Utilizarea modulelor cookie a reprezentat în ultimele luni o temă majoră de discuţie la nivel european în materia protecţiei datelor cu caracter personal. Am asistat la diferite decizii şi luări de poziţie din partea autorităţilor de supraveghere competente, numitorul comun fiind identificarea unor încălcări ale Regulamentului general privind protecţia datelor (“GDPR”) cu ocazia prelucrărilor de date cu caracter personal prin intermediul modulelor cookie.
Prezentăm în cele ce urmează o sinteză a celor constatate de anumite autorităţi de supraveghere europene, cu menţiunea că analizele şi concluziile acestora trebuie avute în vedere de toate entităţile care prelucrează date cu caracter personal prin activităţi de prelucrare similare, indiferent de jurisdicţia în care îşi desfăşoară activitatea.
Cazurile Google şi Facebook - mecanismul neconform de respingere a modulelor cookie
Google şi Facebook au fost marile lovite de autoritatea de supraveghere franceză (“CNIL“), care a publicat, în luna ianuarie, două decizii de sancţionare. Google a fost sancţionată cu o amendă de 150 de milioane de euro, în timp ce Facebook a primit o amendă de 60 de milioane de euro. În ambele cazuri, motivul sancţionării a constat în faptul că bannerele de informare privind utilizarea modulelor cookie de pe paginile de internet Google şi Facebook nu aveau un mecanism care să permită vizitatorilor să respingă utilizarea acestora la fel de uşor ca şi în cazul acceptării utilizării.
Astfel, CNIL a constatat că bannerele de informare privind utilizarea modulelor cookie plasate pe paginile de internet www.google.fr , www.youtube.com şi www.facebook.com oferă opţiunea de a accepta cu uşurinţă modulele cookie, dar nu şi de a le respinge.
Cazul IAB – mecanismul TCF contrar GDPR
Câteva săptămâni mai târziu, autoritatea de supraveghere belgiană a constatat că Mecanismul de Transparenţă şi Consimţământ (“TCF”) dezvoltat de Interactive Advertising Bureau Europe (“IAB”) nu respectă cerinţele GDPR şi, prin urmare, a aplicat o amendă de 250.000 de euro.
Pe scurt, TCF este un mecanism folosit pentru gestionarea preferinţelor utilizatorilor prin module cookie de stocare şi de recuperare a datelor. Acest mecanism este implementat de furnizorii de servicii de marketing digital în scopul afişării de reclame în timp real şi este întemeiat pe consimţământul utilizatorilor.
Ştirea a avut efecte imediate în rândul furnizorilor de servicii digitale de marketing, în condiţiile în care TCF este integrat în foarte multe pagini de internet din Europa. Întrebarea este acum dacă standardele de adecvare stabilite de IAB sunt încă valabile pentru obţinerea unui consimţământ care să respecte cerinţele GDPR.
Trebuie precizat că autoritatea de supraveghere belgiană nu a analizat activităţile de prelucrare realizate prin intermediul paginilor de internet care utilizează TCF, ci însăşi activitatea de prelucrare care presupune înregistrarea, stocarea şi partajarea preferinţelor privind consimţământului de către IAB, în calitate de operator, cu editorii şi furnizorii de tehnologie publicitară, creând astfel un aşa numit “lanţ de consimţământ“.
Astfel, concluzia autorităţii de supraveghere belgiene a fost că, interpretând în sens larg noţiunea de operator de date cu caracter personal, IAB, editorii şi furnizorii de tehnologie publicitară pot fi responsabili pentru tratamentul legat de obţinerea şi partajarea preferinţelor de consimţământ ale utilizatorilor, înţelegând că, în cazul în care unul dintre participanţii la acest proces joacă un rol decisiv în partajarea datelor cu caracter personal, acesta trebuie considerat responsabil pentru prelucrare.
Cazul Google Analytics - transfer internaţional de date cu caracter personal contrar GDPR
Google Analytics, cel mai utilizat set de module cookie de analiză şi măsurare a traficului pe paginile de internet, a fost protagonistul mai multor investigaţii realizate de autorităţile de supraveghere europene ca urmare a invalidării Scutului de Confidenţialitate (cunoscut sub numele de Privacy Schield şi utilizat în cazul transferurilor de date către Statele Unite ale Americii) prin hotărârea pronunţată de Curtea de Justiţie a Uniunii Europene în cauza Schrems II.
În esenţă, s-a stabilit că utilizarea Google Analytics reprezintă un transfer internaţional de date cu caracter personal realizat cu nerespectarea prevederilor art. 46 din GDPR.
Astfel, în luna ianuarie 2022, Autoritatea Europeană pentru Protecţia Datelor (“AEPD”) a emis o avertizarea adresată Parlamentului European pentru nerespectarea prevederilor Regulamentului 2018/1725 (echivelentul GDPR pentru instituţiile europene) şi a altor prevederi ale Directivei E-Privacy.
Subliniind inclusiv neconformitatea bannerului de informare privind utilizarea modulelor cookie de pe pagina de internet a Parlamentului European, AEPD a constatat că modulele cookie de analiză şi măsurare Google Analytics reprezintă în esenţă transferuri internaţionale de date cu caracter personal realizate fără aplicarea unor măsuri suplimentare care să garanteze menţinerea unui nivel de protecţie echivalent cu cel stabilit de GDPR.
În acest context, AEPD a reamintit că, după invalidarea Scutului de Confidenţialitate, clauzele contractuale standard aprobate de Comisia Europeană nu sunt suficiente pentru a garanta securitatea datelor cu caracter personal în ţara de destinaţie, respectiv în Statele Unite ale Americii.
Tot în luna ianuarie a acestui an, autoritatea austriacă de supraveghere, a constatat la rândul său că utilizarea Google Analytics nu respectă prevederile capitolului V din GDPR.
Deşi vine în completarea deciziei AEPD, decizia autorităţii austriece de supraveghere este importantă pentru că pare a deschide un şir mai lung de decizii întemeiate pe cele constatate de Curtea de Justiţie a Uniunii Europene în cauza Schrems II.
Decizii similare sunt aşteptate şi în alte state europene. Astfel, după ce a primit mai multe reclamaţii din partea NOYB – European Center for Digital Rights, autoritatea de supraveghere franceză a analizat condiţiile în care se fac transferurile de date către Statele Unite ale Americii prin intermediul Google Analytics, precum şi riscurile asociate acestor transferuri. Potrivit analizei CNIL, Google Analytics este o funcţionalitate pe care poate fi integrată în paginile de internet pentru a măsura numărul utilizatorilor. În acest context, fiecărui vizitator i se atribuie un identificator unic (care constituie date cu caracter personal), şi care, împreună cu alte datele asociate sunt transferate de Google în Statele Unite ale Americii.
În urma analizei efectuate, CNIL a concluzionat că, deşi Google a stabilit măsuri suplimentare pentru asigurarea conformităţii transferurilor către o ţară terţă, acestea nu sunt suficiente pentru a exclude posibilitatea ca serviciile de informaţii americane să acceseze datele astfel transmise, iar fapt creează riscuri pentru utilizatorii care accesează paginile de internet care au integrat Google Analytics.
Problema transferurilor internaţionale de date cu caracter personal realizate ca urmare a utilizării Google Analytics a fost, de asemenea, supusă analizei autorităţii norvegiene de supraveghere, aceasta recomandând operatorilor să exploreze alternative la utilizarea Google Analytics.
Concluzii şi recomandări
Având în vedere recentele decizii ale autorităţilor europene de supraveghere, este recomandabilă evaluarea modului în care operatorii utilizează modulele cookie. Pornind de la bannerul de informare cu privire la utilizarea modulelor cookie şi până la informarea detaliată a utilizatorilor paginilor de internet, operatorii trebuie să ţină cont de regulile aplicabile prelucrărilor de date cu caracter personal.
În plus, în cazul unor transferuri de date în afara Spaţiului Economic European (inclusiv cu ocazia utilizării Google Analytics) este necesară realizarea unei evaluări a impactului transferului internaţional de date pentru stabilirea caracterului adecvat al acestor transferuri. O astfel de evaluare trebuie să aibă în vedere riscurile de confidenţialitate ale transferului de date ţinând cont de legile locale şi de cadrul de reglementare privind protecţia datelor din ţara de destinaţie, de compatibilitatea cu garanţiile esenţiale europene şi, în special, de circumstanţele specifice ale transferului (cum ar fi: conţinutul şi durata, natura datelor care urmează să fie transferate, destinatarul, scopul tratamentului) şi orice garanţie implementată în plus faţă de clauzele contractuale standard (inclusiv cele tehnice şi organizatorice relevante).
Material redactat de Daniel Vinerean, Managing Associate D&B David şi Baias
