για εμάς - για παράδειγμα τις θρησκευτικές μας πεποιθήσεις (επισκέψεις σε οίκους λατρείας), τις πολιτικές απόψεις (συμμετοχή σε πορεία διαμαρτυρίας) και θέματα που σχετίζονται με την υγεία (επίσκεψη σε κέντρο θεραπείας του καρκίνου). Το συγκεκριμένο μπορεί να χρησιμοποιηθεί για πολλαπλούς σκοπούς, όπως με τη μορφή της στοχευμένης διαφήμισης ή τις εξατομικευμένες προσφορές και υπηρεσίες. Τα δεδομένα γεωγραφικής τοποθεσίας μπορούν συχνά να συνδυαστούν με άλλα δεδομένα, όπως το ιστορικό περιήγησης στο διαδίκτυο, τις προτιμήσεις, τις δραστηριότητες των κοινωνικών μέσων και το ιστορικό των ψηφιακών αγορών στο διαδίκτυο, ώστε να δημιουργήσουν ένα ολοκληρωμένο “καταναλωτικό προφίλ”.
Τι συνέβη;
Οι επτά (7) Εθνικές Οργανώσεις Καταναλωτών στην Ευρώπη, μεταξύ των οποίων και και η ΕΚΠΟΙΖΩ, υπέβαλαν τις καταγγελίες τους τον Νοέμβριο 2018 στις αντίστοιχες Εθνικές Αρχές Προστασίας Δεδομένων των Κρατών-Μελών. Χρειάστηκαν εννέα μήνες, μέχρι τον Ιούλιο του 2019, πριν οριστεί η Ιρλανδική Αρχή Προσωπικών Δεδομένων, ως επικεφαλής εποπτική Αρχή. Χρειάστηκαν άλλοι έξι (6) μήνες, μέχρι τον Φεβρουάριο του 2020, για να ανακοινώσει η Ιρλανδική Αρχή Προσωπικών Δεδομένων την έναρξη αυτεπάγγελτης διαπίστωσης παραβάσεων αναφορικά με τα θέματα που οι καταγγελίες αναφέρουν. Η απόφαση αυτή προκάλεσε ανησυχίες σχετικά με τον αντίκτυπο της εν λόγω έρευνας στον έλεγχο των καταγγελιών των Οργανώσεων Καταναλωτών, όπως και στην άσκηση των δικαιωμάτων των καταγγελλόντων.
Εκτός από τον κίνδυνο των επιπλέων καθυστερήσεων στη λήψη απόφασης αναφορικά με τις καταγγελίες, η τακτική άσκησης δικής της έρευνας από την Ιρλανδική Αρχή Προσωπικών Δεδομένων προκάλεσε ερωτήματα, σχετικά με τις συνέπειες της ύπαρξης δύο ξεχωριστών αλλά προφανώς αλληλένδετων διαδικασιών, όπως είναι από τη μία πλευρά η έρευνα των καταγγελιών των επτά (7) Εθνικών Οργανώσεων Καταναλωτών και την άλλη πλευρά η αυτεπάγγελτη έρευνα της Ιρλανδικής Αρχής Προσωπικών Δεδομένων.
Εκτός Ευρωπαϊκών συνόρων
Παρόμοιες περιπτώσεις κατά των πρακτικών παρακολούθησης θέσης της Google βρίσκονται επίσης σε εξέλιξη στις ΗΠΑ (δείτε εδώ) και στην Αυστραλία (δείτε εδώ). Επιπλέον, τον Ιούνιο 2019, η Γαλλική Ευρωπαϊκή Οργάνωση Καταναλωτών μέλος του BEUC, UFC-Que Choisir, άσκησε αγωγή εναντίον της Google στη Γαλλία, επίσης σε σχέση με τις πρακτικές παρακολούθησης τοποθεσίας της εταιρείας. Εν τω μεταξύ, η Google συνεχίζει να συλλέγει τα δεδομένα τοποθεσίας δισεκατομμυρίων ανθρώπων χωρίς να έχει λογοδοτήσει σε καμία Αρχή.
Τι μέλλει γενέσθαι;
Δύο χρόνια μετά την κατάθεση των καταγγελιών, η έκδοση της οριστικής απόφασης είναι ακόμη μακρινή και δεν είναι σαφές πότε χρονικά αναμένεται μια τέτοια απόφαση. Σύμφωνα με την Ιρλανδική Αρχή Προστασίας Προσωπικών Δεδομένων το αποτέλεσμα της δικής της αυτεπάγγελτης έρευνας – όταν αυτό θα συμβεί - θα το γνωστοποιήσει μέσω απόφασή της, σε συνδυασμό με τις συγκεκριμένες καταγγελίες. Μια ενδεχόμενη απόφαση της ως άνω Ιρλανδικής Αρχής θα πρέπει επίσης να διερευνηθεί και από τις άλλες Εθνικές Αρχές Προστασίας Προσωπικών Δεδομένων που έλαβαν σχετικές καταγγελίες, στο πλαίσιο της διαδικασίας συνεργασίας και συνεκτικότητας των διαδικασιών, όπως προβλέπει ο Γενικός Κανονισμός για την Προστασία Δεδομένων (GDPR).
Εν κατακλείδι, η εν λόγω υπόθεση δεν δημιουργεί μόνο ερωτήματα σχετικά με την αποτελεσματική επιβολή του Γενικού Κανονισμού για την Προστασία Δεδομένων (GDPR) αλλά και την ανάγκη αντιμετώπισης του ευρύτερου ζητήματος της παρακολούθησης των χρηστών και τη δημιουργία ενός δίκαιου ψηφιακού περιβάλλοντος όπου οι καταναλωτές μπορούν να χρησιμοποιούν ψηφιακά προϊόντα και υπηρεσίες χωρίς να θυσιάζουν τα δικαιώματά τους και να εκτίθενται σε αδικαιολόγητη επιρροή και διακρίσεις.
Για περισσότερες πληροφορίες για τη συγκεκριμένη υπόθεση στην ιστοσελίδα της ΕΚΠΟΙΖΩ και του BEUC (εδώ, εδώ και εδώ).