Curtea de Justiție a Uniunii Europene unifică opinia și practica utilizării fișierelor cookie în UE

Curtea Federală de Justiție din Germania solicită Curții de Justiție a Uniunii Europene (CJUE) sprijin juridic în cadrul unui litigiu în care „Federația Germană a Organizațiilor de Consumatori contestă în fața instanțelor germane, utilizarea de către societatea Planet49 a unei căsuțe prebifate în prealabil prin care utilizatorii platformei online care doresc să participe își exprimă acordul cu privire la instalarea fișierelor cookie pe dispozitivele acestora”.

Informația este transmisă conform comunicatului de presă emis de CJUE cu privire la Hotărârea emisă în data de 01.10.2019 în cauza C-673/17.

Este pusă în discuție practica societății comerciale de jocuri de noroc online Planet49 „în legătură cu consimțământul participanților la un joc promoțional organizat de această societate pentru transferul datelor lor cu caracter personal către sponsori și parteneri ai acesteia, precum și pentru stocarea de informații și dobândirea accesului la informații stocate în echipamentul terminal al utilizatorilor menționați”, astfel cum se precizează în expozițiunea Hotărârii CJUE. Se arată în prezentarea obiectului speței, că „participarea la jocul de noroc era posibilă numai după bifarea cel puțin a primei căsuțe de bifat.”

Nu ne lansăm în definiții ale cookie-urilor considerând că informația este cunoscută deja, însă oferim câteva informații desprinse din Hotărârea CJUE și din legislația citată despre fișierele cookie prin care subliniem motivul pentru care utilizarea acestor fișiere trebuie privită cu seriozitate:

  • cookie‑urile sunt fișiere pe care furnizorul unui site internet le plasează pe computerul utilizatorului acestui site și pe care le poate accesa din nou cu ocazia unei noi vizitări a site‑ului de către utilizator, pentru a facilita navigarea pe internet sau tranzacțiile sau pentru a obține informații referitoare la comportamentul acestuia din urmă;
  • ca funcționalitate, aceste fișiere cookie includ un anumit număr generat în mod aleatoriu (ID) care este atribuit concomitent și datelor dumneavoastră de înregistrare (IP-ul care este un identificator online (un ID) similar în mediul digital CNP-ului);
  • prin intermediul cookie‑urilor nu este posibilă executarea unor programe sau transmiterea unor viruși. Așa‑numitele spyware, web bugs, hidden identifiers și alte procedee similare pot să acceseze terminalul utilizatorului (laptop, smartphone, tableta) fără știrea acestuia și să acceadă la informații, să copieze informații ascunse sau să urmărească activitatea utilizatorului și pot încălca flagrant confidențialitatea datelor acestor utilizatori. Folosirea de astfel de procedee trebuie permisă doar în scopuri legitime, cu informarea utilizatorilor în cauză.”

Curtea de Justiție a Uniunii Europene a primit următoarele întrebări (preliminare) din partea Curții Federale de Justiție din Germania pe care noi le simplificam în sensul în care înlăturăm trimiterea la articolele de lege:  

a) Consimțământul este valid exprimat atunci când cookie-urile sunt instalate în terminalul utilizatorului iar pop-up-ul de consimțământ pentru cookie-uri (acea casetă enervantă care apare atunci când accesăm un website) conține căsuțe preselectate pe care utilizatorul trebuie să le debifeze în cazul în care refuză să își ofere consimțământul?

b) Cookie-urile sunt sau nu considerate date cu caracter personal sau nu?

c) Cum trebuie sa fie obținut consimțământul pentru a fi considerat valabil exprimat în sensul și în conformitate cu legea?

d) Ce date trebuie să comunice furnizorul de servicii utilizatorului, astfel încât acestea să constituie informații clare și complete în sensul legii? Este obligatoriu ca aceste date să se refere și la durata de funcționare a cookie‑urilor și la aspectul dacă terții pot să dobândească acces la acestea?

Vom sintetiza poziția CJUE cu privire la fiecare dintre aspectele sesizate pentru soluționare și astfel explicăm răspunsurile oferite, însă nu înainte de a arata cadrul legislativ avut în vedere de către instanță. Astfel, răspunsurile au fost interpretate în limitele prevederilor următoarelor norme Europene:

  • - Directiva 2002/58/CE a Parlamentului European și a Consiliului din 12 iulie 2002 privind prelucrarea datelor personale și protejarea confidențialității în sectorul comunicațiilor publice (Directiva asupra confidențialității și comunicațiilor electronice), denumită în continuare „Directiva 2002/58”),
  • - Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date,
  • - Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46 (Regulamentul general privind protecția datelor – GDPR).

Cu privire la întrebările adresate CJUE, instanța a sintetizat practica criticată a societății Planet49, care reprezintă de altfel, modalitatea general adoptata de 99% dintre companiile online din România, de a trata utilizarea fișierelor cookie si de a aborda obținerea consimțământului utilizatorilor serviciilor digitale ale acestor companii.

Formulări de genul „În măsura în care nu vă mai interesează utilizarea cookie‑urilor, le puteți șterge oricând prin intermediul browser‑ului dumneavoastră și veți găsi instrucțiuni în acest sens în cadrul funcției de [«ajutor»] a acestuia” sau posibilitatea accesării unui serviciu sau a unei funcții sub condiția debifării sau dimpotrivă a bifării unei/unor căsuțe, începând cu data de 01.10.2019 sunt interzise.

Se arată în Hotărârea CJEU că: „termenii „dat acordul” se pretează, cu toate acestea, unei interpretări literale potrivit căreia este necesară o acțiune a utilizatorului pentru a‑și exprima consimțământul. În această privință, din considerentul (17) al Directivei 2002/58 reiese că consimțământul unui utilizator, în sensul acestei directive, poate fi acordat prin orice metodă potrivită acestui scop, care oferă indicații specifice și clare, acordate prin proprie voință, despre dorința utilizatorului, în special „prin bifarea unei căsuțe la vizitarea unui site internet”.

În sensul art. 4 din GDPR, «consimțământ» al persoanei vizate înseamnă orice manifestare de voință liberă, specifică, informată și lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă, printr‑o declarație sau printr‑o acțiune fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate. 

De asemenea, Hotărârea reține că „cerința unei „manifestări” a persoanei vizate indică în mod clar un comportament activ, iar nu unul pasiv. Or, un consimțământ dat prin intermediul unei căsuțe bifate în prealabil nu presupune un comportament activ din partea utilizatorului unui site internet.

Astfel, utilizarea cookie-urilor nu a fost si nu este permisă, înainte de a obține consimțământul expres al utilizatorului pentru fiecare scop diferit al prelucrării, ceea ce înseamnă că preinstalarea cookie-urilor în terminalul utilizatorului în ciuda pop-up-ului care apare în scop de informare pe website-ul accesat sau a cookie wall-urilor este ilegală.

Mai mult, faptul că o căsuță deja bifată în prealabil nu a fost debifată de utilizator, nu poate fi practic interpretată ca reprezentând un consimțământ valabil exprimat, având în vedere că „nu se poate exclude faptul că utilizatorul menționat să nu fi citit informația care însoțea căsuța bifată în prealabil sau să nu fi observat această căsuță, înainte de a‑și continua activitatea pe site‑ul internet pe care îl vizitează”.

De asemenea, absența unui răspuns sau absența unei acțiuni din partea utilizatorului nu constituie un consimțământ valabil în sensul GDPR, ceea ce înseamnă că închiderea pop-up-ului de consimțământ pentru utilizarea cookie-urilor din butonul „X” plasat de regulă în partea dreaptă a ferestrei de informare echivalează cu un dezacord al utilizatorului pentru utilizarea de către furnizorul serviciilor a fișierelor cookie. Mai mult, accesul la serviciu trebuie să fie oferit în acest caz, fără ca fișierele cookie să fie instalate în dispozitivul utilizatorului, pentru că acesta din urmă nu poate fi, conform GDPR, penalizat pentru exprimarea (în orice formă acceptată de lege!) a voinței sale.

Cookie-urile sunt interpretate ca fiind „date cu caracter personal”, în sensul în care funcția lor este aceea de vehicule de prelucrare a datelor, care interacționează cu IP-ul dispozitivului utilizat și reține date (informații) despre utilizator (preferințe, servicii sau produse accesate, locație, etc.) care sunt ulterior utilizate în scop de profilare.

Un ultim aspect lămurit de către CJEU este acela că indiferent de funcția sau tipul cookie-urilor (ale terților sau de funcționalitate), consimțământul utilizatorului trebuie în mod obligatoriu obținut în conformitate cu dispozițiile la care am făcut referire mai sus.

Se arată în Hotărâre că este deosebit de important ca în Politica de cookie, durata de funcționare a cookie‑urilor, precum și posibilitatea sau imposibilitatea ca terții să aibă acces la aceste cookie‑uri trebuie să facă parte în mod obligatoriu din informațiile clare și complete care trebuie furnizate utilizatorului.

Încheiem prezentarea Hotărârii CJEU care unifică și impune la nivelul Uniunii Europene opinia și practica cu privire la utilizarea fișierelor cookie, însă nu înainte de a cita un pasaj la care merită să reflectăm și care conduce la înțelegerea modalității în care CJEU soluționează cauze cu implicații la nivel continental și chiar global, așa cum este prezenta soluție: Potrivit unei jurisprudențe constante a Curții, la interpretarea unei dispoziții a dreptului Uniunii trebuie să se țină seama nu numai de termenii acesteia și de obiectivele pe care le urmărește, ci și de contextul său, precum și de ansamblul dispozițiilor dreptului Uniunii. Geneza unei dispoziții a dreptului Uniunii poate de asemenea să ofere elemente importante pentru interpretarea acesteia.”



Citeste si