Opinii

Daniel Vinerean, D&B David şi Baias: Ce riscuri ascunse au deţinătorii de site-uri web din perspectiva GDPR? Două situaţii des întâlnite în practică

Daniel Vinerean, Avocat Senior Coordonator, D&B David şi Baias

Daniel Vinerean, Avocat Senior Coordonator, D&B David şi Baias

07.07.2022, 10:12 273

Păstrarea anonimităţii online este în zilele noastre un deziderat greu de îndeplinit în condiţiile în care simpla vizită a unui site web presupune, în mod aproape sigur, o prelucrare de date cu caracter personal. Mai mult, din nevoia de eficientizare a costurilor şi dorinţa de maximizare a profiturilor, mulţi deţinători de site-uri web, fie de prezentare sau e-commerce, recurg la tot felul de metode care servesc acestor scopuri, dar care, în cele din urmă îi expun unor riscuri de sancţionare pentru lipsa de conformitate din punct de vedere GDPR.

Printre metodele folosite pentru eficientizarea costurilor se numără: folosirea unor şabloane în designul site-ului (i.e. template-uri) cu scopul de a reduce cheltuielile, încorporarea unor tehnologii de urmărire sau de analiză cu scopul de a creşte încasările sau realizarea unor audituri necorespunzătoare din perspectiva protecţiei datelor cu caracter personal, tot în scopul de reduce costurile.

În ciuda beneficiului temporar pe care îl poate aduce oricare dintre acţiunile menţionate mai sus, acestea sunt inevitabil acompaniate de riscuri de sancţionare pentru lipsa de conformitate, dar mai ales pentru încălcarea prevederilor legale aplicabile în domeniul protecţiei datelor cu caracter personal, precum Regulamentul (UE) 2016/679 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date (GDPR) sau Legea 506/2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice (Legea E-Privacy). Şi asta pentru că toate acţiunile menţionate mai sus implică sau au un efect direct asupra datelor cu caracter personal prelucrate prin intermediul site-ului web.

Vom analiza în continuare două situaţii, mult prea des întâlnite în practică, care se pot transforma în adevărate probleme pentru deţinătorii de site-uri web, având în vedere regimurile sancţionatorii din GDPR şi Legea E-Privacy, dar care pot fi evitate în urma unui audit corespunzător şi a unui plan de (re)conformare adecvat.

  • Prelucrări de date cu caracter personal contrar opţiunilor exprimate de vizitatori

Inevitabil, orice utilizator, este întâmpinat de interfaţa unei platforme de gestionare a consimţământului (Consent Management Platform sau CMP) privind tehnologiile de tip cookies sau alte tehnologii de urmărire în momentul în care accesează un site web pentru prima dată sau după o perioadă semnificativă de timp.

Prin intermediul unui CMP, ca regulă generală, utilizatorul este informat în legătură cu: (i) faptul că site-ul web pe care îl accesează foloseşte tehnologii de urmărire, precum cele de tip cookie sau pixeli de urmărire; (ii) care sunt aceste tehnologii folosite pe site-ul web pe care utilizatorul doreşte să-l acceseze; (iii) necesitatea consimţământului său pentru plasarea acestor tehnologii folosite de site-ul web, cu excepţia cookie-urilor strict necesare.

În practică însă, un număr alarmant de mare de site-uri web procedează la plasarea unor cookie-uri de măsurare sau analiză, fie în absenţa consimţământului exprimat de către utilizator, fie şi în cazul în care utilizatorul a optat doar pentru fişierele cookie strict necesare.

Cel mai des întâlnit caz este cel al lui Google, respectiv al cookie-urilor sale de măsurare şi analiză (i.e. Google Analytics) aproape omniprezente pe majoritatea site-urilor web accesibile din Uniunea Europeană şi nu numai. Aceste cookie-uri pot fi uşor identificate prin denumirea identificatorilor lor, respectiv _ga şi _gid.

Deşi exista o opinie anterioară privind inexistenţa datelor cu caracter personal în cadrul metadatelor colectate de acest tip de fişiere cookie, o hotărâre recentă a autorităţii de supraveghere din Austria a stabilit exact contrariul, schimbând astfel paradigma privind fişierele cookie de analiză şi statuând că metadatele cuprind date cu caracter personal. La scurt timp după hotărârea autorităţii din Austria, şi autoritatea din Franţa s-a aliniat la această opinie printr-o hotărâre de sancţionare având concluzii similare.

În prezent, numeroase site-uri web din România se regăsesc în practica descrisă anterior, plasând fişiere cookie de analiză (mai ales din cele create de Google), fără a obţine în prealabil consimţământul utilizatorilor care accesează site-ul web sau contrar opţiunilor exprimate de aceştia.

  • Lipsa de transparenţă privind tehnologiile de urmărire folosite

În situaţiile în care sunt achiziţionate şabloane de design pentru site-uri web, există situaţii în care acestea au implementate, în mod implicit (by default) de către cel care a creat şablonul, şi tehnologii de urmărire despre care viitorul deţinător care foloseşte respectivul şablon nu poate avea cunoştinţă în absenţa unor cunoştinţe de specialitate sau în lipsa unui audit corespunzător.

În mod corelativ, există şi situaţii în care echipa IT din spatele unui site web nu realizează o informare corectă a deţinătorului despre tehnologiile de urmărire prezente pe respectivul site web şi modul de funcţionare al acestora, inclusiv existenţa unor prelucrări de date cu caracter personal.

Ca urmare a unor situaţii precum cele de mai sus, apar prelucrări de date cu caracter personal ascunse, îndeosebi prin intermediul unor pixeli de urmărire, despre care utilizatorul nu este informat şi pentru care acesta nu îşi exprimă în prealabil consimţământul.

Trebuie reţinut faptul că un „pixel de urmărire” este un program software menit să înregistreze o acţiune a unui utilizator (de exemplu, dacă utilizatorul a văzut o reclamă afişată pe site-ul web accesat), colectând totodată şi alte metadate, în mod asemănător unui fişier cookie. De asemenea, trebuie avut în vedere că metadatele sunt definite în mod “crud” ca fiind date despre date, precum: momentul când au fost create, cine le-a creat, ce software / hardware a fost folosit pentru a le crea, etc.

În prezent, mai multe site-uri web din România plasează cookie-uri pe care nu le menţionează în politica de cookies şi în CMP, atunci când solicită consimţământul utilizatorilor, deşi acestea nu intră sub categoria fişierelor cookie-urilor strict necesare. Dacă această plasare are loc cu sau fără cunoştinţa deţinătorului site-ului web nu reprezintă o cauză justificativă din perspectiva aplicării unor sancţiuni pentru încălcarea normelor legale aplicabile în domeniul protecţiei datelor cu caracter personal.

Mai mult decât atât, foarte mulţi deţinători de site-uri web folosesc pixeli de urmărire fără a solicita consimţământul prealabil al utilizatorilor şi fără a le oferi informaţii despre existenţa acestora pe site-ul web. Dacă în cazul vulnerabilităţilor privind securitatea cibernetică, cauza lor este adesea exterioară, în cazul riscurilor prezentate mai sus, eventualele neconformităţi sau chiar sancţiuni pot fi evitate prin efectuarea unui audit corespunzător din perspectiva protecţiei datelor cu caracter personal şi prin implementarea unui plan adecvat de conformare cu prevederile din GDPR şi din Legea E-Privacy.

Având în vedere faptul că în prezent se află în discuţie un ghid redactat de către Comitetul European pentru Protecţia Datelor privind calcularea cuantumului amenzilor aplicabile în cazul încălcării prevederilor din GDPR, reiterăm faptul că amenzile aplicabile în cazul constatării unor încălcări precum cele de mai sus se pot ridica de până la 20.000.000 euro sau, în cazul unei companii, de până la 4 % din cifra de afaceri totală anuală corespunzătoare exerciţiului financiar anterior, luându-se în calcul cea mai mare valoare.

Material redactat de Daniel Vinerean, Avocat Senior Coordonator, D&B David şi Baias.

 


 

 

Pentru alte știri, analize, articole și informații din business în timp real urmărește Ziarul Financiar pe WhatsApp Channels

AFACERI DE LA ZERO