Material de opinie de Silvia Axinescu, Senior Managing Associate, și Mădălina Spătaru, Associate, Reff & Asociații | Deloitte Legal
Anul 2022 a debutat cu activitate intensă în zona protecției datelor cu caracter personal. Autoritățile de supraveghere din Europa au emis, în prima lună din an, orientări și opinii pentru implementarea adecvată a prevederilor legale, dar au aplicat și numeroase sancțiuni pentru încălcarea acestora de către operatorii de date. Unul dintre aspectele ce atrage din ce în ce mai mult interesul autorităților în materia protecției datelor la nivelul Uniunii Europene (UE) privește și conformarea cu legislația aplicabilă în materia cookie-urilor sau tehnologiilor similare. În această direcție, există un număr semnificativ de orientări, bune practici sau recomandări privind modalitatea de conformare, emise de autoritățile de supraveghere din Olanda, Franța sau Spania, Danemarca, Grecia, Italia sau, mai recent, din Croația sau Cehia.
În ultimii ani, operatorii, indiferent de industrie, adoptă atitudini și implementări diferite, dar și eronate, în ceea ce privește instrumentele de gestionare a modulelor de cookie, în ciuda numeroaselor recomandări emise de autorități. De cele mai multe ori, acest lucru se întâmplă întrucât implementarea mecanismelor de gestionare este tratată ca un simplu element de pe o lungă listă de „cerințe GDPR” care trebuie bifat.
Dar investigațiile soldate cu amenzi, din ce în ce mai des întâlnite în ultimul timp în jurisdicții diferite, pot influența gradul de conștientizare a societăților care folosesc astfel de tehnologii cu privire la conformare. Exemple în acest sens există în Spania, unde a fost aplicată o amendă de 30.000 de euro pentru lipsa unui instrument cu privire la managementul cookies, în Belgia - o amendă de 15.000 de euro pentru folosirea unui banner de cookie inițial fără a solicita consimțământul utilizatorului, ulterior cu consimțământul pre-bifat - și, mai recent, răsunătoarele decizii din Franța de sancționare a Google și Facebook pentru implementarea neadecvată a banner-ului de cookie.
Ce prevede legislația și care sunt așteptările utilizatorilor în această zonă?
Pentru a folosi astfel de tehnologii de colectare a informațiilor, site-urile trebuie să obțină consimțământul prealabil al utilizatorului, în acord cu cerințele europene, reglementate prin Directiva E-privacy, implementată în România prin Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal și protecția vieții private în sectorul comunicaților electronice. Important este faptul că aceste reguli se aplică indiferent dacă se prelucrează sau nu date cu caracter personal.
Regula are și excepții, care prezintă mult mai mult interes, având în vedere mai ales rațiunile comerciale privind utilizarea informațiilor respective. Potrivit legislației naționale, consimțământul utilizatorului nu este obligatoriu dacă cookie-urile sunt necesare strict pentru transmiterea unei comunicări sau doar pentru funcționarea serviciului solicitat de utilizator (orice serviciu online).
Așadar, se poate observa că numeroase tipuri de cookies, precum cele colectate în scop statistic sau de marketing, nu se încadrează în niciuna din excepțiile prevăzute de lege. Totuși, luând în considerare și nuanțările oferite de unele autorități europene în materie (precum cea din Spania, în legătură cu anumite cookie-uri de marketing, sau cea din Franța, în legătură cu cookie-urile privind informațiile statistice și care impun totodată respectarea unor condiții specifice), se poate analiza necesitatea obținerii consimțământului de la caz la caz și se poate decide maniera de implementare în consecință (facilă, user-friendly, dar în conformitate cu rigorile legislației).
Viitorul regulament privind viața privată și comunicațiile electronice
Având în vedere modalitatea în care majoritatea site-urilor au implementat informarea sau obținerea consimțământului pentru cookie-uri, dar și maniera în care utilizatorii se raportează la acestea în practică, este evident că legislația actuală (locală, dar și europeană) nu și-a atins scopul.
Din acest motiv, trebuie precizat că viitorul regulament relaxează în oarecare măsură cadrul de reglementare, astfel încât mai multe tipuri de cookie să fie exceptate de la obținerea consimțământului. Spre exemplu, anumite cookie-uri statistice, cum ar fi cele de măsurare a traficului web sau cu privire la numărul de utilizatori finali ai unei aplicații, ar putea fi exceptate în anumite condiții de la obținerea consimțământului. Totodată, potrivit proiectului de regulament, interesul vital al utilizatorului ar putea fi folosit ca temei pentru utilizare, aspect nereglementat de legislația actuală și a cărui implementare practică va fi interesant de urmărit.
Necesitatea evaluării cookie-urilor la nivelul fiecărui site sau aplicații utilizate
Cele mai recente recomandări și decizii în materie subliniază ceea ce era de mult expus de profesioniști, respectiv că implementarea unui modul de obținere a cookie-ului, informarea utilizatorului și redactarea unei politici privind utilizarea acestor instrumente de către un site sau o aplicație nu sunt suficiente dacă nu reflectă realitatea „din teren” sau dacă preferințele ori opțiunile utilizatorilor nu sunt stocate efectiv. Spre exemplu, în cazul unor businessuri complexe (precum instituții financiare, societăți de asigurare sau alte entități obligate să asigure o protecție sporită a rețelelor și site-urilor), anumite cookie-uri intră în responsabilitatea directă a propriilor departamente de IT, neputând fi regăsite în baze de date publice. De asemenea, este extrem de important modul în care un cookie este folosit, anumite module putând avea utilizări multiple.
Din acest motiv, devine utilă maparea cookie-urilor în sensul evaluării acestora pentru fiecare caz în parte, cu scopul de a determina, în primul rând, care este întreaga plajă de cookie-uri utilizate, tipul acestora (first party sau third party) și scopul urmărit (publicitate, statistică, securitate etc.), dar și aspecte precum temeiul legal aplicabil, bunele practici sau recomandări pentru obținerea consimțământului, perioada de stocare a datelor, transparența față de utilizator, reducerea eventualelor riscuri aferente neconformării prin adoptarea unor măsuri tehnice și organizaționale care corespund cel mai bine modelului propriu de business.
Noi tendințe în domeniu
La capitolul noutăți, este de menționat mult așteptata decizie emisă de autoritatea de supraveghere din Belgia cu privire la așa-numitul Tranparency and Consent Framework (TCF), instrumentul pentru cookie-uri dezvoltat de asociația europeană în materie de publicitate – IAB Europe -, prin care s-a stabilit în mod clar că folosirea acestora nu se poate întemeia pe interesul legitim al utilizatorului. Prin efectul acestei decizii, nenumărate website-uri ce utilizau instrumentul TCF sau altele similare, inclusiv cele operate de pe teritoriul României, trebuie să își regândească modalitatea de utilizare a cookie-urilor, prin implementarea unor mecanisme conforme cu legislația în vigoare.
În concluzie, atenția acordată cookie-urilor este binevenită, într-un context în care asistăm la o reală revoluție a internetului, spațiu în care atât datele cu caracter personal, cât și meta-datele reprezintă unul din elementele principale. În acest context, utilizatorii trebuie să aibă posibilitatea să controleze modalitatea în care informația ce îi privește este stocată și deopotrivă utilizată. Așadar, este de urmărit modalitatea în care industria va evolua ca urmare a acestei decizii, în prim plan aflându-se, desigur, sectorul de publicitate online.
Anul 2022 a debutat cu activitate intensă în zona protecției datelor cu caracter personal. Autoritățile de supraveghere din Europa au emis, în prima lună din an, orientări și opinii pentru implementarea adecvată a prevederilor legale, dar au aplicat și numeroase sancțiuni pentru încălcarea acestora de către operatorii de date. Unul dintre aspectele ce atrage din ce în ce mai mult interesul autorităților în materia protecției datelor la nivelul Uniunii Europene (UE) privește și conformarea cu legislația aplicabilă în materia cookie-urilor sau tehnologiilor similare. În această direcție, există un număr semnificativ de orientări, bune practici sau recomandări privind modalitatea de conformare, emise de autoritățile de supraveghere din Olanda, Franța sau Spania, Danemarca, Grecia, Italia sau, mai recent, din Croația sau Cehia.
În ultimii ani, operatorii, indiferent de industrie, adoptă atitudini și implementări diferite, dar și eronate, în ceea ce privește instrumentele de gestionare a modulelor de cookie, în ciuda numeroaselor recomandări emise de autorități. De cele mai multe ori, acest lucru se întâmplă întrucât implementarea mecanismelor de gestionare este tratată ca un simplu element de pe o lungă listă de „cerințe GDPR” care trebuie bifat.
Dar investigațiile soldate cu amenzi, din ce în ce mai des întâlnite în ultimul timp în jurisdicții diferite, pot influența gradul de conștientizare a societăților care folosesc astfel de tehnologii cu privire la conformare. Exemple în acest sens există în Spania, unde a fost aplicată o amendă de 30.000 de euro pentru lipsa unui instrument cu privire la managementul cookies, în Belgia - o amendă de 15.000 de euro pentru folosirea unui banner de cookie inițial fără a solicita consimțământul utilizatorului, ulterior cu consimțământul pre-bifat - și, mai recent, răsunătoarele decizii din Franța de sancționare a Google și Facebook pentru implementarea neadecvată a banner-ului de cookie.
Ce prevede legislația și care sunt așteptările utilizatorilor în această zonă?
Pentru a folosi astfel de tehnologii de colectare a informațiilor, site-urile trebuie să obțină consimțământul prealabil al utilizatorului, în acord cu cerințele europene, reglementate prin Directiva E-privacy, implementată în România prin Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal și protecția vieții private în sectorul comunicaților electronice. Important este faptul că aceste reguli se aplică indiferent dacă se prelucrează sau nu date cu caracter personal.
Regula are și excepții, care prezintă mult mai mult interes, având în vedere mai ales rațiunile comerciale privind utilizarea informațiilor respective. Potrivit legislației naționale, consimțământul utilizatorului nu este obligatoriu dacă cookie-urile sunt necesare strict pentru transmiterea unei comunicări sau doar pentru funcționarea serviciului solicitat de utilizator (orice serviciu online).
Așadar, se poate observa că numeroase tipuri de cookies, precum cele colectate în scop statistic sau de marketing, nu se încadrează în niciuna din excepțiile prevăzute de lege. Totuși, luând în considerare și nuanțările oferite de unele autorități europene în materie (precum cea din Spania, în legătură cu anumite cookie-uri de marketing, sau cea din Franța, în legătură cu cookie-urile privind informațiile statistice și care impun totodată respectarea unor condiții specifice), se poate analiza necesitatea obținerii consimțământului de la caz la caz și se poate decide maniera de implementare în consecință (facilă, user-friendly, dar în conformitate cu rigorile legislației).
Viitorul regulament privind viața privată și comunicațiile electronice
Având în vedere modalitatea în care majoritatea site-urilor au implementat informarea sau obținerea consimțământului pentru cookie-uri, dar și maniera în care utilizatorii se raportează la acestea în practică, este evident că legislația actuală (locală, dar și europeană) nu și-a atins scopul.
Din acest motiv, trebuie precizat că viitorul regulament relaxează în oarecare măsură cadrul de reglementare, astfel încât mai multe tipuri de cookie să fie exceptate de la obținerea consimțământului. Spre exemplu, anumite cookie-uri statistice, cum ar fi cele de măsurare a traficului web sau cu privire la numărul de utilizatori finali ai unei aplicații, ar putea fi exceptate în anumite condiții de la obținerea consimțământului. Totodată, potrivit proiectului de regulament, interesul vital al utilizatorului ar putea fi folosit ca temei pentru utilizare, aspect nereglementat de legislația actuală și a cărui implementare practică va fi interesant de urmărit.
Necesitatea evaluării cookie-urilor la nivelul fiecărui site sau aplicații utilizate
Cele mai recente recomandări și decizii în materie subliniază ceea ce era de mult expus de profesioniști, respectiv că implementarea unui modul de obținere a cookie-ului, informarea utilizatorului și redactarea unei politici privind utilizarea acestor instrumente de către un site sau o aplicație nu sunt suficiente dacă nu reflectă realitatea „din teren” sau dacă preferințele ori opțiunile utilizatorilor nu sunt stocate efectiv. Spre exemplu, în cazul unor businessuri complexe (precum instituții financiare, societăți de asigurare sau alte entități obligate să asigure o protecție sporită a rețelelor și site-urilor), anumite cookie-uri intră în responsabilitatea directă a propriilor departamente de IT, neputând fi regăsite în baze de date publice. De asemenea, este extrem de important modul în care un cookie este folosit, anumite module putând avea utilizări multiple.
Din acest motiv, devine utilă maparea cookie-urilor în sensul evaluării acestora pentru fiecare caz în parte, cu scopul de a determina, în primul rând, care este întreaga plajă de cookie-uri utilizate, tipul acestora (first party sau third party) și scopul urmărit (publicitate, statistică, securitate etc.), dar și aspecte precum temeiul legal aplicabil, bunele practici sau recomandări pentru obținerea consimțământului, perioada de stocare a datelor, transparența față de utilizator, reducerea eventualelor riscuri aferente neconformării prin adoptarea unor măsuri tehnice și organizaționale care corespund cel mai bine modelului propriu de business.
Noi tendințe în domeniu
La capitolul noutăți, este de menționat mult așteptata decizie emisă de autoritatea de supraveghere din Belgia cu privire la așa-numitul Tranparency and Consent Framework (TCF), instrumentul pentru cookie-uri dezvoltat de asociația europeană în materie de publicitate – IAB Europe -, prin care s-a stabilit în mod clar că folosirea acestora nu se poate întemeia pe interesul legitim al utilizatorului. Prin efectul acestei decizii, nenumărate website-uri ce utilizau instrumentul TCF sau altele similare, inclusiv cele operate de pe teritoriul României, trebuie să își regândească modalitatea de utilizare a cookie-urilor, prin implementarea unor mecanisme conforme cu legislația în vigoare.
În concluzie, atenția acordată cookie-urilor este binevenită, într-un context în care asistăm la o reală revoluție a internetului, spațiu în care atât datele cu caracter personal, cât și meta-datele reprezintă unul din elementele principale. În acest context, utilizatorii trebuie să aibă posibilitatea să controleze modalitatea în care informația ce îi privește este stocată și deopotrivă utilizată. Așadar, este de urmărit modalitatea în care industria va evolua ca urmare a acestei decizii, în prim plan aflându-se, desigur, sectorul de publicitate online.