Facebook & GDPR: le conseguenze per l'affiliazione

Dalla scadenza del 25 maggio ci sono state due sentenze che hanno contribuito a mettere un po 'di carne sulle ossa di come appare un mondo post GDPR. Man mano che vengono portati sempre più casi e vengono dati dei ruling, la nostra comprensione di quali siano le migliori pratiche e gli orientamenti futuri inevitabilmente si approfondirà.

Il primo caso legale precede il GDPR, ma è modellato nel contesto delle nuove leggi sui dati e incide su una delle aziende sotto il controllo più attento, Facebook.

Nel giugno 2018, la Corte di giustizia dell'UE (CJEU) ha stabilito che gli amministratori delle fan page di Facebook dovrebbero essere considerati come controllori congiunti dei dati personali trattati in merito alle persone che accedono alle loro pagine.

Partendo da un caso del 2011 che coinvolge Wirtschaftsakademie, una società di formazione tedesca, la sentenza potenzialmente amplia la portata di quali tipi di attività e aziende potrebbero essere classificati come controllori.

Questo è importante da una prospettiva di affiliazione perché, prima che GDPR entrasse in vigore, c'era molta discussione sul settore se gli affiliati fossero processori di dati o controllori di dati. Un processore in generale non "controlla" cosa e come vengono utilizzati i dati e in quanto tale è soggetto a un numero inferiore di obblighi di legge rispetto a un controller di dati.

Sebbene non vi sia alcuna definizione esplicita di processore / controllore per gli affiliati, lo stato si basa sui vari modi in cui vengono utilizzati i dati. Quindi, un'azienda può decidere di essere un processore per certe cose che fanno, ma un controller per l'altro. Indipendentemente dal fatto che lo status non è basato su ciò che un business vorrebbe essere definito come, ma come i regolatori interpretano utilizzano i dati nell'ambito di GDPR.

Ciò che questa sentenza sembra suggerire è che, sebbene gli affiliati possano essersi considerati dei processori, le autorità di regolamentazione avranno un'opinione diversa. Secondo Out-Law.com, "Il giudizio rappresenta un ampliamento significativo del concetto di controllo dei dati ai sensi della legge sulla protezione dei dati dell'UE".

La sentenza è in linea con la visione di Awin sugli affiliati. A maggio abbiamo pubblicato la nostra guida, concludendo affiliati, inserzionisti e Awin sono tutti controllori congiunti in una relazione tripartita:

"Gli editori sono già controllori dei dati trattati per acquisire i propri utenti del sito web; solo loro hanno deciso lo scopo separato: "Prendiamo un po 'di traffico in modo che possano vedere gli annunci che pubblichiamo".

Di recente è emersa anche una sentenza del GDPR, di nuovo dalla Germania. Riguardo allo scopo del trattamento dei dati personali, un tribunale tedesco ha declinato la richiesta della società americana ICANN di giunzione preliminare in quanto non ha fornito prove sufficienti del fatto che la raccolta di determinati dati personali è necessaria per soddisfare lo scopo del contratto sottostante.

Il caso si basa su un rapporto contrattuale che ICANN aveva con il registratore di domini tedesco EPAG, quest'ultimo che accetta di raccogliere dati personali da individui e aziende che acquistano nomi di dominio.

ICANN ha richiesto a EPAG di consegnare alcune informazioni per i contatti tecnici presso le aziende che registrano i domini. EPAG ha rifiutato, sostenendo essenzialmente che i dati non erano necessari per soddisfare lo scopo della relazione e non erano conformi al GDPR.

L'ICANN a sua volta ha intrapreso un'azione legale, tuttavia, un tribunale di Bonn ha confermato la posizione di EPAG, non essendo stato in grado di identificare la necessità dei dati aggiuntivi per lo scopo definito. La decisione incorpora i principi fondamentali di GDPR sulla minimizzazione dei dati e la limitazione delle finalità e sottolinea che il rispetto della legge applicabile - in questo caso il GDPR - prevale sugli obblighi contrattuali. L'ulteriore sviluppo di questo caso è previsto in quanto ICANN ha impugnato la decisione.

Il Consiglio europeo per la protezione dei dati ha affermato che ICANN ha anche bisogno di "giustificare esplicitamente" il motivo per cui è necessario conservare i dati personali oltre il limite di due anni delineato dal GDPR e affermare che, contrariamente a quanto si crede, è un controllore dei dati.

Ulteriori pronunce sono previste nelle prossime settimane e nei prossimi mesi che continueranno a costruire la nostra comprensione su come le nuove leggi vengono interpretate. Awin continua a monitorare la situazione e aggiornerà i nostri consigli e indicazioni in base ai risultati di questi casi.

Affiliati e inserzionisti possono fare riferimento alle informazioni che abbiamo fornito sul portale GDPR di Awin. Le imminenti iniziative che la rete sta intraprendendo sta continuando a sensibilizzare sul trattamento dei dati, monitorando e integrando gli strumenti di consenso sui cookie e rivedendo le nostre procedure di conformità dell'editore.