Η Google κατηγορείται από την ομάδα ανάπτυξης του Brave browser ότι παραβιάζει μία από τις αρχές του Γενικού κανονισμούς για την προστασία δεδομένων (GDPR) σχετική με την απαίτηση από τις εταιρείες να αναφέρουν ένα συγκεκριμένο σκοπό για τη συλλογή και επεξεργασία των προσωπικών δεδομένων.
Σε μια καταγγελία [PDF] που κατατέθηκε στην Ιρλανδική Επιτροπή Προστασίας Δεδομένων (Irish Data Protection Commission ή DPC), ο Brave browser που βασίζεται στο Chromium υποστηρίζει ότι η πολιτική απορρήτου της Google παραβιάζει την αρχή “οριοθέτηση σκοπού” (purpose limitation) του GDPR καθώς “δεν διευκρινίζει ρητά τους σκοπούς για τους οποίους συλλέγονται τα δεδομένα και υποβάλλονται σε επεξεργασία”.
Η αρχή της οριοθέτησης του σκοπού του GDPR απαιτεί από όλους τους οργανισμούς που συλλέγουν και επεξεργάζονται προσωπικά δεδομένα να αναφέρουν επακριβώς τον σκοπό τους στους καταναλωτές.
Η πολιτική απορρήτου της Google είναι “απερίγραπτα ασαφής και μη ειδική”, σύμφωνα με τον επικεφαλής της πολιτικής του Brave, Johnny Ryan που ανέφερε ότι οι λόγοι που γράφει η Google για τη συλλογή δεδομένων είναι πολύ γενικοί για τον τρόπο χρήσης των πληροφοριών, όπως το για την “ανάπτυξη νέων υπηρεσιών.”.
Ο Ryan ισχυρίζεται επίσης ότι ενώ η Google παρέχει προσαρμοσμένες διαφημίσεις στους χρήστες βάσει των ενδιαφερόντων τους, δίνει πολύ περιορισμένες πληροφορίες για την επεξεργασία που υπόκεινται τα δεδομένα, και γιατί οι χρήστες βλέπουν μια συγκεκριμένη διαφήμιση.
Η καταγγελία συμπεριλαμβάνει επίσης μια μελέτη, που ονομάζεται Inside the Black Box [PDF]. Η έρευνα διαχωρίζει τους σκοπούς επεξεργασίας της Google για τη συλλογή προσωπικών δεδομένων από ιστότοπους, εφαρμογές και λειτουργικά συστήματα. Τα δεδομένα έρχονται από πολλές διαφορετικές πηγές, και πολλές φορές χρησιμοποιούνται για διαφορετικούς σκοπούς, όπως τα analytics, ή την διαφήμιση.
Αναφερόμενος στη μελέτη, ο Ryan ισχυρίζεται ότι οι σκοποί της Google “έχουν τόσο ασαφή ορισμό ώστε να μην έχουν κανένα νόημα ή περιορισμό … το αποτέλεσμα είναι μια απόλυτη ελευθερία που παραβιάζει αρχές του GDPR”.
“Τα νέα στοιχεία του Brave αποκαλύπτουν ότι η Google επαναχρησιμοποιεί τα προσωπικά μας δεδομένα μεταξύ των επιχειρήσεων και των προϊόντων της με καταπληκτικούς τρόπους που παραβιάζουν την αρχή του περιορισμού του σκοπού. Τα εσωτερικά δεδομένα της Google είναι ελεύθερα για όλους και παραβιάζουν τον GDPR”.
Η ομάδα ανάπτυξης του Brave ζήτησε από την Google να δώσει μια πλήρη και επαρκώς συγκεκριμένη λίστα με τους σκοπούς για τους οποίους η εταιρεία επεξεργάζεται τα προσωπικά δεδομένα, καθώς και τις σχετικές νομικές βάσεις για κάθε σκοπό. Η Google φέρεται να έχει αρνηθεί επανειλημμένα να δώσει κάποια ουσιαστική εξήγηση για τους σκοπούς επεξεργασίας δεδομένων στην ομάδα του Brave.
Το DPC διενεργεί ήδη μια έρευνα για τον τρόπο με τον οποίο η Google επεξεργάζεται και διαχειρίζεται τα δεδομένα των χρηστών της. Με την έρευνα αυτή, η Ιρλανδική ρυθμιστική αρχή επιδιώκει να καταλάβει εάν η εταιρεία διαθέτει ή όχι κάποια νομική βάση για την επεξεργασία των δεδομένων τοποθεσίας του χρήστη και αν οι διαδικασίες αυτές είναι αρκετά διαφανείς για τον GDPR.