Anul 2022 a debutat cu activitate intensă în zona protecţiei datelor cu caracter personal. Autorităţile de supraveghere din Europa au emis, în prima lună din an, orientări şi opinii pentru implementarea adecvată a prevederilor legale, dar au aplicat şi numeroase sancţiuni pentru încălcarea acestora de către operatorii de date. Unul dintre aspectele ce atrage din ce în ce mai mult interesul autorităţilor în materia protecţiei datelor la nivelul Uniunii Europene (UE) priveşte şi conformarea cu legislaţia aplicabilă în materia cookie-urilor sau tehnologiilor similare. În această direcţie, există un număr semnificativ de orientări, bune practici sau recomandări privind modalitatea de conformare, emise de autorităţile de supraveghere din Olanda, Franţa sau Spania, Danemarca, Grecia, Italia sau, mai recent, din Croaţia sau Cehia.
În ultimii ani, operatorii, indiferent de industrie, adoptă atitudini şi implementări diferite, dar şi eronate, în ceea ce priveşte instrumentele de gestionare a modulelor de cookie, în ciuda numeroaselor recomandări emise de autorităţi. De cele mai multe ori, acest lucru se întâmplă întrucât implementarea mecanismelor de gestionare este tratată ca un simplu element de pe o lungă listă de „cerinţe GDPR” care trebuie bifat.
Dar investigaţiile soldate cu amenzi, din ce în ce mai des întâlnite în ultimul timp în jurisdicţii diferite, pot influenţa gradul de conştientizare a societăţilor care folosesc astfel de tehnologii cu privire la conformare. Exemple în acest sens există în Spania, unde a fost aplicată o amendă de 30.000 de euro pentru lipsa unui instrument cu privire la managementul cookies, în Belgia - o amendă de 15.000 de euro pentru folosirea unui banner de cookie iniţial fără a solicita consimţământul utilizatorului, ulterior cu consimţământul pre-bifat - şi, mai recent, răsunătoarele decizii din Franţa de sancţionare a Google şi Facebook pentru implementarea neadecvată a banner-ului de cookie.
Ce prevede legislaţia şi care sunt aşteptările utilizatorilor în această zonă?
Pentru a folosi astfel de tehnologii de colectare a informaţiilor, site-urile trebuie să obţină consimţământul prealabil al utilizatorului, în acord cu cerinţele europene, reglementate prin Directiva E-privacy, implementată în România prin Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţilor electronice. Important este faptul că aceste reguli se aplică indiferent dacă se prelucrează sau nu date cu caracter personal.
Regula are şi excepţii, care prezintă mult mai mult interes, având în vedere mai ales raţiunile comerciale privind utilizarea informaţiilor respective. Potrivit legislaţiei naţionale, consimţământul utilizatorului nu este obligatoriu dacă cookie-urile sunt necesare strict pentru transmiterea unei comunicări sau doar pentru funcţionarea serviciului solicitat de utilizator (orice serviciu online).
Aşadar, se poate observa că numeroase tipuri de cookies, precum cele colectate în scop statistic sau de marketing, nu se încadrează în niciuna din excepţiile prevăzute de lege. Totuşi, luând în considerare şi nuanţările oferite de unele autorităţi europene în materie (precum cea din Spania, în legătură cu anumite cookie-uri de marketing, sau cea din Franţa, în legătură cu cookie-urile privind informaţiile statistice şi care impun totodată respectarea unor condiţii specifice), se poate analiza necesitatea obţinerii consimţământului de la caz la caz şi se poate decide maniera de implementare în consecinţă (facilă, user-friendly, dar în conformitate cu rigorile legislaţiei).
Viitorul regulament privind viaţa privată şi comunicaţiile electronice
Având în vedere modalitatea în care majoritatea site-urilor au implementat informarea sau obţinerea consimţământului pentru cookie-uri, dar şi maniera în care utilizatorii se raportează la acestea în practică, este evident că legislaţia actuală (locală, dar şi europeană) nu şi-a atins scopul.
Din acest motiv, trebuie precizat că viitorul regulament relaxează în oarecare măsură cadrul de reglementare, astfel încât mai multe tipuri de cookie să fie exceptate de la obţinerea consimţământului. Spre exemplu, anumite cookie-uri statistice, cum ar fi cele de măsurare a traficului web sau cu privire la numărul de utilizatori finali ai unei aplicaţii, ar putea fi exceptate în anumite condiţii de la obţinerea consimţământului. Totodată, potrivit proiectului de regulament, interesul vital al utilizatorului ar putea fi folosit ca temei pentru utilizare, aspect nereglementat de legislaţia actuală şi a cărui implementare practică va fi interesant de urmărit.
Necesitatea evaluării cookie-urilor la nivelul fiecărui site sau aplicaţii utilizate
Cele mai recente recomandări şi decizii în materie subliniază ceea ce era de mult expus de profesionişti, respectiv că implementarea unui modul de obţinere a cookie-ului, informarea utilizatorului şi redactarea unei politici privind utilizarea acestor instrumente de către un site sau o aplicaţie nu sunt suficiente dacă nu reflectă realitatea „din teren” sau dacă preferinţele ori opţiunile utilizatorilor nu sunt stocate efectiv. Spre exemplu, în cazul unor businessuri complexe (precum instituţii financiare, societăţi de asigurare sau alte entităţi obligate să asigure o protecţie sporită a reţelelor şi site-urilor), anumite cookie-uri intră în responsabilitatea directă a propriilor departamente de IT, neputând fi regăsite în baze de date publice. De asemenea, este extrem de important modul în care un cookie este folosit, anumite module putând avea utilizări multiple.
Din acest motiv, devine utilă maparea cookie-urilor în sensul evaluării acestora pentru fiecare caz în parte, cu scopul de a determina, în primul rând, care este întreaga plajă de cookie-uri utilizate, tipul acestora (first party sau third party) şi scopul urmărit (publicitate, statistică, securitate etc.), dar şi aspecte precum temeiul legal aplicabil, bunele practici sau recomandări pentru obţinerea consimţământului, perioada de stocare a datelor, transparenţa faţă de utilizator, reducerea eventualelor riscuri aferente neconformării prin adoptarea unor măsuri tehnice şi organizaţionale care corespund cel mai bine modelului propriu de business.
Noi tendinţe în domeniu
La capitolul noutăţi, este de menţionat mult aşteptata decizie emisă de autoritatea de supraveghere din Belgia cu privire la aşa-numitul Tranparency and Consent Framework (TCF), instrumentul pentru cookie-uri dezvoltat de asociaţia europeană în materie de publicitate – IAB Europe -, prin care s-a stabilit în mod clar că folosirea acestora nu se poate întemeia pe interesul legitim al utilizatorului. Prin efectul acestei decizii, nenumărate website-uri ce utilizau instrumentul TCF sau altele similare, inclusiv cele operate de pe teritoriul României, trebuie să îşi regândească modalitatea de utilizare a cookie-urilor, prin implementarea unor mecanisme conforme cu legislaţia în vigoare.
În concluzie, atenţia acordată cookie-urilor este binevenită, într-un context în care asistăm la o reală revoluţie a internetului, spaţiu în care atât datele cu caracter personal, cât şi meta-datele reprezintă unul din elementele principale. În acest context, utilizatorii trebuie să aibă posibilitatea să controleze modalitatea în care informaţia ce îi priveşte este stocată şi deopotrivă utilizată. Aşadar, este de urmărit modalitatea în care industria va evolua ca urmare a acestei decizii, în prim plan aflându-se, desigur, sectorul de publicitate online.
Material de opinie de Silvia Axinescu, Senior Managing Associate, şi Mădălina Spătaru, Associate, Reff & Asociaţii Î Deloitte Legal
