Aplicabilitatea Directivei asupra confidențialității și comunicațiilor electronice în contextul Orientărilor EDPB 02/2023
1. Introducere
Directiva asupra confidențialității și comunicațiilor electronice reglementează în principal comunicarea electronică a informațiilor transferate prin rețele publice, al cărei domeniu de aplicare este atât protejarea vieții private a utilizatorului, cât și integritatea echipamentelor utilizate pentru comunicații de către utilizator, deoarece există nenumărate moduri în care ambele aspecte pot fi exploatate. Cu toate acestea, din cauza apariției rapide a noilor tehnologii și tehnici, precum și a naturii ambigue a dispozițiilor ePD, este adesea dificil să se determine aplicabilitatea acestora, coeziunea cu alte legi generale, cum ar fi Regulamentul general privind protecția datelor și apariția excepțiilor prevăzute în cadrul acestuia.
În cursul lunii noiembrie, EDPB a publicat Ghidul 02/2023 privind aplicabilitatea domeniului de aplicare al Directivei asupra confidențialității și comunicațiilor electronice, în care analizează articolul 5 alineatul (3), precum și anumite cazuri de utilizare care, altfel, ar putea ridica întrebări în ceea ce privește aplicabilitatea în timpul interacțiunii obișnuite a unui utilizator într-o rețea de comunicații accesibilă publicului.
Articolul 5 alineatul (3) din Directiva asupra confidențialității și comunicațiilor electronice prevede:
"Statele membre se asigură că utilizarea rețelelor de comunicații electronice pentru stocarea informațiilor sau pentru obținerea accesului la informațiile stocate în echipamentul terminal al unui abonat sau utilizator este permisă numai cu condiția ca abonatul sau utilizatorul în cauză să primească informații clare și complete, în conformitate cu Directiva 95/46/CE, inter alia cu privire la scopurile prelucrării, și i se oferă dreptul de a refuza o astfel de prelucrare de către operatorul de date. Aceasta nu împiedică stocarea sau accesul tehnic cu unicul scop de a efectua sau de a facilita transmisia comunicației printr-o rețea de comunicații electronice sau în cazul în care acest lucru este strict necesar pentru furnizarea unui serviciu al societății informaționale solicitat în mod explicit de abonat sau utilizator."
În conformitate cu articolul menționat anterior, EDPB identifică 4 criterii care trebuie îndeplinite pentru ca ePD să se aplice:
"a. CRITERIUL A: operațiunile efectuate se referă la «informații». Trebuie remarcat faptul că termenul utilizat nu este "date cu caracter personal", ci "informații".
b. CRITERIUL B: operațiunile efectuate implică un "echipament terminal" al unui abonat sau utilizator.
c. CRITERIUL C: operațiunile efectuate sunt efectuate în contextul "furnizării de servicii de comunicații electronice accesibile publicului prin rețele de comunicații publice".
d. CRITERIUL D: operațiunile efectuate constituie într-adevăr o "dobândire a accesului" sau o "stocare". Aceste două noțiuni pot fi studiate independent, astfel cum se reamintește în Avizul WP29 9/2014: "Utilizarea cuvintelor «stocate sau accesate» indică faptul că stocarea și accesul nu trebuie să aibă loc în cadrul aceleiași comunicări și nu trebuie să fie efectuate de aceeași parte."
Pe baza criteriilor stabilite la articolul 5 alineatul (3), orientările explorează detalii suplimentare referitoare la identificarea circumstanțelor în care sunt aplicabile în contextul comunicațiilor electronice.
Este important de remarcat faptul că, deși EDPB abordează exemple și detalii specifice cu privire la momentul în care o astfel de aplicabilitate poate fi stabilită luând în considerare aspectele tehnice, orientarea nu se referă la precizarea dacă anumite situații se încadrează sau nu în excepțiile stabilite de directivă. Ca atare, aplicabilitatea Directivei asupra confidențialității și comunicațiilor electronice este condiționată și de aplicabilitatea oricăruia dintre cazurile de exceptare.
2. Analiza criteriilor prevăzute la articolul 5 alineatul (3)
În scopul condensării informațiilor din această secțiune la ceea ce este cel mai relevant, vom menționa doar ceea ce considerăm a fi fie cele mai importante aspecte, fie noua abordare sau exemplele furnizate EDPB, cu toate acestea, recomandăm o consultare completă a orientării pentru o mai bună înțelegere a contextului în care sunt prezentate informațiile.
A. "Informații"
După cum sa menționat anterior, "informațiile" menționate la art. 5 alin. 3 nu trebuie neapărat să fie "date cu caracter personal", deoarece datele cu caracter personal trebuie să respecte anumite condiții pentru a se califica astfel, informații și, cu atât mai mult, "orice informație" cuprinde o gamă largă de elemente care pot fi stocate pe dispozitivul utilizatorului. În special, chiar și stocarea virușilor sau obținerea accesului de “read-only” la informațiile de pe dispozitiv declanșează aplicabilitatea în cauză.
B. "Echipamentul terminal al unui abonat sau utilizator"
Definiția unui "echipament terminal" poate fi găsită în Directiva 2008/63/CE, care prevede:
"echipamente conectate direct sau indirect la interfața unei rețele publice de telecomunicații pentru a trimite, prelucra sau primi informații; în ambele cazuri (directe sau indirecte), conexiunea se poate face prin cablu, fibră optică sau electromagnetic; O conexiune este indirectă dacă echipamentul este plasat între echipamentul terminal și interfața rețelei."
Un aspect notabil al orientării și al ePD în general este tendința de aplicare largă, ca atare această definiție nu face excepție de la regulă, aplicabilitatea sa fiind amplă.
Aproape orice dispozitiv, fie că este compus dintr-un dispozitiv închis fizic, cum ar fi dispozitivul obișnuit al unui utilizator (smartwatch, smartphone-uri, laptopuri, mașini conectate, televizoare inteligente etc.) sau nu, se va califica drept terminal al unui utilizator.
Cu toate acestea, o condiție cheie pentru această calificare este ca terminalul să fie un „end-point”, ca atare nu trebuie doar să transmită informații dintr-un loc în altul, ci trebuie să le genereze sau să le modifice pentru ca această calificare să fie aplicabilă. Un dispozitiv care este pur și simplu utilizat ca transmițător nu va reprezenta un „end point”.
Un alt aspect notabil este faptul că dispozitivul poate fi deținut, închiriat sau furnizat utilizatorului, poate avea și mai mulți utilizatori, însă acest lucru nu afectează aplicabilitatea condițiilor art. 5(3).
C. "Rețea de comunicații electronice"
Continuând tendința definițiilor cu o aplicabilitate foarte largă, avem definiția "rețelei de comunicații electronice" din Directiva 2018/1972 care prevede:
"rețea de comunicații electronice" înseamnă sisteme de transmisie, indiferent dacă se bazează sau nu pe o infrastructură permanentă sau pe o capacitate de administrare centralizată, și, după caz, echipamente de comutare sau rutare și alte resurse, inclusiv elemente de rețea care nu sunt active, care permit transmiterea semnalelor prin cablu, unde radio, prin mijloace optice sau prin alte mijloace electromagnetice, inclusiv rețele de satelit, fixe (cu comutare de circuite și de pachete, inclusiv internet) și rețele mobile, rețele electrice, în măsura în care sunt utilizate în scopul transmiterii de semnale, rețele utilizate pentru difuzarea programelor de radio și televiziune și rețele de televiziune prin cablu, indiferent de tipul de informație transmisă"
Permanent sau nu, centralizat sau descentralizat, activ sau nu, sistemul de transmisie se califică drept rețea de comunicații electronice în sensul Codului European al Comunicațiilor Electronice.
Ca atare, este suficient să spunem că orice rețea, fie ad-hoc, fie gestionată la nivel central de către un operator, se încadrează în definiție. Mai mult, referindu-se la natura descentralizată a unei rețele, chiar și rețelele peer-to-peer formate din doar 2 participanți, declanșează aplicabilitatea articolului 5 alineatul (3) din ePD dacă rețeaua permite admiterea unui alt participant. În special, prezența unui al treilea participant nu este necesară, ci doar posibilitatea admiterii.
D. "Obținerea accesului" și "Stocarea"
În primul rând, accesul și stocarea nu sunt necesare simultan pentru a declanșa aceste criterii de aplicabilitate, este suficient ca unul dintre cele două să fie prezent în comunicarea electronică. În plus, fie accesul, fie stocarea nu sunt condiționate să fie efectuate de aceeași entitate, mai multe entități pot fi implicate în acest proces.
Accesul poate fi obținut la informațiile unui terminal atunci când un server sau device trimite o anumită instrucțiune terminalului pentru ca informațiile să fie trimise sau accesul să fie furnizat, indiferent de faptul că acestea sunt doar "read only” sau nu.
Accesul poate fi obținut prin cookie-uri plasate pe dispozitiv, care furnizează informații înapoi la serverul de la distanță, cod JavaScript executat în browser printr-o pagină web, API-uri (interfață de programare a aplicațiilor), trackere de pixeli, identificatori unici etc.
În ceea ce privește aspectul "stocării", orientările menționează mai multe medii de stocare ca declanșând criteriile, printre acestea numărându-se nu numai HDD-ul și SSD-ul așteptate, ci și stocarea pe memoria cu acces aleatoriu (RAM), precum și chiar memoriile cache ale procesorului.
3. Exemple de aplicabilitate
Pe lângă detaliile furnizate cu privire la criteriile care fac ca articolul 5 alineatul (3) din ePD să fie aplicabil anumitor comunicații electronice, orientarea analizează, de asemenea, anumite cazuri de utilizare care intră sub incidența dispozițiilor Directivei asupra confidențialității și comunicațiilor electronice.
3.1. Urmărirea adreselor URL și a pixelilor
Acești pixeli, în esență hyperlink-uri către resurse precum fișiere imagine, servesc unui scop singular - de a stabili comunicarea între client și gazdă, transmițând diverse informații bazate pe cazuri de utilizare specifice.
În contextul e-mailurilor, pixelii de urmărire pot permite expeditorilor să detecteze când destinatarii citesc e-mailul. Pe site-urile web, acești pixeli se pot conecta la entități care agregă solicitări, facilitând urmărirea comportamentului utilizatorilor. Astfel de pixeli pot include, de asemenea, identificatori suplimentari, fie legați de activitatea utilizatorului pe site, fie generați dinamic prin logica aplicativă din partea clientului. Link-urile legitime de imagine pot fi utilizate chiar și în scopuri de urmărire prin adăugarea de informații suplimentare.
În mod similar, linkurile de urmărire funcționează într-un mod comparabil, cu identificatori adăugați la adresele site-urilor web. Aceste link-uri sunt utilizate în mod obișnuit de site-urile web pentru a identifica originea traficului de intrare, o practică observată în special în marketingul afiliat, unde site-urile de comerț electronic oferă link-uri urmărite către parteneri.
Condiția principală în astfel de cazuri este distribuția pixelilor menționați mai sus sau a adresei URL de urmărire printr-o rețea publică de comunicații, dacă condiția este îndeplinită, atunci suntem în prezența stocării informațiilor pe terminalul utilizatorului final printr-o rețea publică de comunicații, ca atare se aplică articolul 5 alineatul (3) al ePD.
3.2. Prelucrarea locală
Orientările analizează, de asemenea, informațiile care pot fi trimise prin utilizarea unei API (interfață de programare a aplicațiilor) a unui software instruit de actorii selectați să pună la dispoziția acestora anumite informații. Aceste informații pot fi accesate de la distanță prin API dacă se stabilește o conexiune la o rețea publică, cum ar fi un API furnizat de browserul web.
3.3. Urmărirea utilizând numai IP
Urmărirea folosind numai IP este aplicabilă atâta timp cât IP-ul provine de la terminalul utilizatorului final, exemplele date menționează Ipv4 static de ieșire de la routerul unui utilizator sau adrese Ipv6 care sunt parțial definite de gazdă. Articolul 5 alineatul (3) din ePD poate fi aplicabil, cu excepția cazului în care entitatea poate garanta că proprietatea intelectuală nu a provenit de la terminalul utilizatorului final.
3.4. Raportarea IoT intermediată și mediată
Internetul obiectelor colecta, de obicei, informații privind utilizarea și conectarea dispozitivelor menționate, o colecție care are loc continuu și poate fi transmisă unui server la distanță ori de câte ori se stabilește o conexiune. Această transmitere poate avea loc în două cazuri.
Dispozitive precum televizoare, ceasuri inteligente, roboți aspiratori, mașini inteligente etc. pot fi conectate la o rețea publică și pot transmite informațiile direct către serverul de la distanță, fie că este vorba de producător sau de o altă parte, caz în care dispozitivul ar fi terminalul punctului final.
În caz contrar, dispozitivul poate transmite informațiile, prin Bluetooth, de exemplu, numai pe telefonul utilizatorului, caz în care ePD nu ar fi aplicabil atâta timp cât informațiile nu sunt apoi transmise sau nu li se oferă acces unei alte entități.
3.5. Identificatori unici
Agenții de publicitate utilizează în mod obișnuit identificatori unici ca instrument pentru a identifica un utilizator dintr-un grup de date (de obicei, date de utilizare pentru aplicații, platforme etc.). Identificatorul constă într-o valoare derivată de obicei din date cu caracter personal, cum ar fi numărul comenzii, numele, adresa de e-mail etc., care este codificată (hashed) și apoi stocată pe dispozitivul utilizatorului. Identificatorul este utilizat între mai multe entități pentru a identifica în mod unic utilizatorul dintre mai multe seturi de date.
În conformitate cu Ghidul, atunci când colectarea informațiilor se realizează prin intermediul site-urilor web sau al aplicațiilor mobile, entitatea care colectează instruiește browserul (prin distribuirea codului pe partea client) să trimită aceste informații. Ca atare, are loc o "dobândire a accesului" și se aplică articolul 5 alineatul (3) din ePD.
4. Avize ale altor autorități
În prezentarea principalelor subiecte ale orientării, este, de asemenea, important de menționat că nu toate autoritățile de reglementare sunt de acord cu interpretarea exprimată de EDPB în Orientarea 02/2023.
În special, autoritatea finlandeză pentru confidențialitatea în mediul electronic și-a exprimat rezervele cu privire la punctul de vedere al EDPB, menționând că anumite aspecte ale interpretărilor pot conduce la un domeniu de aplicare prea larg.
Traficom a comentat aplicabilitatea art. 5(3) privind urmărirea bazată pe IP, menționând că aplicabilitatea ar putea fi argumentată în astfel de cazuri în care dispozitivul transmite IP-ul ca parte a funcției normale a internetului (oferind exemplul conexiunilor cu cereri de conținut web).
În general, Traficom nu pare să fie de acord cu EDPB, poziția sa reflectând aplicabilitatea articolului 5 alineatul (3) din ePD mai puțin în instrucțiunile pasive sau generice și mai mult atunci când există o instrucțiune activă de la un server care solicită sau obține acces la informațiile stocate pe dispozitive.
5. Concluzie
În general, Orientarea 02/2023 oferă o poziție și o claritate atât de necesare cu privire la anumite subiecte referitoare la partea tehnologică a vieții private și a protecției datelor, chiar dacă întâmpină o anumită disidență din partea unor autorități și profesioniști, sensul aplicabilității juridice într-un peisaj tehnologic în continuă schimbare necesită mai multă claritate oferită de autorități.
În al doilea rând, Ghidul nu încearcă să califice situațiile din situațiile exceptate menționate de ePD, ca atare, preocupările Traficom pentru anumite cereri de acces sau pasive adresate dispozitivelor care declanșează aplicarea articolului 5 alineatul (3) din ePD ar fi, fără îndoială, rezolvate prin cazurile de scutire menționate în cadrul aceluiași articol.
Alexandru Borlan
Senior Privacy & Data Protection Consultant la Decalex