Adriana-Maria Șandru, Daniel-Mihail ȘANDRU, „Prăjiturele” periculoase. Unele observații privind cauza Planet49 / Dangerous ”Cookies”. Some comments on case Planet49, Pandectele române, nr. 6/2021, p. 67-71, ISSN 1582-4756
Daniel-Mihail Sandru – relevant activities in the field of personal data protection
citări
Ioana Rusu, Consimțământul: un ingredient esențial pentru cookie?, RRDE, nr. 1/2023, p. 95
SSRN
Prin Hotărârea din 1 octombrie 2019, Planet49 (C-673/17), Curtea de Justiţie a statuat că consimţământul privind stocarea informaţiilor sau dobândirea accesului la informaţii prin intermediul cookie-urilor instalate pe echipamentul terminal al utilizatorului unui site internet nu este dat în mod valabil atunci când autorizarea rezultă dintr-o căsuţă bifată în prealabil, iar aceasta indiferent de faptul că informaţiile în cauză constituie sau nu date cu caracter personal. În plus, Curtea a precizat că furnizorul de servicii trebuie să îi indice utilizatorului unui site internet durata de funcţionare a cookie-urilor, precum și posibilitatea sau imposibilitatea ca terţii să aibă acces la aceste cookie-uri. Articolul analizează cauza menţionată precum și decizii ale autorităţilor naţionale de protecţia datelor ori ale instanţelor naţionale privind consimţământul în legătură cu cookie-urile.
Cuvinte-cheie: cookie, consimţământ, Curtea de Justiţie a Uniunii Europene, C-673/17, Planet49.
Abstract:
In a judgment of 1 October 2019, Planet49 (C-673/17), the Grand Chamber of the Court held that consent to the storage of or access to information in the form of cookies installed on a website user’s terminal equipment is not validly constituted if given by way of a pre-checked checkbox, irrespective of whether or not the information in question is personal data. Furthermore, the Court made clear that the information that the service provider must give to an internet user includes the duration of the operation of cookies and whether or not third parties may have access to those cookies. The article analyzes the mentioned cause as well as the decisions of the national data protection authorities or of the national courts regarding the consent regarding the cookies.
Keywords: cookie, consent, European Court of Justice, C-673/17, Planet49.
Comunități virtuale în epoca Regulamentului General privind Protecția Datelor are ca temă al doilea an consecutiv educația. Educația și sănătatea sunt aspecte principale ale vieții oamenilor în timpul pandemiei, uneori chiar cu posibilitatea coliziunii între aceste două drepturi. Autoritățile au condiționat și încă reglementează restricții sanitare care au ca impact educația. În această ecuație vom discuta despre utilizarea tehnologiei, a uneia „obișnuite”, nu prin faptul că oamenii ar fi căpătat o înțelegere asupra acesteia, ci doar pentru că s-au mulțumit să treacă peste acest subiect: cookie.
Regulamentul general privind protecția datelor[1] se referă la cookie în contextul identificării persoanei fizice, a persoanei vizate ca subiect al acestei reglementări.[2] Ceea ce însă ridică probleme reale nu este dacă prin cookie poate fi identificată o persoană, ci dacă este necesar un consimțământ pentru cookie, cum ar trebuie să fie aceste, care sunt efectele diferitelor tipuri de cookie asupra vieții private și protecției datelor. La o parte dintre aceste dezbateri a răspuns Curtea de Justiție în cauza Planet49.[3] Hotărârea din 1octombrie 2019 a fost pronunțată ca urmare au unei cereri de decizie preliminară formulate de Curtea Federală de Justiție, Germania, la 5 octombrie 2017. Un proces lung referitor la consimțământul în mediul on-line, în mod specific cu privire la cookie și care analizează reglementările privind protecția datelor precum și cele referitoare la confidențialitate și comunicații electronice.[4] S-a discutat despre retardul în această ultimă direcție, în privința legiferării în Uniunea Europeană prin Regulamentul care ar fi trebuit să intre în vigoare în același timp cu Regulamentul general privind protecția datelor. Cauza Planet49 pune în discuție consimțământul, interpretarea dispozițiilor pertinente din consid. (32), referitoare la consimțământ, art. 4 pct. 1, 2, și 11, art. 6 și 7 (referitoare la consimțământ) precum și art. 13 (dreptul la informare) dar și consid. 17 și 24, art. 2, și art. 5 alin. (3) din Directiva 2002/58. Problema de drept a Uniunii Europene a cărei interpretare se realizează se referă la informarea persoanelor vizate și consimțământul acestora. În special, problema dedusă judecății, în fața instanței naționale privea regimul căsuțelor bifate în prealabil prin care un operator realiza proba consimțământului persoanei vizate.
Curtea subliniază la pct. 31 rolul cookie, respectiv acestea „sunt fișiere pe care furnizorul unui site internet le plasează pe computerul utilizatorului acestui site și pe care le poate accesa din nou cu ocazia unei noi vizitări a site‑ului de către utilizator, pentru a facilita navigarea pe internet sau tranzacțiile sau pentru a obține informații referitoare la comportamentul acestuia din urmă.” La pct. 37 din Concluzii, Avocatul General[5] subliniază, în acord cu literatura de specialitate că „un cookie permite site‑ului internet să „memoreze” acțiunile sau preferințele utilizatorului de‑a lungul timpului. Majoritatea browserelor de internet acceptă cookie‑urile, însă utilizatorii își pot configura browserele atât pentru a le refuza, cât și pentru a le șterge oricând doresc acest lucru. De fapt, mulți utilizatori își configurează setările prestabilite ale cookie‑urilor în browserele lor pentru a șterge automat cookie‑urile implicit, atunci când fereastra browserului este închisă. Acestea fiind spuse, dovezile empirice demonstrează în mod masiv că utilizatorii de internet modifică arareori setările prestabilite din oficiu, fenomen cunoscut sub denumirea de „inerție implicită”[6]. În fine, după ce detaliază diferite distincții între cookie, avocatul general concluzionează, în acord cu avizul Comitetului european de protecția datelor (în forma anterioară a Grupului de lucru) că „valabilitatea consimțământului cu privire la instalarea cookie‑urilor și aplicabilitatea eventualelor excepții pertinente trebuie să se aprecieze ținând cont nu de caracteristicile tehnice ale cookie‑ului, ci de scopul acestuia”.[7]
În ultimii ani, Directiva 2002/58 a fost modificată chiar în ceea ce privește cookie-urile. Având în vedere că aceasta urmărește să asigure respectarea deplină a drepturilor prevăzute în Carta drepturilor fundamentale a Uniunii Europene și în special a celor prevăzute la articolele 7 și 8 din aceasta, prin modificarea survenită prin Directiva 2009/136 s-a schimbat optica, astfel încât în prezent există cerința ca „abonatul sau utilizatorul în cauză să își fi dat acordul”, spre deosebire de situația anterioară când persoana vizată doar putea să refuze prelucrarea datelor.
Curtea subliniază trăsăturile consimțământului, respectiv ca acesta să fie fără echivoc, activ și specific. Mai mult, se arată că „pare practic imposibil să se stabilească în mod obiectiv dacă utilizatorul unui site internet și‑a dat în mod efectiv consimțământul la prelucrarea datelor sale cu caracter personal prin faptul că nu a debifat o căsuță bifată în prealabil, precum și, în orice caz, dacă acest consimțământ a fost dat în mod informat. Astfel, nu se poate exclude faptul ca utilizatorul menționat să nu fi citit informația care însoțea căsuța bifată în prealabil sau să nu fi observat această căsuță, înainte de a‑și continua activitatea pe site‑ul internet pe care îl vizitează.” (pct. 55). Curtea s-a pronunțat în sensul următor: „consimțământul (…) nu este, prin urmare, dat în mod valabil atunci când stocarea de informații sau dobândirea accesului la informațiile deja stocate în echipamentul terminal al utilizatorului unui site internet este autorizată prin intermediul unei căsuțe bifate în prealabil de furnizorul de servicii, pe care utilizatorul trebuie să o debifeze în cazul în care refuză să își dea consimțământul” (pct. 57).[8] Prin consimțământ „specific”, Curtea înțelege obținerea unor consimțăminte diferite, pentru accesul la un joc pe un site de internet și pentru acordul de a fi prelucrate datele cu caracter personal prin intermediul unui cookie, de exemplu. Chiar consid. (32) RGPD exclude în mod expres ca „absența unui răspuns, căsuțele bifate în prealabil sau absența unei acțiuni” să constituie un consimțământ.[9] Așadar, consimțământul (…) ”nu este acordat în mod valabil atunci când stocarea de informații sau dobândirea accesului la informațiile deja stocate în echipamentul terminal al utilizatorului unui site internet este autorizată printr‑o căsuță bifată în prealabil pe care utilizatorul trebuie să o debifeze în cazul în care refuză să își dea consimțământul” (pct. 62). Mai mult, plasarea de cookie-uri trebuie să respecte condiția consimțământului indiferent dacă suntem în prezența datelor cu caracter personal sau a datelor fără caracter personal, fiind protejate nu doar datele cu caracter personal, ci și viața privată (pct. 107 din concluzii; pct. 69-71 din hotărâre).
Instanța națională a pronunțat o hotărâre după ce s-a pronunțat Curtea de justiție Uniunii Europene, demonstrând că în cauză Planet49 „nu deține un consimțământ informat al persoanelor vizate, ceea ce ar fi însemnat că (1) participanții să fie conștienți de ceea ce și-au dat consimțământul și (2) ce produse și servicii erau acoperite de consimțământul lor. Aceste cerințe, a reținut instanța, nu pot fi îndeplinite prin prezentarea utilizatorilor de opțiuni excesive dintre care să aleagă. Astfel de opțiuni excesive ar determina utilizatorii să se abțină de la revizuirea informațiilor care le sunt prezentate și să evite să ia o decizie. Planet49 nu s-a putut baza pe decizia pe care a luat-o în numele utilizatorilor în cazurile în care utilizatorul nu a reușit să ia o decizie [decizia de a transfera datele la peste 50 de terți]. Această decizie, a reținut instanța, nu a fost nici dată în mod activ, nici informată, utilizatorii fiind copleșiți de opțiunile care le-au fost prezentate și nu au luat în considerare în mod corespunzător informațiile care le-au fost oferite.”[10] Acest lucru, al inițierii unor opțiuni excesive, este demonstrat și de faptul că acțiunea a fost formulată de o asociația de consumatori, mai precis Federația Organizațiilor și Asociațiilor de Consumatori – Federația Organizațiilor de Consumatori, Germania și nu au fost plângeri ale persoanelor vizate.
Consecințele hotărârii
Hotărârea Curții de Justiție are importanță practică în privința drepturilor persoanelor vizate, ceea ce înseamnă, în primul rând, măsuri tehnice și organizatorice pe care operatorul trebuie să le adopte.
Informarea persoanelor vizate trebuie să fie detaliată, atât în privința tipurilor de cookie cât și a altor elemente, cum ar fi transferul către terți. În mod evident, o căsuță bifată în prealabil nu este o procedură conformă cu legislația Uniunii Europene. Informarea trebuie să cuprindă toate elemente prevăzute de Directiva 2002/58 și în Regulamentul general privind protecția datelor, în special art. 13, „informații care se furnizează în cazul în care datele cu caracter personal sunt colectate de la persoana vizată”. Curtea a hotărât că „informațiile pe care furnizorul de servicii trebuie să le ofere utilizatorului unui site internet includ durata de funcționare a cookie‑urilor, precum și posibilitatea sau imposibilitatea ca terții să aibă acces la aceste cookie‑uri.”
Pe de altă parte, accesul pe site nu poate fi restricționat total, în lipsa acceptării cookie-urilor. Chiar dacă persoana vizată nu e de acord cu cookie-urile, aceasta trebuie să aibă acces pe site, operatorul trebuie să-i pună la dispoziție rute alternative, cum ar fi plata conținutului fără cookies.[11]
Multe autorități naționale de protecția datelor au elaborat ghiduri sau recomandări privind cookie-urile[12] sau au sancționat comportamentul nepotrivit al operatorilor.[13] Elaborarea acestor ghiduri de autorități diferite, având în vedere jurisprudența națională, ar putea constitui un impediment în aplicarea uniformaă a dreptului Uniunii Europene, dar și un impuls pentru elaborarea unui aviz al Comitetului European de Protecția Datelor.
Concluzii
Problematica
cookie-urilor este departe de a-și găsit soluția definitivă. Dintre
incertitudinile actualei stări de lucru putem menționa: diferențele între
diferitele ghiduri elaborate de autoritățile de protecția datelor precum și
comportamentul acestora față de operatori în acest domeniu și interpretarea
sistematică a noului Regulament privind confidențialitatea și comunicațiile
electronice. Hotărârea Curții de Justiție în cauza Planet49 a consacrat un
drept fundamental, la protecția datelor al persoanelor vizate prin dreptul la
informare, și cu respectarea principiilor
Regulamentului general privind protecția datelor, în special principiul legalității,
respectiv consimțământul și principiul transparenței.
[1] Regulamentul (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor) a fost publicat în Jurnalul Oficial L 119, 4.5.2016, p. 1–88.
[2] Consid. (30) din Regulament: „Persoanele fizice pot fi asociate cu identificatorii online furnizați de dispozitivele, aplicațiile, instrumentele și protocoalele lor, cum ar fi adresele IP, identificatorii cookie sau alți identificatori precum etichetele de identificare prin frecvențe radio. Aceștia pot lăsa urme care, în special atunci când sunt combinate cu identificatori unici și alte informații primite de servere, pot fi utilizate pentru crearea de profiluri ale persoanelor fizice și pentru identificarea lor.”
[3] C-673/17, Planet49, hotărârea din 1 octombrie 2019, ECLI:EU:C:2019:801.
[4] Directiva 2002/58/CE a Parlamentului European și a Consiliului din 12 iulie 2002 privind prelucrarea datelor personale și protejarea confidențialității în sectorul comunicațiilor publice (Directiva asupra confidențialității și comunicațiilor electronice), ediție specială în limba română, cap. 13, vol. 036, p. 63-73.
[5] Concluziile avocatului general Maciej Szpunar prezentate la 21 martie 2019 în cauza C-637/19, Planet49.
[6] O. Lynskey, Track[ing] changes: an examination of EU Regulation of online behavioural advertising through a data protection lens, European Law Review, Sweet & Maxwell, 2011, p. 874-886, în special p. 875 și 876, citat în concluziile avocatului general la notele de subsol 17, 18. De asemenea, avocatul general citează D. Clifford, EU Data Protection Law and Targeted Advertising: Consent and the Cookie Monster – Tracking the crumbs of online user behaviour, Journal of Intellectual Property, Information Technology and Electronic Commerce Law, 2014, p. 195-196.
[7] Avizul 04/2012 privind excepția de la obligația de acordare a consimțământului pentru anumite cookie‑uri adoptat de grupul de lucru „articolul 29” la 7 iunie 2010 (00879/12/EN, WP 194, p. 12.
[8] A se vedea și: Patrice Le Maigat, Cookies et consentement: une difficile digestion, Gazette du Palais, 36/2019, p. 21-23.
[9] Tocmai de aceea unii analiști au considerat hotărârea Planet49 inevitabilă și chiar superfluă în condițiile în care reglementarea este clară, considerând că ar fi fost de ajuns să fi citit prezentarea ICO (Information Commissioner’s Office) despre consimțământ. Sean Hargrave, EU Rules That Consent On Cookies Really Does Mean Consent, 7.10.2019, https://www.mediapost.com/publications/article/341666/eu-rules-that-consent-on-cookies-really-does-mean.html Totuși, ar mai fi de adăugat faptul că acțiunea a fost inițiată în 2013 când reglementarea privind protecția datelor era directiva, care nu avea dispozițiile atât de clare ca în Regulament. În 2017 când a fost formulată trimiterea preliminară, Regulamentul nu fusese pus în aplicare. Și cu toate acestea, pentru considerentul că s-ar putea aplica în viitor în funcție de posibilele cereri ale reclamantului din acțiunea din fața instanței naționale, precum și a faptului că Regulamentul a intrat în vigoare la 25 mai 2016 (nu 2018, cum este scris în hotărârea Curții, probabil o eroare materială) s-a aplicat și regulamentul. Într-un alt articol se conturează o opinie contrară. Hotărârea este necesară social și pentru impactul în domeniul publicității on-line. Este subliniată jurisprudența Curții în materia principiului securității juridice, prin trimitere la cauza CJ, 10/69, Portelange / Smith Corona Marchant International, hotărârea din 9 iulie 1969, ECR 1969 p. 309, ECLI:EU:C:1969:36 și autoarele subliniază că „această dorință de extindere [a aplicării hotărârii Curții] se bazează pe faptul că este în interesul cetățenilor să-și vadă datele personale mai bine protejate de dreptul Uniunii Europene. Întrucât cookie-urile și alte elemente de urmărire sunt o problemă dificil de înțeles, Curtea consideră, prin urmare, important să le abordeze.” (Julie Meyer, Estelle Dantan, Fanny Lange, Célia Gourzones, Elsa Sadaka, La CJUE rejette la présomption de consentement au placement des cookies, La Revue des droits de l’homme, 29.01.2020, http://journals.openedition.org/revdh/8291). Pct. 41 din hotărâre este important în acest sens: „Regulamentul 2016/679 [trebuie] să fie aplicabil ratione temporis în cadrul litigiului principal ca urmare a jurisprudenței naționale referitoare la situația juridică relevantă în materie de acțiuni în încetare, aspect a cărui verificare revine instanței de trimitere (a se vedea, în ceea ce privește o acțiune de natură declaratorie, Hotărârea din 16 ianuarie 2019, Deutsche Post, C‑496/17, EU:C:2019:26, pct. 38).” În afară de efectele în timp ale hotărârii, s-a discutat și despre extrateritorialitatea acestei hotărâri, impactul pentru mediul de afaceri din Statele Unite ale Americii, cel puțin în regimul din California: Amanda R. Lawrence, Sasha Leonhardt, Magda Gathani, Website Cookies and Privacy—GDPR, CCPA, and Evolving Standards for Online Consent, Bloomberg, 14.10.2019, https://news.bloomberglaw.com/securities-law/insight-website-cookies-and-privacy-gdpr-ccpa-and-evolving-standards-for-online-consent
[10] Fabian Niemann, Lennart Schüßler, Miriam Ballhausen, Juliana Kliesch, Cookie banners – Marketing consent – Enforcing claims for GDPR non-compliance. The German Federal Court of Justice’s decision on Planet49 (file number I ZR 7/16) and Facebook (file number I ZR 186/17), Bird&Bird, May 2020, https://www.twobirds.com/en/news/articles/2020/germany/einwilligung-im-online-kontext-bgh-urteile-in-den-verfahren-planet49-und-facebook#__prclt=oAVLjZOq
[11] A se vedea, de ex. Websites must remain accessible when rejecting tracking cookies – Dutch Data Protection Authority, 03.04.1029, https://www.whitecase.com/publications/alert/websites-must-remain-accessible-when-rejecting-tracking-cookies-dutch-data
[12] CNIL, Cookies and other tracking devices: the Council of State issues its decision on the CNIL guidelines 29.06.2021, https://www.cnil.fr/en/cookies-and-other-tracking-devices-council-state-issues-its-decision-cnil-guidelines; ICO, Guidance on the use of cookies and similar technologies, https://ico.org.uk/for-organisations/guide-to-pecr/guidance-on-the-use-of-cookies-and-similar-technologies/; La AEPD actualiza su Guía sobre el uso de cookies para adaptarla a las nuevas directrices del Comité Europeo de Protección de Datos, 28.07.2020, https://www.aepd.es/es/prensa-y-comunicacion/notas-de-prensa/aepd-actualiza-guia-cookies
[13] A se vedea de ex: Kristof Van Quathem, Belgian Supervisory Authority Imposes Cookie Fine, 31.12.2019, https://www.insideprivacy.com/data-privacy/belgian-supervisory-authority-imposes-website-cookie-fine/ A se vedea și: https://www.enforcementtracker.com/