Desde o prazo de 25 de maio, duas decisões ajudaram a proporcionar mais detalhes sobre como é o mundo pós-GDPR. À medida em que mais e mais casos vêm à tona e decisões são tomadas, o nosso entendimento de quais são as melhores práticas e quais as melhores orientações para o futuro se aprofunda.
O primeiro caso legal precede ao GDPR, mas é moldado dentro do contexto das novas leis de dados e tem impacto em uma das empresas que está sob maior análise, o Facebook.
Em junho de 2018, o Tribunal de Justiça da UE (CJEU) determinou que os administradores de fanpages do Facebook devem ser considerados como co-controladores dos dados pessoais processados sobre as pessoas que acessam suas páginas.
Decorrente de um caso de 2011 envolvendo Wirtschaftsakademie, uma empresa educacional alemã, a decisão amplia potencialmente a margem de quais tipos de atividades e negócios podem ser classificados como controladores.
Isso é importante do ponto de vista dos afiliados pois, antes do GDPR entrar em vigor, havia muito conflito na indústria sobre se os afiliados são processadores de dados ou controladores de dados. Um processador geralmente não "controla" o que e como os dados são usados, sendo assim, está sujeito a menos obrigações legais do que um controlador de dados.
Embora não exista uma definição específica de processador/controlador para os afiliados, o status é baseado nas diversas formas em que os dados são utilizados. Assim, uma empresa pode decidir que são considerados processadores de acordo com certas coisas que fazem, mas controladores para outras. De qualquer forma, o status não é baseado no que uma empresa gostaria de ser definida, e sim como os reguladores interpretam o uso de dados dentro da estrutura do GDPR.
O que essa decisão parece sugerir é que, embora os afiliados possam se considerar como processadores, os reguladores terão uma visão diferente. De acordo com Out-Law.com, “O julgamento representa uma ampliação significativa do conceito de controladoria de dados sob a lei de proteção de dados da UE”.
A decisão está alinhada com a visão da Awin sobre os afiliados. Em maio, publicamos nosso próprio guia, concluindo que os afiliados, anunciantes e a Awin são todos controladores conjuntos em um relacionamento a três.
“Os afiliados já são controladores de dados processados para adquirir seus próprios usuários no site; eles apenas decidiram o objetivo separadamente: "Vamos gerar tráfego para que eles possam ver os anúncios que publicamos".
Uma decisão inicial de GDPR também veio à tona recentemente, novamente da Alemanha. No que diz respeito ao processamento de dados pessoais, o tribunal alemão recusou o pedido de junção preliminar da empresa norte-americana ICANN, uma vez que não forneceu provas suficientes de que recolher determinados dados pessoais é necessário para cumprir o objetivo do contrato implícito.
O caso é baseado em um relacionamento contratual que a ICANN tinha com o registrador de domínio alemão EPAG, este último concordando em coletar dados pessoais de indivíduos e empresas que compram nomes de domínio.
A ICANN solicitou que a EPAG entregasse certas informações para os contatos técnicos nas empresas que registravam domínios. A EPAG recusou, argumentando essencialmente que os dados não eram necessários para cumprir o propósito do relacionamento e não estavam em conformidade com o GDPR.
A ICANN, por sua vez, tomou medidas legais. No entanto, um tribunal em Bonn confirmou a posição da EPAG, como não tendo sido capaz de identificar a necessidade dos dados adicionais para o objetivo definido. A decisão incorpora os princípios centrais de minimização de dados e limitação de objetivos do GDPR e destaca que a conformidade com a lei aplicável - neste caso, o GDPR - prevalece sobre as obrigações contratuais. Espera-se um maior desenvolvimento deste caso, pois a ICANN recorreu a decisão.
O Comitê Europeu de Proteção de Dados informou que a ICANN também precisava "justificar claramente" por que é necessário reter dados pessoais além do limite de dois anos descrito no GDPR, além de afirmar que, ao contrário do que a empresa acredita, isto é um controlador de dados.
Mais decisões são esperadas nos próximos meses e semanas que continuarão nos ajudando a entender mais sobre como as novas leis são interpretadas. A Awin continua monitorando a situação e atualizará nossos conselhos e orientações com base nos resultados desses casos.
Afiliados e anunciantes podem consultar as informações que fornecemos no portal GDPR da Awin. As próximas iniciativas em que a rede estará embarcando continuam aumentando a conscientização sobre o processamento de dados, o monitoramento e a integração de ferramentas de consentimento de cookies e a revisão de nossos procedimentos de compliance com afiliados.
