Secţiuni » Arii de practică » Business » Cyberlaw
Cyberlaw
CărţiProfesionişti
UNBR Caut avocat
UNBR Caut avocat
UNBR Caut avocat
Masterclass US Litigators
Afaceri transfrontaliere CJUE Cyberlaw Data protection Dreptul Uniunii Europene Jurisprudență SELECTED

CJUE. C-604/22 – IAB Europe. Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal. Jud. dr. Octavia Spineanu-Matei, membru al completului de judecată

7 martie 2024 | JURIDICE.ro

Jud. dr. Octavia Spineanu-Matei, judecătorul român la Curtea de Justiție a Uniunii Europene, a fost membru al completului de judecată

Trimitere preliminară – Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal – Șir de litere și caractere care înregistrează preferințele unui utilizator de internet – Noțiunea de « operatori asociați » – Organizație care nu are acces ea însăși la datele cu caracter personal prelucrate de membrii săi – Responsabilitatea organizației nu se extinde la prelucrarea ulterioară a datelor de către terți

Cererea de decizie preliminară privește interpretarea articolului 4 punctele 1 și 7, precum și a articolului 24 alineatul (1) din Regulamentul (UE) 2016/679 (RGPD)[1] coroborate cu articolele 7 și 8 din Carta drepturilor fundamentale a Uniunii Europene.

IAB Europe este o asociație fără scop lucrativ cu sediul în Belgia, care reprezintă întreprinderile din sectorul publicității și al marketingului digital la nivel european. Membrii IAB Europe sunt atât întreprinderi din acest sector, precum editori, întreprinderi de comerț electronic și de marketing, intermediari, cât și asociații naționale.

IAB Europe a dezvoltat Transparency & Consent Framework (TCF), care este un cadru de norme ce permit atât furnizorului unui site internet sau al unei aplicații, cât și brokerilor de date sau chiar platformelor publicitare să prelucreze în mod legal datele cu caracter personal ale unui utilizator al unui site internet sau al unei aplicații.

După cum reiese din dosarul prezentat Curții, din punct de vedere tehnic, atunci când un utilizator consultă un site internet sau o aplicație care conține un spațiu publicitar, întreprinderile de tehnologie publicitară și în special brokerii de date și platformele publicitare, care reprezintă mii de persoane care își fac publicitate, pot licita în timp real, în culise, pentru a obține un spațiu publicitar, prin intermediul unui sistem de licitații automatizat ce utilizează algoritmi, în scopul de a afișa în spațiul menționat publicitate țintită adaptată în mod specific profilului unui atare utilizator.

Cu toate acestea, înainte de a afișa asemenea publicitate țintită, trebuie colectat consimțământul prealabil al utilizatorului respectiv. Astfel, atunci când acesta consultă un site internet sau o aplicație pentru prima dată, o platformă de gestionare a consimțământului (CMP) apare într‑o fereastră pop‑up permițând acestui utilizator, pe de o parte, să își dea consimțământul pentru ca furnizorul site‑ului internet sau al aplicației să colecteze și să prelucreze datele sale cu caracter personal în scopuri definite în prealabil, cum ar fi printre altele marketingul sau publicitatea, sau în vederea schimbului acestor date cu anumiți furnizori și, pe de altă parte, pentru a se opune diferitelor tipuri de prelucrări de date sau partajării acestora, întemeiate pe interesele legitime revendicate de furnizori, în sensul articolului 6 alineatul (1) litera (f) din RGPD. Aceste date cu caracter personal privesc în special localizarea utilizatorului, vârsta sa, istoricul căutărilor și al achizițiilor recente.

Evenimente juridice

Arbitraj comercial

Servicii JURIDICE.ro

Interviuri JURIDICE.ro

În acest context, TCF oferă un cadru pentru prelucrarea pe scară largă a datelor cu caracter personal și facilitează înregistrarea preferințelor utilizatorilor prin intermediul CMP. Aceste preferințe sunt ulterior codificate și stocate într‑un șir compus dintr‑o combinație de litere și de caractere desemnat de IAB Europe sub numele Transparency and Consent String (TC String), care este partajat cu brokerii de date cu caracter personal și cu platformele publicitare, pentru ca aceștia să știe la ce a consimțit sau s‑a opus utilizatorul.

Din anul 2019, Autoritatea pentru Protecția Datelor din Belgia (APD) a primit mai multe plângeri îndreptate împotriva IAB Europe, atât din Belgia, cât și din țări terțe, privind conformitatea TCF cu RGPD. După examinarea acestor plângeri, APD, în calitate de autoritate de supraveghere principală, în sensul articolului 56 alineatul (1) din RGPD, a declanșat mecanismul de cooperare și de coerență, în conformitate cu articolele 60-63 din acest regulament, pentru a ajunge la o decizie comună aprobată împreună de toate cele 21 de autorități naționale de supraveghere implicate în cadrul acestui mecanism.

Prin decizia din 2 februarie 2022, camera de soluționare a litigiilor a APD a statuat că IAB Europe acționa în calitate de operator de date cu caracter personal în ceea ce privește înregistrarea mesajului de consimțământ, a obiecțiilor și a preferințelor utilizatorilor individuali prin intermediul unui TC String, care, potrivit camerei de soluționare a litigiilor a APD, este asociat cu un utilizator identificabil. În plus, în această decizie, camera de soluționare a litigiilor a APD a dispus ca IAB Europe să alinieze prelucrarea datelor cu caracter personal efectuată în cadrul TCF cu dispozițiile RGPD și i‑a impus mai multe măsuri corective, precum și o amendă administrativă.

IAB Europe a introdus o acțiune împotriva deciziei menționate la Curtea de Apel din Bruxelles, Belgia, care este instanța de trimitere. IAB Europe solicită acestei instanțe anularea deciziei din 2 februarie 2022. Ea contestă, printre altele, faptul că se consideră că a acționat în calitate de operator. Ea susține de asemenea că, în măsura în care constată că TC String constituie o dată cu caracter personal, în sensul articolului 4 punctul 1 din RGPD, această decizie este insuficient nuanțată și motivată și că, în orice caz, este eronată. În special, IAB Europe subliniază că numai ceilalți participanți la TCF ar putea combina TC String cu o adresă IP pentru a‑l transforma într‑o dată cu caracter personal, că TC String nu este propriu unui utilizator și că ea însăși nu are posibilitatea de a accesa datele care sunt prelucrate în acest cadru de membrii săi.

Instanța de trimitere a exprimat îndoieli cu privire la aspectul dacă un șir TC String, combinat sau nu cu o adresă IP, constituie o dată cu caracter personal și, în caz afirmativ, dacă IAB Europe trebuie calificată drept operator de date cu caracter personal în cadrul TCF, în special în ceea ce privește prelucrarea TC String.

Prin hotărârea pronunțată la data de 7 martie 2024[2], Curtea a statuat că articolul 4 punctul 1 din Regulamentul (UE) 2016/679 trebuie interpretat în sensul că un șir compus dintr-o combinație de litere și de caractere precum TC String (Transparency and Consent String), care conține preferințele unui utilizator de internet sau al unei aplicații cu privire la consimțământul acestui utilizator pentru prelucrarea datelor cu caracter personal care îl privesc de către furnizorii de site-uri internet sau de aplicații, precum și de brokerii de astfel de date și de platforme de publicitate, constituie o dată cu caracter personal, în sensul acestei dispoziții, în măsura în care, atunci când acesta poate fi asociat, prin mijloace rezonabile, cu un identificator, cum ar fi, printre altele, adresa IP a dispozitivului utilizatorului respectiv, el permite identificarea persoanei vizate. În asemenea condiții, împrejurarea că, fără o contribuție externă, o organizație sectorială care deține acest șir nu poate nici să aibă acces la datele care sunt prelucrate de membrii săi în cadrul normelor pe care le-a stabilit, nici să combine respectivul șir cu alte elemente nu se opune ca același șir să constituie o dată cu caracter personal în sensul dispoziției menționate.

Totodată, Curtea a statuat că articolul 4 punctul 7 și articolul 26 alineatul (1) din Regulamentul 2016/679 trebuie interpretate în sensul că:

– pe de o parte, o organizație sectorială, în măsura în care propune membrilor săi un cadru de norme pe care aceasta l-a stabilit cu privire la consimțământul în materie de prelucrare a datelor cu caracter personal, care conține nu numai norme tehnice obligatorii, ci și norme care precizează în mod detaliat modalitățile de stocare și de distribuire a datelor cu caracter personal referitoare la acest consimțământ, trebuie să fie calificată drept „operator asociat”, în sensul acestei dispoziții, dacă, ținând seama de împrejurările specifice ale speței, ea influențează, în scopuri proprii, prelucrarea datelor cu caracter personal în cauză și, prin urmare, stabilește împreună cu membrii săi scopurile și mijloacele unei asemenea prelucrări. Împrejurarea că o astfel de organizație sectorială nu are ea însăși în mod direct acces la datele cu caracter personal prelucrate de membrii săi în cadrul normelor menționate nu se opune posibilității acesteia de a avea calitatea de operator asociat, în sensul dispozițiilor amintite;

– pe de altă parte, răspunderea asociată a organizației sectoriale menționate nu se extinde în mod automat la prelucrările ulterioare de date cu caracter personal efectuate de terți, precum furnizorii de site-uri internet sau de aplicații, în ceea ce privește preferințele utilizatorilor în scopul publicității online țintite.


[1] Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) (JO 2016, L 119, p. 1).
[2] Hotărârea integrală, în limba de procedură, care a fost limba neerlandeză, precum și traducerea în limba română pot fi accesate aici.

Urmăriţi JURIDICE.ro şi pe LinkedIn LinkedIn JURIDICE.ro WhatsApp WhatsApp Channel JURIDICE Threads Threads JURIDICE Google News Google News JURIDICE

(P) JURIDICE.ro foloseşte şi recomandă SmartBill.

Arii de practică
Achiziţii publice
Afaceri transfrontaliere
Arbitraj
Asigurări
Banking
Business
Concurenţă
Construcţii
Contencios administrativ
Contravenţii
Corporate
Cyberlaw
Cybersecurity
Data protection
Drept civil
Drept comercial
Drept constituţional
Drept penal
Dreptul familiei
Dreptul muncii
Dreptul Uniunii Europene
Dreptul penal al afacerilor
Dreptul sportului
Drepturile omului
Energie
Fiscalitate
Fuziuni & Achiziţii
Gambling
Health & Pharma
Infrastructură
Insolvenţă
Litigation
Malpraxis medical
Media & publicitate
Mediere
Piaţa de capital
Procedură civilă
Procedură penală
Proprietate intelectuală
Protective
Protecţia animalelor
Protecţia consumatorilor
Protecţia mediului
Recuperare creanţe
Sustenabilitate
Telecom
Transporturi

Parteneri arii de practică  Specialişti


JURIDICE.ro
Main page
Cariere
Evenimente ⁞ 
Dezbateri
Profesionişti
Lawyers Week
WinLaw.ro
VIDEO
Servicii
Flux noutăţi
Selected ⁞ 
Comunicate
Avocaţi
Executori
Notari
Sistemul judiciar
Studenţi / JURIDICE NEXT
RSS  Publicare comunicate profesionale
Articole
Essentials
Interviuri
Opinii
Revista de note, studii şi opinii juridice
ISSN 2066-0944
       Studii şi note de studiu
Revista revistelor
Autori  Condiţii de publicare articole
Jurisprudenţă
Curtea Europeană a Drepturilor Omului
Curtea de Justiţie a Uniunii Europene
Curtea Constituţională
Înalta Curte de Casaţie şi Justiţie
       Jurisprudenţă curentă ÎCCJ
       Dezlegarea unor chestiuni de drept
       Recurs în interesul legii
Curţi de apel ⁞ 
Tribunale ⁞ 
Judecătorii

Legislaţie
Proiecte legislative
Monitorul Oficial al României
Jurnalul Oficial al Uniunii Europene

Proiecte speciale
Cărţi
Covid-19 Legal React
Creepy cases
Life
Mesaje de condoleanţe
Povestim cărţi
Războiul din Ucraina
Wisdom stories

Servicii J   Cont profesional [membership]   Catalog   Documentare   Comunicare   Revealing   Vizual   Website   Logo   Foto   Video   Talent Search   Recrutare   Evenimente   Directoare internaţionale