Standardul „consumatorului mediu” și consimțământul pentru prelucrarea datelor cu caracter personal


ESSENTIALS-Lucian-Bercea1. Introducere. Principiul potrivit căruia datele cu caracter personal nu pot fi exploatate în scopuri economice fără consimțământul consumatorului fundamentează evoluțiile normative recente care au ca obiect procesul de dataficare, influențând mecanismele contractuale care stau la baza comunicațiilor personale în mediul virtual, a rețelelor de socializare, a navigării pe World Wide Web, a shopping-ului online sau a internet banking-ului. De la preferințele utilizatorilor motoarelor de căutare până la caracteristicile comportamentului comercial al consumatorilor online, datele cu caracter personal, devenite o sursă de valoare economică pentru profesioniști, sunt prelevate, stocate, procesate și agregate, în mod frecvent în scopuri de profiling individual sau de analiză a comportamentului grupurilor ori al comunităților, fiind folosite în anticiparea și influențarea deciziilor economice sau non-economice[1]. Companiile și afacerile lor devin data-centrice, deci data-dependente.

Studiul de față urmărește să realizeze o analiză critică a condițiilor și efectelor exprimării consimțământului consumatorului pentru prelucrarea datelor cu caracter personal, în cadrul normativ creat de Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date („Regulamentul”), prin raportare la standardul „consumatorului mediu”, etalon al protecției consumatorului în dreptul european al consumului[2].

2. Mai multe portrete ale aceluiași personaj: standardul „consumatorului mediu”. Parametrul în funcție de care se stabilește nivelul de protecție în relația profesionist – consumator este standardul „consumatorului mediu”, concept dezvoltat în jurisprudența Curții Europene de Justiție și impus, ulterior, pe scară largă în dreptul european al consumului. Determinat, la origini, prin raportare la „consumatorul mediu suficient de bine informat și de atent, luând în considerare factori sociali, culturali și lingvistici”[3], conceptul este utilizat astăzi în definirea și aplicarea cvasi-totalității politicilor de protecție a consumatorilor. Standardul descrie aptitudinea consumatorului de a lua decizii atente și informate în tranzacțiile sale cu profesioniștii[4], în condițiile în care consumatorul rațional este considerat beneficiarul indirect al proiectului pieței comune[5].

Așa cum a fost creat de Curte în Gut Springenheide și trasat de-a lungul timpului în mai multe directive, standardul este mai degrabă unul înalt, raportându-se la un consumator informat și competent[6]. Consumatorul mediu este văzut ca fiind rațional, critic și circumspect. S-a spus chiar că standardul „consumatorului mediu” a ajuns să definească un consumator-expert[7]. Adoptarea unui astfel de standard constituie o strategie care subestimează vulnerabilitatea subiecților protejați și, în loc să asigure un nivel ridicat de protecție a consumatorilor „ideali”[8], instituie, mai degrabă, un nivel înalt de așteptări în sarcina consumatorilor „reali”. Așa fiind, conceptul evaziv de „consumator mediu”, care nu ilustrează o medie statistică, ci un standard abstract, ar conduce la o reducere a gradului de protecție a consumatorilor[9].

Standardul „consumatorului mediu, suficient de bine informat și de atent” este unul obiectiv[10]. Obiectiv fiind, este criticat pentru că nu acceptă posibilitatea existenței unor diferențe subtile, dar potențial semnificative, între un prototip generalizat al consumatorului mediu și ceea ce reprezintă în realitate consumatorul mediu într-un context specializat[11].

Mai mult, pe parcursul evoluției sale, standardul „consumatorului mediu” și-a pierdut uniformitatea. O analiză sectorială a reglementărilor și jurisprudenței identifică o varietate de portrete ale „consumatorului mediu”: consumatorul este protejat în calitatea sa de consumator vulnerabil (în Directiva privind practicile comerciale neloiale), de consumator imprudent (în Directiva cu privire la mărci), de consumator ignorant (în Directiva MiFID privind piețele instrumentelor financiare), de consumator neglijent (în Directiva privind serviciile de plată) și, în fine, de consumator cu un nivel de cunoștințe inferior profesionistului (în Directiva privind clauzele abuzive). Chiar și atunci când nu se instituie direct un standard al „consumatorului mediu”, consumatorul (mediu) informat este indirect separat de consumatorul neinformat, prin referiri la „așteptările consumatorului rezonabil”[12]. Aceste presupoziții constituie fundamente pentru instrumentele și mecanismele de protecție consacrate în fiecare dintre aceste sectoare ale pieței sau secvențe ale relației profesionist – consumator: obligații ale profesionistului privind informarea și transparența, dreptul consumatorului de retragere din contract, obligații ale profesionistului privind conținutul clauzelor contractuale, interdicția publicității înșelătoare și a practicilor comerciale neloiale etc.[13]

Standardul „consumatorului mediu” este, în prezent, deci, pluriform. Fiecare formă a standardului pleacă de la propriile prezumții și instituie propriul nivel de protecție. Diversitatea sub care apare în diferite sectoare de piață sau secvențe ale relației profesionist – consumator și inexistența unui mecanism de aliniere sub forma unui numitor comun pot genera probleme de compatibilitate în cazul în care un consumator se confruntă, de pildă, cu practicile comerciale neloiale ale unui comerciant și, în același timp, cu clauze abuzive în contractul încheiat cu respectivul comerciant[14].

Ca regulă, consumatorul este protejat în calitate de consumator mediu „generic”, membru al clasei generale a consumatorilor, privită sectorial / secvențial, și, numai în mod excepțional, i se asigură protecția în calitate de membru al unui grup de consumatori vulnerabili, determinat criterial. Dar chiar în cazurile în care protecția consumatorului operează cu vulnerabilități de grup[15], un anumit consumator beneficiază de protecția necesară membrului „mediu” al grupului respectiv. Calificarea unui grup drept vulnerabil per se conduce, însă, la stereotipuri, deci mecanismul are propriile limite[16]. Grupurile definite pe baza unui anumit criteriu (vârstă, venit, educație etc.) sunt, în realitate, eterogene, întrucât identificarea mono-criterială exclude, prin ipoteză, celelalte circumstanțe. Vulnerabilitatea consumatorilor este, de fapt, multicriterială.

„Consumatorul mediu” este un consumator care nu există în realitate. El servește drept reper in abstracto într-un test de proporționalitate: protecția unui anumit consumator in concreto se aplică numai în cazul în care „consumatorul mediu” are nevoie de ea. Subiectul protejat în dreptul european al consumului este așa-numitul „cetățean pasiv economic”, plasat în centrul politicilor protecționiste fie în calitate de „consumator slab”, fie în calitate de „consumator vulnerabil”[17]. Alegerea standardului „consumatorului mediu” este, așadar, esențială pentru definirea nivelului de protecție[18]. Acest nivel este ajustabil în funcție de tipologia consumatorului protejat, care poate fi „slab”, „vulnerabil”, „inferior”, în raport cu profesionistul. Odată determinat, standardul asigură securitatea juridică necesară funcționării pieței, pentru că profesionistul își ajustează conduita în funcție de acest reper, care devine o ancoră a comportamentului său comercial.

„Consumatorul mediu” este un standard normativ, nu empiric[19]. Ca standard normativ, el nu măsoară cum se comportă consumatorul mediu, ci prescrie ex ante cum ar trebui să se comporte acesta[20], reperul fiind verificat ex post de judecător. Dacă problema aplicării practice a unui standard normativ pare a fi ea însăși empirică, instanțele naționale europene au depășit și acest impas, cu justificarea că judecătorul care aplică standardul se găsește într-o poziție din care poate să aprecieze el însuși ce ar gândi un „consumator mediu”[21]. Așadar, el nu va avea nevoie de date empirice, statistici, opinii ale experților, sondaje de opinie sau anchete cu privire la comportamentul consumatorilor[22].

Problema oricărui standard normativ este caracterul său deschis. Aplicarea sa diferențiată de către instanțele naționale, care sunt lăsate să decidă cine este „consumatorul mediu” într-un caz sau altul[23], poate da naștere unor distorsiuni nu numai la nivelul pieței comune europene, ci și la nivelul jurisprudențelor naționale. Rolul judecătorului este tocmai cel de a minimiza aceste riscuri.

În pofida diversității sectoriale, o anumită uniformitate a standardului „consumatorului mediu” s-a păstrat, totuși: indiferent de ipostaza în care apare, standardul se bazează pe paradigma informațională[24]. Apartenența la această paradigmă este perfect ilustrată de standardul „consumatorului mediu, normal informat și suficient de atent și de avizat”, aplicabil în domeniul clauzelor abuzive și, mutatis mutandis, în materia consimțământului consumatorului pentru prelucrarea datelor sale cu caracter personal, în noul cadru normativ al Regulamentului.

3. „Consumatorul mediu, normal informat și suficient de atent și de avizat”, dar incapabil să identifice clauzele abuzive. Comentatori avizați consideră că varietatea de portrete ale „consumatorului mediu” descrisă mai sus reflectă două direcții majore diferite, create în dreptul european al consumului, în stabilirea nivelului de protecție a consumatorului: „consumatorul mediu” ar fi unul „suficient de bine informat și de atent” în dreptul pieței de consum, respectiv unul „vulnerabil” în dreptul contractelor de consum[25].

Portretul „consumatorului de clauze contractuale” a fost descris de Curtea de Justiție a Uniunii Europene în termeni specifici, diferiți de cei în care a fost portretizat „consumatorul mediu”, în general. Pus în postura de a contracta cu un profesionist, consumatorul este văzut ca aflându-se în inferioritate față de acesta, atât din perspectiva puterii de negociere, cât și din punctul de vedere al nivelului de informare, pentru simplul motiv că aderarea la contractul elaborat de profesionist se face în condițiile în care consumatorul nu poate să influențeze conținutul contractual[26].

Jurisprudența Curții asociată Directivei clauzelor abuzive, în absența căreia aceasta din urmă nu poate fi înțeleasă[27], operează, concomitent, cu ideea unui consumator inferior față de profesionist și cu standardul „consumatorului mediu, normal informat și suficient de atent și de avizat”. Un exemplu relevant este Kásler:

„(39) […] potrivit unei jurisprudențe constante a Curții, sistemul de protecție pus în aplicare de Directiva 93/13 se întemeiază pe ideea că, în ceea ce privește atât puterea de negociere, cât și nivelul de informare, consumatorul se află într‑o situație de inferioritate față de vânzător sau furnizor, situație care îl determină să adere la condițiile redactate în prealabil de vânzător sau furnizor, fără a putea exercita o influență asupra conținutului acestora (a se vedea printre altele Hotărârea Caja de Ahorros y Monte de Piedad de Madrid, C‑484/08, EU:C:2010:309, punctul 27 și jurisprudența citată). […]

(72) […] întrucât sistemul de protecție pus în aplicare de Directiva 93/13 se întemeiază pe ideea că, în ceea ce privește, printre altele, nivelul de informare, consumatorul se află într‑o situație de inferioritate față de vânzător sau furnizor, această cerință privind transparența trebuie înțeleasă în mod extensiv. […]

(74) […] revine instanței de trimitere sarcina de a stabili dacă, având în vedere ansamblul elementelor de fapt pertinente, printre care se numără publicitatea și informațiile furnizate […], un consumator mediu, normal informat și suficient de atent și de avizat, putea nu numai să cunoască existența […] (unei situații factuale relevante de pe piață – n.n.), ci și să evalueze consecințele economice, potențial semnificative […] (ale respectivei situații factuale relevante de pe piață – n.n.).”[28]

Alăturarea descrierii situației consumatorului ca fiind una de inferioritate față de profesionist, „în ceea ce privește atât puterea de negociere, cât și nivelul de informare”, cu standardul „consumatorului mediu, normal informat și suficient de atent și de avizat” este recurentă în jurisprudența Curții din ultimii ani: Bucura[29], Van Hove[30], Andriciuc[31]. Cele două repere sunt aparent dificil de conciliat: nu sub aspectul puterii de negociere, pentru că premisa inferiorității consumatorului dedusă din lipsa posibilității de a influența conținutul contractual nu intră în contradicție cu standardul, ci în ceea ce privește relația dintre acest standard și nivelul de informare. Mai exact, pe de o parte, „consumatorul mediu” este „normal informat și suficient de atent și de avizat”; pe de altă parte, el este inferior profesionistului „în ceea ce privește […] nivelul de informare”. Această aparentă disparitate a determinat comentatorii să susțină că stabilirea standardului „consumatorului mediu” în materia clauzelor abuzive nu ar trebui raportată la nivelul unei persoane „normal informate și suficient de atente și de avizate”[32].

În realitate, mecanismul de funcționare a standardului „consumatorului mediu” trebuie analizat prin prisma faptului că decalajul informațional dintre profesionist și consumator este surmontat în cazul îndeplinirii de către profesionist a obligației de transparență contractuală, și numai în acest caz. Profesionistul este obligat să redacteze contractul astfel încât „consumatorul mediu” să fie capabil să îl înțeleagă. Pentru a verifica cerința transparenței, clauzele contractuale, inclusiv cele privind „obiectul principal al contractului”, trebuie să fie inteligibile pentru „consumatorul mediu”, dacă acesta decide să se informeze cu privire la conținutul lor. Informarea prealabilă îl pune în poziția de a înțelege condițiile și consecințele contractării și înlătură dezechilibrul informațional dintre profesionist și consumator în măsura în care, în momentul contractării, părțile au (sau pot să aibă) o înțelegere comună asupra clauzelor contractuale.

O clauză este redactată într-un limbaj clar și inteligibil dacă un „consumator mediu” ar înțelege consecințele acelei clauze[33]. Nu consumatorul individual (recte, reclamantul dintr-un anumit proces), ci consumatorul tipic, „mediu”, trebuie să fie capabil să înțeleagă clauza. Contractele standard sunt redactate pentru a fi încheiate cu o masă de consumatori, și ar fi ineficient economic și imposibil practic să fie redactat câte un contract pentru fiecare consumator individual, luând în considerare specificul fiecărui consumator și diferențele între aceștia[34]. Mai mult, standardul „consumatorului mediu” este relevant mai degrabă pentru marja consumatorilor activi, care acționează în sensul obținerii de informații, al cunoașterii acestora și al clarificării chestiunilor echivoce sau neinteligibile[35]. Prin urmare, lipsa de transparență a unei clauze este un indicator puternic al caracterului său abuziv[36], consumatorul fiind protejat în acest caz pentru că a luat o decizie de tranzacționare distorsionată, pe care se presupune că nu ar fi luat-o în alte condiții[37].

Mai problematică decât aparenta incompatibilitate a standardului „consumatorului mediu, normal informat și suficient de atent și de avizat” cu starea de inferioritate informațională față de profesionist este compatibilitatea acestui standard cu obligația instanțelor naționale de a analiza ex officio caracterul potențial abuziv al clauzelor contractuale. Cenzurarea judiciară obligatorie a conținutului contractual, independent de invocarea de către consumator a caracterului abuziv al unei anumite clauze contractuale, se face de către judecător pe baza standardului abstract al „consumatorului mediu”, fapt care îl scutește pe consumatorul „real” să devină „normal informat și suficient de atent și de avizat”. Acest tip de cerc vicios produce consumatori ignoranți în privința conținutului clauzelor contractuale și profesioniști care profită de această ignoranță pentru a scădea calitatea clauzelor contractuale. La limită, se poate susține că orice consumator, inclusiv „consumatorul mediu, normal informat și suficient de atent și de avizat”, poate să încheie un contract în care identifică clauze abuzive, pentru că știe că poate miza, subsecvent, pe eliminarea judiciară a clauzelor respective din contract. Mai mult, o asemenea sancțiune aplicată profesionistului l-ar plasa pe consumator, uneori, într-o situație mai favorabilă decât dacă ar fi încheiat un contract în care nu s-ar fi aflat clauze abuzive, tocmai pentru că, în urma evacuării din contract a unei asemenea clauze, ea nu poate fi substituită, în general, cu o clauză echilibrată.

Standardul „consumatorului mediu, normal informat și suficient de atent și de avizat” nu mai servește, în aceste condiții, decât la reglarea pe piață a calității clauzelor contractuale, care tinde să scadă până în punctul care face necesară intervenția judiciară.

Oricum ar fi, referirile la acest standard în jurisprudențele naționale europene sunt puțin frecvente și mai degrabă formale, ceea ce trădează lipsa de relevanță pentru judecător. Or, în absența aplicării standardului „consumatorului mediu”, protecția acordată de lege consumatorilor tinde să devină o supra-protecție. „Consumatorul de clauze contractuale” este tratat ca fiind partea slabă din contract, iar această vulnerabilitate este una relațională[38]: el este inferior în comparație cu profesionistul, respectiv mai puțin informat cu privire la drepturile și obligațiile sale, pe de o parte, și plasat într-o poziție care îi permite doar să adere la contract, nu să îl și negocieze, pe de altă parte. Mai mult, el este întotdeauna inferior profesionistului. În cheia în care este tratat „consumatorul de clauze contractuale”, în principiu, vulnerabilitățile situaționale nu interesează[39], deci nici avantajele situaționale. Chiar dacă este „normal informat și suficient de atent și de avizat”, consumatorul are nevoie de protecție, pe fondul lipsei puterii de negociere cu profesionistul[40].

4. Datele cu caracter personal ale consumatorului ca obiect de tranzacționare: perspectiva Law & Economics. Domeniul prelucrării datelor cu caracter personal se intersectează cu dreptul consumului de fiecare dată când persoana fizică subiect de date acționează în calitate de consumator, în relație cu un profesionist operator de date. Protecția consumatorului în procesul de prelucrare a datelor cu caracter personal vizează toate informațiile despre persoana sa care ajung la cunoștința profesionistului în virtutea relației lor comerciale. Datele care fac obiectul protecției includ atât informațiile pe care consumatorul le pune la dispoziția profesionistului furnizor de bunuri sau servicii în vederea încheierii și executării unui contract, cât și la cele pe care profesionistul le colectează de la consumator în cursul relației contractuale respective[41].

Atunci când temeiul prelucrării datelor cu caracter personal este consimțământul consumatorului, toate aceste informații devin obiect de tranzacționare în relația cu profesionistul. Obținerea acordului consumatorului pentru prelucrare este unul dintre mijloacele prin care profesionistul își asigură prerogativa de a preleva, stoca, procesa și agrega datele cu caracter personal, care devin o sursă de valoare economică pentru profesionist. Un exemplu relevant, prin amploarea și complexitatea sa, este cel în care tranzacționarea datelor cu caracter personal ale consumatorilor devine un veritabil model de afaceri pentru profesionist[42]. Modelul Google este prototipul de two-sided market[43]: Google oferă utilizatorilor servicii de e-mail, de editare colaborativă a documentelor online, de transfer de fișiere, de accesare a unor hărți interactive, precum și cel mai răspândit motor de căutare pe internet, pentru companie toate acestea reprezentând costuri; în schimb, Google colectează și prelucrează datele cu caracter personal ale utilizatorilor; aceștia nu plătesc în schimbul serviciilor Google un preț stricto sensu, adică un cost economic, ci un cost calificat de analiști drept social; pe de altă parte, Google monetizează datele cu caracter personal ale utilizatorilor, oferindu-le profesioniștilor servicii de publicitate, generatoare de venituri de la clienți ai Google care sunt terți față de contractele dintre Google și utilizatorii săi.

În contextul tranzacționării datelor cu caracter personal ale consumatorului, dreptul acestuia de control individual, incluzând consimțământul pentru prelucrare, dreptul de retragere a acordului, dreptul la ștergerea datelor, dreptul la portabilitatea datelor și dreptul de a obiecta la prelucrare[44], nu poate fi exercitat eficient, de principiu, decât pe fondul unei informări corecte și complete a subiectului de date asupra regimului prelucrării acestora. În particular, la baza prelucrării datelor cu caracter personal pe temeiul consimțământului consumatorului stă acordul informat al acestuia[45].

Modelul tranzacționării și, corelativ, al protecției bazate pe consimțământ este, însă, criticat ca fiind nerealist și nefuncțional. Criticile sunt generate de impracticabilitatea informării corecte și complete a consumatorului în relațiile sale cu profesioniștii, cu privire la termenii și condițiile de prelucrare a datelor cu caracter personal. Întrucât costurile informării necesare pentru a exprima un consimțământ informat sunt direct proporționale cu numărul de contracte încheiate de consumator (prin ipoteză diferite, fiind încheiate cu profesioniști diferiți), informarea exhaustivă devine fie practic imposibilă, fie extrem de oneroasă[46].

Studii empirice asupra interacțiunii online dintre consumatori și profesioniști arată că un consumator are nevoie în medie de 250 de ore (adică de aproximativ 30 de zile lucrătoare) pentru a citi condițiile contractuale privind protecția datelor de pe website-urile pe care le vizitează într-un interval de 1 an[47]. Concluzia acestor studii este că, pur și simplu, documentele respective nu sunt accesate sau, dacă sunt incidental accesate, nu sunt citite de consumatori. Alte studii indică faptul că doar 1-2‰ (adică 0,1-0,2%) dintre consumatorii de produse sau servicii online accesează efectiv textul contractului standard (text care îmbracă, în general, forme care trimit la condițiile generale de afaceri, cuprinzând și condițiile contractuale privind prelucrarea datelor); un procent încă și mai redus dintre aceștia accesează respectivul text pentru un interval de timp suficient pentru ca, în mod rezonabil, să citească și să înțeleagă conținutul contractual[48]. În fine, analize complementare arată că termenii și condițiile contractuale cu privire la prelucrarea datelor cu caracter personal au o redactare complicată, dificil de înțeles pentru „consumatorul mediu”[49]. Mai mult, pe baza respectivelor texte contractuale, consumatorii nu sunt în măsură nici măcar să identifice informațiile cu caracter personal pe care le pun la dispoziția profesioniștilor ca efect al acordului pentru prelucrare.

Aceste studii invalidează ipoteza „minorității informate”, avansate în analiza economică a dreptului, nu numai în ceea ce privește aplicarea ei la contractele standard, în general, ci și în privința termenilor și condițiilor privind prelucrarea datelor, în particular. Potrivit ipotezei „minorității informate”, este suficient să existe o minoritate a consumatorilor care să se informeze în cursul procesului de încheiere a unui anumit tip de contract, pentru ca atenția acestei minorități să limiteze tendința profesioniștilor de a propune contracte standard dezechilibrate. Explicația ar rezida în faptul că, întrucât profesioniștii nu pot diferenția între consumatorii informați și cei neinformați sau informați imperfect, vor fi obligați să le propună tuturor consumatorilor contracte standard optimizate în raport cu cele pe care le-ar propune „majorității neinformate (sau informate imperfect)”. Această teză pleacă, însă, de la premisa unei „minorități informate” consistente, semnificative economic[50]. Or, dacă așa-numita „minoritate informată” este absolut marginală, deci puțin relevantă economic, pentru profesionist va fi mai profitabil să piardă consumatorii informați, decât să optimizeze calitatea clauzelor contractuale pentru toți consumatorii. În aceste condiții, mai degrabă riscul reputațional, în eventuală conexiune cu riscul intervenției judiciare în contract, ar putea genera o aliniere ex ante a clauzelor contractuale la imperativele legii.

Se afirmă, totodată, că auto-determinarea informațională este protejată atunci când consimțământul pentru prelucrarea datelor este regula, iar prelucrarea fără consimțământ – excepția[51]. În termenii Law & Economics, alocarea implicită a drepturilor, prin lege, nu ar trebui să fie în mod necesar eficientă atunci când costurile negocierii tind spre zero, pentru că, în urma negocierii, resursele, inclusiv drepturile, ar tinde să primească utilizarea cea mai eficientă. Cu toate acestea, dincolo de criticile care pot fi aduse la modul general acestei teze (și care sunt legate de inerția resurselor repartizate implicit), în cazul relației dintre profesionist și consumator, inclusiv – și în special – în privința regimului prelucrării datelor cu caracter personal, negocierea este cvasi-exclusă.

Or, atunci când Regulamentul instituie consimțământul drept temei pentru prelucrarea legitimă a datelor, el conferă numai aparent consumatorului dreptul de a decide asupra prelucrării datelor sale cu caracter personal. Libertatea de decizie a consumatorului este limitată de informarea sa imperfectă, de concentrările pieței sau de dependențele ori captivitățile sociale sau tehnologice, pe fondul absenței alternativelor veritabile și a opțiunilor de migrare sau portabilitate. Prin urmare, nu se mai poate vorbi, la modul realist, de auto-determinare informațională a consumatorului, întrucât controlul individual este subminat de contextul ostil informării[52]. De fapt, Regulamentul nu face altceva decât să instituie cadrul optim pentru ca profesionistul să-și poată asigura prerogativa de a prelucra date în virtutea celui mai protectiv temei, solicitând și primind acordul consumatorului pentru prelucrare, fără să mai fie ținut să treacă vreun „test al necesității”.

5. Consimțământul consumatorului ca fundament pentru prelucrarea datelor cu caracter personal. Deși Regulamentul se vrea a fi un răspuns la provocările generate de evoluțiile societății informaționale, iar consimțământul pentru prelucrarea datelor cu caracter personal este considerat expresia dreptului de auto-determinare informațională al persoanei fizice, modelul prelucrării datelor cu caracter personal în baza consimțământului subiectului de date a fost deja criticat ca fiind anacronic în raport cu inovarea și dezvoltarea noilor tehnologii de comunicații și prelucrare a datelor[53].

Reglementarea este considerată dezamăgitoare, în pofida faptului că se bazează pe pilonii celei mai recente (a patra[54]) generații de reglementări în materia protecției datelor cu caracter personal: consimțământul subiectului de date, specificarea scopului prelucrării datelor și limitarea utilizării acestora. Capacitatea reală a consumatorului de a evalua potențialele consecințe juridice (dar și economice sau sociale) ale acordului său și de a exprima un consimțământ în cunoștință de cauză, liber și informat, este limitată de complexitatea procesului de prelucrare a datelor, de puterea analiticii moderne și de utilizarea „transformativă” a datelor cu caracter personal, care face imposibilă descrierea tuturor utilizărilor posibile ale datelor la momentul colectării lor inițiale[55].

Obținerea consimțământului consumatorului este una dintre ipotezele cele mai importante pentru prelucrarea de către profesionist a datelor cu caracter personal[56] și singurul temei pentru prelucrarea datelor sensibile[57]. Corelativ, absența sau inadecvarea consimțământului constituie una dintre cele mai frecvente surse ale incidentelor privind protecția datelor[58]. Consimțământul consumatorului este, în principiu, suficient pentru ca prelucrarea să aibă caracter licit, fără ca profesionistul să mai fie obligat să recurgă la testul necesității decurgând dintr-un interes public, un interes vital al persoanei vizate sau al altei persoane fizice sau un interes legitim al operatorului sau al unui terț, cerințe necesare în cazul celorlalte fundamente ale prelucrării[59].

Articolul 6 Legalitatea prelucrării din Regulament instituie consimțământul ca prim (și principal) temei pentru prelucrarea licită a datelor cu caracter personal:

„(1) Prelucrarea este legală numai dacă și în măsura în care se aplică cel puțin una dintre următoarele condiții: (a) persoana vizată și-a dat consimțământul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice […]”.

Conceptul de „consimțământ” utilizat în Directiva 95/46/CE privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date (împreună cu dezvoltările sale practice din cele două decenii de aplicare a acestei reglementări) a evoluat[60]. Pentru a putea constitui fundament al prelucrării datelor cu caracter personal, Regulamentul instituie o serie de cerințe cumulative:

„(32) Consimțământul ar trebui acordat printr-o acțiune neechivocă care să constituie o manifestare liber exprimată, specifică, în cunoștință de cauză și clară a acordului persoanei vizate pentru prelucrarea datelor sale cu caracter personal, ca de exemplu o declarație făcută în scris, inclusiv în format electronic, sau verbal. […]

(42) […] Consimțământul nu ar trebui considerat ca fiind acordat în mod liber dacă persoana vizată nu dispune cu adevărat de libertatea de alegere sau nu este în măsură să refuze sau să își retragă consimțământul fără a fi prejudiciată.

(43) Pentru a garanta faptul că a fost acordat în mod liber, consimțământul nu ar trebui să constituie un temei juridic valabil pentru prelucrarea datelor cu caracter personal în cazul particular în care există un dezechilibru evident între persoana vizată și operator […], iar acest lucru face improbabilă acordarea consimțământului în mod liber în toate circumstanțele aferente respectivei situații particulare. Consimțământul este considerat a nu fi acordat în mod liber în cazul în care aceasta nu permite să se acorde consimțământul separat pentru diferitele operațiuni de prelucrare a datelor cu caracter personal, deși acest lucru este adecvat în cazul particular, sau dacă executarea unui contract, inclusiv furnizarea unui serviciu, este condiționată de consimțământ, în ciuda faptului că consimțământul în cauză nu este necesar pentru executarea contractului.”

Fiecare dintre termenii și sintagmele „acțiune”, „neechivocă”, „liber exprimată”, „specifică”, „în cunoștință de cauză” și „clară” instituie o condiție distinctă care trebuie să caracterizeze consimțământul. Ghidul privind consimțământul al Grupului de Lucru privind protecția persoanelor fizice cu privire la prelucrarea datelor cu caracter personal (Grupul de Lucru Articolul 29)[61] a avansat explicații ale acestor condiții pentru aplicarea armonizată a Regulamentului.

Acțiunea neechivocă este cea care nu trebuie să lase nicio îndoială cu privire la intenția consumatorului. Corelativ, libertatea consimțământului este esențială pentru liceitatea prelucrării datelor. Libertatea acțiunii consumatorului presupune o posibilitate reală de a alege, absentă în cazul unei obligații de a exprima acordul sau al unui risc de producere a unor consecințe negative ori de aplicare a unor sancțiuni în cazul în care consimțământul nu este dat de consumator sau este retras, dar și în ipoteza existenței unui dezechilibru evident între profesionist și consumator. Cu alte cuvinte, consimțământul poate fi utilizat ca temei pentru prelucrare numai dacă consumatorului i se oferă un veritabil drept de opțiune cu privire la acceptarea sau refuzul prelucrării și dacă există posibilitatea de retragere fără consecințe negative. Inter alia, nu există acest drept de opțiune în cazul în care clauza de acord este inclusă, indistinct sau disimulat, în condițiile generale de afaceri ale profesionistului, astfel încât consumatorul să nu o poată decela și accepta distinct. De asemenea, în cazul în care profesionistul subordonează încheierea sau executarea contractului exprimării de către consumator a consimțământului pentru prelucrare, consimțământul nu este liber, iar prelucrarea are caracter ilicit, cu excepția cazului în care prelucrarea datelor face parte din obiectul principal al contractului. De altfel, așa cum vom arăta, consimțământul și contractul, ca temeiuri pentru prelucrare, sunt distincte și nu pot fi suprapuse sau confundate. În cazul încheierii unui contract între profesionist și consumator, există o puternică prezumție de parazitism care grevează solicitarea consimțământului pentru prelucrarea datelor, acesta neputând fi privit ca o contraprestație obligatorie a consumatorului. Pentru ca temeiul prelucrării să fie contractul, trebuie să existe o legătură directă și obiectivă între scopul executării contractului și prelucrarea datelor.

Specificarea scopurilor prelucrării, granularitatea acordurilor de prelucrare și separarea informațiilor privind acordul pentru prelucrarea datelor de restul informațiilor sunt, la rândul lor, condiții complementare privind validitatea consimțământului consumatorului. În sistemul Regulamentului, nu mai poate fi acceptat ca valid un consimțământ generic al consumatorului pentru prelucrarea datelor. Granularitatea presupune exprimarea unui consimțământ separat pentru fiecare scop specific al prelucrării, deci o separare a scopurilor prelucrării, fie sub forma unor declarații de acord diferite, fie chiar a unei singure declarații, cu scopuri distinct specificate și cu opțiuni de tipul opt-in separate. În același timp, specificitatea leagă consimțământul de un anumit scop al prelucrării. Consimțământul nu poate fi dat în alb și nu legitimează o colectare a datelor care nu este necesară în raport cu scopul specific al prelucrării. Specificitatea este, totodată, corelată cu limitarea utilizării datelor: dacă profesionistul intenționează să le prelucreze într-un scop nou, diferit, el are nevoie de un consimțământ nou, distinct, din partea consumatorului.

Un consimțământ informat implică punerea, în prealabil, la dispoziția consumatorului a unor informații minimale (identitatea profesionistului, scopul colectării, tipul de date prelucrate, existența dreptului de retragere, informații despre procesarea automată, condiții de transfer etc.). Regulamentul instituie un standard înalt de claritate și accesibilitate, dar fără să îl coreleze cu o condiție anume de formă a acordului consumatorului, pentru a nu impieta asupra flexibilității și celerității comerțului. Informarea presupune precizie și inteligibilitate pentru consumatorul mediu[62], respectiv adecvare la publicul-țintă, dacă este cazul. Informarea este incompatibilă cu o întindere a textului sau cu utilizarea unui jargon juridic care să îl facă inaccesibil. Prin urmare, declarația de acord nu poate fi disimulată în condițiile generale de afaceri ale profesionistului, ci trebuie cuprinsă fie în același document, la modul distinct, iar nu în poziția de simplu paragraf, fie într-o declarație separată pre-redactată de profesionist. Pentru datele sensibile, este necesar un consimțământ explicit, deci exprimat distinct, eventual etapizat, pentru a semnala consumatorului diferența dintre acordul general pentru prelucrarea datelor și acordul special pentru prelucrarea datelor sensibile.

Forma tipică pe care o îmbracă acordul consumatorului este „declarația de consimțământ”[63], act juridic care încorporează acceptul persoanei vizate pentru prelucrarea datelor sale cu caracter personal. Declarația de consimțământ trebuie să fie un act clar, afirmativ, neechivoc, emis de consumator anterior colectării datelor de către profesionist și demonstrabil de către acesta din urmă. Actul trebuie să fie, în măsura posibilă, non-disruptiv pentru fluxul de comunicații dintre profesionist și consumator.

Practic, Regulamentul instituie un sistem opt-in, în care consimțământul consumatorului trebuie să fie exprimat la modul activ și pozitiv, iar nu unul opt-out, în care consimțământul consumatorului ar fi considerat inexistent numai în cazul în care acesta s-ar opune sau ar obiecta la prelucrarea datelor sale cu caracter personal. Cu alte cuvinte, sistemul Regulamentului exclude orice situație în care pasivitatea consumatorului ar urma să fie calificată drept acord pentru prelucrare (e.g. în cazul opțiunilor pre-completate de profesionist[64]), astfel încât absența unui răspuns sau a oricărei acțiuni din partea consumatorului nu poate constitui un consimțământ exprimat de către acesta.

Tehnic, nu este necesar un acord pen-on-paper, fiind suficientă o acțiune de tipul tick-the-box. În acest sens, Regulamentul prevede că declarația de consimțământ din partea consumatorului

„(32) […] ar putea include bifarea unei căsuțe atunci când persoana vizitează un site, alegerea parametrilor tehnici pentru serviciile societății informaționale sau orice altă declarație sau acțiune care indică în mod clar în acest context acceptarea de către persoana vizată a prelucrării propuse a datelor sale cu caracter personal. […]”

Din rațiuni ținând de libertatea și univocitatea consimțământului, clauzele privind prelucrarea datelor cu caracter personal nu pot face parte, așa cum am arătat, din condițiile generale de afaceri ale profesionistului decât dacă respectiva secvență a acestui document contractual este supusă unui acord expres, specific și neechivoc exprimat de consumator. Un asemenea accept poate fi exprimat inclusiv în cazul în care acțiunea de tipul tick-the-box cuprinde referiri la condițiile generale de afaceri, în măsura în care trimiterea se face la o secțiune distinctă a acestora, destinată exclusiv prelucrării datelor cu caracter personal și marcată ca atare. Declarația de consimțământ nu poate fi, însă, lipsită de conținut, limitându-se să facă referire la clauze cuprinse într-un alt document, ci trebuie să cuprindă, așa cum vom arăta, într-o formă simplificată, termenii și condițiile prelucrării datelor, chiar dacă, pentru dezvoltări, se face referire la clauze externe. Prin urmare, declarația de consimțământ trebuie emisă de consumator în mod distinct față de acceptarea eventualelor alte condiții contractuale, întrucât numai o asemenea disjungere răspunde cerințelor menționate anterior, cu toate că, practic, mecanismul contractării este grevat. Acest mecanism influențează, la rândul său, modalitatea în care este exprimat consimțământul:

„(32) […] În cazul în care consimțământul persoanei vizate trebuie acordat în urma unei cereri transmise pe cale electronică, cererea respectivă trebuie să fie clară și concisă și să nu perturbe în mod inutil utilizarea serviciului pentru care se acordă consimțământul.”

Cerința neperturbării inutile a serviciului prestat consumatorului trebuie să fie subordonată imperativului exprimării unui consimțământ expres, specific și neechivoc, indiferent de cât de simplă este forma de manifestare a acestuia, întrucât nu poate fi concepută anihilarea condițiilor care protejează consumatorul din rațiuni de fluidizare a comunicărilor dintre profesionist și consumator.

Consimțământul, ca temei al prelucrării, este parte a dreptului de control individual asupra datelor cu caracter personal, alături de dreptul de retragere a acordului și dreptul la ștergerea datelor[65]. De altfel, Regulamentul prevede că dreptul de a fi uitat există inter alia

„(65) […] în cazul în care persoanele vizate și-au retras consimțământul pentru prelucrare sau în cazul în care acestea se opun prelucrării datelor cu caracter personal care le privesc […]”.

Din această perspectivă, consimțământul consumatorului pentru prelucrarea datelor sale cu caracter personal are valoarea unui acord cu caracter nedefinitiv. Durata de validitate a acordului este, în absența unei stipulații contrare, nedeterminată, dar limitată de scopul prelucrării. Consumatorul poate, însă, retrage acest accept, discreționar. Problema reversibilității deciziei consumatorului cu privire la prelucrarea datelor cu caracter personal este una dintre cheile de înțelegere a noului regim al protecției datelor. Dreptul consumatorului de control asupra prelucrării datelor sale cu caracter personal poate fi exercitat, așadar, sub forma retragerii consimțământului dat pentru procesarea datelor. Retragerea consimțământului nu afectează prelucrarea operată anterior de profesionist, care își păstrează caracterul licit, întemeiat pe acordul consumatorului, în perioada cuprinsă între momentul exprimării și cel al retragerii consimțământului. Nu există, deci, un drept al consumatorului de a retracta consimțământul cu efect ex tunc, ci un drept de retragere a consimțământului care are ca efect încetarea ex nunc a temeiului prelucrării și, corelativ, stoparea de către profesionist a procesării, respectiv ștergerea sau anonimizarea datelor, dacă nu există un alt temei pentru prelucrare (e.g. sub forma stocării datelor)[66]. În raport cu acordul inițial, retragerea consimțământului trebuie să poată fi realizată la fel de facil, dar nu neapărat prin același tip de acțiune (e.g. prin utilizarea aceleiași interfețe, permanent accesibilă pe website).

6. Consimțământ fără contract sau contract fără consimțământ? Rolul acordului de voințe dintre profesionist și consumator în prelucrarea datelor cu caracter personal. Relația consimțământului consumatorului pentru prelucrare și a conținutului declarației de consimțământ cu contractul încheiat cu profesionistul este problematică. Calificarea acestei relații depinde de tipul de contract încheiat între profesionist și consumator și de mecanismul de contractare utilizat de profesionist.

„Declarația de consimțământ” a consumatorului are aparența unui act juridic unilateral, adică a unei manifestări de voință individuale, făcute în scopul de a produce efecte juridice. Exprimarea unilaterală a acordului de către consumator, sub forma subscrierii conținutului declarației, nu trebuie să fie, însă, confundată cu imputabilitatea conținutului declarației. În realitate, între părți se încheie un act juridic bilateral: profesionistul pre-redactează conținutul acceptului, iar consumatorul și-l însușește. Aderarea la conținutul actului juridic pre-redactat de profesionist îmbracă forma unei declarații (unilaterale) a consumatorului. Aparența de act juridic unilateral este dată de redactarea prealabilă de către profesionist a conținutului unei declarații standard care urmează să fie dată de consumator, individual: profesionistul redactează declarația „ca și cum” ar aparține consumatorului, iar consumatorul exprimă acceptul „ca și cum” ar fi redactat el însuși conținutul declarației. De fapt, conținutul pre-redactat de profesionist devine unul contractual, prin aderarea consumatorului la acesta.

Unii comentatori fac diferența între acceptarea de către consumator a termenilor și condițiilor privind prelucrarea datelor cu caracter personal, care ar genera un contract, și emiterea unei declarații unilaterale privind acceptul pentru prelucrarea datelor, care ar avea natura unui act unilateral[67]. În realitate, profesionistul adresează consumatorului o invitație de a accepta prelucrarea datelor, pe care acesta o poate accepta sau refuza[68]. În cazul în care o acceptă, consimțământul consumatorului constituie temei al prelucrării, iar termenii și condițiile cuprinse în declarația de acceptare sau la care aceasta face trimitere dobândesc valoare contractuală. Mecanismul prin care consumatorul își exprimă consimțământul pentru prelucrarea datelor sale cu caracter personal este, așadar, întotdeauna un mecanism contractual.

Consimțământul consumatorului nu este singurul temei de prelucrare furnizat de Regulament care implică existența unei relații contractuale între profesionist și consumator. O ipoteză alternativă prevăzută de articolul 6 Legalitatea prelucrării din Regulament este cea a prelucrării necesare pentru executarea unui contract:

„(1) Prelucrarea este legală numai dacă și în măsura în care se aplică cel puțin una dintre următoarele condiții: […] (b) prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte sau pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui contract […]”.

Cele două ipoteze trebuie, însă, să fie privite ca fiind fundamental distincte: consimțământul consumatorului pentru prelucrarea datelor nu se confundă cu prelucrarea necesară pentru executarea unui contract, pentru a cărui încheiere consumatorul își manifestă consimțământul[69]. Prelucrarea de către profesionist a datelor cu caracter personal ale consumatorului în scopul încheierii sau executării unui contract nu implică, din partea consumatorului, un consimțământ suplimentar față de cel exprimat la încheierea contractului[70]; mai mult, ea este independentă de consimțământul specific al consumatorului pentru prelucrarea datelor sale cu caracter personal, care nu este necesar pentru ca datele să fie prelucrate de profesionist.

Cu alte cuvinte, în cazul în care „persoana vizată și-a dat consimțământul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice”, profesionistul solicită, iar consumatorul exprimă, într-o manieră neechivocă, liberă, specifică, în cunoștință de cauză și clară, acordul său pentru prelucrarea datelor cu caracter personal. Exprimarea consimțământului pentru prelucrarea datelor poate să preceadă, să însoțească sau să succeadă unei relații contractuale între profesionist și consumator, în raport cu care se poate afla într-o relație de accesorialitate sau de independență. Declarația de consimțământ pentru prelucrarea datelor cu caracter personal poate constitui o pre-condiție a încheierii contractului, o secvență a încheierii contractului sau un act subsecvent încheierii contractului[71]. Ceea ce este esențial pentru această ipoteză de prelucrare a datelor cu caracter personal este acordul specific și informat pe care trebuie să îl exprime consumatorul în raport cu unul sau mai multe scopuri determinate ale prelucrării datelor, propuse de profesionist și acceptate de consumator.

În schimb, în cazul în care „prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte sau pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui contract”, prelucrarea pre-contractuală sau infra-contractuală a datelor cu caracter personal se face în absența unui consimțământ specific al consumatorului pentru prelucrare, fiind autorizată în considerarea legăturii sale cu o relație contractuală existentă sau potențială și fiind, corelativ, limitată la scopurile rezultate din necesitatea executării sau încheierii contractului respectiv[72].

În logica supra-protecției pe care profesionistul tinde să și-o asigure, obținerea consimțământului consumatorului ar putea fi justificată și de o dublare a temeiului prelucrării, pentru auto-imunizarea profesionistului contra riscului angajării răspunderii pentru prelucrarea ilicită a datelor. Într-adevăr, profesionistul poate solicita consimțământul consumatorului chiar dacă ar exista un alt temei normativ pentru prelucrare, dată fiind protecția superioară pe care existența acordului consumatorului ar conferi-o procesării datelor. În acest caz, profesionistul nu ar mai fi ținut să dovedească încadrarea prelucrării în una dintre ipotezele prevăzute de lege și să treacă „testul necesității” acțiunilor sale prin raportare la interesele protejate. Cu toate acestea, interacțiunea dintre temeiurile de prelucrare a datelor cu caracter personal este limitată. Aceste temeiuri nu se confundă și nu se suprapun, astfel încât se apreciază că profesionistul trebuie să decidă în prealabil prelucrării datelor ce temei invocă, neputând schimba temeiul prelucrării dacă este contestat cel inițial[73].

Problematică este, în același context, și diferența dintre consimțământul pentru prelucrarea datelor cu caracter personal și contractul având ca obiect prelucrarea datelor cu caracter personal. Mai exact, consumatorului i se poate solicita consimțământul pentru prelucrarea datelor cu caracter personal fie cu titlu accesoriu în raport cu contractul încheiat cu profesionistul (sau chiar independent de un asemenea contract), fie cu titlu principal, când prelucrarea datelor face parte din obiectul principal al contractului.

De exemplu, unui potențial client i se solicită acceptul pentru prelucrarea datelor în scopuri de marketing, independent de vreun contract încheiat cu profesionistul; sau, în aceeași ordine de idei, unui vizitator al unui website i se cere să accepte instalarea de fișiere de tip cookies[74]; de regulă, contractul încheiat prin exprimarea consimțământului pentru prelucrare este, în aceste cazuri, unilateral și cu titlu gratuit. Totodată, la încheierea în mediu electronic a unui contract de furnizare de produse sau servicii la distanță, consumatorului i se pot solicita date cu caracter personal care să faciliteze plata sau livrarea produsului ori a serviciului achiziționat; exprimarea consimțământului consumatorului privind prelucrarea de către profesionist a acestor date are caracter accesoriu în raport cu prestațiile principale, de furnizare a produsului sau a serviciului respectiv contra unui preț. În schimb, la crearea unui cont pe o rețea de socializare (e.g. Facebook) sau a unui cont de utilizare a unor servicii de internet (e.g. Google), contractul de prestări de servicii este încheiat de profesionist în schimbul prelucrării datelor cu caracter personal ale consumatorului utilizator; în acest caz, consimțământul consumatorului pentru prelucrarea de către profesionist a datelor sale cu caracter personal se confundă cu consimțământul pentru încheierea contractului, iar acest contract este, de regulă, sinalagmatic și cu titlu oneros. Similar, pot fi comparate (și diferențiate) ipoteza consimțământului exprimat de consumator în scopul de a obține un beneficiu contractual colateral obiectului principal al contractului (e.g. intrarea într-un program de loializare a clientelei unui profesionist) și ipoteza consimțământului pentru prelucrarea datelor cu titlu de prestație esențială a contractului (e.g. utilizarea unei rețele de socializare)[75]. În primul caz, se încheie o convenție accesorie contractului principal[76] sau chiar independentă de un eventual alt contract, în timp ce, în cel de-al doilea caz, se încheie un singur contract.

Diferența esențială între situația în care consimțământul pentru prelucrarea datelor cu caracter personal echivalează cu prețul contractului și situația în care consimțământul pentru prelucrarea datelor cu caracter personal nu are legătură cu obiectul prestațiilor contractuale esențiale, ci stă la baza unui contract accesoriu sau de sine stătător cu privire la prelucrarea datelor[77], este relevantă pentru aprecierea eventualelor dezechilibre contractuale care îmbracă forma clauzelor abuzive.

7. Standardul „consumatorului mediu, normal informat și suficient de atent și de avizat” și declarația de consimțământ pentru prelucrarea datelor cu caracter personal: clauze abuzive în acte juridice unilaterale? Consimțământul consumatorului pentru prelucrarea datelor reprezintă o „falsă soluție optimă”, simplă la prima vedere, complexă și complicată, în realitate. Analiza consimțământului exprimat de consumator pentru prelucrarea datelor sale cu caracter personal poate să fie făcută în cheia dreptului consumului, mai exact a protecției consumatorilor împotriva clauzelor abuzive din contractele pe care le încheie cu profesioniștii. Este adevărat că Regulamentul conține o singură referire (și aceea, în preambul) la protecția consumatorului împotriva clauzelor abuzive, în legătură cu consimțământul exprimat de acesta pentru prelucrarea datelor cu caracter personal, însă trimiterea explicită a textului la potențialul caracter abuziv al clauzelor din declarația de consimțământ este suficientă:

„(42) În cazul în care prelucrarea se bazează pe consimțământul persoanei vizate, operatorul ar trebui să fie în măsură să demonstreze faptul că persoana vizată și-a dat consimțământul pentru operațiunea de prelucrare. În special, în contextul unei declarații scrise cu privire la un alt aspect, garanțiile ar trebui să asigure că persoana vizată este conștientă de faptul că și-a dat consimțământul și în ce măsură a făcut acest lucru. În conformitate cu Directiva 93/13/CEE a Consiliului, ar trebui furnizată o declarație de consimțământ formulată în prealabil de către operator, într-o formă inteligibilă și ușor accesibilă, utilizând un limbaj clar și simplu, iar această declarație nu ar trebui să conțină clauze abuzive (s.n.). Pentru ca acordarea consimțământului să fie în cunoștință de cauză, persoana vizată ar trebui să fie la curent cel puțin cu identitatea operatorului și cu scopurile prelucrării pentru care sunt destinate datele cu caracter personal. […]”

Așadar, în materia prelucrării datelor cu caracter personal, consimțământul, ca temei al procesării, este cerut de la un consumator informat, care trebuie să îl exprime „în cunoștință de cauză”. Cerințele de transparență ale Regulamentului, privind informarea consumatorului în procesul de control individual al acestuia asupra stocării și a procesării datelor, sunt instituite în scopul de a surmonta asimetria informațională în relația profesionist – consumator. Această asimetrie este generată, așa cum am arătat, de puterea structurală deținută de profesionist, în raport cu consumatorul, asupra instrumentelor de analiză și a tehnologiilor de prelucrare a datelor, și, corelativ, de costul major al unei informări complete din partea consumatorului, care, din această cauză, va tinde să exprime un consimțământ neinformat. Puterea de negociere redusă a consumatorului descurajează informarea și întreține asimetria informațională[78].

Mecanismul prevăzut de Regulament pentru exprimarea consimțământului consumatorului pornește de la premisa acestei distribuții asimetrice a controlului asupra informațiilor necesare unui consimțământ informat. Pentru a-i permite consumatorului să-și exprime un consimțământ informat, profesionistul este obligat la transparență. Reducerea asimetriei informaționale se face, însă, nu printr-o informare complexă și exhaustivă a consumatorului, ci prin alinierea declarației de consimțământ la cerința „simplificării”: declarația trebuie să fie redactată de profesionist „într-o formă inteligibilă și ușor accesibilă, utilizând un limbaj clar și simplu”. Cu alte cuvinte, regimul prelucrării de către profesionist a datelor cu caracter personal ale consumatorului, prin ipoteză complicat tehnic, trebuie să fie descris de profesionist prin intermediul unor clauze inteligibile, accesibile, clare și simple, care formează un numitor comun al nivelului de înțelegere la care se aliniază convențional profesionistul și consumatorul. Imperativul simplității conținutului declarației este incompatibil cu trimiteri ale documentului respectiv la termeni și condiții redactate la un alt nivel de comprehensibilitate. Mai mult, așa cum am arătat, declarația nu poate fi de plano lipsită de conținut, în sensul că profesionistul nu poate recurge la o formulare care se limitează să facă referire la clauze externe.

Regulamentul instituie, așadar, un standard al „consumatorului informat”, care trebuie să își exprime consimțământul „în cunoștință de cauză”. Acest standard normativ servește drept reper abstract în stabilirea prototipului de consumator căruia Regulamentul îi conferă protecție, prescriind ex ante comportamentul profesionistului în redactarea declarației și fundamentând analiza judiciară ex post a acesteia. Am arătat anterior că, atât timp cât consumatorul nu își bazează decizia de a contracta pe evaluarea prealabilă a termenilor și condițiilor contractuale, calitatea clauzelor contractelor standard scade[79], putând atinge nivelul dezechilibrului caracteristic clauzelor abuzive. În acest context, cenzurarea judiciară a clauzelor din acordul de prelucrare a datelor prin prisma caracterului abuziv, în raport cu criteriile din Directiva 93/13/CEE, oferă un instrument eficient de asigurare a respectării cerințelor Regulamentului[80].

Standardul normativ al „consumatorului informat”, standard sectorial caracteristic domeniului prelucrării datelor cu caracter personal, se intersectează cu cel al „consumatorului mediu, normal informat și suficient de atent și de avizat”, aplicabil în materia clauzelor abuzive. Suprapunerea celor două standarde este justificată de paradigma informațională care le fundamentează: informarea prealabilă îi permite consumatorului să înțeleagă condițiile și efectele exprimării consimțământului pentru prelucrarea datelor sale cu caracter personal. Dezechilibrul informațional dintre profesionist și consumator este surmontat în măsura în care există o înțelegere comună asupra clauzelor privind prelucrarea datelor. Standardul „consumatorului mediu” este reafirmat în materia prelucrării datelor cu caracter personal sub forma standardului „consumatorului informat”, căruia i se subsumează cerințe ale transparenței: inteligibilitatea, accesibilitatea, claritatea și simplitatea. Singura disparitate între aceste standarde pare a fi „simplitatea” conținutului declarației de consimțământ, impusă de Regulament, care ar putea fi privită ca plasând „consumatorul informat” din materia prelucrării datelor la un nivel inferior „consumatorului mediu” din domeniul clauzelor abuzive și, oricum, departe de „consumatorul expert” cu care era asimilat, de unii autori, „consumatorul mediu”. Nu există, totuși, o incompatibilitate între „simplitate” și „mediocritate” (în sensul originar al termenului); dimpotrivă, instrumentele de analiză și tehnologiile de prelucrare a datelor, prin ipoteză foarte complexe, trebuie simplificate, pentru a deveni accesibile „consumatorului mediu”, prin aducerea lor la numitorul comun amintit anterior, al nivelului de înțelegere la care se aliniază convențional profesionistul și consumatorul.

Declarațiile de consimțământ pre-formulate, cuprinzând clauze standard, non-negociabile, sunt predispuse la a constitui un teren fertil pentru clauzele abuzive, văzute ca dezechilibre juridice generate de rezervarea de către redactorul clauzei a unui regim juridic pe care consumatorul nu l-ar fi acceptat în cazul în care ar fi avut posibilitatea negocierii clauzei. Întrucât, așa cum am arătat, conținutul pre-redactat de profesionist devine unul contractual, prin aderarea consumatorului la acesta, el este cenzurabil judiciar din perspectiva potențialelor clauze abuzive pe care le-ar cuprinde. De altfel, Regulamentul are în vedere în mod explicit o asemenea intervenție, atunci când prevede că declarația de consimțământ „[…] nu ar trebui să conțină clauze abuzive […]”.

Regulamentul nu instituie pe această cale o ipoteză excepțională în care clauzele abuzive ar putea fi identificate într-un act juridic unilateral, ci o ipoteză particulară de imputabilitate a clauzelor în raport cu redactorul profesionist al acestora, care a acționat în detrimentul consumatorului la redactarea conținutului declarației, fie rezervându-și drepturi, fie plasând în sarcina consumatorului obligații pe care acesta nu le-ar fi acceptat dacă respectivul conținut ar fi fost negociabil. Ceea ce poate particulariza acest conținut contractual în raport cu contractele standard, în general, este încadrarea sa by design în anumite tipare și interfețe care, tehnic, exclud nu numai dialogul caracteristic negocierii, ci, în mod frecvent, chiar comunicările realizate în scop de clarificare a înțelesului clauzelor contractuale standard, la inițiativa unui consumator atent și circumspect.

Declarația de consimțământ trebuie să cuprindă inter alia, așa cum am arătat, datele cu caracter personal cerute pentru prelucrare, motivul pentru care sunt solicitate, modul în care vor fi utilizate și condițiile de retragere a consimțământului și ștergere a datelor. Acest conținut comportă o serie de riscuri, pretându-se la o redactare cu un potențial caracter abuziv, contrar cerințelor specifice de transparență. Astfel, declarația poate conține fie termeni vagi, generici, a căror aplicabilitate concretă se află în permanență sub controlul profesionistului (e.g. definirea scopului pentru care se colectează datele poate fi realizată în termeni care să justifice dezalinierea profesionistului de la obligația de a limita stocarea datelor respective), fie în termeni exhaustivi, dar greu inteligibili (știut fiind că prea multă transparență, inclusiv în materie contractuală, echivalează cu lipsa de transparență, pe fondul creșterii costurilor informării). Mai mult, în condițiile în care consumatorul nu are la dispoziție decât opțiunile oferite de profesionist în declarația de consimțământ, pre-redactată, pe care o poate accepta sau refuza tale quale, numai respectarea ex post de către profesionist a scopurilor prelucrării și granularitatea acordurilor de prelucrare îl pot proteja împotriva exprimării unui consimțământ generic, care ar fi prin ipoteză viciat.

Experiența de două decenii a aplicării mecanismului clauzelor abuzive la materia prelucrării datelor – sub imperiul Directivei 95/46/CE privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date – este ilustrată de existența unor clauze privind regimul prelucrării datelor care au fost declarate în mod recurent ca abuzive: clauze privind liceitatea regimului de prelucrare (e.g. clauze care nu determină clar și limitativ scopurile prelucrării), clauze privind partajarea datelor cu caracter personal (e.g. clauze care autorizează transferul datelor către terți nedesemnați), clauze privind conservarea datelor cu caracter personal (e.g. clauze prin care operatorul își rezervă dreptul de a conserva datele pe durată nedeterminată), clauze de modificare unilaterală a politicii de regim al datelor (e.g. clauze prin care se instituie un consimțământ prezumat al consumatorului), clauze privind transferul obligației de informare (e.g. clauze prin care se instituie obligația consumatorului de a se informa periodic)[81]. În toate aceste cazuri, conținutul declarației de consimțământ este considerat ca fiind dezechilibrat juridic, profesionistul rezervându-și drepturi sau punând în sarcina consumatorului obligații pe care acesta nu le-ar fi acceptat dacă acordurile ar fi fost negociabile.

Trebuie precizat că dezechilibrele juridice generate de clauzele abuzive nu trebuie să fie confundate cu dezechilibrele situaționale (economice sau non-economice) dintre operator și subiectul de date, caz în care consimțământul nu poate constitui de plano temei pentru prelucrarea datelor cu caracter personal[82]. Deși aproape toate ipostazele de prelucrare a datelor cu caracter personal la nivelul Big Data implică profesioniști aflați într-o relație dezechilibrată cu consumatorii[83], condiția dezechilibrului evident instituită de Regulament trebuie să fie interpretată ca referindu-se la situațiile în care consumatorul este lipsit de alternative economice în raport cu profesionistul respectiv (e.g. cazul în care un profesionist pune la dispoziția consumatorului un serviciu esențial, cu caracteristici unice, pentru care nu există alternative de substituție).

Diferența, anterior menționată, dintre consimțământul pentru prelucrarea datelor cu caracter personal și contractul asupra prelucrării datelor cu caracter personal devine semnificativă în procedura cenzurării judiciare a conținutului contractual din perspectiva clauzelor abuzive. Așa cum am arătat, consumatorului i se poate solicita consimțământul pentru prelucrarea datelor cu caracter personal fie independent de un contract încheiat cu profesionistul, fie cu titlu accesoriu în raport cu contractul încheiat cu profesionistul, fie cu titlu principal, când prelucrarea datelor face parte din obiectul principal al contractului. În termenii protecției consumatorului împotriva clauzelor abuzive, aceste ipoteze sunt reflectate în condițiile cerute pentru cenzura clauzelor contractuale standard, principale sau secundare, sub aspectul caracterului abuziv. Când clauzele privind prelucrarea datelor au statut de clauze secundare, care nu pot fi circumscrise noțiunii „obiectul principal al contractului”, în sensul articolului 4 alineatul (2) din Directiva 93/13/CEE, ele vor fi întotdeauna cenzurabile din perspectiva potențialului lor caracter abuziv. Dimpotrivă, în cazul în care clauzele privind prelucrarea datelor sunt clauze principale – înțelese ca fiind cele care, stabilind prestațiile esențiale ale contractului și care, ca atare, îl caracterizează, se circumscriu noțiunii „obiectul principal al contractului” –, aceste clauze trebuie să verifice condiția transparenței contractuale pentru a fi imunizate contra cenzurii judiciare a potențialului lor caracter abuziv.

În considerarea acestor ipoteze, consimțământul consumatorului pentru prelucrarea datelor sale cu caracter personal poate avea valențe diferite. El poate constitui fie expresia libertății de alegere și decizie (non-patrimonială) a consumatorului privind prelucrarea datelor sale cu caracter personal, care reprezintă o chestiune de protecție a datelor contra prelucrării neautorizate, fie un instrument de negociere a valorii economice a datelor cu caracter personal ale consumatorului, ceea ce reprezintă o chestiune de exploatare economică a datelor[84]. În primul caz, consimțământul este dat de consumator, în principiu, în absența unei contrapartide specifice din partea profesionistului; în cel de-al doilea caz, consimțământul consumatorului reprezintă prețul plătit de acesta în contrapartidă pentru serviciile furnizate de profesionist: existența unei contrapartide din partea consumatorului apropie contractul de calificarea sa drept contract cu titlu oneros[85]. Exemplele Google sau Facebook pun în evidență costurile sociale și, finalmente, economice ale acordului utilizatorilor acestor servicii (aparent gratuite) pentru prelucrarea datelor lor cu caracter personal.

Toate ipostaze contractuale amintite anterior pot genera dezechilibre între drepturile și obligațiile părților. Exemplul clauzei de definire ex ante a scopurilor specifice pentru care sunt solicitate datele în vederea prelucrării este relevant, în acest sens, din perspectiva complexității sale. Informarea consumatorului cu privire la scopurile prelucrării datelor cu caracter personal este limitată nu numai pe fondul incapacității acestuia de a evalua diferitele consecințe ale procesării; de cele mai multe ori, nici profesionistul nu este capabil să anticipeze, la momentul colectării inițiale a datelor, toate utilizările lor potențiale, pe fondul utilizării „transformative” a Big Data. Mai mult, acceptarea condițiilor impuse de profesionist apare ca un efect al concentrării pieței și al accesului restricționat la serviciile societății informaționale, în contextul în care fungibilitatea acestor servicii este extrem de limitată[86].

În contextul mecanismelor contractuale multiple în cadrul cărora poate fi exprimat consimțământul consumatorului privind prelucrarea datelor sale cu caracter personal, se pune problema sferei conținutului contractual care trebuie să fie analizat pentru aprecierea dezechilibrului între drepturile și obligațiile părților, care trebuie să caracterizeze efectele clauzei abuzive[87]. Ar trebui examinat dezechilibrul contractual prin raportare doar la clauzele privind prelucrarea datelor sau în raport cu ansamblul clauzelor contractuale, respectiv în corelație cu restul clauzelor, indiferent de obiectul lor? Răspunsul la această întrebare depinde de poziția pe care acordul pentru prelucrare o are în raport cu contractul dintre profesionist și consumator sau în cadrul acestuia. În ipoteza în care consimțământul pentru prelucrarea datelor cu caracter personal este exprimat independent de contractul încheiat cu profesionistul sau cu titlu accesoriu în raport cu contractul încheiat cu profesionistul, dar prin intermediul unui acord de prelucrare care nu face parte din obiectul principal al contractului și nici nu are legătură cu acesta (e.g. acordul de prelucrare a datelor în scopuri de marketing; acceptarea fișierelor de tip cookies), aprecierea dezechilibrului între drepturile și obligațiile părților trebuie să se raporteze doar la clauzele privind prelucrarea datelor, astfel cum sunt acestea cuprinse în propunerea de declarație de consimțământ la care consumatorul a aderat. În cazul în care consimțământul pentru prelucrarea datelor cu caracter personal este exprimat sub forma unui acord de prelucrare care nu face parte din obiectul principal al contractului, dar care are legătură cu acesta (e.g. acordul de prelucrare a datelor în scopul aderării la un program de fidelizare a clientelei), precum și în cazul în care acordul de prelucrare face parte din obiectul principal al contractului (e.g. acordul de prelucrare a datelor în schimbul accesului la o rețea de socializare sau la servicii de internet), analiza dezechilibrului între drepturile și obligațiile părților trebuie să se raporteze la ansamblul clauzelor contractuale.

8. Standardul „consumatorului mediu”, dar minor. Consimțământul ca temei pentru prelucrarea datelor cu caracter personal în cazul consumatorului minor de servicii ale societății informaționale. O interesantă problemă de apreciere a caracterului abuziv al clauzelor contractuale din acordurile pentru prelucrarea datelor cu caracter personal se ridică în cazul consumatorului minor de servicii ale societății informaționale. Explicația problemei ține de situația specială în care se află minorul care contractează cu profesionistul; amploarea problemei este dată de faptul că unul din trei utilizatori de internet este minor[88].

Regulamentul instituie, în articolul 8 Condiții aplicabile în ceea ce privește consimțământul copiilor în legătură cu serviciile societății informaționale, cerința consimțământului parental pentru prelucrarea datelor cu caracter personal ale copiilor minori beneficiari ai serviciilor societății informaționale, în vârstă de până la 16 ani, dacă prin legislația statului membru nu a fost stabilită o limită inferioară, care, însă, nu se poate situa sub vârsta de 13 ani. Condiția consimțământului parental nu este aplicabilă în toate situațiile în care consumatorul minor relaționează cu profesionistul, ci doar în cazul în care minorul este beneficiar în mod direct al unor servicii ale societății informaționale (e.g. rețelele de socializare, jocurile online, serviciile de e-mail sau mesagerie instant). Rațiunea acestei condiții protective rezidă, desigur, în vulnerabilitățile comportamentale care pot fi asociate vârstei, între care volatilitatea și impulsivitatea emoțională.

Consimțământul parental este văzut, însă, de comentatori, ca fundamentând un sistem de protecție slab[89], întrucât aplicarea practică a acestei condiții este extrem de problematică. Se pune, în primul rând, întrebarea dacă, în context, „acordarea sau autorizarea” consimțământului copilului de către părinte, deci exprimarea unui consimțământ de substituție sau a unui consimțământ comun, presupune aprobarea ex ante sau ex post a prelucrării datelor. Logica mecanismului de contractare ar impune, tehnic, autorizarea parentală a prelucrării după momentul exprimării consimțământului minorului, dar înainte de orice acțiune de prelucrare a datelor. Conex, însă, se pune problema modului în care este verificată de către profesionist proveniența consimțământului. Regulamentul instituie un standard flexibil, dependent de circumstanțe, cel al „eforturilor rezonabile” ale profesionistului, „ținând seama de tehnologiile disponibile”. Cum nu există o obligație explicită a furnizorului serviciilor societății informaționale de verificare a vârstei utilizatorului (e.g. prin intermediul unor surse independente, cum ar fi bazele de date, sau prin controlul unui cod personal de identificare, ori prin apelul la metode de plată de principiu inaccesibile minorilor, cum sunt cardurile de credit, sau la identificarea contextuală, prin intermediul unui „internet identity card”)[90], proveniența consimțământului poate fi examinată de către profesionist numai în concordanță cu diligențele considerate uzuale în raport cu tipul de servicii ale societății informaționale pe care le oferă și cu miza patrimonială și nepatrimonială a acestora.

Sub aspectul conținutului declarației de consimțământ, pot exista diferențe între serviciile societății informaționale destinate explicit minorilor, caz în care conținutul declarației trebuie să fie adaptat la nivelul de înțelegere al vârstei respective, și cele cu audiență generală sau mixtă (adică nedestinate minorilor, dar posibil a fi utilizate de aceștia), ipoteză în care se pune problema unui filtru pe care profesionistul l-ar putea institui pentru diferențierea pe criterii de vârstă a conținutului declarației. În primul caz, adresabilitatea precisă a serviciilor societății informaționale impune, corelativ, o cerință a „dublei simplificări” pentru declarația de consimțământ: dacă această declarație trebuie să fie redactată de profesionist „într-o formă inteligibilă și ușor accesibilă, utilizând un limbaj clar și simplu” chiar în cazul consumatorului generic, adaptarea conținutului său la nivelul de înțelegere al consumatorului minor implică un grad de simplificare suplimentar. Corelativ, standardul de apreciere a transparenței contractuale în analiza eventualului caracter abuziv al clauzelor declarației de consimțământ este stabilit la un nivel inferior standardului comun al „consumatorului informat”, care trebuie adaptat situației specifice în discuție.

În ce măsură cerința consimțământului de substituție sau a unui consimțământ comun este realistă sau impune un control iluzoriu este dificil de anticipat anterior oricărei practici de aplicare a Regulamentului. Mecanismul consimțământului parental a fost deja considerat ca fiind lipsit de sens, expunând copiii fie la manopere complexe de disimulare indezirabile în context, fie la riscul excluderii din comunitățile online[91], prin limitarea libertății și monitorizarea comportamentului lor de către părinți. Consumatorul minor de servicii ale societății informaționale este un nou tip de consumator independent, care este de așteptat să găsească soluții pentru transgresarea cerințelor normative disruptive și intruzive privind accesul la serviciile societății informaționale, iar reacția normativă nu poate ignora această realitate.

9. Concluzii. Obținerea consimțământului consumatorului este una dintre ipotezele cele mai importante pentru prelucrarea de către profesionist a datelor cu caracter personal. Standardul sectorial de apreciere în verificările privind caracterul abuziv al clauzelor declarației de consimțământ privind procesarea datelor cu caracter personal este cel al „consumatorului informat”, care consimte „în cunoștință de cauză” la prelucrarea datelor sale. Acest standard îl dublează pe cel al „consumatorului mediu”, în raport cu care se realizează analiza judiciară a clauzelor abuzive, în general. Profesioniștii care solicită consimțământul consumatorilor pentru prelucrarea datelor cu caracter personal au obligația de a-și adapta conduita la standardul specific materiei, dând declarației de consimțământ o redactare care să răspundă imperativului simplificării. Totuși, cerințele particulare privind transparența contractuală în domeniul prelucrării datelor cu caracter personal sunt inapte să înlăture riscurile previzibile în practică. Declarația de consimțământ va putea conține fie termeni vagi, generici, a căror aplicabilitate concretă se va afla în permanență sub controlul profesionistului, fie termeni exhaustivi, dar greu inteligibili, prea multă transparență contractuală echivalând cu lipsa de transparență, pe fondul creșterii costurilor informării pentru un consumator care, oricum, nu este interesat să se informeze. Auto-determinarea informațională a consumatorilor este, din păcate, subminată de puterea structurală deținută de profesioniști asupra tehnologiilor de prelucrare a datelor și asupra conținuturilor contractuale adiacente.

[1] Influențarea de către profesioniști a deciziilor economice sau non-economice ale consumatorilor se realizează prin procese precum dynamic pricing – ofertarea dinamică individualizată, nudging – influențarea subtilă a deciziilor individuale, care alterează comportamentul predictibil, fără să anihileze alegerile alternative, sau filter bubbles – crearea unei stări de izolare intelectuală provocată de căutările personalizate care generează rezultate influențate de căutările anterioare sau de alți parametri, cum ar fi localizările (M. Rhoen, Beyond consent: improving data protection through consumer protection law, în Internet Policy Review, vol. 5, nr. 1, 2016, p. 1).
[2] Primele secțiuni ale acestui studiu, referitoare la standardul consumatorului mediu, preiau analiza pe care am făcut-o în L. Bercea, Este judecătorul român (doar) un „consumator mediu, normal informat și suficient de atent și de avizat”?, în R. Bercea, A. Mercescu (ed.), Despre juriști, Universul Juridic, București, 2017, pp. 102-118.
[3] Curtea Europeană de Justiție a descris „consumatorul mediu” ca fiind „a consumer who is reasonably well informed and reasonably observant and circumspect, taking into account social, cultural and linguistic factors” (CJUE, C-210/96, Gut Springenheide und Tusky, par. 31).
[4] S.A. de Vries, Balancing Fundamental Rights with Economic Freedoms According to the European Court of Justice, în Utrecht Law Review, vol. 9, nr. 1, 2013, p. 173.
[5] M. Dani, Assembling the fractured European consumer, în LSE ‘Europe in Question’ Discussion Paper Series, nr. 29, 2011, p. 13.
[6] Una dintre directivele care au ocazionat dezbateri consistente pe marginea standardului „consumatorului mediu” este Directiva 2005/29/CE privind practicile comerciale neloiale ale întreprinderilor față de consumatori. A se vedea M. B. M. Loos, Transparency of standard terms under the Unfair Contract Terms Directive and the Proposal for a Common European Sales Law, în European Review of Private Law, vol. 23, nr. 2, 2015, p. 188.
[7] J. Trzaskowski, Lawful Distortion of Consumers’ Economic Behaviour: Collateral Damage Under the Unfair Commercial Practices Directive, în European Business Law Review, vol. 27, nr. 1, 2016, p. 35.
[8] Imperativul asigurării unui nivel ridicat de protecție a consumatorului rezultă din prevederile articolului 169 din Tratatul privind funcționarea Uniunii Europene și ale articolului 38 din Carta drepturilor fundamentale a Uniunii Europene.
[9] W. H. van Boom, A. Garde, O. Akseli (ed.), The Unfair Commercial Practices Directive, Ashgate, Farnham, 2014, Introducere, p. 6.
[10] P. Cartwright, The Vulnerable Consumer of Financial Services: Law, Policy and Regulation, Financial Services Research Forum, Nottingham, 2011.
[11] T. Chou, Procter & Gamble v. OHIM: Is the Generic Average Consumer Too Generic for Its Own Good, în Loyola of Los Angeles International and Comparative Law Review, vol. 28, 2006, p. 631.
[12] Este cazul Directivei 1999/44/CE privind anumite aspecte ale vânzării de bunuri de consum și garanțiile conexe (P. Rott, Consumers and Services of General Interest: Is EC Consumer Law the Future?, în Journal of Consumer Policy, vol. 30, nr. 1, 2007, pp. 49-60).
[13] J. Stuyck, Consumer Concepts in EU Secondary Law, în Verbraucherleitbilder – Interdisziplinäre und Europäische Perspektiven, University of Bochum, 12-13 februarie 2014, pp. 2-3.
[14] V. Mak, Standards of Protection: In Search of the ‘Average Consumer’ of EU Law in the Proposal for a Consumer Rights Directive, în European Review of Private Law, vol. 19, nr. 1, 2011, pp. 25-42.
[15] Spre exemplu, în sistemul de protecție al Directivei 2005/29/CE privind practicile comerciale neloiale ale întreprinderilor față de consumatori, criteriile utilizate pentru definirea grupurilor vulnerabile sunt vârsta, infirmitatea psihică sau fizică, credulitatea. Un criteriu de tipul acestuia din urmă permeabilizează granițele grupului vulnerabil, din cauza echivocității sale.
[16] B. Duivenvoorde, The Protection of Vulnerable Consumers under the Unfair Commercial Practices Directive, în Journal of European Consumer and Market Law, vol. 2, nr. 2, 2013, p. 73.
[17] N. Reich, H.-W. Micklitz, P. Rott, K. Tonner, European Consumer Law, ed. a 2-a, Intersentia, 2014, pp. 45-50.
[18] Pentru analiza legăturii dintre standardul „consumatorului mediu” și alegerile politicilor de protecție a consumatorului, V. Mak, Policy Choices in European Consumer Law: Regulation through ‘Targeted Differentiation’, în European Review of Contract Law, vol. 7, 2011, pp. 257-274.
[19] Cu privire la diferența dintre standardul normativ și cel empiric, A. Wiebe, How much nature for the consumer? Misleading advertising, trademark law and the European average consumer standard in the food sector, în Corporate Governance eJournal, Paper 32, 2015, p. 3.
[20] J. Trzaskowski, op.cit., p. 34.
[21] A. Wiebe, op.cit., p. 3, citând o hotărâre a Curții Supreme Federale de Justiție a Germaniei, care arată că aplicarea practică a unui asemenea standard normativ presupune aplicarea unor cunoștințe specifice determinate de experiență.
[22] Este frecvent criticată absența administrării acestor probe în procesele privind aplicarea standardelor de protecție a consumatorului mediu. T. Chou, op.cit., p. 631.
[23] V. Mak, Standards of Protection: In Search of the ‘Average Consumer’ of EU Law in the Proposal for a Consumer Rights Directive, cit.supra, pp. 25-42.
[24] J. Stuyck, op. cit., p. 1.
[25] Idem, p. 17.
[26] Curtea a avansat această idee în CJUE, C-240/98 și C-244/98, Océano Grupo, și a reiterat-o în CJUE, C-168/05, Mostaza Claro, CJUE, C-40/08, Asturcom Telecomunicationes, CJUE, C-243/08, Pannon GSM, CJUE, C-137/08 VB Pénzügyi Lizing.
[27] N. Reich, H.-W. Micklitz, P. Rott, K. Tonner, op. cit., xii.
[28] CJUE, C‑26/13, Árpád Kásler, Hajnalka Káslerné Rábai c. OTP Jelzálogbank Zrt.
[29] CJUE, C‑348/14, Maria Bucura c. SC Bancpost SA, par. 56.
[30] CJUE, C‑96/14, Jean‑Claude Van Hove c. CNP Assurances SA, par. 47.
[31] CJUE, C‑186/16, Ruxandra Paula Andriciuc și alții c. Banca Românească SA, par. 47.
[32] M. B. M. Loos, op. cit., p. 189.
[33] Idem, p. 188.
[34] Ibidem.
[35] C. Willet, Fairness and Consumer Decision Making under the Unfair Commercial Practices Directive, în Journal of Consumer Policy, vol. 33, 2010, pp. 247–273.
[36] M. B. M. Loos, op. cit., p. 189.
[37] W. H. van Boom, A. Garde, O. Akseli (ed.), op. cit., Introducere, p. 2.
[38] J. Stuyck, op. cit., p. 15.
[39] T. Wilhelmsson, The Informed Consumer v the Vulnerable Consumer in European Unfair Commercial Practices Law – A Comment, în G. Howells et alii (ed.), The Yearbook of Consumer Law 2007, Aldershot, Ashgate, 2007, p. 218.
[40] J. Stuyck, op. cit., p. 2.
[41] De pildă, monitorizarea navigării pe internet, a profilurilor de utilizator al rețelelor sociale sau a preferințelor comerciale ale consumatorului poate fi realizată de profesioniști în scopul afișării de mesaje publicitare specifice și personalizate, pe baza preferințelor utilizatorului. Publicitatea contextuală (mesajele publicitare care apar în asociere cu conținutul unor pagini web) și remarketing-ul (mesajele publicitare referitoare la produse și servicii vizualizate anterior de utilizator) sunt două exemple din această categorie (A. Esteve, The business of personal data: Google, Facebook, and privacy issues in the EU and the USA, în International Data Privacy Law, vol. 7, nr. 1, 2017, pp. 36–47).
[42] Unii autori critică acest model de afaceri, acuzându-l că subminează un drept fundamental (N. Helberger et aliiDigital Consumers and the Law. Towards a Cohesive European Framework, Kluwer Law International, 2012, p. 163).
[43] M. Rhoen, Big Data and Consumer Participation in Privacy Contracts: Deciding who Decides on Privacy, în Utrecht Journal of International and European Law, vol. 31 (80), 2015, p. 51.
[44] N. Purtova, Default entitlements in personal data in the proposed Regulation: Informational self-determination off the table … and back on again?, în Computer Law and Security Review, vol. 30, 2014, pp. 6-24.
[45] N. Helberger et aliiop. cit., p. 163.
[46] M. Rhoen, Big Data and Consumer Participation in Privacy Contracts…, cit. supra, p. 51.
[47] A.M. Mac Donald, L.F. Cranor, The Cost of Reading Privacy Policies, în Journal of Law and Policy for the Information Society, vol. 4, 2008, p. 543, 544.
[48] Y. Bakos, F. Marotta-Wurgler, D. R. Trossen, Does Anyone Read the Fine Print? Consumer Attention to Standard Form Contracts, Law & Economics Research Paper Series Working Paper, New York University Center for Law, Economics and Organization, 2013, p. 1 și urm.
[49] A. Esteve, op. cit., pp. 36–47.
[50] Y. Bakos, F. Marotta-Wurgler, D. R. Trossen, op. cit., p. 1 și urm.
[51] N. Purtova, op. cit., pp. 6-24.
[52] În aceste condiții, a fost sugerată o revizuire a modelului „notificare-consimțământ” în ipotezele în care actualul sistem opt-in este depășit (spre exemplu, prelucrarea de Big Data), prin diminuarea rolului consimțământului subiectului de date și creșterea corelativă a rolului autorităților de supraveghere (A. Mantelero, The future of consumer data protection in the E.U. Re-thinking the “notice and consent” paradigm in the new era of predictive analytics, în Computer Law and Security Review, vol. 30, 2014, pp. 643-660).
[53] A. Esteve, op. cit., pp. 36–47.
[54] V. Mayer-Schönberger, Generational development of data protection in Europe, în Ph. E. Agre, M. Rotenberg (ed.), Technology and privacy: The new landscape, MIT Press, 1997, pp. 219-241.
[55] A. Mantelero, op. cit., pp. 643-660.
[56] De altfel, Preambulul Regulamentului opune consimțământul tuturor celorlalte categorii de motive legitime: „(40) Pentru ca prelucrarea datelor cu caracter personal să fie legală, aceasta ar trebui efectuată pe baza consimțământului persoanei vizate sau în temeiul unui alt motiv legitim, prevăzut de lege, fie în prezentul regulament, fie în alt act din dreptul Uniunii sau din dreptul intern […]”.
[57] K. Pormeister, Informed consent to sensitive personal data processing for the performance of digital consumer contracts on the example of “23andMe”, în Journal of European Consumer and Market Law, vol. 1, 2017, p. 17.
[58] A. Esteve, op. cit., pp. 36–47.
[59] Diferitele criterii rezultă din textul articolului 6 Legalitatea prelucrării din Regulament. Necesitatea prelucrării poate privi executarea contractului, existența unor obligații legale sau a unor interese legitime. Un fundament care ar putea fi frecvent invocat este cel al riscurilor de securitate, în special în comerțul electronic, pentru detectarea fraudelor.
[60] The Working Party on the protection of individuals with regard to the processing of personal data, Guidelines on Consent under Regulation 2016/679, 28 noiembrie 2017. Și în reglementarea europeană anterioară consimțământul ocupa o poziție centrală. Directiva 95/46/CE cuprindea trei ipoteze în care consimțământul devenea relevant din perspectiva regimului protecției datelor personale: (i) consimțământul constituia unul dintre temeiurile pentru procesarea licită a datelor personale; (ii) consimțământul explicit constituia una dintre condițiile pentru procesarea datelor personale sensibile; (iii) consimțământul neechivoc constituia una dintre excepțiile care autorizau transferul datelor personale dintr-un stat membru al Uniunii Europene către un stat care nu oferea un nivel adecvat de protecție a acestor date. Conceptul de „consimțământ” includea orice indicație liber exprimată, specifică și informată a intenției subiectului de date prin care acesta exprima acordul cu privire la procesarea datelor sale personale (articolul 2 lit. h).
[61] The Working Party on the protection of individuals with regard to the processing of personal data, Guidelines on Consent under Regulation 2016/679, 28 noiembrie 2017.
[62] Ibidem.
[63] In terminis în preambulul Regulamentului: „(42) […] ar trebui furnizată o declarație de consimțământ (s.n.) formulată în prealabil de către operator […]”.
[64] Profesioniștii practică, în mod curent, opțiunile pre-completate sub forma căsuțelor pre-bifate, pe care consumatorul ar trebui să le de-bifeze pentru a-și exprima dezacordul cu privire la propunerea profesionistului. Un asemenea mecanism de prelevare a consimțământului nu respectă cerințele Regulamentului.
[65] A. Esteve, op. cit., pp. 36–47.
[66] The Working Party on the protection of individuals with regard to the processing of personal data, Guidelines on Consent under Regulation 2016/679, 28 noiembrie 2017.
[67] M. Rhoen, Big Data and Consumer Participation in Privacy Contracts…, cit. supra, p. 51.
[68] The Working Party on the protection of individuals with regard to the processing of personal data, Guidelines on Consent under Regulation 2016/679, 28 noiembrie 2017.
[69] M. Rhoen, Beyond consent…, cit.supra, p. 1.
[70] K. Pormeister, op. cit., p. 17.
[71] Cum, însă, consimțământul trebuie să fie liber, dacă acordul pentru prelucrare reprezintă o pre-condiție pentru încheierea contractului principal, consimțământul ar putea fi viciat. K. Pormeister, op.cit., p. 17.
[72] A. Esteve, op. cit., pp. 36–47.
[73] The Working Party on the protection of individuals with regard to the processing of personal data, Guidelines on Consent under Regulation 2016/679, 28 noiembrie 2017.
[74] Cookie-urile reprezintă fișiere create de website-urile vizitate care salvează informații de navigare și care contribuie la menținerea conexiunii, la memorarea preferințelor utilizatorului sau la oferirea de conținut relevant.
[75] M. Rhoen, Big Data and Consumer Participation in Privacy Contracts…, cit. supra, p. 51.
[76] A. Esteve, op. cit., pp. 36–47.
[77] K. Pormeister, op. cit., p. 17.
[78] M. Rhoen, Beyond consent…, lucr. cit., p. 1.
[79] Y. Bakos, F. Marotta-Wurgler, D. R. Trossen, lucr. cit., p. 1 și urm.
[80] M. Rhoen, Beyond consent…, lucr. cit., p. 1.
[81] Commission des clauses abusives (Franţa), Recomandarea privind contractele de furnizare de servicii de rețele sociale, 7 noiembrie 2014.
[82] Libertatea exprimării consimțământului în cazul unui dezechilibru vădit între profesionist și consumator este protejată de Regulament: „(43) […] consimțământul nu ar trebui să constituie un temei juridic valabil pentru prelucrarea datelor cu caracter personal în cazul particular în care există un dezechilibru evident între persoana vizată și operator[82] […], iar acest lucru face improbabilă acordarea consimțământului în mod liber în toate circumstanțele aferente respectivei situații particulare”. Cu alte cuvinte, în situația în care există un dezechilibru evident între profesionist și consumator (pre-existent unui eventual contract încheiat între aceștia), consimțământul consumatorului nu poate constitui temei pentru prelucrarea licită a datelor sale cu caracter personal.
[83] N. Purtova, op. cit., pp. 6-24.
[84] A. Mantelero, op. cit., pp. 643-660.
[85] Se pune, în acest context, problema naturii contrapartidei furnizate de consumator profesionistului: prin acordul dat de consumator pentru prelucrarea datelor cu caracter personal, iese din patrimoniul său o anumită valoare economică sau respectivele date dobândesc valoare economică numai subsecvent procesării lor de către profesionist? Se poate susține că transferul de date cu caracter personal și acordul consumatorului pentru prelucrarea acestora constituie premisele creării unei valori economice în patrimoniul profesionistului care operează cu respectivele date; valoarea economică a datelor este condiționată de procesarea acestora în interesul profesionistului, chiar și atunci când rezultatul poate fi benefic și pentru consumator.
[86] Imposibilitatea reproducerii aceleiași rețele de contacte în alt mediu, precum și limitarea portabilității la un alt furnizor de servicii similare determină o diferențiere netă a rețelelor sociale față de servicii, din perspectiva fungibilității.
[87] M. Rhoen, Beyond consent…, cit. supra, p. 1.
[88] M. Macenaite, E. Kosta, Consent for processing children’s personal data in the EU: following in US footsteps?, în Information & Communications Technology Law, vol. 26, nr. 2, 2017, pp. 146-197.
[89] E. Kosta, Consent in European Data Protection Law, Brill / Martinus Nijhoff Publishers, 2013, pp. 395–396.
[90] M. Macenaite, E. Kosta, op.cit., pp. 146-197.
[91] J. Savirimuthu, Networked Children, Commercial Profiling and the EU Data Protection Reform Agenda: In the Child’s Best Interests?, în I. Iusmen, H. Stalford H (ed.), The EU as a Children’s Rights Actor: Law, Policy and Structural Dimensions, Columbia University Press, 2016, p. 234.

Prof. univ. dr. Lucian Bercea
Facultatea de Drept, Centrul pentru Dreptul Afacerilor Timișoara
Universitatea de Vest din Timișoara

 ** Studiul a apărut în numărul 1/2018 al Revistei Române de Drept Privat.