CJUE: Publicitatea digitală si licitarea datelor cu caracter personal

Article Decizia CJUE în Cazul C-604/22: Implicații pentru Publicitatea Digitală și Protecția Datelor

Introducere

În urma unei hotărâri recente, Curtea de Justiție a Uniunii Europene (CJUE) a pronunțat un verdict surprinzător, cu implicații puternice în domenii precum confidențialitatea datelor și AdTech, în cauza C-604/22. Haideți să ne lansăm într-o examinare a aspectelor clarificate de către CJUE astfel încât să putem înțelege impactul acesteia atât la nivelul industrie cât și pentru clienți. IAB Europe, o organizație non-profit cu sediul în Belgia, a introdus Cadrul de transparență și consimțământ (TCF) în 2017 ca instrument de conformitate menit să faciliteze aderarea la anumite prevederi ale Regulamentului general privind protecția datelor (GDPR). Acest cadru urmărea să asigure transparența și consimțământul la nivelul GDPR pentru colectarea și prelucrarea datelor cu caracter personal, în special în contextul proceselor Real-Time Bidding (RTB) utilizate în publicitatea digitală.

Dacă v-ați întrebat vreodată cum de site-urile web și rețelele de socializare vă arată reclame adaptate profilului și activității dumneavoastră pe atât de multe tipuri diferite de vânzători în fracțiuni de secundă, aceasta este piatra de temelie care face ca acest lucru să se întâmple.

În centrul cauzei a fost disputa privind clasificarea șirului de transparență și consimțământ (TC String) drept date cu caracter personal și determinarea controlului comun între IAB Europe și entitățile participante în cadrul TCF. Șirul TC este un mecanism utilizat de CMP pentru a încapsula și codifica toate informațiile furnizate unui utilizator, împreună cu preferințele acestuia în ceea ce privește prelucrarea datelor sale cu caracter personal în conformitate cu GDPR.

Hotărârea CJUE a subliniat două constatări esențiale:

În primul rând, acesta a afirmat că un șir de TC se califică drept date cu caracter personal atunci când poate fi legat de alți identificatori, cum ar fi o adresă IP. Această decizie se aliniază cu definiția largă a datelor cu caracter personal din GDPR, subliniind potențialul de identificare, chiar dacă nu toate informațiile de identificare sunt direct accesibile unei singure entități.

În al doilea rând, CJUE a clarificat conceptul de control în comun, stabilind că, deși IAB Europe poate fi considerat un controlor în comun în ceea ce privește stabilirea normelor și a specificațiilor tehnice în cadrul TCF, acest lucru nu se extinde în mod automat la prelucrarea ulterioară a datelor cu caracter personal în afara cadrului.

De o importanță deosebită este accentul pus de CJUE pe influența exercitată de IAB Europe asupra prelucrării datelor cu caracter personal în scopuri proprii și pe determinarea în comun a mijloacelor și scopurilor unei astfel de prelucrări. Această hotărâre subliniază importanța luării în considerare a contextului mai larg și a influenței exercitate de entitățile implicate în activitățile de prelucrare a datelor.

Hotărârea reafirmă mai multe principii-cheie:

Interpretarea cuprinzătoare a datelor cu caracter personal:

Hotărârea CJUE consolidează interpretarea extensivă a datelor cu caracter personal în conformitate cu RGPD, subliniind importanța potențialului de identificare, chiar dacă nu toate informațiile de identificare sunt direct accesibile de către o parte și cu un prag mult mai mic pentru calificarea datelor cu caracter personal în locul celui cu care am fost obișnuiți în ceea ce privește datele tehnice care fac obiectul direct al Directivei e-Privacy.

Controlul comun:

Decizia clarifică criteriile de stabilire a controlului în comun, punând accentul pe influența exercitată de entități asupra activităților de prelucrare a datelor și pe determinarea în comun a scopurilor și mijloacelor. Cu toate acestea, această hotărâre aduce cu sine opinii divergente în rândul specialiștilor, mai ales din cauza rolului limitat jucat de IAB în determinarea mijloacelor și scopurilor prelucrării, neavând în sine capacități sau un control semnificativ asupra modului în care sunt stabilite politicile și configurațiile celorlalți operatori.

Impactul asupra obligațiilor de conformitate:

Organizațiile care activează în ecosistemul de publicitate digitală trebuie să asigure conformitatea cu obligațiile GDPR, în special în ceea ce privește transparența și mecanismele de consimțământ. Pornind de la aplicabilitatea corectă a temeiului juridic pentru targetarea publicitară, fluxul de date și controalele instituite, aceste clarificări prefigurează o nevoie semnificativă a operatorilor de a menține o documentație și un proces adecvat pentru a evita lipsa de conformitate cu prevederile legale.

Întinderea extrateritorială:

Deși această hotărâre se referă direct la reglementările UE, implicațiile sale se extind la întreprinderile din întreaga lume, având în vedere sfera de aplicare extrateritorială a GDPR și alinierea sa la principiile fundamentale ale protecției datelor.

Prezentare generală și impact:

Ambele părți implicate în acest caz se laudă cu victorii: IAB Europe consideră că aceasta reprezintă o confirmare a "rolului său limitat" în cadrul Cadrului de transparență și consimțământ (TCF), deoarece nu controlează prelucrarea ulterioară a datelor. Pe de altă parte, autoritatea belgiană pentru protecția datelor (DPA) afirmă că IAB Europe este un "operator (comun) al preferințelor utilizatorilor în materie de publicitate online", aliniindu-se astfel la argumentul său inițial. Între timp, apărătorii vieții private susțin că această hotărâre contestă normele existente în domeniul publicității digitale și va necesita reforme semnificative în industrie.

Implicațiile depline ale hotărârii vor deveni clare doar după ce Curtea de Apel belgiană își va da verdictul. Cu toate acestea, s-a stabilit că șirul TC, atunci când este combinat cu alte date, cum ar fi o adresă IP, constituie date cu caracter personal. În ciuda rolului IAB Europe, care se ocupă exclusiv de dezvoltarea standardelor industriale, mai degrabă decât de implicarea directă în licitații în timp real (RTB) sau în activități de publicitate digitală, a fost desemnat ca operator comun, cel puțin în ceea ce privește crearea și utilizarea șirului TC, dacă nu și în prelucrarea ulterioară.

Concluzie

Decizia CJUE prezintă o interpretare largă a ceea ce înseamnă "determinarea scopurilor și mijloacelor de prelucrare a datelor cu caracter personal", în special în evaluarea controlului comun în temeiul RGPD. Funcția IAB Europe ca organizație sectorială care oferă un cadru și stabilește standarde tehnice a fost considerată suficientă, chiar dacă nu are acces direct la datele cu caracter personal implicate în proces. Acest aspect este probabil să trezească interesul organizațiilor sectoriale cu roluri similare în alte sectoare.

În concluzie, hotărârea CJUE în cauza C-604/22 reprezintă o evoluție semnificativă pentru o mai bună punere în aplicare a dispozițiilor legale în ceea ce privește protecția datelor în industriile digitale, cu atât mai mult cu cât, în prezent, există provocări majore în ceea ce privește prelucrarea datelor, fie în cadrul marilor piețe digitale, fie în cadrul comunicațiilor electronice în general.

 

                                                                                                                                              Alexandru Borlan

Senior Privacy & Data Protection Consultant

Decalex

 

 

 

Share:
DECALEX  TEAM
Autor: DECALEX TEAM We make privacy easy

PUNE O INTREBARE