A Comissão Nacional da Informática e das Liberdades (CNIL) francesa, uma instituição congénere à Comissão Nacional de Proteção de Dados portuguesa, multou a Google em 50 milhões de euros por considerar que a tecnológica norte-americana não respeita o Regulamento Geral sobre a Proteção de Dados (RGPD), noticiou o jornal “Le Monde”. A CNIL considerou que a Google violou o RGPD ao “não informar com clareza os seus utilizadores sobre o tratamento dos dados pessoais”, lê-se na notícia.

Foi a primeira vez que a CNIL aplicou uma multa com base no incumprimento do RGPD. A comissão francesa justificou que o montante da multa, assim como uma publicidade da mesma, são justificados pela gravidade das infrações observadas que dizem respeito a três princípios essenciais do RGPD, como o princípio da transparência, da informação e do consentimento.

Entre os dias 25 e 28 de maio de 2018, a CNIL recebeu queixas da Associação None of Your Business e da Associação La Quadrature du Net, que acusaram a Google de não “dispor de uma base jurídica válida para tratar os dados pessoais dos utilizadores dos seus serviços, nomeadamente para fins de personalização da publicidade”, segundo o comunicado da CNIL, datado desta segunda-feira.

Com competências em território francês para zelar pelo cumprimento do RGPD, a CNIL investigou as queixas das duas associações e concluiu que a Google incorreu em duas práticas que violam o regulamento comunitário. Assim, a CNIL considerou que a Google violou não só as “obrigações de transparência e de informação”, mas também “a obrigação de dispor de uma base legal para os tratamentos de personalização da publicidade”.

Obrigações de transparência e de informação

A CNIL concluiu que a “arquitetura geral da informação escolhida” pela Google não respeita as obrigações do RGPD. A CNIL destacou que “as informações essenciais, tais como as finalidades para as quais os dados são tratados, a duração da recolha dos dados ou as categorias dos dados utilizadas para a personalização da publicidade, são excessivamente disseminadas em vários documentos, que comportam “botões” [em que se carregam com o ‘rato’ do computador] e links que são precisos de ativar para tomar conhecimento das informações complementares”.

Assim, a CNIL considerou que a informação pertinente da Google sobre os tratamentos de dados dos seus utilizadores não é acessível, uma vez que impõe que estes pratiquem cinco ou seis ações, o que acontece, por exemplo, nos casos em que os utilizadores querem obter informações completas sobre a recolha de informações para personalização de publicidade, ou para os serviços de geolocalização.

De resto, a CNIL sustentou que “a informação providenciada não é suficientemente clara para que os utilizadores compreendam que a base jurídica sobre o tratamento dos dados para efeitos de personalização da publicidade consiste no consentimento [dos utilizadores], e não o interesse legítimo da Google.

Consentimento “não está suficientemente esclarecido”

A CNIL considerou que a Google não obtém legalmente o consentimento dos utilizadores para tratar os seus dados, por considerar que este não é esclarecido, específico e inequívoco, alguns dos critérios elencados no RGPD quanto à obtenção do consentimento para efeitos de tratamento de dados pessoais por parte de pessoas coletivas.

Uma vez que a informação sobre o tratamento dos dados pessoais providenciada pela Google está diluída em vários documentos, a CNIL defendeu que os utilizadores dos serviços da empresa norte-americana não se apercebem concretamente para que finalidades estão a consentir à Google tratar os seus dados.

“Em primeiro lugar, porque o consentimento dos utilizadores não está suficientemente esclarecido (…). Por exemplo, na rubrica dedicada à “Personalização dos anúncios”, não é possível obter conhecimento sobre a pluralidade de serviços, sites, aplicações implicadas nestes tratamentos (Google search, Youtube, Google home, Google maps, Playstore, Google photo…)”, lê-se no comunicado da CNIL.

Quanto à falta de consentimento específico e inequívoco, a CNIL defendeu que, por exemplo, aquando da criação de uma conta Google, a arquitetura informática da empresa obriga os utilizadores a “consentir a um bloco, para todas as finalidades levadas a cabo pela Google”.

(todas as informações em francês foram diretamente traduzidas pelo jornalista)