Daniel Vinerean, Managing Associate D&B David și Baias
Utilizarea modulelor cookie a reprezentat în ultimele luni o temă majoră de discuție la nivel european în materia protecției datelor cu caracter personal. Am asistat la diferite decizii și luări de poziție din partea autorităților de supraveghere competente, numitorul comun fiind identificarea unor încălcări ale Regulamentului general privind protecția datelor (“GDPR”) cu ocazia prelucrărilor de date cu caracter personal prin intermediul modulelor cookie.
Prezentăm în cele ce urmează o sinteză a celor constatate de anumite autorități de supraveghere europene, cu mențiunea că analizele și concluziile acestora trebuie avute în vedere de toate entitățile care prelucrează date cu caracter personal prin activități de prelucrare similare, indiferent de jurisdicția în care își desfășoară activitatea.
Cazurile Google și Facebook – mecanismul neconform de respingere a modulelor cookie
Google și Facebook au fost marile lovite de autoritatea de supraveghere franceză (“CNIL“), care a publicat, în luna ianuarie, două decizii de sancționare. Google a fost sancționată cu o amendă de 150 de milioane de euro, în timp ce Facebook a primit o amendă de 60 de milioane de euro. În ambele cazuri, motivul sancționării a constat în faptul că bannerele de informare privind utilizarea modulelor cookie de pe paginile de internet Google și Facebook nu aveau un mecanism care să permită vizitatorilor să respingă utilizarea acestora la fel de ușor ca și în cazul acceptării utilizării.
Astfel, CNIL a constatat că bannerele de informare privind utilizarea modulelor cookie plasate pe paginile de internet www.google.fr , www.youtube.com și www.facebook.com oferă opțiunea de a accepta cu ușurință modulele cookie, dar nu și de a le respinge.
Cazul IAB – mecanismul TCF contrar GDPR
Câteva săptămâni mai târziu, autoritatea de supraveghere belgiană a constatat că Mecanismul de Transparență și Consimțământ (“TCF”) dezvoltat de Interactive Advertising Bureau Europe (“IAB”) nu respectă cerințele GDPR și, prin urmare, a aplicat o amendă de 250.000 de euro.
Pe scurt, TCF este un mecanism folosit pentru gestionarea preferințelor utilizatorilor prin module cookie de stocare și de recuperare a datelor. Acest mecanism este implementat de furnizorii de servicii de marketing digital în scopul afișării de reclame în timp real și este întemeiat pe consimțământul utilizatorilor.
Știrea a avut efecte imediate în rândul furnizorilor de servicii digitale de marketing, în condițiile în care TCF este integrat în foarte multe pagini de internet din Europa. Întrebarea este acum dacă standardele de adecvare stabilite de IAB sunt încă valabile pentru obținerea unui consimțământ care să respecte cerințele GDPR.
Trebuie precizat că autoritatea de supraveghere belgiană nu a analizat activitățile de prelucrare realizate prin intermediul paginilor de internet care utilizează TCF, ci însăși activitatea de prelucrare care presupune înregistrarea, stocarea și partajarea preferințelor privind consimțământului de către IAB, în calitate de operator, cu editorii și furnizorii de tehnologie publicitară, creând astfel un așa numit “lanț de consimțământ“.
Astfel, concluzia autorității de supraveghere belgiene a fost că, interpretând în sens larg noțiunea de operator de date cu caracter personal, IAB, editorii și furnizorii de tehnologie publicitară pot fi responsabili pentru tratamentul legat de obținerea și partajarea preferințelor de consimțământ ale utilizatorilor, înțelegând că, în cazul în care unul dintre participanții la acest proces joacă un rol decisiv în partajarea datelor cu caracter personal, acesta trebuie considerat responsabil pentru prelucrare.
Cazul Google Analytics – transfer internațional de date cu caracter personal contrar GDPR
Google Analytics, cel mai utilizat set de module cookie de analiză și măsurare a traficului pe paginile de internet, a fost protagonistul mai multor investigații realizate de autoritățile de supraveghere europene ca urmare a invalidării Scutului de Confidențialitate (cunoscut sub numele de Privacy Schield și utilizat în cazul transferurilor de date către Statele Unite ale Americii) prin hotărârea pronunțată de Curtea de Justiție a Uniunii Europene în cauza Schrems II.
În esență, s-a stabilit că utilizarea Google Analytics reprezintă un transfer internațional de date cu caracter personal realizat cu nerespectarea prevederilor art. 46 din GDPR.
Astfel, în luna ianuarie 2022, Autoritatea Europeană pentru Protecția Datelor (“AEPD”) a emis o avertizarea adresată Parlamentului European pentru nerespectarea prevederilor Regulamentului 2018/1725 (echivelentul GDPR pentru instituțiile europene) și a altor prevederi ale Directivei E-Privacy.
Subliniind inclusiv neconformitatea bannerului de informare privind utilizarea modulelor cookie de pe pagina de internet a Parlamentului European, AEPD a constatat că modulele cookie de analiză și măsurare Google Analytics reprezintă în esență transferuri internaționale de date cu caracter personal realizate fără aplicarea unor măsuri suplimentare care să garanteze menținerea unui nivel de protecție echivalent cu cel stabilit de GDPR.
În acest context, AEPD a reamintit că, după invalidarea Scutului de Confidențialitate, clauzele contractuale standard aprobate de Comisia Europeană nu sunt suficiente pentru a garanta securitatea datelor cu caracter personal în țara de destinație, respectiv în Statele Unite ale Americii.
Tot în luna ianuarie a acestui an, autoritatea austriacă de supraveghere, a constatat la rândul său că utilizarea Google Analytics nu respectă prevederile capitolului V din GDPR.
Deși vine în completarea deciziei AEPD, decizia autorității austriece de supraveghere este importantă pentru că pare a deschide un șir mai lung de decizii întemeiate pe cele constatate de Curtea de Justiție a Uniunii Europene în cauza Schrems II.
Decizii similare sunt așteptate și în alte state europene. Astfel, după ce a primit mai multe reclamații din partea NOYB – European Center for Digital Rights, autoritatea de supraveghere franceză a analizat condițiile în care se fac transferurile de date către Statele Unite ale Americii prin intermediul Google Analytics, precum și riscurile asociate acestor transferuri. Potrivit analizei CNIL, Google Analytics este o funcționalitate pe care poate fi integrată în paginile de internet pentru a măsura numărul utilizatorilor. În acest context, fiecărui vizitator i se atribuie un identificator unic (care constituie date cu caracter personal), și care, împreună cu alte datele asociate sunt transferate de Google în Statele Unite ale Americii.
În urma analizei efectuate, CNIL a concluzionat că, deși Google a stabilit măsuri suplimentare pentru asigurarea conformității transferurilor către o țară terță, acestea nu sunt suficiente pentru a exclude posibilitatea ca serviciile de informații americane să acceseze datele astfel transmise, iar fapt creează riscuri pentru utilizatorii care accesează paginile de internet care au integrat Google Analytics.
Problema transferurilor internaționale de date cu caracter personal realizate ca urmare a utilizării Google Analytics a fost, de asemenea, supusă analizei autorității norvegiene de supraveghere, aceasta recomandând operatorilor să exploreze alternative la utilizarea Google Analytics.
Concluzii și recomandări
Având în vedere recentele decizii ale autorităților europene de supraveghere, este recomandabilă evaluarea modului în care operatorii utilizează modulele cookie. Pornind de la bannerul de informare cu privire la utilizarea modulelor cookie și până la informarea detaliată a utilizatorilor paginilor de internet, operatorii trebuie să țină cont de regulile aplicabile prelucrărilor de date cu caracter personal.
În plus, în cazul unor transferuri de date în afara Spațiului Economic European (inclusiv cu ocazia utilizării Google Analytics) este necesară realizarea unei evaluări a impactului transferului internațional de date pentru stabilirea caracterului adecvat al acestor transferuri. O astfel de evaluare trebuie să aibă în vedere riscurile de confidențialitate ale transferului de date ținând cont de legile locale și de cadrul de reglementare privind protecția datelor din țara de destinație, de compatibilitatea cu garanțiile esențiale europene și, în special, de circumstanțele specifice ale transferului (cum ar fi: conținutul și durata, natura datelor care urmează să fie transferate, destinatarul, scopul tratamentului) și orice garanție implementată în plus față de clauzele contractuale standard (inclusiv cele tehnice și organizatorice relevante).