Autoritatea principală de reglementare a datelor din Europa a emis prima sancțiune a unei instituții UE – luând acțiuni de executare împotriva Parlamentului European pentru utilizarea companiei sale de campanii digitale americane, NationBuilder, procesarea datelor alegătorilor cetățenilor înaintea alegerilor de primăvară.

NationBuilder este un veteran al spațiului campaniei digitale – într-adevăr, am acoperit prima dată compania în 2011 – care a devenit aproape omniprezentă pentru campaniile digitale pe unele piețe.

Dar, în ultimii ani, autoritățile europene de reglementare a vieții private au ridicat întrebări cu privire la toate activitățile sale de prelucrare a datelor respectă regulile regionale de protecție a datelor, răspunzând îngrijorării tot mai mari în legătură cu integritatea electorală și manipularea online a alegătorilor.

Parlamentul European a folosit NationBuilder ca procesor de date pentru o campanie de implicare publică pentru promovarea votării la alegerile de primăvară, care a fost condusă printr-un site web numit thistimeimvoting.eu.

Site-ul web a colectat date personale de la peste 329.000 de persoane interesate de campania electorală a UE – date care au fost prelucrate în numele parlamentului de către NationBuilder.

Autoritatea europeană pentru protecția datelor (AEPD), care a inițiat o anchetă în februarie 2019, acționând din proprie inițiativă – și „luând în considerare controversele anterioare legate de această companie”, în comunicatul său de presă, a constatat că parlamentul a încălcat reglementările care reglementează modul în care UE instituțiile pot utiliza date cu caracter personal legate de selectarea și aprobarea subprocesoarelor utilizate de NationBuilder.

Subprocesoarele respective nu sunt numite. (Am solicitat mai multe detalii.)

Parlamentul a primit o a doua mustrare din partea AEPD, după ce nu a publicat o Politică de confidențialitate conformă thistimeimvoting site-ul web în termenul stabilit de AEPD. Deși autoritatea de reglementare spune că a acționat în conformitate cu recomandările sale în cazul ambelor sancțiuni.

AEPD a efectuat, de asemenea, o anchetă continuă pentru a vedea dacă utilizarea Parlamentului de pe site-ul web de mobilizare a alegătorilor și operațiunile de prelucrare a datelor cu caracter personal au fost în conformitate cu normele aplicabile instituțiilor UE (astfel cum este prevăzut în Regulamentul (UE) 2018/1725).

Acțiunile de punere în aplicare nu au fost făcute publice decât în ​​cadrul unei audieri la începutul acestei săptămâni – când supraveghetorul asistent pentru protecția datelor, Wojciech Wiewiórowski, a menționat problema în timpul unei sesiuni de întrebări și întrebări în fața deputaților.

El a făcut referire la anchetă drept „unul dintre cele mai importante cazuri pe care le-am făcut anul acesta”, fără a numi procesorul de date. "Parlamentul nu a fost capabil să creeze acțiuni reale de audit la procesator", le-a spus europarlamentarilor. „Nici controlul modului în care a fost încheiat contractul.”

„Din fericire, nu s-a întâmplat nimic rău cu datele, dar a trebuit să facem ca acest contract să rezilieze datele șterse”, a adăugat el.

Când TechCrunch a solicitat EDPS mai multe detalii despre acest caz marți, un purtător de cuvânt ne-a spus că problema este „încă în desfășurare” și „este finalizată” și că va comunica în curând.

Comunicatul de presă de astăzi pare a fi o situație pozitivă.

În cadrul comunicatului, Wiewiórowski scrie:

Alegerile parlamentare ale UE au venit în urma unei serii de controverse electorale, atât în ​​statele membre ale UE, cât și în străinătate, care s-au concentrat pe amenințarea reprezentată de manipularea online. Normele puternice de protecție a datelor sunt esențiale pentru democrație, în special în era digitală. Ele contribuie la creșterea încrederii în instituțiile noastre și a procesului democratic, prin promovarea utilizării responsabile a datelor cu caracter personal și respectarea drepturilor individuale. Având în vedere acest lucru, începând din februarie 2019, AEPD a acționat în mod proactiv și decisiv în interesul tuturor persoanelor din UE pentru a se asigura că Parlamentul European garantează cel mai ridicat standarde la colectarea și utilizarea datelor cu caracter personal. A fost încurajator să se dezvolte un nivel bun de cooperare între AEPD și Parlamentul European pe parcursul acestei anchete.

O întrebare care se ridică este de ce nu a fost emisă o sancțiune mai fermă în Parlamentul European – dincolo de o mustrare (acum publică), la nouă luni după începerea anchetei.

O altă întrebare este de ce problema nu a fost comunicată mai transparent cetățenilor UE.

PR al AEPD subliniază că acțiunile sale „nu se limitează la mustrări”, fără a explica de ce cele două puneri în aplicare până acum nu meritau acțiuni mai dure. (La momentul scrierii, AEPD nu a răspuns la întrebări de ce până acum nu s-au emis amenzi.)

S-ar putea să vină mai multe.

Autoritatea de reglementare spune că va „verifica în continuare procesele de protecție a datelor parlamentului” – dezvăluind că Parlamentul European a încheiat informarea persoanelor cu privire la intenția revizuită de a păstra datele personale colectate de către thistimeimvoting site web până în 2024.

„Rezultatul acestor verificări ar putea duce la constatări suplimentare”, avertizează acesta, adăugând că intenționează să finalizeze ancheta până la sfârșitul acestui an.

Întrebat despre caz, o purtătoare de cuvânt a Parlamentului European ne-a spus că thistimeimvoting campania a fost menită să motiveze cetățenii UE să participe la procesul democratic și că a folosit un amestec de instrumente digitale și tehnici tradiționale de campanie pentru a încerca să ajungă la cât mai mulți alegători potențiali.

Ea a spus că NationBuilder a fost folosită ca platformă de management al relațiilor cu clienții pentru a sprijini păstrarea legăturii cu potențialii alegători – printr-o ofertă pentru cetățenii interesați să se înscrie pentru a primi informații de la parlament despre alegeri (inclusiv evenimente și informații generale).

Abonații au fost, de asemenea, întrebați despre interesele lor – ceea ce a permis parlamentului să trimită informații personalizate persoanelor care s-au înscris.

Unele dintre preocupările de reglementare din jurul NationBuilder s-au concentrat pe modul în care permite campaniilor să corespundă datelor păstrate în bazele lor de date (de la persoane care s-au înscris) cu date de social media disponibile public, precum un cont Twitter deblocat sau Facebook public. profil.

În 2017, în Franța, după o intervenție a supraveghetorului național de date, NationBuilder a suspendat acest instrument de potrivire a datelor pe piață.

Aceeași caracteristică a atras atenția comisarului informațional din Marea Britanie – care a avertizat anul trecut că partidele politice ar trebui să furnizeze o notificare de confidențialitate persoanelor fizice ale căror date sunt colectate din surse publice, cum ar fi media socială. Cu toate acestea nu sunt.

"ICO este preocupat de partidele politice care utilizează această funcționalitate, fără ca informațiile adecvate să fie furnizate persoanelor afectate", a declarat ICO în raport, încetând să ordone interdicția de a utiliza funcția de potrivire.

Ancheta sa a confirmat că până la 200 de partide politice sau grupuri de campanie au folosit NationBuilder în alegerile generale din Marea Britanie din 2017.

Sursa articol

LĂSAȚI UN MESAJ

Please enter your comment!
Please enter your name here