Jika menyangkut masalah privasi, Pinterest sepertinya bukan aplikasi sosial pertama yang terlintas dalam pikiran. Namun penggunaan iklan pelacakan oleh mesin penemuan visual adalah target keluhan terbaru dari organisasi nirlaba hak privasi Eropa malamyang menuduhnya melanggar Peraturan Perlindungan Data Umum (GDPR) blok tersebut karena gagal mendapatkan persetujuan dari pengguna untuk dilacak dan diprofilkan untuk iklan.
GDPR mengizinkan denda hingga 4% dari omzet tahunan global untuk pelanggaran yang terkonfirmasi sehingga pengaduan tersebut dapat mengakibatkan sanksi besar bagi raksasa teknologi.
Meskipun Pinterest umumnya tidak terdeteksi, sehubungan dengan masalah privasi online — terutama dibandingkan dengan layanan sosial arus utama lainnya yang didanai iklan (seperti Facebook) — perlu diingat bahwa pelacakan dan pembuatan profil perusahaan menjadi pusat perhatian dalam kasus tragis bunuh diri pada tahun 2017 terhadap siswi Inggris, Molly Russell. Dia memasukkan konten pro-bunuh diri ke dalam media sosialnya melalui sejumlah aplikasi, termasuk Pinterest.
Laporan 'Pencegahan Kematian di Masa Depan' pada tahun 2022 oleh petugas koroner Inggris menemukan bahwa “efek negatif konten online” adalah salah satu faktor kematiannya. Hal ini merupakan hasil dari pelacakan dan pembuatan profil pengguna yang dilakukan oleh platform yang didanai iklan tersebut.
Dalam pengaduan yang didukung kaum noyb terhadap Pinterest, yang telah diajukan ke otoritas perlindungan data Prancis, platform tersebut juga dituduh gagal memenuhi permintaan akses data GDPR. Laporan tersebut tidak memberikan informasi mengenai kategori data tentang pelapor yang dibagikan kepada pihak ketiga.
Selain mewajibkan perusahaan memiliki dasar hukum yang valid untuk memproses data masyarakat, GDPR juga memberikan serangkaian hak akses kepada individu di UE, seperti kemampuan untuk meminta salinan informasi mereka.
'Pelacakan rahasia'
Pinterest mengandalkan dasar hukum untuk memproses data orang-orang untuk penargetan iklan yang dikenal sebagai kepentingan sah (LI). Namun, noyb berpendapat penggunaan ini tidak sesuai dengan GDPR.
Hal ini mengacu pada keputusan pengadilan tinggi UE pada bulan Juli 2023 yang menolak kemampuan pemilik Facebook, Meta, untuk menjalankan bisnis iklan pengawasannya sendiri melalui LI* — dengan menyatakan bahwa Pinterest oleh karena itu harus mendapatkan izin dari Eropa untuk menjalankan bisnis 'iklan yang dipersonalisasi' miliknya sendiri.
Saat ini, Pinterest, yang memiliki sekitar 130 juta pengguna regional, melacak semuanya secara default untuk “mempersonalisasi” iklan.
Setiap pengguna Pinterest di Eropa yang tidak ingin dilacak dan diprofilkan dengan cara ini harus mengambil langkah aktif dengan menolak pemrosesannya (GDPR mengharuskan pengguna diberikan kemampuan untuk menolak pemrosesan jika LI adalah dasar hukumnya), melainkan daripada ditanya secara tegas apakah mereka baik-baik saja jika informasi mereka digunakan seperti ini, karena para noyb yakin seharusnya itulah yang terjadi di sini.
“Pinterest diam-diam melacak pengguna Eropa tanpa meminta persetujuan mereka,” kata Kleanthi Sardeli, pengacara perlindungan data di noyb, dalam sebuah pernyataan mengenai keluhan tersebut. “Hal ini memungkinkan platform media sosial mengambil keuntungan secara tidak sah dari data pribadi orang-orang tanpa mereka mengetahuinya.”
“Tampaknya Pinterest secara aktif mengabaikan keputusan Pengadilan Eropa (CJEU) untuk memaksimalkan keuntungannya. CJEU memperjelas bahwa iklan yang dipersonalisasi tidak dapat didasarkan pada kepentingan yang sah,” tambah Sardeli.
Masalah akses data
Keluhan noyb terhadap Pinterest telah diajukan atas nama pengguna yang tidak disebutkan namanya yang dikatakan tidak menyadari bahwa platform tersebut melacaknya tanpa persetujuan.
Dia hanya menemukan pelacakan Pinterest ketika dia melihat pengaturan “privasi dan data” — di mana dia menemukan bahwa “personalisasi iklan” diaktifkan secara default. Dia juga menemukan bahwa platform tersebut menggunakan informasi dari “situs web yang dikunjungi” dan pihak ketiga lainnya untuk menampilkan iklan, serta melacak aktivitas di situsnya untuk tujuan ini. Singkatnya, Pinterest bergerak dalam bisnis iklan pengawasan.
“Praktik ini jelas melanggar hukum sejak diperkenalkannya GDPR pada tahun 2018,” tulis noyb dalam siaran persnya. “Dalam putusannya perkara C252/21 Kantor Kartel Federal pada tahun 2023, Pengadilan Kehakiman Uni Eropa (CJEU) kembali memutuskan bahwa iklan yang dipersonalisasi tidak dapat didasarkan pada kepentingan sah berdasarkan Pasal 6(1)(f) GDPR.”
Pengadu juga mengambil langkah dengan mengajukan permintaan akses data ke Pinterest. Namun salinan data yang dia terima tidak menyertakan informasi apa pun tentang penerima datanya, menurut noyb.
“Bahkan setelah dua permintaan tambahan, Pinterest gagal memberikan rincian tentang kategori data yang dibagikan kepada pihak ketiga,” tulisnya, menambahkan: “Dengan kata lain: Pinterest gagal merespons secara memadai permintaan akses berdasarkan Pasal 15(1) (c) GDPR.”
Keluhan tersebut meminta Pinterest untuk menghapus data apa pun yang telah diproses untuk iklan dan memberi tahu pengguna bahwa mereka telah melakukannya. Perusahaan juga harus memenuhi permintaan akses data pelapor. Selain itu, noyb mendesak agar perusahaan tersebut didenda pada tingkat yang dapat mencegah pelanggaran GDPR di masa depan.
Pinterest telah dihubungi untuk menanggapi keluhan tersebut.
Meskipun noyb telah mengajukan kasus ini di Prancis, di mana regulator (CNIL) memiliki reputasi yang kuat dalam menegakkan keluhan privasi — termasuk seputar masalah persetujuan — ada kemungkinan kasus ini dapat diteruskan ke Komisi Perlindungan Data Irlandia karena Pinterest memiliki wilayahnya sendiri. markas besar di Dublin. (Dan karena mekanisme “satu pintu” GDPR untuk menyederhanakan pengawasan terhadap pengaduan yang menjangkau perbatasan UE.)
Namun, noyb mengatakan kepada TechCrunch bahwa mereka telah mengajukan keluhan terhadap entitas Pinterest yang berbasis di AS, dengan menunjukkan bahwa kebijakan privasi perusahaan menyebutkan Pinterest Eropa dan Pinterest, Inc (yaitu entitas AS) sebagai pengontrol data bersama untuk pemrosesan.
“CNIL oleh karena itu adalah otoritas yang kompeten dan tidak boleh meneruskan pengaduan tersebut ke Irlandia,” sarannya. “Tetapi kami tentu saja tidak tahu apakah mereka akan tetap melakukan hal tersebut.”
* Sementara itu, Meta telah beralih ke dasar hukum berbasis persetujuan untuk pelacakan iklannya. Meskipun demikian, ini adalah versi 'persetujuan' yang memaksa pengguna untuk memilih antara membayar langganan bebas iklan atau menerima iklan pelacakan untuk akses gratis ke layanannya — hal ini kini juga tunduk pada privasi, perlindungan konsumen, dan keluhan persaingan. Tapi itu cerita lain.
