Еще одна партия жалоб была подана в агентства по защите данных Европейского Союза с призывом принять меры против использования рекламной индустрии информацией интернет-пользователей для таргетинга рекламы.
В жалобах утверждается, что поведенческая реклама вредна и незаконна.
Ранее претензии на ту же проблему с программной рекламой в режиме реального времени (RTB) подавались в ЕС в 2018 и 2019 годах, но до сих пор не привели к каким-либо существенным регулирующим действиям.
Ирландия открыла расследование в отношении биржа рекламы в прошлом году. Пока Бельгийское агентство DPA проводит расследование в отношении флагманского отраслевого инструмента, который используется для сбора согласия на таргетинг рекламы, делая предварительный вывод о несоблюдении Октябрь. Но судебный процесс для вынесения окончательного вердикта в отношении структуры IAB Europe «Прозрачность и согласие» (TCF) состоится не раньше следующего года.
(По теме: британское агентство по защите данных столкнулось с юридической проблемой из-за своей неспособности принять меры по жалобам RTB, несмотря на неоднократное выражение озабоченности по поводу проблемы законности отрасли.)
И Google, и IAB продолжают отрицать какие-либо проблемы с их рекламными технологиями. В прошлом году Google заявила, что авторизованные покупатели, использующие ее системы, подчиняются «строгим политикам и стандартам». В то время как IAB Europe отвергла выводы Бельгийского DPA, заявив, что его предварительный отчет «фундаментальное недопонимание[s]”TCF tech.
Последний GDPR претензии направлены на то, как RTB Компонент программной рекламы передает личные данные пользователей Интернета множеству организаций, участвующих в этих высокоскоростных аукционах, утверждая, что это противоречит основным требованиям безопасности в Общем регламенте по защите данных (GDPR), а также является ужасным для конфиденциальности людей.
Ключевым принципом GDPR является безопасность по умолчанию и по умолчанию – с регулированием, устанавливающим юридические требования к обработчикам персональных данных, чтобы обеспечить надлежащую защиту информации людей.
претензии, нацеленные на Google и IAB в качестве разработчиков стандартов RTB, были поданы группами гражданского общества шести европейских стран, а именно: Asociatia pentru Tehnologie si Internet (ApTi), Румыния; D3 – Defesa dos Direitos Digitais, Португалия; ГОНГ, Хорватия; Глобальный фонд человеческого достоинства, Мальта; Homo Digitalis, Греция; и Институт информации Кипра.
Их координирует консорциум во главе с Союз гражданских свобод для Европы (Свобода), ORG (Группа открытых прав) и Фонд Паноптикон.
«Торги в режиме реального времени, лежащие в основе индустрии онлайн-рекламы, являются нарушением права людей на неприкосновенность частной жизни», – заявила д-р Орсоля Райх, старший специалист по защите прав в Liberties, в своем подтверждающем заявлении. «GDPR действует с 2018 года и предназначен именно для того, чтобы дать людям больше информации о том, что происходит с их данными в Интернете.
«Сегодня все больше групп гражданского общества говорят достаточно об этой агрессивной рекламной модели и просят органы по защите данных выступить против вредных и незаконных практик, которые они используют».
Консорциум просит их соответствующие национальные DPA провести совместное расследование, а регулирующие органы присоединиться к текущим расследованиям в области рекламных технологий в Ирландии (в отношении рекламных технологий Google) и Бельгии (в рамках структуры TCF IAB Europe).
Неясно, насколько далеко продвинулось расследование ирландского DPC в отношении Google, но оно продолжает сталкиваться с критикой из-за отсутствия решений по трансграничным случаям GDPR, примерно через 2,5 года после того, как правила официально начали применяться.
Механизм GDPR означает, что трансграничные дела (в основном все, что связано с основными потребительскими технологиями) передаются ведущему агентству для расследования. Однако другие агентства также остаются вовлеченными в качестве заинтересованных сторон и должны согласиться с любым принятым окончательным решением.
Система привела к возникновению узких мест в некоторых регионах ЕС, таких как Ирландия, где многие технологические гиганты размещают свои европейские штаб-квартиры. Таким образом, проблема заключается в том, что этот механизм единого окна добавляет неработоспособный уровень трений к расследованиям GDPR – откладывая решения и правоприменительные меры настолько, что это ставит под угрозу всю структуру.
Комиссия признала слабость в обеспечении соблюдения GDPR. Наиболее очевидно, т.к. он работает над огромным пакетом новых цифровых правил. Хотя его стратегия решения проблемы правоприменения менее ясна, поскольку государства-члены ЕС, похоже, по-прежнему будут нести ответственность за большую часть этого дополнительного надзора, так же как теперь они несут ответственность за финансирование своих собственных DPA. (И еще больше жалоб было подано в этом году с обвинениями европейских правительств в нехватке ресурсов для GDPR.)
Ирландский DPC должен принять свое первое трансграничное решение GDPR по делу, касающемуся Twitter нарушение безопасности очень скоро. Но в прошлом году ее комиссар Хелен Диксон предположила, что первые подобные решения будут приняты в начале 2020 г., так что разрыв между ожиданиями GDPR и реальностью к этому моменту истекает почти на 12 месяцев.
Консорциум, подавший последние претензии RTB, пишет в пресс-релизе, что, хотя некоторые из более ранних жалоб adtech были переданы ведущим органам, он ничего не знает о «каком-либо значимом сотрудничестве или совместных операциях между национальными органами и ведущими органами».
«Это говорит о том, что механизмы сотрудничества и согласованности, предусмотренные в GDPR, еще не реализованы в полной мере», – добавляет группа, призывая к совместному расследованию проблемы RTB, т.к. технология функционирует одинаково в разных странах – и «производит одинаковые негативные эффекты во всех странах-членах ЕС », как они выразились.
Однако неясно, как дополнительная совместная работа – если действительно это действительно то, что требуется – поможет ускорить соблюдение GDPR. Также, как направление дополнительных жалоб в Ирландию и Бельгию может ускорить их текущие расследования.
Скорее всего, цель состоит в том, чтобы заставить регуляторов действовать.
Отвечая на вопрос о призыве к совместной работе, представитель Liberties сказал нам: «Проблема в том, что Google и IAB – крупные игроки, устанавливающие стандарты на рынке, и они влияют на всех пользователей Интернета. Учитывая географический охват вопросов, поднятых в жалобах, мы считаем, что надзорным органам лучше действовать согласованно, а не работать в одиночку в своем углу. Вот почему национальные партнеры предлагают своим национальным DPA передать эту жалобу в ведущие надзорные органы, которые уже расследуют соответствие Google и IAB требованиям GDPR ».
Комментируя другое подтверждающее заявление, Мариано делли Санти, сотрудник по правовым вопросам и политике в ORG, добавил: «Эти новые претензии показывают, что GDPR работает. Люди все больше осознают свои права и требуют перемен. Теперь власти должны поддержать этот процесс и убедиться, что эти законы должным образом и последовательно применяются против широко распространенных злоупотреблений в индустрии рекламных технологий ».
На момент написания единственным сохранившимся примером правоприменения в отношении технологического гиганта в соответствии с обновленными правилами было решение CNIL от января 2019 года оштрафовать Google на 57 миллионов $. Однако это расследование ограничивалось национальным охватом, а не рассматривалось как трансграничное дело.
С тех пор Google переместил свою юридическую базу в Европе в Ирландию, поэтому теперь находится под ведущей юрисдикцией DPC.
Этот механизм, кажется, подходит для крупных технологий, позволяя избежать риска более быстрых расследований, проводимых агентствами одного государства-члена, действующими быстрее в одиночку. (Так что очень интересно наблюдать, как TikTok наращивает свою бизнес-инфраструктуру и увеличивает численность персонала в Ирландии – т.к. теперь это также находится на радаре CNIL …)
Как отмечалось ранее, законодатели ЕС признали, что соблюдение GDPR было слабым местом.
Этим летом Комиссия отметила отсутствие повсеместно строгого правоприменения в обзоре правила, действующего два года назад.
На прошлой неделе уполномоченный по ценностям и прозрачности Вера Жоув также подняла проблему, изложив план блока по защите демократических ценностей от ряда онлайн-рисков, таких как алгоритмически усиленная или микротаргетированная дезинформация и вмешательство в выборы – признание только GDPR достаточно, чтобы исправить бесчисленное множество пересекающихся технических проблем.
«[After the Cambridge Analytica scandal] мы сказали, что рады тому, что после вступления в силу GDPR мы защищены от такого рода практики – люди должны давать согласие и знать об этом – но мы видим, что это может быть слабой мерой, если полагаться только на согласие или уйти граждане должны давать согласие », – сказала она.
«Обеспечения соблюдения правил конфиденциальности недостаточно – вот почему мы входим в План действий по европейской демократии с видением на следующий год с правилами политической рекламы, где мы серьезно рассматриваем возможность ограничения микротаргетинга как метода, который используется для продвижения политических сил, политических партий или политических лиц ».
Европейская комиссия находится в процессе разработки амбициозного и взаимосвязанного пакета цифровых правил, который хочет подпитывать региональную экономику данных и устанавливать жесткие онлайн-правила, чтобы вызвать необходимое доверие, и заявила, что хочет, чтобы это крупное усилие по разработке цифровой политики послужило Европа на десятилетия.
Но без эффективного соблюдения его сводов правил Интернета неясно, как цифровая стратегия блока будет работать так, как задумано.