Daniel Vinerean, D&B David şi Baias: Autorităţile de supraveghere europene au aplicat amenzi uriaşe pentru gestionarea incorectă a datelor prin modulele cookie. Cum pot fi evitate?
Utilizarea modulelor cookie a reprezentat în ultimele luni o temă majoră de discuţie la nivel european în materia protecţiei datelor cu caracter personal. Am asistat la diferite decizii şi luări de poziţie din partea autorităţilor de supraveghere competente, numitorul comun fiind identificarea unor încălcări ale Regulamentului general privind protecţia datelor (“GDPR”) cu ocazia prelucrărilor de date cu caracter personal prin intermediul modulelor cookie.
Prezentăm în cele ce urmează o sinteză a celor constatate de anumite autorităţi de supraveghere europene, cu menţiunea că analizele şi concluziile acestora trebuie avute în vedere de toate entităţile care prelucrează date cu caracter personal prin activităţi de prelucrare similare, indiferent de jurisdicţia în care îşi desfăşoară activitatea.
Cazurile Google şi Facebook – mecanismul neconform de respingere a modulelor cookie
Google şi Facebook au fost marile lovite de autoritatea de supraveghere franceză (“CNIL“), care a publicat, în luna ianuarie, două decizii de sancţionare. Google a fost sancţionată cu o amendă de 150 de milioane de euro, în timp ce Facebook a primit o amendă de 60 de milioane de euro. În ambele cazuri, motivul sancţionării a constat în faptul că bannerele de informare privind utilizarea modulelor cookie de pe paginile de internet Google şi Facebook nu aveau un mecanism care să permită vizitatorilor să respingă utilizarea acestora la fel de uşor ca şi în cazul acceptării utilizării.
Astfel, CNIL a constatat că bannerele de informare privind utilizarea modulelor cookie plasate pe paginile de internet www.google.fr , www.youtube.com şi www.facebook.com oferă opţiunea de a accepta cu uşurinţă modulele cookie, dar nu şi de a le respinge.
Cazul IAB – mecanismul TCF contrar GDPR
Câteva săptămâni mai târziu, autoritatea de supraveghere belgiană a constatat că Mecanismul de Transparenţă şi Consimţământ (“TCF”) dezvoltat de Interactive Advertising Bureau Europe (“IAB”) nu respectă cerinţele GDPR şi, prin urmare, a aplicat o amendă de 250.000 de euro.
Pe scurt, TCF este un mecanism folosit pentru gestionarea preferinţelor utilizatorilor prin module cookie de stocare şi de recuperare a datelor. Acest mecanism este implementat de furnizorii de servicii de marketing digital în scopul afişării de reclame în timp real şi este întemeiat pe consimţământul utilizatorilor.
Ştirea a avut efecte imediate în rândul furnizorilor de servicii digitale de marketing, în condiţiile în care TCF este integrat în foarte multe pagini de internet din Europa. Întrebarea este acum dacă standardele de adecvare stabilite de IAB sunt încă valabile pentru obţinerea unui consimţământ care să respecte cerinţele GDPR.
Trebuie precizat că autoritatea de supraveghere belgiană nu a analizat activităţile de prelucrare realizate prin intermediul paginilor de internet care utilizează TCF, ci însăşi activitatea de prelucrare care presupune înregistrarea, stocarea şi partajarea preferinţelor privind consimţământului de către IAB, în calitate de operator, cu editorii şi furnizorii de tehnologie publicitară, creând astfel un aşa numit “lanţ de consimţământ“.
Astfel, concluzia autorităţii de supraveghere belgiene a fost că, interpretând în sens larg noţiunea de operator de date cu caracter personal,
