10 miljoen euro boete voor Facebook in Italië

De Italiaanse mededingingsauthoriteit heeft gisteren, 10 december 2018, aan Facebook twee boetes opgelegd van in totaal tien miljoen euro voor het misbruiken van persoonsgegevens door de Amerikaanse social mediareus.  De boete werd opgelegd aan de Europese vestiging van Facebook in Ierland.

italy-map-2-1451544-640x480

Misleidende en agressieve marktpraktijken

De Italiaanse AGCM heeft het voorbije half jaar onderzocht hoe Facebook gegevens van zijn leden gebruikt, zowel intern binnen het bedrijf als op commercieel vlak ten aanzien van adverteerders. De mededingingsauthoriteit stelt daarbij vast dat het bij het aanmaken van een account niet voldoende duidelijk is voor de gebruiker dat er een onderscheid is tussen het gebruik dat Facebook wil maken van de persoonsgegevens van de gebruiker voor enerzijds interne doeleinden (personalisatie van de dienst) en anderzijds commerciële doeleinden (profielopbouw met het oog op geïndividualiseerde reclameaanbiedingen).  Dit gebrek aan transparantie vormt volgens de AGCM een misleidende marktpraktijk en leidt tot een eerste boete.

Daarbovenop krijgt Facebook een tweede geldstraf, deze keer voor het hanteren van agressieve marktpraktijken.  Volgens de AGCM misleidt Facebook zijn leden zodat deze zonder er zich zelf bewust van te zijn automatisch hun persoonsgegevens delen met derde websites en apps voor commerciële doeleinden. Facebook activeert datauitwisseling “by default” totdat de gebruiker een expliciete opt-out geeft, waarbij de gebruiker die effectief opt-out geconfronteerd wordt met een duidelijk verminderde functionaliteit van de Facebook sites en apps.

Een en ander leidt tot een boete vanwege de mededingingsauthoriteit omwille van inbreuken op de consumentenwetgeving in Italië voor een totaal van maar liefst 10 miljoen euro…

En GDPR?

Interessante vaststelling daarbij is dat beide inbreuken in se ook inbreuken zijn op de GDPR en dat in casu de boete dus ook door de Italiaanse gegevensbeschermingsauthoriteit opgelegd had kunnen worden.

De inbreuk die door de AGCM als misleidende marktpraktijk gekwalificeerd werd, is tegelijk ook een inbreuk op de informatieplichten en de toestemmingsvereiste onder GDPR en kan op zich onder GDPR leiden tot een (bijkomende) boete in dezelfde grootteorde als degene die nu werd opgelegd.

De inbreuk die door de Italiaanse mededingingsauthoriteit als agressieve marktpraktijk bestempeld werd, met name het automatisch activeren van datasharing voor commerciële doeleinden is dan weer onder GDPR in strijd met het principe van data protection by design en data protection by default én met de informatieplichten en toestemmingsvereiste en had eveneens onder GDPR tot een gelijkaardige boete kunnen leiden.

Deze beslissing maakt daarmee duidelijk dat GDPR niet geïsoleerd staat en dat bedrijven die de databeschermingsregels niet volgen zich niet enkel zorgen moeten maken over controles door de gegevensbeschermingsauthoriteit, maar dat zij tevens rekening moeten houden met het feit dat controles vanuit andere hoek kunnen komen, met name hier vanuit consumentenbescherming.  Potentieel komt daar ook nog het strafrechtelijke risico bij indien de begane inbreuken als een misdrijf te kwalificeren zijn (misbruik van vertrouwen, oplichting, …), of het algemene verbintenissenrecht.

Een en ander mag een waarschuwing zijn voor Belgische bedrijven.  De Belgische GBA heeft dan wel tot op heden aangekondigd geen actieve controles te zullen uitvoeren en geen boetes te zullen opleggen, maar potentieel zou ook de FOD Economie naar analogie met dit Italiaanse voorbeeld kunnen optreden bij inbreuken op de principes van de GDPR.

Vragen over databescherming of GDPR?

Neem gerust vrijblijvend contact op met ons team op info@siriuslegal.be of via 02 721 13 00