AVIZUL 2/2023 PRIVIND DOMENIUL DE APLICARE TEHNIC AL ART.5 (3) DIN DIRECTIVA PRIVIND CONFIDENȚIALITATEA ELECTRONICĂ

De Mugurel Olariu, RPD protectie date

Comitetul European pentru Protecția Datelor – CEPD, a adoptat la 14 noiembrie 2023 Avizul 2/2023 privind domeniul de aplicare tehnic al art. 5(3) din Directiva privind confidențialitatea electronică*1. Instrumentul de lucru se află în faza de consultare publică până la data de 28 decembrie 2023.

În acest aviz, CEPD abordează aplicabilitatea articolului 5 alineatul (3) din Directiva privind confidențialitatea electronică – Directiva 2002/58/CE a Parlamentului European și a Consiliul din 12 iulie 2002 privind prelucrarea datelor cu caracter personal și protecția vieții private în sectorul comunicațiilor electronice, astfel cum a fost modificată prin Directiva 2009/136/CE (denumită în continuare „Directiva ePrivacy” sau „ePD”) la diferite soluții tehnice. Prezentul aviz extinde Avizul 9/2014 al Grupului de lucru Articolul 29 (denumit în continuare „WP29”) privind aplicarea Directivei privind confidențialitatea electronică la amprentarea dispozitivelor și urmăresc să ofere o înțelegere clară a operațiunilor tehnice reglementate de articolul 5 alineatul (3) din Directiva privind confidențialitatea electronică.

Potrivit articolului 5 alineatul (3) din ePD, „stocarea de informații sau obținerea accesului la informațiile deja stocate în echipamentul terminal al unui abonat sau utilizator” este permisă numai pe baza consimțământului sau a necesității în scopuri specifice stabilite în articolul respectiv. După cum se reamintește în considerentul 24 din ePD, scopul acestei dispoziții este de a proteja echipamentele terminale ale utilizatorilor, deoarece acestea fac parte din sfera privată a utilizatorilor. Rezultă din formularea articolului și s-a clarificat (de exemplu, în Avizul 4/2012 al Grupului de lucru Articolul 29 privind Exceptarea de consimțământ pentru cookie-uri – WP 194), că articolul 5 alineatul (3) din ePD nu prevede exclusive, se aplică cookie-urilor, dar și „tehnologiilor similare”. Cu toate acestea, în prezent nu există o listă cuprinzătoare a operațiunilor tehnice reglementate de articolul 5 alineatul (3) din ePD.

Apariția unor noi metode de urmărire atât pentru a înlocui instrumentele de urmărire existente (de exemplu, cookie-urile, din cauza întreruperii suportului pentru cookie-uri terțe), cât și pentru a crea noi modele de afaceri, a devenit o preocupare critică pentru protecția datelor. Deși aplicabilitatea articolului 5 alineatul (3) din Directiva privind confidențialitatea electronică este bine stabilită și implementată pentru unele tehnologii de urmărire, cum ar fi modulele cookie, este necesar să se elimine ambiguitățile legate de aplicarea dispoziției menționate la instrumentele de urmărire emergente.

Avizul WP29 9/2014 privind aplicarea Directivei privind confidențialitatea electronică la amprentarea dispozitivelor (denumit în continuare „Avizul WP29 9/2014”) a clarificat deja că amprentarea intră în domeniul de aplicare tehnic al articolului 5 alineatul (3) din ePD, dar datorită noului, progresele tehnologiilor sunt necesare îndrumări suplimentare cu privire la tehnicile de urmărire observate în prezent. Peisajul tehnic a evoluat în ultimul deceniu, odată cu utilizarea tot mai mare a identificatorilor încorporați în sistemele de operare, precum și cu crearea de noi instrumente care să permită stocarea informațiilor în terminale.

Ambiguitățile privind domeniul de aplicare a articolului 5 alineatul (3) din ePD au creat stimulente pentru implementarea unor soluții alternative de urmărire a utilizatorilor de internet și au condus la o tendință de eludare a obligațiilor legale prevăzute la articolul 5 alineatul (3) din ePD. Toate acestea și astfel de situații ridică îngrijorări și necesită o analiză suplimentară pentru a completa orientările anterioare din partea CEPD.

Avizul identifică patru elemente cheie pentru aplicabilitatea articolului 5 alineatul (3) din Directiva privind confidențialitatea electronică (secțiunea 2.1), și anume „informații”, „echipamentul terminal al unui abonat sau utilizator”, „obținerea accesului și „informațiile stocate și stocarea”. Avizul oferă în continuare o analiză detaliată a fiecărui element (secțiunile 2.2 la 2.6).
Articolul 5 alineatul (3) din ePD se aplică dacă:
✔ CRITERIU A: operațiunile efectuate se referă la „informații”. Trebuie remarcat faptul că termenul folosit nu este „date cu caracter personal”, ci „informații”.
✔ CRITERIU B: operațiunile efectuate implică un „echipament terminal” al unui abonat sau utilizator.
✔ CRITERIU C: operațiunile efectuate se realizează în contextul „furnizării de servicii de comunicații electronice accesibile publicului în rețelele publice de comunicații”.
✔ CRITERIU D: operațiunile efectuate constituie într-adevăr o „obținere de acces” sau „depozitare”. Aceste două noțiuni pot fi studiate independent, așa cum se reamintește în Avizul WP29 9/2014: „Folosirea cuvintelor „stocat sau accesat” indică faptul că stocarea și accesul nu trebuie să aibă loc în cadrul aceleiași comunicări și nu trebuie să fie efectuate de către aceeași sesiune.
Din motive de lizibilitate, entitatea care obține acces la informațiile stocate în echipamentul terminal al utilizatorului va fi denumită în continuare „entitate de acces”.

În secțiunea 3, această analiză este aplicată unei liste neexhaustive de cazuri de utilizare reprezentând tehnici comune, și anume:

– Urmărire URL și pixeli:
Un pixel de urmărire este un hyperlink către o resursă, de obicei un fișier imagine, încorporat într-o bucată de conținut cum ar fi un site web sau un e-mail. Acest pixel nu îndeplinește de obicei niciun scop legat de conținutul în sine; unicul său scop este de a stabili o comunicare de către client cu gazda pixelului, ceea ce ar fi altfel nu au avut loc. Stabilirea unei comunicări transmite diverse informații către gazda pixel, în funcție de cazul specific de utilizare.
În cazul unui e-mail, expeditorul poate include un pixel de urmărire pentru a detecta când destinatarul citește e-mailul. Urmărirea pixelilor de pe site-uri web poate face legătura cu o entitate care adună multe astfel de solicitări și, astfel, poate urmări comportamentul utilizatorilor. Astfel de pixeli de urmărire pot conține, de asemenea, identificatori suplimentari ca parte a linkului. Acești identificatori pot fi adăugați de către proprietarul site-ului web, eventual în legătură cu activitatea utilizatorului pe acel site. Ele pot fi, de asemenea, generate dinamic prin logica aplicativă la nivelul clientului. În unele cazuri, link-urile către imagini legitime pot fi, de asemenea, utilizate în același scop prin adăugarea de informații suplimentare la link.

– Prelucrare locală :
Unele tehnologii se bazează pe procesarea locală instruită de software-ul distribuit pe terminalul utilizatorilor, unde informațiile produse de prelucrarea locală sunt apoi puse la dispoziția actorilor selectați prin intermediul API-ului client. Acesta poate fi, de exemplu, cazul unui API furnizat de browserul web, unde rezultatele generate local pot fi accesate de la distanță.

– Urmărire bazată numai pe IP:
Unii furnizori dezvoltă soluții de publicitate care se bazează doar pe colectarea unei singure componente, și anume adresa IP, pentru a urmări navigarea utilizatorului, în unele cazuri pe mai multe domenii. În acest context, articolul 5 alineatul (3) din ePD s-ar putea aplica chiar dacă instrucțiunea de a pune la dispoziție IP a fost transmisă de o entitate diferită de cea care o primește.

– Raportare Internet of Things (IoT) intermitentă și mediată:
Dispozitivele IoT (Internet of Things) produc informații continuu în timp, de exemplu prin senzori încorporați în dispozitiv, care pot fi sau nu pre-procesați local. În multe cazuri, informațiile sunt puse la dispoziția unui server la distanță, dar modalitățile de colectare variază.
Unele dispozitive IoT au o conexiune directă la o rețea publică de comunicații, de exemplu prin utilizarea WIFI sau a unei cartele SIM celulare. Dispozitivele IoT ar putea fi instruite de către producător să transmită întotdeauna informațiile colectate, dar totuși să memoreze în cache local informațiile mai întâi, de exemplu până când este disponibilă o conexiune.
Alte dispozitive IoT nu au o conexiune directă la o rețea publică de comunicații și ar putea fi instruite să transmită informațiile către un alt dispozitiv printr-o conexiune punct la punct (de exemplu, prin Bluetooth). Celălalt dispozitiv este, în general, un smartphone care poate sau nu să pre-proceseze informațiile înainte de a le trimite către server.

– Identificator unic:
Un instrument comun utilizat de companiile de publicitate este noțiunea de „identificatori unici” sau „identificatori persistenți”. Astfel de identificatori sunt de obicei derivate din date personale persistente (nume și prenume, e-mail, număr de telefon etc.), care sunt indexate pe dispozitivul utilizatorului, colectate și partajate între mai mulți operatori pentru a identifica în mod unic o persoană pe diferite seturi de date (date de utilizare colectate prin utilizarea site-ului sau a aplicației, a datelor de gestionare a relațiilor cu clienții (CRM) legate de achiziția sau abonamentul online sau offline etc.). Pe site-uri web, datele personale persistente sunt obținute în general în contextul autentificării sau al abonării la buletine informative.
În contextul colectării „identificatorului unic” pe site-uri web sau aplicații mobile, entitatea care colectează instruiește browserul (prin distribuirea codului la nivelul clientului) să trimită informațiile respective. Ca atare, are loc o „obținere a accesului” și se aplică articolul 5 alineatul (3) din ePD.

Operatorii din industrie, în special cei care desfășoară activitatea în on-line sunt direct interesați generic de conformarea la RGPD și în special la modalitățile concrete de calificare a diferitelor soluții tehnice menționate în Avizul 2/2023 al CEPD.

–––––––––––––––––––––-
1. https://edpb.europa.eu/our-work-tools/documents/public-consultations/2023/guidelines-22023-technical-scope-art-53-eprivacy_ro

Articolul precedentDemolarea Tropicana este programată pentru sfârșitul anului 2024 dacă Oakland A’s primesc aprobarea de relocare
Articolul următorBETANO, două Mari Premii ale Industriei de Gambling din România