Utilizarea de cookies – între cerințele legale, nevoia businessului și așteptările utilizatorilor

Anul 2022 a debutat cu activitate intensă în zona protecției datelor cu caracter personal. Autoritățile de supraveghere din Europa au emis, în prima lună din an, orientări și opinii pentru implementarea adecvată a prevederilor legale, dar au aplicat și numeroase sancțiuni pentru încălcarea acestora de către operatorii de date. Unul dintre aspectele ce atrage din ce în ce mai mult interesul autorităților în materia protecției datelor la nivelul Uniunii Europene (UE) privește și conformarea cu legislația aplicabilă în materia cookie-urilor sau tehnologiilor similare. În această direcție, există un număr semnificativ de orientări, bune practici sau recomandări privind modalitatea de conformare, emise de autoritățile de supraveghere din Olanda, Franța sau Spania, Danemarca, Grecia, Italia sau, mai recent, din Croația sau Cehia.

În ultimii ani, operatorii, indiferent de industrie, adoptă atitudini și implementări diferite, dar și eronate, în ceea ce privește instrumentele de gestionare a modulelor de cookie, în ciuda numeroaselor recomandări emise de autorități. De cele mai multe ori, acest lucru se întâmplă întrucât implementarea mecanismelor de gestionare este tratată ca un simplu element de pe o lungă listă de „cerințe GDPR” care trebuie bifat.

Dar investigațiile soldate cu amenzi, din ce în ce mai des întâlnite în ultimul timp în jurisdicții diferite, pot influența gradul de conștientizare a societăților care folosesc astfel de tehnologii cu privire la conformare. Exemple în acest sens există în Spania, unde a fost aplicată o amendă de 30.000 de euro pentru lipsa unui instrument cu privire la managementul cookies, în Belgia – o amendă de 15.000 de euro pentru folosirea unui banner de cookie inițial fără a solicita consimțământul utilizatorului, ulterior cu consimțământul pre-bifat – și, mai recent, răsunătoarele decizii din Franța de sancționare a Google și Facebook pentru implementarea neadecvată a banner-ului de cookie.

Ce prevede legislația și care sunt așteptările utilizatorilor în această zonă?

Pentru a folosi astfel de tehnologii de colectare a informațiilor, site-urile trebuie să obțină consimțământul prealabil al utilizatorului, în acord cu cerințele europene, reglementate prin Directiva E-privacy, implementată în România prin Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal și protecția vieții private în sectorul comunicaților electronice. Important este faptul că aceste reguli se aplică indiferent dacă se prelucrează sau nu date cu caracter personal.

Regula are și excepții, care prezintă mult mai mult interes, având în vedere mai ales rațiunile comerciale privind utilizarea informațiilor respective. Potrivit legislației naționale, consimțământul utilizatorului nu este obligatoriu dacă cookie-urile sunt necesare strict pentru transmiterea unei comunicări sau doar pentru funcționarea serviciului solicitat de utilizator (orice serviciu online).

Așadar, se poate observa că numeroase tipuri de cookies, precum cele colectate în scop statistic sau de marketing, nu se încadrează în niciuna din excepțiile prevăzute de lege. Totuși, luând în considerare și nuanțările oferite de unele autorități europene în materie (precum cea din Spania, în legătură cu anumite cookie-uri de marketing, sau cea din Franța, în legătură cu cookie-urile privind informațiile statistice și care impun totodată respectarea unor condiții specifice), se poate analiza necesitatea obținerii consimțământului de la caz la caz și se poate decide maniera de implementare în consecință (facilă, user-friendly, dar în conformitate cu rigorile legislației) (…).

Materialul integral este disponibil aici.