2 riscuri GDPR ascunse, pentru detinatorii de site-uri e-commerce si de prezentare
In contemporaneitate, pastrarea anonimitatii online este greu de indeplinit, in conditiile in care simpla vizita a unui website presupune, in mod aproape sigur, o prelucrare de date cu caracter personal. Mai mult, din nevoia de eficientizare a costurilor si dorinta de maximizare a profiturilor, multi proprietari de website-uri de prezentare sau e-commerce recurg la tot felul de metode care servesc acestor scopuri, dar care ii expun unor riscuri de sanctionare, pentru lipsa de conformitate din punct de vedere GDPR, transmite Daniel Vinerean (foto, Avocat Senior Coordonator, D&B David si Baias), intr-un comunicat de presa.
Printre metodele folosite pentru eficientizarea costurilor se numara: folosirea unor template-uri in designul site-ului si realizarea unor audituri necorespunzatoare din perspectiva protectiei datelor cu caracter personal (cu scopul de a reduce cheltuielile) sau incorporarea unor tehnologii de urmarire sau de analiza (cu scopul de a creste incasarile). In ciuda beneficiului temporar pe care il pot aduce aceste actiuni, ele sunt acompaniate de riscuri de sanctionare pentru lipsa de conformitate si pentru incalcarea prevederilor legale din domeniul protectiei datelor cu caracter personal: Regulamentul (UE) 2016/679 privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si privind libera circulatie a acestor date (GDPR) sau Legea 506/2004 privind prelucrarea datelor cu caracter personal si protectia vietii private in sectorul comunicatiilor electronice (Legea E-Privacy).
Cele 2 situatii des intalnite in practica, care se pot transforma in adevarate probleme pentru detinatorii de website-uri, avand in vedere regimurile sanctionatorii din GDPR si Legea E-Privacy (si care pot fi evitate in urma unui audit corespunzator) sunt:
1. Prelucrarea de date cu caracter personal, contrar optiunilor exprimate de vizitatori
Inevitabil, orice utilizator care acceseaza un site pentru prima data sau dupa o perioada semnificativa de timp e intampinat de interfata unei platforme de gestionare a consimtamantului (Consent Management Platform sau CMP), privind tehnologiile de tip cookies sau alte tehnologii de urmarire. Prin intermediul unui CMP, ca regula generala, utilizatorul e informat in legatura cu: faptul ca site-ul pe care il acceseaza foloseste tehnologii de urmarire, precum cele de tip cookie sau pixeli de urmarire; care sunt aceste tehnologii folosite pe site; necesitatea consimtamantului sau pentru plasarea acestor tehnologii folosite de site, cu exceptia cookie-urilor strict necesare.
In practica insa, un numar alarmant de mare de site-uri plaseaza cookie-uri de masurare sau analiza, fie in absenta consimtamantului exprimat de catre utilizator, fie si in cazul in care utilizatorul a optat doar pentru fisierele cookie strict necesare. Cel mai des intalnit caz este cel al cookie-urilor de masurare si analiza Google (Google Analytics), aproape omniprezente pe majoritatea site-urilor web accesibile din Uniunea Europeana si nu numai. Aceste cookie-uri pot fi usor identificate prin denumirea identificatorilor lor ( _ga si _gid). Numeroase site-uri din Romania plaseaza fisiere cookie de analiza (mai ales create de Google), fara a obtine in prealabil consimtamantul utilizatorilor.
Desi exista o opinie anterioara privind inexistenta datelor cu caracter personal, in cadrul metadatelor colectate de acest tip de fisiere cookie, o hotarare recenta a autoritatii de supraveghere din Austria a stabilit exact contrariul, schimband astfel paradigma privind fisierele cookie de analiza si statuand ca metadatele cuprind date cu caracter personal. La scurt timp dupa hotarare, si autoritatea din Franta s-a aliniat la aceasta opinie, printr-o hotarare de sanctionare similara.
2. Lipsa de transparenta privind tehnologiile de urmarire folosite
In situatiile in care sunt achizitionate sabloane de design pentru site-uri, exista situatii in care acestea au implementate (implicit) si tehnologii de urmarire, despre care nu poti sti, in absenta unor cunostinte de specialitate sau a unui audit corespunzator. In mod corelativ, exista si situatii in care echipa IT nu informeaza corect detinatorul apropo de tehnologiile de urmarire prezente pe respectivul site web si modul de functionare al acestora, inclusiv existenta unor prelucrari de date cu caracter personal. Ca urmare a unor astfel de situatii, apar prelucrari de date cu caracter personal ascunse, indeosebi prin intermediul unor pixeli de urmarire, despre care utilizatorul nu este informat si pentru care acesta nu isi exprima consimtamantul.
Trebuie retinut faptul ca un „pixel de urmarire” este un program software menit sa inregistreze o actiune a unui utilizator (de exemplu, daca utilizatorul a vazut o reclama afisata pe site-ul web accesat), colectand totodata si alte metadate, in mod asemanator unui fisier cookie. De asemenea, trebuie avut in vedere ca metadatele sunt definite in mod „crud” ca fiind date despre date: momentul cand au fost create, cine le-a creat, ce software/hardware a fost folosit pentru a le crea, etc.
In prezent, mai multe site-uri web din Romania plaseaza cookie-uri pe care nu le mentioneaza in politica de cookies si in CMP, atunci cand solicita consimtamantul utilizatorilor, desi acestea nu intra sub categoria fisierelor cookie-urilor strict necesare. Daca aceasta plasare are loc cu sau fara cunostinta detinatorului site-ului web nu reprezinta o cauza justificativa din perspectiva aplicarii unor sanctiuni pentru incalcarea normelor legale aplicabile in domeniul protectiei datelor cu caracter personal.
Mai mult decat atat, foarte multi detinatori de site-uri web folosesc pixeli de urmarire fara a solicita consimtamantul prealabil al utilizatorilor si fara a le oferi informatii despre existenta acestora pe site-ul web. Daca in cazul vulnerabilitatilor privind securitatea cibernetica, cauza lor este adesea exterioara, in cazul riscurilor prezentate mai sus, eventualele neconformitati sau chiar sanctiuni pot fi evitate prin efectuarea unui audit corespunzator din perspectiva protectiei datelor cu caracter personal si prin implementarea unui plan adecvat de conformare cu prevederile din GDPR si din Legea E-Privacy.
Avand in vedere faptul ca in prezent se afla in discutie un ghid redactat de catre Comitetul European pentru Protectia Datelor privind calcularea cuantumului amenzilor aplicabile in cazul incalcarii prevederilor din GDPR, reiteram faptul ca amenzile aplicabile in cazul constatarii unor incalcari precum cele de mai sus se pot ridica de pana la 20 de milioane € sau, in cazul unei companii, de pana la 4% din cifra de afaceri totala anuala corespunzatoare exercitiului financiar anterior, luandu-se in calcul cea mai mare valoare.
Leave a reply