Cara Facebook menangani data pengguna baru saja menerima pukulan besar dari Mahkamah Eropa (European Court Justice atau ECJ).
Dalam jawaban atas pertanyaan dari pengadilan tertinggi Jerman, Advokat Utama ECJ – yang pendapatnya tidak mengikat tapi pada umumnya diikuti oleh pengadilan – telah membuat penekanan penting pada undang-undang perlindungan data Eropa untuk memastikan bahwa asosiasi konsumen dapat bertindak atas nama individu.
Jika ECJ mengikuti pendapat itu, ini akan memudahkan warga di sana untuk mempertahankan hak mereka melawan raksasa teknologi pada masa depan. Keputusan ini keluar beberapa minggu setelah pengadilan umum Eropa menolak banding Google untuk menggunakan kekuatan platformnya dalam membatasi pesaing.
Ini adalah contoh terbaru dari regulator Eropa yang membuat iklim bisnis semakin dingin bagi perusahaan yang mengontrol data warga – sangat kontras dengan yang terjadi di Amerika Serikat (AS).
Facebook dan consent
Kasus ini terkait dengan bagaimana Facebook, yang sekarang dikenal sebagai Meta, pada tahun-tahun awalnya mendorong pengguna untuk bermain kuis dan permainan seperti FarmVille, lalu membagikan skor kepada semua teman mereka.
Gugatan oleh Federasi Organisasi Konsumen Jerman (VZBV), yang awalnya disidangkan pada 2014, menuduh bahwa pemberitahuan perlindungan data Facebook tidak memaparkan dengan jelas kepada pengguna tentang bagaimana data mereka dapat dibagikan.
VZBV ingin perusahaan seperti ini dilarang menggunakan formulir persetujuan serupa pada masa depan.
VZBV memenangkan kasus awal dan juga banding, sebelum kasus ini naik ke pengadilan tertinggi Jerman pada Mei 2020.
Para hakim setuju bahwa Facebook telah menyesatkan pengguna dengan pemberitahuan tersebut. Tapi mereka tetap meminta pendapat dari ECJ terkait argumen Facebook bahwa hanya individu dan bukan organisasi konsumen yang dapat mengajukan keluhan berdasarkan Peraturan Perlindungan Data Umum (General Data Protection Regulation atau GDPR) Uni Eropa yang mengatur hal ini.
Rekomendasi Advokat Jenderal, menjelang putusan final ECJ pada 2022, menyampaikan bahwa individu biasanya tidak memulai proses hukum terhadap perusahaan besar untuk suatu pelanggaran kecil atas peraturan teknis. Menggugat perusahaan besar atas nama masyarakat adalah hal yang dilakukan oleh organisasi konsumen, sehingga ini akan membatasi perlindungan masyarakat jika hal ini tidak diizinkan.
Pendekatan Facebook terhadap game bukan satu-satunya kasus yang menciptakan pertanyaan tentang bagaimana Facebook memperoleh persetujuan pengguna atas akses pada data mereka. Perusahaan itu diketahui kerap mengirim email yang tidak diminta ke kontak pengguna ketika mereka bergabung dengan suatu jejaring sosial. Perusahaan ini juga meletakkan tombol “like” di situs web pihak ketiga dan mengambil data tanpa meminta persetujuan pengguna.
Satu per satu, regulator nasional di Eropa telah memutuskan bahwa praktik seperti ini adalah ilegal, tapi keputusan selalu muncul setelah masalah ini terjadi. Ketika Facebook diperintahkan untuk membayar €100.000 (Rp 1,6 miliar) oleh regulator Jerman pada 2016 karena mengirim email yang tidak diminta, misalnya, jelas sudah terlambat untuk mempengaruhi perilaku perusahaan dalam masalah tersebut.
VZBV telah berada di garis depan dalam memperjuangkan pertanggungjawaban raksasa teknologi atas data pelanggan sejak awal 2010-an, meski tidak selalu berhasil.
Mereka gagal dalam upaya untuk menghentikan Facebook yang mengklaim platformnya “akan gratis digunakan selamanya”, sambil terus membuat pengguna membayar harga itu dengan data pribadi mereka.
VZBV juga gagal menuntut Facebook untuk mengizinkan pengguna menggunakan nama samaran. Facebook telah menolak dengan dalih masalah keamanan, tapi mungkin juga karena data konsumen yang dapat diidentifikasi lebih berharga daripada data anonim.
GDPR dan peraturan mendatang
Seiring Facebook dan perusahaan media sosial lainnya terus mengembangkan teknik baru untuk memanen data konsumen, GDPR diadopsi oleh Uni Eropa pada 2018 sebagai kerangka kerja umum untuk memperjelas aturan.
Ini memberi pengguna lebih banyak kendali dan hak atas data mereka sendiri, yang membutuhkan persetujuan (consent) yang jelas sebelum dapat digunakan.
Sambil menunggu keputusan tentang organisasi konsumen, ECJ baru-baru ini memutuskan bahwa badan pengawas privasi nasional dapat secara langsung mendenda perusahaan teknologi dengan peraturan GDPR atas pelanggaran terhadap warganya.
Facebook telah mengklaim hanya otoritas Irlandia yang bisa melakukan ini, karena kantor pusat Uni Eropa ada di sana. Kasus ECJ yang akan datang akan berujung pada pemberian wewenang serupa kepada otoritas anti-monopoli.
Aturan Uni Eropa (UE) seputar perusahaan teknologi besar juga dipersiapkan untuk diperkuat pada 2022 dengan Undang-Undang (UU) Layanan Digital dan UU Pasar Digital. Aturan ini mencakup pembatasan penyebaran konten yang tidak terverifikasi dan seringkali mengandung kebencian yang tidak terkendali, dengan potensi sanksi sebesar 10% dari pendapatan tahunan perusahaan.
Dan walau ada kontroversi tentang hilangnya aturan perlindungan data UE setelah Brexit, sebuah rancangan Undang-Undang (RUU) Keamanan Online di Inggris – yang bisa dibilang akan bergerak lebih jauh lagi – sedang diarahkan ke tujuan yang sama, dengan tidak hanya denda yang serupa tapi juga potensi hukuman penjara bagi para eksekutif akibat pelanggaran.
RUU itu mungkin bahkan dapat membuat Facebook bertanggung jawab atas penipuan oleh perusahaan lain yang beriklan di platform itu.
Negara-negara besar Uni Eropa seperti Jerman, Prancis, dan Belanda juga menginginkan UU Layanan Digital untuk memblokir strategi utama teknologi besar untuk menarik pengguna baru: mencari perusahaan internet yang tidak menguntungkan tetapi sukses, lalu membeli teknologi dan basis pengguna mereka.
Inggris sekarang secara tegas berada di jalur yang sama, karena Otoritas Persaingan dan Pasar di sana baru saja memerintahkan Facebook/Meta untuk menjual Giphy, gudang GIF terbesar di internet, yang dibeli pada 2020 seharga $400 juta dolar AS (Rp 5,7 triliun).
Dengan demikian, regulator Eropa mempreteli model bisnis raksasa teknologi satu demi satu. Regulasi data Eropa juga menjadi standar global de facto karena untuk diizinkan beroperasi di Eropa (yang menghasilkan seperempat keuntungan tahunan Facebook), perusahaan teknologi global sering kali harus mematuhi aturan Eropa yang lebih ketat secara menyeluruh.
Logika Eropa adalah bahwa pengumpulan data pribadi kerap kali merupakan penipuan. Orang-orang peduli dengan privasi tapi mereka memberikan data mereka dengan imbalan hampir nihil, dan pemerintah harus melindungi mereka.
Regulator AS menganggap ini sebagai suatu sikap merendahkan, dengan keputusan Mahkamah Agung AS hampir 20 tahun yang lalu bahwa perusahaan dominan bebas untuk mengeksploitasi konsumennya.
Seorang pelapor baru-baru ini, Frances Haugen, telah memprovokasi refleksi di AS, tapi mungkin pada akhirnya tetap harus berjuang untuk dapat melakukan perubahan pada aturan seputar data dan konten.
Dengan negara seperti Inggris yang kini dengan kuat mengikuti jalur UE, AS menjadi semakin sendirian dalam sikap ini.
Meta masih bebas menghasilkan uang dari pengguna Facebook mereka yang ada di Eropa. Tapi ketika generasi muda meninggalkan Facebook dan lebih memilih TikTok dan Snapchat, Facebook menghadapi kesulitan yang semakin besar dalam menjangkau mereka dan mengumpulkan informasi yang diperlukan untuk menjual profil mereka kepada pengiklan.
Oleh karena itu, mungkin sudah saatnya bagi perusahaan seperti Facebook untuk mencari sumber pendapatan baru.
Rachel Noorajavi menerjemahkan artikel ini dari bahasa Inggris.