Em 22 de março de 2018, apenas dois meses antes do GDPR entrar em vigor na Europa, o Google anunciou em seu blog que atualizaria sua política de consentimento na União Europeia, exigindo que os publishers tomassem medidas extras para conseguir o consentimento de seus usuários. Como parte de seu compromisso de conformidade, o Google designou a si mesmo como um controlador de dados mediante o GDPR, em vez de um processador de dados, como muitos na indústria esperavam baseados no entendimento sobre o GDPR e o papel do Google no ecossistema. O ExchangeWire traz a seguir o texto publicado originalmente no site inglês sobre os impactos da decisão do Google na vida dos publishers.

O Google se autointitula “controller” porque a empresa toma regularmente decisões de dados para entregar e melhorar produtos de anúncios, em vez de apenas processar esses dados, com base nas decisões do veículo. Sob o rótulo de "controlador", o Google está adotando um posicionamento rígido quanto ao consentimento do usuário, em vez de reivindicar interesse legítimo. Essa postura pode ser tranquilizadora para o anunciante, pois significa que o Google está assumindo a responsabilidade adicional sobre como os dados estão sendo processados. No entanto, é uma notícia muito desagradável para o Publisher, sem contar que colocou a comunidade de veículos em uma situação fora de controle.

Organizações internacionais de veículos uniram forças para escrever uma carta aberta ao CEO do Google, Sundar Pichai, expressando fortes preocupações dos veículos sobre o que a essa decisão da empresa significará para os esforços desses veículos para entrar em conformidade com o GDPR, bem como colocando um número de perguntas para as quais exigem respostas imediatas. A carta, assinada pelo CEO da Digital Content Next, Jason Kint; Angela Mills Wade, diretora executiva do European Publishers Council; David Chavern, presidente e CEO da News Media Alliance; e David Newell, CEO da News Media Association, destaca uma série de preocupações com a autocategorização do Google como um controlador de dados e o ônus que isso impõe agora aos veículos, tão próximo do prazo para o GDPR.

“Como o maior fornecedor de serviços de publicidade digital para os publishers", afirma a carta, referindo-se ao Google, "consideramos especialmente preocupante que você esperasse até o último minuto antes do GDPR entrar em vigor para anunciar esses termos, à medida que os veículos agora têm pouco tempo para avaliar a legalidade ou imparcialidade de sua proposta e como melhor considerar seu impacto nos próprios planos de conformidade com o GDPR, que estão em andamento há muito tempo".

A carta aberta reitera que todas as empresas precisam descobrir por si mesmas como alcançar a conformidade quanto ao GDPR e que não existe uma solução única para todos, ao passo que acusa o Google de ser completamente egoísta, argumentando que sua proposta "fica severamente aquém em muitos níveis" já que reside sob um viés aparentemente apenas focado em "proteger o modelo de negócio existente [do Google] de uma forma que possa prejudicar os propósitos fundamentais do GDPR e os esforços dos veículos para seguir a lei".

A carta sustenta que, de acordo com a estrutura definida pelo Google, ele contará com os veículos para obter o consentimento válido em seu nome, para que processe esses dados pessoais em seu benefício próprio, sem fornecer detalhes sobre como esses dados serão usados. Basicamente, o Google ofereceu aos publishers a “escolha de Hobson”: aceitar ou sair de mãos vazias.

Os veículos estão enfrentando um grande problema com o fato de que o Google ditará como eles obtêm o consentimento, além da ameaça da empresa de tecnologia de parar de exibir anúncios em sites cujo método, também conhecido como mecanismo de consentimento, não estiver à altura. Os órgãos comerciais denominam o comportamento de anticompetitivo: “se o Google ditar como esse mecanismo deve funcionar e prescrever o número de empresas com as quais um veículo pode trabalhar, isso limitaria a escolha de empresas com as quais qualquer veículo pode obter consentimento, ou fazer integração, a um número muito pequeno definido pelo Google”.

Essas entidades comerciais acreditam que o Google designa a si mesmo como um controlador independente; além disso, transferir a responsabilidade de obter consentimento para os ombros dos publishers é preocupante por três razões principais.

Controller

O Google não deve ser considerado como um controlador de dados recebidos de publishers ou coletados em páginas de veículos em relação aos serviços de publicidade fornecidos a eles. Além disso, uma divulgação completa referente a que o Google pretende fazer com esses dados deve ser fornecida: “reivindicar direitos tão amplos sobre todos os dados do ecossistema, sem divulgação completa e sem fornecer aos publishers a opção em que o Google atue como um processador para certos tipos de dados, parece ser um abuso intencional do poder [do Google] sobre o mercado”.

Consentimento

O Google afirma que precisará de "consentimento expresso e afirmativo" como base legal para processar os dados dos cidadãos europeus. Para entender o que isso significa, é importante esclarecer a definição de "base legal". Para processar os dados legalmente, o controlador de dados (neste caso, o Google e o publisher) deve ter uma "base legal" para a atividade de processamento específica em andamento. Isso significa que o controlador pode usar esses dados para uma finalidade específica, mas seria ilegal usar os mesmos dados em um contexto diferente.

Ao definir o consentimento como base legal, em vez de interesse legítimo, o Google exige que todos os usuários concordem fisicamente com o processamento de seus dados e com os métodos com os quais serão processados. Mas o Google quer que os veículos obtenham esse consentimento em seu nome, especificamente para "coleta, compartilhamento e uso de dados pessoais para personalização de anúncios ou outros serviços". O problema com isso, conforme descrito na carta ao Google, é que os publishers não receberão informações específicas sobre como o Google planeja coletar, compartilhar e usar esses dados. Como um publisher pode obter o consentimento do usuário de acordo com o GDPR, se ele não tiver ideia do que vai acontecer com os dados para os quais o usuário forneceu o consentimento?

Além disso, uma vez que o Google força os veículos a obterem consentimento como a base legal, essencialmente, impede que eles processem dados sob a base legal alternativa de interesse legítimo, algo que podem querer fazer fora dos propósitos da publicidade digital.

Responsabilidade

A carta destaca a preocupação com a tentativa do Google de transferir a responsabilidade pelo consentimento aos veículos. O Google se recusa a fornecer detalhes específicos aos publishers sobre suas práticas pretendidas, no que diz respeito ao processamento dos dados do usuário, contudo, apesar disso, fará com que o publisher assuma o ônus total da responsabilidade e potencialmente multas enormes caso não consiga obter "consentimento expresso e afirmativo" em nome da gigante de tecnologia.

Existem muitos contratos em vigor entre Google e veículos, pelos quais o veículo concorda em compensar o Google por qualquer eventual perda. Os termos mais recentes que descrevem a estrutura para a conformidade com o GDPR são, na verdade, mencionados nesses contratos existentes, o que significa que o publisher não tem retorno e pode ser arruinado. A carta está pressionando pela indenização mútua, com limitações no nível de responsabilidade contra o veículo.

Os órgãos comerciais querem respostas e estão implorando ao Google para deixar claro suas intenções enquanto controlador de dados mediante o GDPR. A abordagem "pegar ou largar" do Google está deixando os publisher desamparados e o tempo está passando.