Pastrarea anonimitatii online este in zilele noastre un deziderat greu de indeplinit in conditiile in care simpla vizita a unui site web presupune, in mod aproape sigur, o prelucrare de date cu caracter personal. Mai mult, din nevoia de eficientizare a costurilor si dorinta de maximizare a profiturilor, multi detinatori de site-uri web, fie de prezentare sau e-commerce, recurg la tot felul de metode care servesc acestor scopuri, dar care, in cele din urma ii expun unor riscuri de sanctionare pentru lipsa de conformitate din punct de vedere GDPR.
Printre metodele folosite pentru eficientizarea costurilor se numara: folosirea unor sabloane in designul site-ului (i.e. template-uri) cu scopul de a reduce cheltuielile, incorporarea unor tehnologii de urmarire sau de analiza cu scopul de a creste incasarile sau realizarea unor audituri necorespunzatoare din perspectiva protectiei datelor cu caracter personal, tot in scopul de reduce costurile.
In ciuda beneficiului temporar pe care il poate aduce oricare dintre actiunile mentionate mai sus, acestea sunt inevitabil acompaniate de riscuri de sanctionare pentru lipsa de conformitate, dar mai ales pentru incalcarea prevederilor legale aplicabile in domeniul protectiei datelor cu caracter personal, precum Regulamentul (UE) 2016/679 privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si privind libera circulatie a acestor date (GDPR) sau Legea 506/2004 privind prelucrarea datelor cu caracter personal si protectia vietii private in sectorul comunicatiilor electronice (Legea E-Privacy). Si asta pentru ca toate actiunile mentionate mai sus implica sau au un efect direct asupra datelor cu caracter personal prelucrate prin intermediul site-ului web.
Vom analiza in continuare doua situatii, mult prea des intalnite in practica, care se pot transforma in adevarate probleme pentru detinatorii de site-uri web, avand in vedere regimurile sanctionatorii din GDPR si Legea E-Privacy, dar care pot fi evitate in urma unui audit corespunzator si a unui plan de (re)conformare adecvat.
● Prelucrari de date cu caracter personal contrar optiunilor exprimate de vizitatori
Inevitabil, orice utilizator, este intampinat de interfata unei platforme de gestionare a consimtamantului (Consent Management Platform sau CMP) privind tehnologiile de tip cookies sau alte tehnologii de urmarire in momentul in care acceseaza un site web pentru prima data sau dupa o perioada semnificativa de timp.
Prin intermediul unui CMP, ca regula generala, utilizatorul este informat in legatura cu: (i) faptul ca site-ul web pe care il acceseaza foloseste tehnologii de urmarire, precum cele de tip cookie sau pixeli de urmarire; (ii) care sunt aceste tehnologii folosite pe site-ul web pe care utilizatorul doreste sa-l acceseze; (iii) necesitatea consimtamantului sau pentru plasarea acestor tehnologii folosite de site-ul web, cu exceptia cookie-urilor strict necesare.
In practica insa, un numar alarmant de mare de site-uri web procedeaza la plasarea unor cookie-uri de masurare sau analiza, fie in absenta consimtamantului exprimat de catre utilizator, fie si in cazul in care utilizatorul a optat doar pentru fisierele cookie strict necesare.
Cel mai des intalnit caz este cel al lui Google, respectiv al cookie-urilor sale de masurare si analiza (i.e. Google Analytics) aproape omniprezente pe majoritatea site-urilor web accesibile din Uniunea Europeana si nu numai. Aceste cookie-uri pot fi usor identificate prin denumirea identificatorilor lor, respectiv _ga si _gid.
Desi exista o opinie anterioara privind inexistenta datelor cu caracter personal in cadrul metadatelor colectate de acest tip de fisiere cookie, o hotarare recenta a autoritatii de supraveghere din Austria a stabilit exact contrariul, schimband astfel paradigma privind fisierele cookie de analiza si statuand ca metadatele cuprind date cu caracter personal. La scurt timp dupa hotararea autoritatii din Austria, si autoritatea din Franta s-a aliniat la aceasta opinie printr-o hotarare de sanctionare avand concluzii similare.
In prezent, numeroase site-uri web din Romania se regasesc in practica descrisa anterior, plasand fisiere cookie de analiza (mai ales din cele create de Google), fara a obtine in prealabil consimtamantul utilizatorilor care acceseaza site-ul web sau contrar optiunilor exprimate de acestia.
● Lipsa de transparenta privind tehnologiile de urmarire folosite
In situatiile in care sunt achizitionate sabloane de design pentru site-uri web, exista situatii in care acestea au implementate, in mod implicit (by default) de catre cel care a creat sablonul, si tehnologii de urmarire despre care viitorul detinator care foloseste respectivul sablon nu poate avea cunostinta in absenta unor cunostinte de specialitate sau in lipsa unui audit corespunzator.
In mod corelativ, exista si situatii in care echipa IT din spatele unui site web nu realizeaza o informare corecta a detinatorului despre tehnologiile de urmarire prezente pe respectivul site web si modul de functionare al acestora, inclusiv existenta unor prelucrari de date cu caracter personal.
Ca urmare a unor situatii precum cele de mai sus, apar prelucrari de date cu caracter personal ascunse, indeosebi prin intermediul unor pixeli de urmarire, despre care utilizatorul nu este informat si pentru care acesta nu isi exprima in prealabil consimtamantul.
Trebuie retinut faptul ca un „pixel de urmarire” este un program software menit sa inregistreze o actiune a unui utilizator (de exemplu, daca utilizatorul a vazut o reclama afisata pe site-ul web accesat), colectand totodata si alte metadate, in mod asemanator unui fisier cookie. De asemenea, trebuie avut in vedere ca metadatele sunt definite in mod “crud” ca fiind date despre date, precum: momentul cand au fost create, cine le-a creat, ce software / hardware a fost folosit pentru a le crea, etc.
In prezent, mai multe site-uri web din Romania plaseaza cookie-uri pe care nu le mentioneaza in politica de cookies si in CMP, atunci cand solicita consimtamantul utilizatorilor, desi acestea nu intra sub categoria fisierelor cookie-urilor strict necesare. Daca aceasta plasare are loc cu sau fara cunostinta detinatorului site-ului web nu reprezinta o cauza justificativa din perspectiva aplicarii unor sanctiuni pentru incalcarea normelor legale aplicabile in domeniul protectiei datelor cu caracter personal.
Mai mult decat atat, foarte multi detinatori de site-uri web folosesc pixeli de urmarire fara a solicita consimtamantul prealabil al utilizatorilor si fara a le oferi informatii despre existenta acestora pe site-ul web. Daca in cazul vulnerabilitatilor privind securitatea cibernetica, cauza lor este adesea exterioara, in cazul riscurilor prezentate mai sus, eventualele neconformitati sau chiar sanctiuni pot fi evitate prin efectuarea unui audit corespunzator din perspectiva protectiei datelor cu caracter personal si prin implementarea unui plan adecvat de conformare cu prevederile din GDPR si din Legea E-Privacy.
Avand in vedere faptul ca in prezent se afla in discutie un ghid redactat de catre Comitetul European pentru Protectia Datelor privind calcularea cuantumului amenzilor aplicabile in cazul incalcarii prevederilor din GDPR, reiteram faptul ca amenzile aplicabile in cazul constatarii unor incalcari precum cele de mai sus se pot ridica de pana la 20.000.000 euro sau, in cazul unei companii, de pana la 4 % din cifra de afaceri totala anuala corespunzatoare exercitiului financiar anterior, luandu-se in calcul cea mai mare valoare.