G.D.P.R. Noi orientări privind valabilitatea consimţământului în cazul „cookie walls” și al acţiunilor swipe/scroll în cadrul unui website

De Dana Ududec

15 dec. 2023

Vizualizari: 224

Universuljuridic.ro PREMIUM

Aici găsiți informaţiile necesare desfăşurării activităţii dvs. profesionale.

Universuljuridic.ro PREMIUM pune la dispoziția profesioniștilor lumii juridice un prețios instrument de pregătire profesională. Oferim un volum vast de conținut: articole, editoriale, opinii, jurisprudență și legislație comentată, acoperind toate domeniile și materiile de drept. Clar, concis, abordăm eficient problematicile actuale, răspunzând scenariilor de activitate din lumea reală, în care practicienii activează.

Testează ACUM beneficiile Universuljuridic.ro PREMIUM prin intermediul abonamentului GRATUIT pentru 7 zile!

🔑Vreau cont PREMIUM!

V. Noutățile aduse de Comitetul European pentru Protecția Datelor

V.1. Condiționarea accesului la conținutul unui website de acceptarea plasării cookies

În practică, anumite website-uri blochează accesul la conținut în cazul utilizatorilor care nu acceptă să le fie plasate cookies sau alte tehnologii similare (așa-numitele „cookies walls”). Acest mecanism este frecvent aplicat în domeniul website-urilor pentru care publicitatea digitală reprezintă o importantă sursă de venituri.

Utilizarea de „cookie walls”, ca mecanism pentru a stimula consimțământul utilizatorilor a fost intens dezbătută. Principalele contraargumente au fost legate de caracterul inechitabil al alegerii prezentate utilizatorilor, lipsa de control asupra informației sau lipsa unei alegeri reale (mai ales în situații de monopol asupra unui anumit tip de informație, care ajunge să fie inaccesibilă)^[13].

CEPD a tranșat problema valabilității consimțământului influențat prin „cookie walls”, plasând acest mecanism în lista exemplelor de încălcare a caracterului liber al consimțământului pentru prelucrarea datelor cu caracter personal. Astfel, Orientările 05/2020 cuprind un nou exemplu, 6a:

„Exemplul 6a: Un furnizor al unui website implementează un cod care va bloca vizibilitatea conținutului, cu excepția unei solicitări de a accepta cookies și a informației despre ce cookies sunt plasate și despre scopurile în care se vor prelucra datele. Nu există posibilitatea de a accesa conținutul fără a da click pe butonul „Accept cookie-uri”. Întrucât persoana vizată nu are la dispoziție o alegere reală, consimțământul acesteia nu este exprimat în mod liber.

Aceasta nu reprezintă consimțământ valabil, din moment ce furnizarea serviciului depinde de click-ul persoanei vizate pe butonul „Accept cookies”. Nu îi este prezentată o alegere reală”^[14].

Prin urmare, argumentul formulat de comitet împotriva condiționării accesului la conținut de acceptarea cookies se referă la absența unuia dintre criteriile de valabilitate a consimțământului conform GDPR – acela de a fi liber exprimat.

Este important de subliniat că exemplul 6a de mai sus se referă la situațiile în care accesul la conținut depinde de acceptarea cookies. Acest lucru este diferit de cazul în care utilizatorului i-ar fi afișat un anunț prin care i se cere exprimarea unei alegeri (indiferent de rezultatul acesteia) înainte de a putea accesa conținutul unui website. În acest de-al doilea caz, considerăm că opțiunea utilizatorului nu este condiționată.

V.2. Deducerea consimțământului din acțiuni de tipul scroll/swipe pe un website

O altă practică des întâlnită este informarea utilizatorilor care accesează un website despre faptul că o acțiune a lor de tipul scroll sau swipe va fi asimilată acordului pentru plasarea de cookies sau tehnologii similare. Deși, spre deosebire de exemplul 6a, cazul de la nr. 16 nu menționează în mod explicit cookies, în practică, acesta reprezintă un mecanism des întâlnit pentru a deduce consimțământul pentru plasarea și accesarea cookies.

Exemplul 16 nu este complet nou, ci o variantă dezvoltată față de textul anterior^[15]:

„Exemplul 16: Având în vedere considerentul 32, acțiuni precum derularea în jos sau glisarea într-o pagină web sau o activitate similară a unui utilizator nu vor satisface în nicio circumstanță cerința acțiunii clare și fără echivoc: asemenea acțiuni ar putea fi dificil de diferențiat față de alte activități sau interacțiuni ale unui utilizator și, prin urmare, nu va fi posibilă stabilirea faptului că s-a obținut un consimțământ clar. Mai mult, într-un asemenea caz, va fi dificilă furnizarea unui mijloc pentru ca utilizatorul să își retragă consimțământul într-o manieră care este la fel de simplă precum cea prin care și l-a acordat”^[16].

Din exemplul exprimat de comitet reies două probleme fundamentale. Mai întâi, nu sunt întrunite condițiile de valabilitate a consimțământului referitoare la claritate, la lipsa de echivoc a acțiunii^[17] și la lipsa de ambiguitate. În al doilea rând, mecanismul va face practic dificilă respectarea art. 7(3) din GDPR, care stabilește dreptul de retragere a consimțământului și creează o simetrie cu simplitatea modalității de transmitere a acordului pentru prelucrarea datelor personale.

Cel mai frecvent în practică, regula scroll/swipe pentru deducerea consimțământului este folosită tot în cazul plasării cookie-urilor și reprezintă o practică larg răspândită în interacțiunea cu utilizatorii^[18]. La problemele reflectate în exemplul 16 de mai sus adăugăm și imposibilitatea tehnică a informării utilizatorului, deoarece accesarea unei informări ar presupune continuarea utilizării website-ului.

VI. Consecințe

Deși noile exemple furnizate de CEPD aduc mai multă claritate, trebuie totuși subliniat că Orientările 5/2020 nu au forță juridică obligatorie. Cu toate acestea, CEPD reprezintă perspectivele autorităților de supraveghere reunite în cadrul comitetului, astfel că există o probabilitate foarte mare ca, în cadrul unei investigații, autoritatea de supraveghere în cauză să interpreteze faptele având ca reper Orientările 5/2020^[19].

Pe de altă parte, având în vedere caracterul necoercitiv al Orientărilor 5/2020, operatorul de date ar trebui să poată demonstra că, deși activitatea sa se înscrie teoretic în unul din exemplele oferite de CEPD ca situații în care consimțământul persoanei vizate nu ar fi valabil, prelucrarea respectivă este conformă cu regulile de protecție a datelor, deoarece există elemente de fapt suplimentare care duc la această concluzie. Evident că normele de protecție a datelor personale fiind instituite pentru protejarea persoanelor vizate operatorul va avea dificultăți într-un asemenea demers, însă această posibilitate (care ține și de dreptul operatorului de a se apăra) nu trebuie să fie exclusă din start.

Conferința națională „Prevenirea și combaterea spălării banilor”. Impactul noii legi asupra profesiilor liberale

VII. Observații finale

Având în vedere conștientizarea redusă asupra legislației e-Privacy în România, plasarea de cookie-uri și tehnologii similare este văzută mai degrabă ca o chestiune tehnică decât ca o activitate cu consecințe juridice. Deseori, în practică, persoanele care doresc să își lanseze un website primesc sfaturi despre plasarea cookies de la consultanții lor tehnici, care la rândul lor se bazează pe exemplele altor website-uri, fără a lua în considerare consecințele legale ale propunerilor pe care le fac (și care se răsfrâng în mod direct asupra clienților lor).

În acest context, Orientările 5/2020 (în special exemplele relevante în domeniul utilizării cookies și al tehnologiilor similare) ar trebui să fie o carte de căpătâi nu doar pentru consultanții în domeniul protecției datelor personale, ci și pentru factorii decizionali implicați în dezvoltarea unui website. Credem că cea mai importantă lecție este faptul că integrarea regulilor de protecție a datelor personale și e-privacy trebuie să fie integrate de la început în proiecte, deoarece acestea au consecințe și asupra mijloacelor tehnice alese pentru a interacționa cu utilizatorii.

^[12] Este drept că formulările legate de art. 7 din GDPR nu sunt clare. În regulament, art. 7 este intitulat „Condiții privind consimțământul”, iar în Orientările 5/2020, conținutul art. 7 este discutat în cadrul secțiunii intitulate „Condiții suplimentare pentru obținerea consimțământului valabil”, care afirmă faptul că art. 7 din GDPR conține „măsuri suplimentare în scopul de a se asigura că obțin, păstrează și pot demonstra existența consimțământului valabil”. Rămâne totuși importantă discuția legată de elementele care duc sau nu la invalidarea consimțământului ca temei legal ales de operator pentru o anumită activitate de prelucrare a datelor personale. Spre exemplu, art. 7 (3) menționează că nu este afectată legalitatea prelucrării efectuate până la retragerea consimțământului. Astfel, lipsa punerii la dispoziție a mijloacelor pentru retragerea consimțământului duce la nelegalitatea prelucrării de la momentul colectării datelor sau de la momentul la care persoana vizată a dorit să își retragă consimțământul? Sau dacă, inițial, la data obținerii consimțământului erau disponibile anumite mijloace de retragere a consimțământului, însă acestea devin indisponibile sau dificil de utilizat pe parcursul prelucrării, de la ce moment se consideră că prelucrarea operatorului este nelegală [i.e. este efectuată fără a avea unei temei conform art. 6 (1) din GDPR]?

^[13] A se vedea Frederik J Zuiderveen Borgesius, Sanne Kruikemeier, Sophie C Boerman și Natali Helberger, European Data Protection Law Review, Volume 3, Issue 3, pp. 353-368.

^[14] Orientările 5/2020, parag. 40-41. Traducerea din limba engleză aparține autoarei. Textul original în limba engleză:

„A website provider puts into place a script that will block content from being visible except for a request to accept cookies and the information about which cookies are being set and for what purposes data will be processed. There is no possibility to access the content without clicking on the „Accept cookies” button. Since the data subject is not presented with a genuine choice, its consent is not freely given. This does not constitute valid consent, as the provision of the service relies on the data subject clicking the “Accept cookies” button. It is not presented with a genuine choice”.

^[15] Exemplul nr. 16, în formularea din textul orientărilor GL Art. 29: „Derularea în jos sau glisarea pe un site web nu va satisface cerința unei acțiuni fără echivoc. Aceasta se datorează faptului că alerta potrivit căreia continuarea derulării va constitui consimțământ ar putea fi dificil de diferențiat și/sau poate fi omisă atunci când o persoană vizată derulează rapid texte ample, iar o astfel de acțiune nu este suficient de clară”.

^[16] Orientările 5/2020, parag. 86. Traducerea din limba engleză aparține autoarei. Textul original în limba engleză: „Based on recital 32, actions such as scrolling or swiping through a webpage or similar user activity will not under any circumstances satisfy the requirement of a clear and affirmative action: such actions may be difficult to distinguish from other activity or interaction by a user and therefore determining that an unambiguous consent has been obtained will also not be possible. Furthermore, in such a case, it will be difficult to provide a way for the user to withdraw consent in a manner that is as easy as granting it”.

^[17] În engleză, „a clear affirmative action” (art. 4, pct. 11 din GDPR).

^[18] A se vedea și Christine Utz, Martin Degeling, Sascha Fahl, Florian Schaub, and ThorstenHolz. 2019. (Un)informed Consent: Studying GDPR Consent Notices in theField în 2019 ACM SIGSAC Conference on Computer and Communications Security (CCS ’19), November 11–15, 2019, London, United Kingdom, ACM, New York, NY, USA https://doi.org/10.1145/3319535.335421

^[19] Ținând cont și de așteptarea că, odată ce un șef al unei autorități naționale de supraveghere a votat pentru o anumită orientare în cadrul CEPD, respectiva orientare va fi susținută și la nivel național.

G.D.P.R. Noi orientări privind valabilitatea consimțământului în cazul „cookie walls” și al acțiunilor swipe/scroll în cadrul unui website was last modified: decembrie 14th, 2023 by Dana Ududec