İtalya’nın rekabet ve tüketici gözlemcisi duyuruldu Google’ın, reklam profillemesi için kullanıcıların faaliyetlerini farklı hizmetler arasında ilişkilendirmek amacıyla kullanıcıların onayını nasıl aldığına ilişkin bir soruşturma başlatarak, reklam teknolojisi devinin “haksız ticari uygulamalar” yapmakla suçlandığından şüphelenildiğini söyledi.
Burada sorun, Google’ın Avrupa Birliği’ndeki kullanıcılardan, Google Arama, YouTube, Chrome ve Haritalar gibi uygulamaları ve hizmetleri arasında etkinliklerini birbirine bağlamak için nasıl izin aldığıdır. Kullanıcı etkinliğini birbirine bağlamak, şirketin ana gelir kaynağı olan reklam hedeflemesi için onları profillemesini sağlar.
Google sözcüsü, İtalyan AGCM’nin soruşturmasına yanıt olarak TechCrunch’a, “Bu davanın ayrıntılarını analiz edeceğiz ve Otorite ile iş birliği içinde çalışacağız.” dedi.
Mart ayının başından bu yana Google, İtalya dahil olmak üzere Avrupa Birliği genelinde uygulanan bir ex-ante rekabet rejimi olan AB’nin Dijital Piyasalar Yasası’na (DMA) tabidir. Şirket, Meta, X, Amazon, ByteDance ve Microsoft gibi bir dizi büyük platformun (diğer adıyla “çekirdek platform hizmetleri”) sahibi olan ve işleten birkaç belirlenmiş internet “kapı bekçisinden” biridir.
Tüm AB düzenlemesi, DMA’nın bu kapıcıların kullanıcıların kişisel verilerini reklam için işlemeden veya hizmetleri genelinde toplanan verileri birleştirmeden önce onay almalarını zorunlu hale getirmesi nedeniyle İtalya’nın Google soruşturmasıyla alakalıdır. AGCM’nin soruşturması ikinci alana odaklanmış gibi görünüyor.
“[T]Google’ın kullanıcılarına sunduğu hizmetlerin bağlantısına ilişkin onay talebi yanıltıcı ve saldırgan bir ticari uygulama teşkil edebilir” AGCM bir basın açıklamasında şöyle yazdı.
“Gerçekten de yetersiz, eksik ve yanıltıcı bilgilerle birlikte görünüyor ve rızanın verilip verilmeyeceği ve ne ölçüde verileceği seçimini etkileyebilir.”
Düzenleyicinin eylemi ilginçtir, çünkü bu kapıcılara karşı yaptırımı genellikle Avrupa Komisyonu yönetir. Ancak, Mart ayında duyurulan DMA kapsamındaki EC’nin Google’a yönelik devam eden soruşturması, kullanıcı verilerini bağlamak için onay alıp almadığına odaklanmıyor. EC, DMA soruşturmasının Google aramasında kendi kendine tercih etme ve Google Play’de yönlendirme karşıtlığı ile ilgili olduğunu söyledi.
İtalyan makamları, Komisyon’un henüz ele alamadığı endişeler konusunda harekete geçmek için fırsatı değerlendiriyor gibi görünüyor.
AB’de ve üye ülkelerde rekabeti koruma uygulamaları genellikle çabaların tekrarlanmasını önlemeyi amaçlar, ancak bu durumda İtalyan düzenleyicinin bu konuda sorumluluk alması söz konusu olabilir.
Google’ın onay akışı mercek altında
AGCM, basın bülteninde, Google’ın kullanıcıların onaylarını isteme talebinin, onlara özgür ve bilgili bir seçim yapmak için gerekli bilgileri sağlamadığı konusunda endişeli olduğunu söyledi. AGCM, bunu yaptığında Google’ın “yetersiz ve kesin olmayan” bilgiler sağladığını söyledi. Düzenleyici, özellikle Google’ın, kullanıcıların hesaplarının bağlanmasına onay verdiklerinde “gerçek etki” konusunda şeffaf olmadığından şüpheleniyor.
Ayrıca, düzenleyici Google’ın tam resmi açıkça ortaya koymadığından şüpheleniyor. Google’ın “kişisel verilerin ‘birleştirilmesi’ ve ‘çapraz kullanımı’nın gerçekleşebileceği Google hizmetlerinin çeşitliliği ve sayısı ve yalnızca bazı hizmetlere ilişkin onayı modüle etme (ve böylece sınırlama) olasılığı” konusunda sağladığı bilgi düzeyi konusunda endişeli.
DMA, hesapların reklam amaçlı bağlanmasına ilişkin onayın, onayın “özgürce verilmiş, belirli, bilgilendirilmiş ve belirsizliğe yer vermeyecek şekilde” olması gerektiğini belirten bir diğer AB yasası olan Genel Veri Koruma Yönetmeliği’nde (GDPR) belirtilen standartlara uyması gerektiğini belirtiyor.
GDPR ayrıca, yazılı ifadeler aracılığıyla çevrimiçi bir arayüzde onayın nasıl alınabileceğine ilişkin koşullar belirler. Bu tür taleplerin “diğer konulardan açıkça ayırt edilebilir bir şekilde, anlaşılır ve kolay erişilebilir bir biçimde, açık ve sade bir dil kullanılarak sunulmasını” gerektirir.
Veri koruma otoriteleri genellikle GDPR’nin uygulanmasında öncülük ederken, DMA’nın öncekinin onay standartlarını referans alarak dahil etmesi burada gördüğümüz şeye yol açıyor: İtalya’nın rakipleri ve tüketici gözlemcisi, Google’ın onay akışını inceliyor.
AGCM, Google’ın kullanıcılara sağladığı bilgiler konusunda endişelenmenin yanı sıra, Nasıl Google insanlardan onaylarını istiyor. Bu, onay istemek için kullandığı “teknik ve yöntemlerin” de bir sorun olabileceğini gösteriyor.
Yetkililer, Google’ın onay akışının “ortalama tüketicinin seçim özgürlüğünü şartlandırabileceğini” ve kullanıcıların “sunulan hizmetlerin çoğulluğu arasında kişisel verilerinin birleştirilmesine ve çapraz kullanımına onay vererek, aksi takdirde almayacağı ticari bir karar almaya yönlendirilebileceğinden” şüphelendiklerini söyledi. Ya da daha kısa bir ifadeyle: Google, insanların hesaplarını bağlamayı kabul etmeleri için onları manipüle ediyor olabilir.
Manipülatif veya sözde “karanlık desen” tasarımı, yıllardır her türlü tüketici hizmetinde çevrimiçi seçim akışlarının talihsiz bir özelliği olmuştur. Ancak AB’de dijital platformlar ve hizmetlere yönelik artan düzenlemeler, sonunda kullanıcı düşmanı taktiğe meydan okuyor gibi görünüyor.
DMA’nın GDPR’nin onay standartlarına atıfta bulunarak daha fazla uygulayıcı kuruluşun seçim akışlarını incelemesini sağlamasının yanı sıra, bloğun Dijital Hizmetler Yasası (DSA), kullanıcıların özgür seçimler yapma yeteneğini çarpıtmak veya engellemek için aldatma veya diğer türden sinsi yönlendirmeler kullanan tasarımların kullanımını tamamen yasaklıyor.
AB, geçtiğimiz hafta, X’teki (eski adıyla Twitter) mavi onay sisteminin yasadışı bir karanlık desen olduğundan şüphelendiğini duyurarak, DSA’nın aldatıcı tasarıma karşı kurallarının ihlal edildiğine dair ilk ön bulgularını doğruladı.