O jurisdicție a internetului: aplicarea teritorială a prevederilor RGPD în contextul platformelor digitale

Universuljuridic.ro PREMIUM

Aici găsiți informaţiile necesare desfăşurării activităţii dvs. profesionale.

Universuljuridic.ro PREMIUM pune la dispoziția profesioniștilor lumii juridice un prețios instrument de pregătire profesională. Oferim un volum vast de conținut: articole, editoriale, opinii, jurisprudență și legislație comentată, acoperind toate domeniile și materiile de drept. Clar, concis, abordăm eficient problematicile actuale, răspunzând scenariilor de activitate din lumea reală, în care practicienii activează.

Testează ACUM beneficiile Universuljuridic.ro PREMIUM prin intermediul abonamentului GRATUIT pentru 7 zile!

Pentru a intra sub incidența RGPD, bunurile și servicii nu trebuie oferite neapărat cetățenilor UE, ci oricăror persoane care se află în Uniune^[41], indiferent de naționalitate sau cetățenie. Deși contează prezența persoanei, iar nu naționalitatea, cetățenia sau alt statut, CEPD este de părere că „activitățile care vizează în mod intenționat persoane fizice din UE, nu în mod accidental sau întâmplător^[42]” și dă exemplul unui australian care călătorește în Uniune care utilizează un serviciu de știri și conținut video al unei companii din Australia care nu vizează persoane din UE, ci doar persoane din Australia care trebuie să facă dovada că sunt australieni la înregistrarea pe site prin furnizarea unui număr de telefon australian^[43].
Totodată, pentru a intra sub incidența RGPD, CEPD subliniază că trebuie determinat, în funcție de particularitățile fiecărui caz, dacă există o intenție de a ținti (targetting) persoane din Uniune, testul țintirii (targetting) fiind utilizat frecvent pentru a se stabili jurisdicția pe internet și în alte arii de drept, precum dreptul consumatorilor^[44].

Cu alte cuvinte, așa cum s-a arătat în doctrină, companiile din afara UE sunt vizate de RGPD doar dacă vizează persoane din UE^[45].Această condiție a intenției de a viza persoane din Uniune se regăsește și în considerentul (23) din RGPD care prevede următoarele:
„pentru a determina dacă un astfel de operator sau o astfel de persoană împuternicită de operator oferă bunuri sau servicii unor persoane vizate care se află pe teritoriul Uniunii, ar trebui să se stabilească dacă reiese că operatorul sau persoana împuternicită de operator intenționează să furnizeze servicii persoanelor vizate din unul sau mai multe state membre din Uniune”.

În concluzie, bunurile și serviciile nu trebuie oferite întâmplător, ci trebuie să existe intenția de a oferi aceste bunuri și servicii către persoane din Uniune, intenție care poate fi probată prin orice mijloace, ca de exemplu campanii de marketing care vizează teritoriul UE, limba utilizată, informații privind livrarea către state din UE^[46].Va fi interesant de observat cum se va putea stabili în practică intenția de a viza persoane din Uniune de către companii din afara UE care utilizează limba engleză. În opinia noastră, simpla existență pe site-ul platformei digitale a informațiilor privind livrarea către țări din UE va conduce către concluzia incidenței RGPD fără a mai fi nevoie a se mai avea în vedere și alți factori. Proba intenției de a viza persoane din Uniune este mai dificil de realizat în situația produselor digitale care se livrează exclusiv economic fără a fi nevoie de livrare fizică sau în situația platformelor de tip SaaS. În aceste situații, va fi nevoie de o analiză concretă a mai mulți factori relevanți.

Totodată, observăm și faptul că această prevedere implică și un risc pentru persoanele vizate, deoarece, pot exista companii din afara UE care, din dorința de a arăta că nu vizează persoane din UE, s-ar putea sustrage de la obligațiile de informare și transparență, dar această sustragere, s-ar putea transforma, pe termen mediu sau lung, într-o circumstanță agravantă în stabilirea cuantumului amenzii.

4. Monitorizarea comportamentului

RGPD se aplică chiar și organizațiilor care nu au un sediu în Uniune și nu oferă bunuri sau servicii unor persoane vizate din Uniune, dar monitorizează comportamentul persoanelor din cadrul Uniunii [art. 3 alin. 2 lit. b) RGPD].

Aceste companii trebuie să respecte toate prevederile RGPD aplicabile și, în mod special, trebuie să desemneze, în conformitate cu art. 27 din RGPD, un reprezentant în UE. În cadrul acestei secțiuni este valabilă discuția din secțiunea anterioară cu privire la persoana care nu trebuie să aibă cetățenie UE sau să locuiască în UE, ci este suficient să se afle pe teritoriul Uniunii în momentul în care este monitorizată, iar comportamentul monitorizat să se manifeste pe teritoriul UE^[47].

Considerentul (24) din RGPD precizează următoarele:

„(…) Pentru a se determina dacă o activitate de prelucrare poate fi considerată ca „monitorizare a comportamentului” persoanelor vizate, ar trebui să se stabilească dacă persoanele fizice sunt urmărite pe internet, inclusiv posibila utilizare ulterioară a unor tehnici de prelucrare a datelor cu caracter personal care constau în crearea unui profil al unei persoane fizice, în special în scopul de a lua decizii cu privire la aceasta sau de a analiza sau de a face previziuni referitoare la preferințele personale, comportamentele și atitudinile acesteia. (…)”.

Un exemplu de monitorizare ar fi utilizarea cookie-urilor pentru personalizarea conținutului oferit utilizatorilor^[48].
CEPD oferă și alte exemple de monitorizare, printre care urmărirea prin dispozitive portabile și alte dispozitive inteligente, publicitate comportamentală, activități de geolocalizare, în special în scopuri de marketing, urmărirea online prin utilizarea cookie-urilor sau a altor tehnici de urmărire, cum ar fi amprentarea, servicii analitice online personalizate pentru dietă și sănătate, TVCI, studii de piață și alte studii comportamentale bazate pe profiluri individuale^[49].

CEPD „nu este de părere că orice colectare sau analiză online a datelor cu caracter personal ale persoanelor fizice din UE este considerată în mod automat „monitorizare” și este de părere că și în situația monitorizării, ca în cazul oferirii de bunuri și servicii, ar trebui să existe o intenție de a monitoriza, iar monitorizarea nu ar trebui să fie întâmplătoare^[50]. Va fi interesant de observat cum ar putea avea aplicabilitate acest raționament în practică, având în vedere contextul prezent al monitorizării globale prin intermediul cookie-urilor și furnizarea de conținut personalizat de către alte site-uri decât cele care monitorizează (third-party cookies).

Exemplu #2: Compania A este un site de știri cu sediul în Thailanda care a integrat modulul Google Adsense pentru a genera venituri din publicitate de la companii terțe. Compania A nu are intenția de a monitoriza utilizatorii din UE (preferințe, obiceiuri) și, în realitate, nici nu are acces la aceste date. Datele sunt transmise și prelucrate de Google. Compania de turism vreauvacanțe.ro de pe teritoriul României accesează serviciile Google Adsense pentru a efectua publicitate direcționată către potențiali clienți. Persoanele vizate române care au accesat site-ul de știri din Thailanda pentru a citi despre un festival local primesc reclame Google Ads de la compania de turism vreauvacanțe.ro cu oferte de vacanțe în Thailanda.

În exemplul de mai sus, deși site-ul de știri nu a avut intenția să monitorizeze persoanele, monitorizarea s-a realizat prin companii terțe și efectele s-au produs față de persoanele vizate (afișarea ofertei la vacanțe). Dacă am merge mot-a-mot pe raționamentul CEPD și site-ul de știri nu ar intra sub incidența RGPD deoarece nu are scopul de a monitoriza, ci doar de a obține venit din Adsense, în realitate persoana vizată ar fi lipsită de garanțiile RGPD, mai ales în cele ce privește informarea despre existența monitorizării pe internet și în ce privește consimțământul deoarece primul punct de contact al persoanei vizate este cu site-ul de știri. CEPD afirmă „este necesară luarea în considerare a scopului operatorului în ceea ce privește prelucrarea datelor și orice analiză comportamentală ulterioară sau tehnici de stabilire a profilului care implică datele respective”.

În opinia noastră, ar trebui luate în considerare și scopurile de utilizare ale partenerilor din mediul virtual, mai ales în contextul în care CJUE a stabilit că în aceste situații (a transferurilor de date), ne aflăm în prezența unei relații de operatori asociați și că trebuie stabilită responsabilitatea fiecăruia cu privire la obligația de informare, obținerea consimțământului și facilitarea exercitării drepturilor^[51]. Dacă în exemplul indicat anterior, informarea trebuie realizată la momentul colectării datelor (art. 13 RGPD), moment care coincide cu momentul accesării site-ului, și înainte de transferul de date către Google, persoana vizată ar fi lipsită de dreptul la informare dacă s-ar considera că site-ul iese din sfera aplicabilității RGPD.

5. Concluzii

Un internet liber, fără granițe, unde utilizatorii pot alege liber, iar companiile își pot extinde afacerile fără limite în spațiu, nu ar trebui să însemne un internet nesigur. Protecția datelor cu caracter personal are abordări diferite la nivel mondial, iar extinderea domeniului de teritorial aplicare al RGPD oferă protecție utilizatorilor europeni de internet într-un context global. Dacă se consideră nemulțumiți de modalitatea în care organizațiile străine prelucrează datele în spațiul digital, persoanele se pot adresa cu o plângere la o autoritate de supraveghere (art. 77 RGPD) sau se pot adresa instanțelor de judecată naționale pentru obținerea de daune materiale sau morale (art. 82 RGPD).
Organizațiile de pretutindeni care interacționează, în condițiile regulamentului, cu persoane vizate din Uniune, trebuie să își adapteze practicile de prelucrare pentru a corespunde celor mai înalte standarde stabilite de RGPD, riscând nu doar o amendă care se calculează la valoarea cifrei de afaceri mondiale (art. 83), dar și o interdicție asupra prelucrării sau suspendarea transferurilor de date (art. 58).
Deși RGPD a extins domeniul de aplicare teritorial pentru a acoperi și situațiile incerte generate de fenomenul globalizării, iar CEPD a oferit orientări utile privind jurisdicția pe internet, în realitate au rămas, așa cum am arătat în acest articol, situații problematice și incerte. În realitate, majoritatea site-urilor monitorizează utilizatorii prin intermediul unui parteneri terți, deși intenția de a monitoriza în sensul îndrumărilor CEPD ar putea fi pusă la îndoială. Dacă am exclude din sfera de aplicabilitate a RGPD site-urile care nu au o intenție clară de a monitoriza ar însemna să excludem, în mod automat, persoanele vizate de la protecția datelor personale.
În final, revine autorităților de supraveghere și instanțelor de judecată să aprecieze, de la caz la caz, cu luarea în considerare a tuturor factorilor incidenți și în lumina jurisprudenței CJUE, competența teritorială.