avocatnet.ro 
- Platformele de management al consimțământului trebuie să identifice detaliat scopurile cookie-urilor și să includă scanare automată pentru a cataloga tehnologiile utilizate pe site.
- Primul ecran al site-ului trebuie să conțină informare sumară cu trimitere la politica cookie și opțiunile "accept toate" și "modific setările", cookie-urile non-esențiale fiind blocate inițial.
- Utilizatorii trebuie să poată accepta/respinge scopurile granular pentru fiecare furnizor, iar Google Analytics nu este considerat cookie strict necesar, ci trebuie încadrat la măsurare și analiză.
Înainte de a discuta despre modul corect de colectare a datelor prin intermediul cookie-urilor, trebuie subliniat că această metodă a pierdut din importanță în ultima perioadă. Principala cauză o reprezintă restricțiile tot mai stricte impuse de browsere în privința protejării confidențialității utilizatorilor. Totodată, cookie-urile sunt tot mai des colectate prin tehnologii similare dezvoltate de terți, precum Google, Meta, TikTok, Criteo sau Microsoft Ads, și nu direct de către operatorul site-ului.
În ceea ce privește colectarea corectă a datelor prin intermediul cookie-urilor, primul aspect de care trebuie să țină cont, din perspectivă juridică, deținătorul unui site este existența unei platforme de management al consimțământului configurate corect pentru tehnologiile de tip cookie.
Adriana Radu, avocat partener senior în cadrul Adriana Radu și Asociații SPARL, a explicat în cadrul evenimentului „GDPR în activitatea de zi cu zi: Managementul consimțământului, breșele de securitate și marketingul direct”, organizat de avocatnet.ro, că această platformă de management trebuie să îndeplinească câteva condiții esențiale:
- să permită identificarea detaliată a tuturor scopurilor pentru care sunt plasate cookie-urile;
- să includă o funcție de scanare automată a site-ului, care să identifice și să catalogheze tehnologiile utilizate.
„Ar trebui să aveți o platformă care să realizeze automat o scanare a site-ului, pentru a putea identifica tehnologiile plasate. În lipsa unei astfel de funcționalități, este extrem de dificil să țineți pasul cu toate modificările operate de furnizori asupra cookie-urilor pe care le plasează”, a subliniat avocatul.
Mai mult, toate tehnologiile de tip cookie care stochează informații sau permit accesul la informația stocată în terminalul utilizatorului (inclusiv Pixels, sdk, etc) și care nu sunt strict necesare pentru furnizarea accesului la website (art. 4 alin 6 lit b din Legea 506/2004), trebuie să fie blocate până la momentul la care utilizatorul exprimă o opțiune.
O excepție fac cookie-urile strict necesare pentru funcționalizarea site-ului.
Cum trebuie să arate primul ecran al site-ului
Primul ecran al platformei conține cel puțin o informare sumară a persoanelor vizate, cu trimitere la cookie policy și permite utilizatorului cel puțin 2 acțiuni - accept toate sau modific setările.
Primul ecran al site-ului va trebui, în mod obligatoriu, să conțină cel puțin o informare sumară a persoanelor vizate, cu trimitere la politica cookie și să permită utilizatorului cel puțin două acțiuni - „accept toate cookie-urile” și „modific setările”.
Adriana Radu a precizat că, în trecut, Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal impunea ca butonul „Resping toate cookie-urile” să fie afișat pe primul ecran al bannerului de consimțământ (cookie banner). În prezent, această obligație nu mai există, cu condiția ca operatorul să respecte regula potrivit căreia, la prima interacțiune a utilizatorului cu site-ul și bannerul de consimțământ, nu sunt plasate alte tipuri de cookie-uri decât cele strict necesare funcționării site-ului.
Mai mult, utilizatorii trebuie să aibă posibilitatea de a accepta sau respinge scopurile declarate de furnizorii de tehnologii și să poată face aceste alegeri în mod granular, pentru fiecare scop sau furnizor în parte.
Cel mai important aspect este ca operatorul să se asigure că tehnologiile utilizate sunt încadrate corect, în funcție de scopul pentru care sunt folosite. Spre exemplu, instrumentele de măsurare și analiză a traficului nu pot fi considerate cookie-uri strict necesare, chiar dacă au o importanță majoră pentru deținătorul site-ului.
„Google Analytics nu utilizează cookie-uri strict necesare, chiar dacă reprezintă un instrument esențial pentru administratorul site-ului. Cookie-urile aferente trebuie încadrate la categoria de măsurare și analiză și nu pot fi plasate înainte ca utilizatorul să își exprime acordul pentru acest scop”, a subliniat avocata.
Operatorul are obligația de a le oferi utilizatorilor, în permanență, posibilitatea de a-și modifica consimțământul în orice moment, pe durata vizitei pe site. Totodată, nu este recomandată activarea modulului IAB TCF Framework dacă site-ul nu afișează publicitate și nu utilizează furnizori de tehnologii afiliați la acest cadru.
„Nu activați acest modul, deoarece presupune prelucrări de date care nu sunt justificate și pot induce în eroare atât utilizatorii, cât și autoritățile. Va apărea mesajul ‘noi și cei 982 de parteneri ai noștri vă prelucrăm datele în diverse scopuri’, deși, în realitate, site-ul poate avea doar doi furnizori de tehnologie în site. Dacă îl activați, așa o să apară în mod automat pe site. O să fie foarte greu de justificat de ce l-ați activat, mai ales dacă nu vindeți publicitate în site”, a explicat avocata.
Atenție la colaborarea cu furnizori de tehnologii
„Atenție la Server Side tracking este de cele mai multe ori mai intruziv decât standard cookie based tracking, pentru ca fie utilizatorul nici măcar nu are ocazia de a exprima o opțiune (e.g. cookieless tracking - browser fingerprinting) sau dacă se plasează cookie-uri first party, informarea este incompletă pentru un consimtamant valid.
Dacă decideți să luați o astfel de tehnologie, analizați cu atenție modul în care furnizorii utilizează datele colectate și obligațiile pe care vi le asumați în schimbul utilizării gratuite a acestor instrumente. Cineva trebuie să parcurgă documentația și să tragă niște concluzii din punct de vedere juridic”, a atras atenția avocata.
De asemenea, înainte de implementarea tehnologiei în site, operatorul trebuie să se asigure că există un acord de prelucrare a datelor încheiat cu furnizorul respectivei tehnologii, corespunzător rolului și responsabilităților acestuia în procesul de prelucrare.
Se integrează furnizorul manual sau automat în CMP și se configurează tehnologia în mod corect. Aici aveți un exemplu de precedent în acest sens.
Furnizorul trebuie integrat manual sau automat în platforma de gestionare a consimțământului (CMP), iar tehnologia trebuie configurată corect. În acest sens, operatorul trebuie să dețină de la furnizor o listă a cookie-urilor plasate de tehnologie sau să se asigure că CMP-ul conține o listă actualizată a acestora, însoțită de o descriere completă (categorie, scop, durată de viață).
„Trebuie să vă asigurați că aveți o platformă CMP care scanează automat site-ul și, de regulă, face o încadrare a cookie-urilor în funcție de scop, oferind informații despre categorie și durată de viață. Este recomandat să verificați aceste informații, deoarece instrumentele pot genera erori. De aceea, este important să aveți și o listă furnizată direct de la operatorul tehnologiei.
Ipoteza cea mai rea e cea ă este aceea în care politica de cookie-uri a site-ului a fost redactată cu ani în urmă și nu mai corespunde realității tehnice reflectate în CMP”, a explicat avocata
Totodată, este necesar ca în CMP să fie integrat un link către politica de confidențialitate a furnizorului respectivei tehnologii (în cazul în care acesta are calitatea de operator, aspect relevant mai ales pentru cookie-urile de tip third party). Alternativ sau suplimentar, operatorul trebuie să includă în propria politică de cookie-uri sau de confidențialitate informațiile relevante transmise de furnizor, în conformitate cu art. 13 și art. 26 din GDPR, în funcție de calitatea acestuia, fie de împuternicit (specific first party cookies), fie de operator asociat (precum în cazul Meta Pixel).
Ion122333