loader
Autoritatile de supraveghere europene au aplicat amenzi uriase pentru gestionarea incorecta a datelor prin modulele cookie. Cum pot fi evitate?

Autoritatile de supraveghere europene au aplicat amenzi uriase pentru gestionarea incorecta a datelor prin modulele cookie. Cum pot fi evitate?

Daniel Vinerean, Managing Associate D&B David si Baias

Utilizarea modulelor cookie a reprezentat in ultimele luni o tema majora de discutie la nivel european in materia protectiei datelor cu caracter personal. Am asistat la diferite decizii si luari de pozitie din partea autoritatilor de supraveghere competente, numitorul comun fiind identificarea unor incalcari ale Regulamentului general privind protectia datelor (“GDPR”) cu ocazia prelucrarilor de date cu caracter personal prin intermediul modulelor cookie. 

Prezentam in cele ce urmeaza o sinteza a celor constatate de anumite autoritati de supraveghere europene, cu mentiunea ca analizele si concluziile acestora trebuie avute in vedere de toate entitatile care prelucreaza date cu caracter personal prin activitati de prelucrare similare, indiferent de jurisdictia in care isi desfasoara activitatea.

Cazurile Google si Facebook - mecanismul neconform de respingere a modulelor cookie

Google si Facebook au fost marile lovite de autoritatea de supraveghere franceza (“CNIL“), care a publicat, in luna ianuarie, doua decizii de sanctionare. Google a fost sanctionata cu o amenda de 150 de milioane de euro, in timp ce Facebook a primit o amenda de 60 de milioane de euro. In ambele cazuri, motivul sanctionarii a constat in faptul ca bannerele de informare privind utilizarea modulelor cookie de pe paginile de internet Google si Facebook nu aveau un mecanism care sa permita vizitatorilor sa respinga utilizarea acestora la fel de usor ca si in cazul acceptarii utilizarii.

Astfel, CNIL a constatat ca bannerele de informare privind utilizarea modulelor cookie plasate pe paginile de internet www.google.fr , www.youtube.com si www.facebook.com ofera optiunea de a accepta cu usurinta modulele cookie, dar nu si de a le respinge.

Cazul IAB – mecanismul TCF contrar GDPR

Cateva saptamani mai tarziu, autoritatea de supraveghere belgiana a constatat ca Mecanismul de Transparenta si Consimtamant (“TCF”) dezvoltat de Interactive Advertising Bureau Europe (“IAB”) nu respecta cerintele GDPR si, prin urmare, a aplicat o amenda de 250.000 de euro.

Pe scurt, TCF este un mecanism folosit pentru gestionarea preferintelor utilizatorilor prin module cookie de stocare si de recuperare a datelor. Acest mecanism este implementat de furnizorii de servicii de marketing digital in scopul afisarii de reclame in timp real si este intemeiat pe consimtamantul utilizatorilor.

Stirea a avut efecte imediate in randul furnizorilor de servicii digitale de marketing, in conditiile in care TCF este integrat in foarte multe pagini de internet din Europa. Intrebarea este acum daca standardele de adecvare stabilite de IAB sunt inca valabile pentru obtinerea unui consimtamant care sa respecte cerintele GDPR.

Trebuie precizat ca autoritatea de supraveghere belgiana nu a analizat activitatile de prelucrare realizate prin intermediul paginilor de internet care utilizeaza TCF, ci insasi activitatea de prelucrare care presupune inregistrarea, stocarea si partajarea preferintelor privind consimtamantului de catre IAB, in calitate de operator, cu editorii si furnizorii de tehnologie publicitara, creand astfel un asa numit “lant de consimtamant“.

Astfel, concluzia autoritatii de supraveghere belgiene a fost ca, interpretand in sens larg notiunea de operator de date cu caracter personal, IAB, editorii si furnizorii de tehnologie publicitara pot fi responsabili pentru tratamentul legat de obtinerea si partajarea preferintelor de consimtamant ale utilizatorilor, intelegand ca, in cazul in care unul dintre participantii la acest proces joaca un rol decisiv in partajarea datelor cu caracter personal, acesta trebuie considerat responsabil pentru prelucrare.

Cazul Google Analytics - transfer international de date cu caracter personal contrar GDPR

Google Analytics, cel mai utilizat set de module cookie de analiza si masurare a traficului pe paginile de internet, a fost protagonistul mai multor investigatii realizate de autoritatile de supraveghere europene ca urmare a invalidarii Scutului de Confidentialitate (cunoscut sub numele de Privacy Schield si utilizat in cazul transferurilor de date catre Statele Unite ale Americii) prin hotararea pronuntata de Curtea de Justitie a Uniunii Europene in cauza Schrems II.

In esenta, s-a stabilit ca utilizarea Google Analytics reprezinta un transfer international de date cu caracter personal realizat cu nerespectarea prevederilor art. 46 din GDPR. 

Astfel, in luna ianuarie 2022, Autoritatea Europeana pentru Protectia Datelor (“AEPD”) a emis o avertizarea adresata Parlamentului European pentru nerespectarea prevederilor Regulamentului 2018/1725 (echivelentul GDPR pentru institutiile europene) si a altor prevederi ale Directivei E-Privacy.

Subliniind inclusiv neconformitatea bannerului de informare privind utilizarea modulelor cookie de pe pagina de internet a Parlamentului European, AEPD a constatat ca modulele cookie de analiza si masurare Google Analytics reprezinta in esenta transferuri internationale de date cu caracter personal realizate fara aplicarea unor masuri suplimentare care sa garanteze mentinerea unui nivel de protectie echivalent cu cel stabilit de GDPR.

In acest context, AEPD a reamintit ca, dupa invalidarea Scutului de Confidentialitate, clauzele contractuale standard aprobate de Comisia Europeana nu sunt suficiente pentru a garanta securitatea datelor cu caracter personal in tara de destinatie, respectiv in Statele Unite ale Americii.

Tot in luna ianuarie a acestui an, autoritatea austriaca de supraveghere, a constatat la randul sau ca utilizarea Google Analytics nu respecta prevederile capitolului V din GDPR.

Desi vine in completarea deciziei AEPD, decizia autoritatii austriece de supraveghere este importanta pentru ca pare a deschide un sir mai lung de decizii intemeiate pe cele constatate de Curtea de Justitie a Uniunii Europene in cauza Schrems II.

Decizii similare sunt asteptate si in alte state europene. Astfel, dupa ce a primit mai multe reclamatii din partea NOYB – European Center for Digital Rights, autoritatea de supraveghere franceza a analizat conditiile in care se fac transferurile de date catre Statele Unite ale Americii prin intermediul Google Analytics, precum si riscurile asociate acestor transferuri. Potrivit analizei CNIL, Google Analytics este o functionalitate pe care poate fi integrata in paginile de internet pentru a masura numarul utilizatorilor. In acest context, fiecarui vizitator i se atribuie un identificator unic (care constituie date cu caracter personal), si care, impreuna cu alte datele asociate sunt transferate de Google in Statele Unite ale Americii.

In urma analizei efectuate, CNIL a concluzionat ca, desi Google a stabilit masuri suplimentare pentru asigurarea conformitatii transferurilor catre o tara terta, acestea nu sunt suficiente pentru a exclude posibilitatea ca serviciile de informatii americane sa acceseze datele astfel transmise, iar fapt creeaza riscuri pentru utilizatorii care acceseaza paginile de internet care au integrat Google Analytics.

Problema transferurilor internationale de date cu caracter personal realizate ca urmare a utilizarii Google Analytics a fost, de asemenea, supusa analizei autoritatii norvegiene de supraveghere, aceasta recomandand operatorilor sa exploreze alternative la utilizarea Google Analytics.

Concluzii si recomandari

Avand in vedere recentele decizii ale autoritatilor europene de supraveghere, este recomandabila evaluarea modului in care operatorii utilizeaza modulele cookie. Pornind de la bannerul de informare cu privire la utilizarea modulelor cookie si pana la informarea detaliata a utilizatorilor paginilor de internet, operatorii trebuie sa tina cont de regulile aplicabile prelucrarilor de date cu caracter personal.

In plus, in cazul unor transferuri de date in afara Spatiului Economic European (inclusiv cu ocazia utilizarii Google Analytics) este necesara realizarea unei evaluari a impactului transferului international de date pentru stabilirea caracterului adecvat al acestor transferuri. O astfel de evaluare trebuie sa aiba in vedere riscurile de confidentialitate ale transferului de date tinand cont de legile locale si de cadrul de reglementare privind protectia datelor din tara de destinatie, de compatibilitatea cu garantiile esentiale europene si, in special, de circumstantele specifice ale transferului (cum ar fi: continutul si durata, natura datelor care urmeaza sa fie transferate, destinatarul, scopul tratamentului) si orice garantie implementata in plus fata de clauzele contractuale standard (inclusiv cele tehnice si organizatorice relevante).

Autori

foto
D&B DAVID SI BAIAS SCA