Investigasi multi-tahun ke entitas induk TechCrunch, Yahoo – melihat kepatuhan dengan persyaratan transparansi utama Peraturan Perlindungan Data Umum (GDPR) Uni Eropa, termasuk dalam kaitannya dengan spanduk cookie yang ditampilkan di properti medianya – telah mengambil langkah maju hari ini setelah Irlandia Komisi Perlindungan Data (DPC) mengumumkan telah menyerahkan draf keputusan ke badan perlindungan data UE lainnya untuk ditinjau.

Dalam sebuah pernyataan tentang perkembangan tersebut, wakil komisaris Graham Doyle mengatakan:

Pada tanggal 27 Oktober 2022, DPC mengajukan draf keputusan dalam penyelidikan ke Yahoo! EMEA Terbatas untuk Otoritas Pengawas Terkait lainnya di seluruh UE. Penyelidikan memeriksa kepatuhan perusahaan terhadap persyaratan untuk memberikan informasi yang transparan kepada subjek data berdasarkan ketentuan GDPR. Berdasarkan proses GDPR Pasal 60, Otoritas Pengawas Terkait memiliki waktu hingga 24 November 2022 untuk mengirimkan ‘keberatan yang relevan dan beralasan’ terhadap draf keputusan DPC.

Mengikuti prosedur biasanya, DPC belum merilis detail apapun tentang substansi draf keputusannya. Bagaimanapun, hasilnya belum final sampai DPA lain yang tertarik telah mempertimbangkan – jadi belum ada yang disimpulkan.

Penyelidikan menyangkut pemrosesan data pengguna Eropa oleh Yahoo dan difokuskan pada kepatuhannya terhadap Pasal 5(1)(a), 12, 13, dan 14 GDPR — sehingga DPA akan mempertimbangkan apakah bisnis Yahoo telah memenuhi persyaratan GDPR untuk pemrosesan data pribadi agar sah, adil, dan transparan; dan juga apakah sudah berkomunikasi dengan benar kepada pengguna bagaimana data mereka diproses.

Jika DPA lain setuju dengan draf Irlandia, keputusan akhir dapat segera dikeluarkan – bahkan mungkin dalam beberapa bulan.

Namun, jika keberatan diajukan, prosesnya mungkin perlu melalui mekanisme penyelesaian sengketa di GDPR — yang dapat menyelesaikan masalah selama berbulan-bulan lagi. (Draf keputusan tentang pemrosesan data anak-anak Instagram masuk ke Pasal 60 pada Desember 2021 tetapi keputusan akhir (dan denda yang besar dalam kasus itu) membutuhkan waktu hingga September 2022 untuk mendarat setelah DPA lain mengajukan keberatan terhadap draf Irlandia, misalnya.)

Investigasi DPC terhadap Yahoo dimulai pada Agustus 2019, ketika entitas tersebut dikenal sebagai Verizon Media (neé Oath) dan berutang kepada operator AS Verizon. Yang terakhir kemudian menjual divisi tersebut, pada Mei 2021, ke raksasa ekuitas swasta, Apollo Global Management — yang menawarkan rebranding retro (ke Yahoo). Jadi raksasa PE yang dibiarkan memegang eksposur peraturan di sini.

Berbicara kepada Irish Independent pada tahun 2019, komisaris DPC, Helen Dixon, mengatakan bahwa penyelidikan berfokus pada masalah transparansi terkait dengan publikasi yang dioperasikan oleh perusahaan dan dibuka sebagai tanggapan atas berbagai keluhan dari individu tentang situs media Yahoo — termasuk di atas spanduk cookie dia kata kadang-kadang “secara efektif” tidak menawarkan pilihan kepada pengguna — di luar ‘opsi’ untuk mengeklik “oke”.

Yahoo memiliki serangkaian properti media bermerek Yahoo, termasuk Yahoo News, Yahoo Finance, Yahoo Sports dll, situs media teknologi seperti Engadget (dan situs internet ini) — serta, pada saat DPC membuka penyelidikannya, HuffPo dan tumblr — yang ditautkan oleh perusahaan ke bisnis periklanan daringnya melalui penggunaan cookie pelacak yang dijatuhkan di perangkat pengunjung. Oleh karena itu, spanduk persetujuan cookie ini muncul dengan informasi tentang ‘mitra’ iklan dan tujuan pemrosesan.

Masalahnya, di bawah GDPR, agar persetujuan menjadi dasar hukum yang valid untuk memproses data orang, itu harus diinformasikan, diberikan secara spesifik dan bebas — sehingga spanduk cookie yang tidak memiliki opsi bagi pengguna untuk menolak pelacakan iklan akan menarik keluhan bahwa itu tidak menawarkan pilihan bebas yang diperlukan.

Verizon Media tampaknya telah membuat perubahan penting pada desain spanduk cookie-nya (sekitar musim semi 2021) — setelah DPC membuka penyelidikannya — yang mengubah penerapan alur persetujuan untuk menyertakan tombol penolakan.

Versi spanduk cookie Yahoo saat ini (ditampilkan di bawah ditampilkan di situs web Yahoo) dapat dilihat termasuk dua opsi ‘tolak semua’:

Tangkapan layar: Natasha Lomas/TechCrunch

Di sisi yang kurang positif, spanduk cookie ini mencoba untuk mengklaim alasan “kepentingan yang sah” (yaitu non-persetujuan) untuk memproses data orang untuk penargetan iklan (dan menyetelnya ke ‘aktif’ secara default) — tetapi Anda setidaknya dapat menyangkal hal ini dengan memilih “tolak semua” di bawah bidang LI.

Implementasi spanduk cookie Yahoo saat ini — setidaknya pada versi yang kami lihat — juga menurunkan tombol tolak ke tingkat kedua menu — alih-alih menampilkannya di tingkat atas, di samping opsi “terima semua” yang ditampilkan di sana.

Ini berarti pengguna harus mengklik “kelola pengaturan” bahkan sebelum mereka dapat melihat opsi tolak semua (sementara menu tingkat kedua ini panjang dan memerlukan pengguliran) — sehingga desain tweak dapat menimbulkan keberatan baru dari regulator karena tidak menawarkan persamaan cara mudah untuk menolak pelacakan karena mengizinkannya.

Namun, masih harus dilihat apa yang akan diputuskan oleh DPA UE terkait keluhan Yahoo secara keseluruhan. Karena keluhan mendahului penerapan spanduk cookie ini, penyelidikan mungkin tidak mempertimbangkan desain saat ini sedekat melihat yang lama yang menjaring Yahoo semua keluhan ini. (Meskipun DPA juga dapat mempertimbangkannya dalam urutan apa pun kepada perusahaan untuk mengubah desain spanduk dalam keputusan akhir.)

Satu hal yang jelas: Persetujuan cookie untuk pelacakan iklan semakin mendapat perhatian dari regulator UE.

Awal tahun ini, CNIL Prancis memukul Google dan Facebook dengan denda besar terkait pola gelap pada spanduk cookie (di bawah ePrivacy Directive, yang — tidak seperti GDPR — tidak mengharuskan keluhan lintas batas disalurkan ke DPA utama, seperti yang telah terjadi di sini dengan keluhan Yahoo).

Beberapa bulan kemudian Google memperbarui spanduk kukinya di Eropa untuk menyertakan tombol tolak semua tingkat atas.

Tahun lalu, pengawas perlindungan data Inggris juga menerbitkan sebuah opini yang mendesak industri pelacakan iklan untuk bersiap mereformasi dan memperlengkapi kembali adtech mereka untuk memberi pengguna pilihan non-profil dan pro-privasi lainnya — menandakan bahwa mereka mengharapkan perubahan arah yang besar dari pengawasan massal pengguna web berdasarkan desain dan default.

Sejak tahun lalu, grup kampanye privasi Eropa, noyb, juga telah menjalankan kampanye penegakan GDPR besar-besaran yang bertujuan mendorong sejumlah situs web untuk mereformasi spanduk cookie yang tidak sesuai dengan mengirimkan keluhan langsung kepada mereka, tetapi juga memberikan analisis gratis tentang penyesuaian yang diperlukan untuk menyesuaikan pop-up cookie mereka dengan GDPR. Hanya situs-situs yang menolak perubahan yang diperlukan akan menghadapi keluhan tentang mereka yang diajukan oleh noyb dengan DPA yang relevan.

Awal tahun ini ia merilis sekumpulan contoh ‘sebelum dan sesudah’ tentang bagaimana sejumlah situs ritel terkenal mengadaptasi spanduk cookie mereka sebagai tanggapan atas kampanye proaktifnya — dengan tambahan tombol “tolak semua” tingkat atas menjadi tindakan kepatuhan utama yang diambil oleh banyak target reformasi noyb.

Nirlaba juga telah mengajukan sejumlah keluhan tentang penolakan reformasi spanduk cookie dengan regulator – 226 telah diajukan ke 18 otoritas perlindungan data per Agustus – meskipun penegakan tetap tertunda karena prosedur sedang berjalan.