Cât de legal este să utilizezi date personale pentru a trimite mesaje personalizate pe rețele sociale

Ghidul CEPD a fost adoptat în 2 septembrie și conține o serie de clarificări cu privire la felul cum prelucrarea de date personale ale persoanelor care folosesc rețele de socializare, pentru a li se oferi acestora conținut personalizat (de exemplu, reclame personalizate) poate să aibă impact asupra persoanelor ale căror date sunt vizate. Mai mult, Ghidul este relevant pentru că precizează și care sunt modurile în care aceste date pot fi prelucrate și ce condiții trebuie respectate, pentru a se considera că prelucrarea lor e legală.

Notă: Problema prelucrării datelor, în contextul activității persoanelor pe rețele de socializare, este complexă și poate ridica o serie de probleme care țin de legalitatea lor, dar exced sfera legislației din domeniul protecției datelor. Aici mă voi referi exclusiv la felurile cum pot fi colectate datele și care sunt criteriile de legalitate pentru ca o astfel de activitate să fie permisă:

1) Prelucrarea de date furnizate de utilizatorul rețelei sociale. Discutăm, aici, de date care sunt oferite de utilizatorul rețelei sociale. De exemplu, vârsta ar putea fi oferită de cineva pe profilul acestuia de pe o rețea de socializare. Un alt exemplu, de data aceasta când utilizatorul divulgă datele unei persoane care trimite mesaje personalizate, este furnizarea adresei de e-mail, alături de profilul personal de pe o rețea de socializare, permițând exploatoarea ambelor, prin referire la aceeași persoană.

Ca orice prelucrare de date, trimiterea de mesaje personalizate prin prelucrarea datelor divulgate de utilizator trebuie să se facă prin respectarea principiilor GDPR de prelucrare a datelor și prin identificarea unui temei legal valid. Aici, poate fi vorba fie de consimțământul utilizatorului, fie de interesul legitim al persoanei care prelucrează datele (persoana care trimite mesajele, administratorul rețelei de socializare ori chiar amândoi, dacă sunt responsabile ambele părți de prelucrare).

În ceea ce privește interesul legitim, trebuie să fie respectate trei condiții:

• acesta să existe;
• prelucrarea să fie necesară pentru atingerea acelui interes;
• interesele persoanelor ale căror date sunt prelucrate să nu fie mai importante decât interesul legitim al operatorului (ori operatorilor) care prelucreză date personale.

Am scris mai multe despre problema interesului legitim al operatorului aici.

Atenție! Este foarte important, atunci când temeiul prelucrării datelor este interesul legitim, pentru persoana ale căror date sunt prelucrate în scopul livrării de conținut personalizat, să poată să se opună prelucrării și, dacă o face, să înceteze prelucrarea.

Există și situații unde, conform Ghidului, interesul legitim nu poate fi folosit pentru justificarea prelucrării și, astfel, e necesară existența consimțământului utilizatorului rețelei de socializare ale cărui date sunt prelucrate. E cazul, de exemplu, atunci când se urmărește crearea de profiluri ale acelui utilizator, prin urmărirea activității acestuia pe diverse site-uri. 

Însă și consimțământul trebuie să fie dat liber, ceea ce înseamnă că furnizarea unor servicii nu poate fi condiționată de existența consimțământului pentru prelucrarea de date.

2) Prelucrarea de date obținute prin observarea comportamentului utilizatorului unei rețele sociale. Observarea activității se referă la urmărirea acțiunilor unei persoane care folosește un anumit dispozitiv sau serviciu.

Exemplele, aici, pot fi destul de variate. Cel mai la îndemână se referă la observarea activității pe profilul personal aferent unei rețele de socializare. De exemplu, ce publică o persoană pe acel profil. Alt exemplu se referă la accesarea anumitor site-uri care au incorporate plugins de tip rețele de socializare. 

Cookies sunt un exemplu relevant și deja întâlnit aproape peste tot. Mai exact, e vorba de mecanisme concepute pentru a monitoriza activitatea unui utilizator și care ajută la identificarea intereselor acelui utilizator, pentru a îi fi livrate mesaje personalizate. 

În condițiile de mai sus, consimțământul utilizatorului unei rețele de socializare la asemenea prelucrare este foarte important. Consimțământul la tehnologii de monitorizare a activității nu poate fi, de exemplu, dat printr-o căsuță prebifată, pe care ar trebui s-o debifeze utilizatorul rețele sociale. De asemenea, utilizatorul trebuie să fie clar informat cu privire la consecințele folosirii de asemenea tehnologii pentru a-i fi monitorizată activitatea. 

Important este, în același timp, ca momentul la care este dat consimțământul să preceadă folosirea de tehnologii de monitorizare.

Ținând cont că, de obicei, monitorizarea activității, prin natura ei, se referă la comportamentul utilizatorului serviciului de rețea de socializarea pe mai multe site-uri, atunci interesul legitim al operatorului care prelucrează date nu ar fi un temei valid de prelucrare, aici, fiindcă activitatea este considerată ca având un grad ridicat de intruziune în viața privată a utilizatorului (și, astfel, interesul persoanei vizate de prelucrare îl depășește pe cel al operatorului, ceea ce face imposibilă justificarea interesului legitim, ca temei valid de prelucrare).

3) Prelucrarea de date deduse din comportamentul sau informațiile date de utilizator. Practic, e vorba aici de acele informații la care ajunge o persoană care trimite mesaje personalizate după ce observă comportamentul unei persoane și trage concluzii logice (necesare sau cu șanse mari să fie adevărate). De exemplu, cineva care postează video-uri despre trasee montane în continuu ar putea să primească mesaje personalizate cu echipamente speciale pentru asemenea activități.

Astfel de prelucrări de date, conform Ghidului, implică profilarea utilizatorului, care se referă la procese automate prin care sunt obținute informații despre cineva, prin analizarea datelor prelucrate despre acea persoană. Se vizează, mai ales, prezicerea comportamentului acelei persoane, prin concluziile derivate din activitatea de profilare.

Conform Ghidului, prelucrarea datelor, prin asemenea procese, ar putea avea loc, legal, prin referire la orice temei de prelucrare:

• consimțâmântul persoanei vizate;
• necesitatea prelucrării, în vederea încheierii sau executării unui contract;
• autorizarea din partea legii (naționale sau a Uniunii Europene).

Bineînțeles, m-am referit, mai sus, la exemple de temeiuri de prelucrare, care, după caz, s-ar putea să fie sau nu valabile într-o situație anume. Despre importanța identificării temeiului obiectiv aplicabil într-o situație dată am scris mai multe aici.