1. În cartea „Crushing it”, autorul Gary Veynerchuk afirmă la modul imperativ „[…] dacă dorești să îți construiești un brand și să mai și încerci să faci bani din el, trebuie să ai o pagină de Facebook”. Astăzi, pentru tinerii afaceriști care vor să urce pe scara ierarhică, marketingul pe rețelele de socializare a devenit, am putea spune, o necesitate.
2. Urmează a fi precizat că Facebook este o entitate străină jurisdicției Uniunii, sediul acesteia fiind în SUA, compania desfășurându-și activitatea în Europa prin intermediul subsidiarilor acesteia, precum este Facebook Ireland LTD. Conform art. 3 alin. (2) GDPR, regulamentul se aplică entităților care nu se află în Uniune, însă activitatea lor de prelucrare ține de persoanele vizate din Uniune. În esență, Facebook monitorizează comportamentul utilizatorilor care se manifestă în cadrul Uniunii și, din aceste considerente, GDPR este aplicabil și Facebook-ului.
3. Totuși, Facebook nu este o companie care prestează servicii în sens material, ci o face în spațiul virtual, produsele lor fiind aceleași pagini pe care cu drept de folosință îl pot exploata cei ce le administrează. Facebook clasifică paginile în două categorii: afacere și marcă; comunitate sau persoană publică, clasificare efectuată în ideea delimitării paginilor după scopul urmărit.
4. Pentru perioada în care paginile sunt active și sunt create în alte scopuri decât uzul personal, există o continuă prelucrare a datelor, prin două modalități: elaborare de statistici anonimizate prin aplicații ca Facebook Insight, sau prelucrarea informației din postările deținătorilor de conturi pe Facebook. În ambele cazuri suntem în situația unui transfer de date în afara Uniunii, or Facebook ca entitate își are sediul în SUA.
5. GDPR-ul prevede posibilitatea transferurilor de date către țări terțe doar în cazul respectării condițiilor descrise la art. 44-50. Situația de facto cu Facebook este că persoanelor vizate din Uniune nu le este garantat un nivel de protecție adecvat a datelor la ora actuală, or SUA nu a confirmat implementare la nivel legislativ a art. 45 GDPR. Mai mult, nu se poate afirma nici că Facebook furnizează garanțiile adecvate în conformitate cu art. 46 din GDPR.
6. Foarte recent CJUE a emis o hotărâre ce atinge și problema obligațiilor ce le revin administratorilor paginilor de Facebook. Luând în considerare faptul că de competența CJUE este interpretarea dreptului Uniunii (art. 267 TFUE), aplicabilitatea hotărârilor Curții este una directă pentru statele membre UE. În cauza cauza Unabhängiges Landeszentrum für Datenschutz Schleswig‑Holstein (autoritatea germană de supraveghere „ULD”) împotriva Wirtschaftsakademie Schleswig‑Holstein GmbH (prestator de servicii în domeniul educației), Curtea a statuat că administratorul paginii de Facebook, urmează a fi considerat operator de date cu caracter personal, deoarece poate seta configurații, parametri, caracteristici după care sunt filtrate datele vizitatorilor paginii și oferite administratorului statistici anonimizate (fapt care se identifică cu termenul de „prelucrare a datelor”), ceea ce îi incubă operatorul respectarea obligațiilor de informare a persoanelor vizate (precum, aducerea la cunoștință cu privire la folosirea modulelor cookies).
7. Mai mult, din nou suntem în prezența unui transfer de date, dintre Facebook și administratorul paginii, care ridică din aceeași întrebare cu privire la legalitatea prelucrării în condițiile aplicabilității noii paradigme juridice data protection.
8. În concluzie, Facebook fiind cea mai populară resursă informațională electronică apare ca un red flag pentru autoritățile europene competente în implementarea GDPR, ceea ce impune luarea unor măsuri de urgență atât în ceea ce ține de platforma de socializare în cauză, cât și a altor entități din afara Uniunii ce sunt active și ating în mod direct interesele cetățenilor ei.
Avocat Alexandru Matei
Associate SĂVESCU & ASOCIAŢII
Vlad Bercu
Collaborator SĂVESCU & ASOCIAȚII
Aflaţi mai mult despre Facebook, GDPR, Vlad BERCU