Programele controlate de Facebook, în masură să prelucreze date personale ale utilizatorilor, au intrat în atenţia UE, de ceva vreme. De data aceasta, o instanţă germană a oprit cursul unui dosar pentru a cere Curţii de Justiţie a UE lămuriri de aplicare a reglementărilor comunitare.
Cererea de decizie preliminară priveşte interpretarea articolului 2 litera (d), a articolului 4 alineatul (1), a articolului 17 alineatul (2), precum şi a articolului 28 alineatele (3) şi (6) din Directiva nr. 46/1995 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date.
Această cerere a fost formulată în cadrul unui litigiu între Wirtschaftsakademie Schleswig Holstein GmbH, o societate de drept privat specializată în domeniul educaţiei (denumită în continuare „Wirtschaftsakademie”) şi Unabhängiges Landeszentrum für Datenschutz Schleswig Holstein, autoritatea regională de protecţie a datelor din Schleswig Holstein (denumită în continuare „ULD”), cu privire la legalitatea unei somaţii emise de aceasta din urmă împotriva Wirtschaftsakademie, prin care i-a solicitat să dezactiveze o „pagină pentru fani” (Fanpage) găzduită de site-ul Facebook Ireland Ltd.
Somaţia este motivată de pretinsă încălcare a dispoziţiilor dreptului german care transpun Directiva 46/1995, în special că urmare a faptului că vizitatorii unei pagini pentru fani nu sunt avertizaţi cu privire la faptul că datele lor cu caracter personal fac obiectul unei colectări pe reţeaua socială Facebook (denumită în continuare „Facebook”) cu ajutorul unor cookie-uri care sunt depuse pe hard-diskuri, această colectare fiind efectuată pentru a întocmi statistici cu privire la utilizatori destinate administratorului acestei pagini şi pentru a permite difuzarea pe Facebook a unor reclame cu ţintă.
Contextul prezentei cauze este reprezentat de fenomenul de „webtracking”, care constă în observarea şi analizarea comportamentelor utilizatorilor de internet în scopuri comerciale şi de marketing. Acest webtracking permite în special identificarea centrelor de interese ale utilizatorilor de internet pe baza observării comportamentelor lor de navigaţie. Se vorbeşte astfel despre webtracking comportamental. Acesta din urmă se efectuează în general cu ajutorul utilizării de cookie-uri.
Aceste cookie-uri sunt fişiere-martori care sunt înregistrate pe calculatorul utilizatorului de internet de îndată ce consultă o pagină de internet.
Webtracking ul este utilizat în special în scopul optimizării şi configurării într un mod mai eficient a unei pagini de internet. El permite totodată operatorilor de publicitate să se adreseze în mod ţintit diferitor segmente ale publicului.
Colectarea şi exploatarea datelor cu caracter personal în vederea întocmirii statisticilor cu privire la utilizatori şi a difuzării de reclame ţintite trebuie să îndeplinească anumite condiţii pentru a fi conforme cu normele de protecţie a datelor cu caracter personal rezultate din Directiva 95/46. În special, aceste prelucrări nu pot fi efectuate fără o informare şi un acord prealabil al persoanelor în cauza.
Problema cu privire la identificarea operatorului devine deosebit de dificilă într-o situaţie în care un operator economic decide nu să instaleze pe pagina să de internet instrumentele necesare pentru întocmirea statisticilor cu privire la utilizatori şi difuzarea reclamelor ţintite, ci să utilizeze o reţea socială precum Facebook prin deschiderea unei pagini pentru fani în scopul beneficierii de instrumente similare.
Problemele cu privire la determinarea dreptului naţional aplicabil şi a autorităţii competenţe să îşi exercite competenţele de intervenţie devin în egală măsură complexe atunci când prelucrarea datelor cu caracter personal în discuţie implică intervenţia mai multor entităţi situate atât în afară Uniunii Europene, cât şi în cadrul acesteia.
La momentul la care autorităţile de supraveghere din mai multe state membre au decis, în aceste ultime luni, să aplice amenzi Facebook pentru încălcarea normelor cu privire la protecţia datelor utilizatorilor săi, cauza aflată în curs de examinare va permite Curţii să precizeze întinderea competenţelor de intervenţie de care dispune o autoritate de supraveghere precum ULD în privinţa unei prelucrări a datelor cu caracter personal care implică participarea mai multor actori.
Chestiuni care au au avut nevoie de clarificări
În cauza de faţă, Bundesverwaltungsgericht (Curtea Administrativă Federală) a hotărât să suspende judecarea cauzei şi să adreseze Curţii următoarele întrebări preliminare:
„1) Articolul 2 litera (d) din Directiva 95/46 trebuie interpretat în sensul că reglementează în mod definitiv şi exhaustiv răspunderea pentru încălcările normelor în materie de protecţie a datelor sau în sensul că, în cadrul unor raporturi etapizate cu furnizorii de informaţii, «măsurile adecvate» vizate la articolul 24 din [această directivă] şi «competenţele efective de intervenţie» vizate la articolul 28 alineatul (3) a doua liniuţă din [aceasta] permit că, în cadrul selecţiei unui operator a ofertei sale de informaţii, să răspundă şi o autoritate care nu este responsabilă de prelucrarea datelor în sensul articolului 2 litera (d) din [directiva menţionată]?
2) Din obligaţia care incumbă statelor membre potrivit articolului 17 alineatul (2) din Directiva 95/46, mai precis de a prevedea că operatorul, dacă prelucrarea este efectuată pe seama sa, «să aleagă o persoană care să prezinte suficiente garanţii referitoare la măsurile de securitate tehnică şi de organizare privind prelucrarea care urmează să fie efectuată», rezultă per a contrario că în alte condiţii de utilizare, în care prelucrarea datelor nu este efectuată pe seama operatorului în sensul articolului 2 litera (e) din [această directivă], nu există obligaţia unei alegeri atente, iar o asemenea obligaţie nu poate fi întemeiată nici pe dreptul naţional?
3) În temeiul articolului 4 şi al articolului 28 alineatul (6) din Directiva 95/46, în situaţiile în care o societate-mamă stabilită în afară Uniunii Europene are filiale cu personalitate juridică proprie în mai multe state membre (societăţi-fiică), autoritatea de supraveghere dintr-un stat membru (în speţă Germania) este competentă să exercite competenţele care i-au fost transferate împotriva unei filiale stabilite pe teritoriul acestui stat membru, atunci când această filială răspunde numai de promovarea şi de vânzarea de spaţii publicitare şi de alte măsuri de marketing adresate locuitorilor acestui stat membru, iar în conformitate cu repartizarea îndatoririlor în cadrul grupului, de colectarea şi prelucrarea datelor cu caracter personal pe întregul teritoriu al Uniunii Europene şi astfel inclusiv în acest stat membru (în speţă, Germania) răspunde exclusiv filiala autonomă (societatea-fiica) din alt stat membru (în speţă, Irlanda), atunci când decizia efectivă privind prelucrarea datelor este adoptată în fapt de societatea-mamă?
4) Articolul 4 alineatul (1) şi articolul 28 alineatul (3) din Directiva 95/46 trebuie interpretate în sensul că, în cazurile în care operatorul deţine o filială pe teritoriul unui stat membru (Irlanda) şi o altă filiala cu personalitate juridică proprie pe teritoriul altui stat membru (Germania), iar aceasta din urmă răspunde printre altele de vânzarea de spaţiu de publicitate, activitatea să fiind orientată către locuitorii acestui stat, autoritatea de supraveghere competentă din acest alt stat membru (Germania) poate lua măsuri şi adopta decizii privind punerea în aplicare a normelor de protecţie a datelor şi împotriva filialei (din Germania) care, potrivit repartizării îndatoririlor şi responsabilităţilor în cadrul grupului, nu răspunde de prelucrarea datelor sau numai autoritatea de supraveghere din statul membru pe teritoriul căruia este stabilită filiala care răspunde de acest domeniu în cadrul grupului (Irlanda) poate lua asemenea măsuri şi adopta asemenea decizii?
5) Articolul 4 alineatul (1) litera (a) şi articolul 28 alineatele (3) şi (6) din Directiva 95/46 trebuie interpretate în sensul că, în cazurile în care autoritatea de supraveghere dintr un stat membru (în speţă, Germania) se îndreaptă împotriva unei persoane sau a unui organism care îşi exercită activitatea pe teritoriul sau în temeiul articolului 28 alineatul (3) din [această directivă], din cauza lipsei de atenţie la alegerea unui terţ implicat în procesul de prelucrare a datelor (în speţă, Facebook), pentru motivul că acest terţ a încălcat normele de protecţie a datelor, autoritatea de supraveghere care ia această măsură (în speţă, Germania) este obligată să respecte aprecierea referitoare la legislaţia privind protecţia datelor efectuată de autoritatea de supraveghere din celălalt stat membru în care se află sediul filialei terţului operator (în speţă, Irlanda), în sensul că, în cadrul aprecierii sale juridice, nu poate derogă de la aprecierea acestei autorităţi sau autoritatea de supraveghere implicată (Germania) poate verifică în mod independent legalitatea prelucrării datelor de către un terţ stabilit în alt stat membru (Irlanda), ca un aspect cu titlu preliminar?
6) În ipoteza în care autoritatea de supraveghere interesată (în speţă, Germania) [ar putea] efectua o verificare independentă: articolul 28 alineatul (6) a doua teză din Directiva 95/46 trebuie interpretat în sensul că această autoritate de supraveghere poate exercita competenţele efective de intervenţie conferite în conformitate cu articolul 28 alineatul (3) din [această directivă] împotriva unei persoane sau a unui organism de pe teritoriul sau în temeiul răspunderii lor pentru încălcarea normelor de protecţie a datelor săvârşită de terţul stabilit pe teritoriul altui stat membru numai atunci când a solicitat anterior autorităţii de supraveghere din celălalt stat membru (în speţă, Irlanda) să îşi exercite competenţele?”
Propuneri de soluţii
Avocatul General al CJUE propune Curţii să răspundă la întrebările preliminare adresate de Curtea Administrativă Federală, Germania după cum urmează:
„1) Articolul 2 litera (d) din Directiva 95/46/CE a Parlamentului European şi a Consiliului din 24 octombrie 1995 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date, astfel cum a fost modificată prin Regulamentul (CE) nr. 1882/2003, trebuie interpretat în sensul că constituie un operator, în sensul acestei dispoziţii, administratorul unei pagini pentru fani de pe o reţea socială precum Facebook în ceea ce priveşte etapa prelucrării datelor cu caracter personal care constă în colectarea prin intermediul acestei reţele sociale a datelor referitoare la persoanele care consultă această pagină în vederea întocmirii de statistici cu privire la utilizatori referitoare la pagina amintită.
2) Articolul 4 alineatul (1) litera (a) din Directiva 95/46 trebuie interpretat în sensul că o prelucrare a datelor cu caracter personal precum cea în discuţie în litigiul principal este efectuată în cadrul activităţilor unui sediu al operatorului pe teritoriul unui stat membru, în sensul acestei dispoziţii, în cazul în care o întreprindere care exploatează o reţea socială înfiinţează în acest stat membru o filială destinată promovării şi vânzării spaţiului publicitar propuse de această întreprindere, a cărei activitate este orientată către locuitorii acelui stat membru.
3) Într-o situaţie precum cea în discuţie în litigiul principal, în care dreptul intern aplicabil prelucrării datelor cu caracter personal în cauza este dreptul statului membru din care provine o autoritate de supraveghere, articolul 28 alineatele (1), (3) şi (6) din Directiva 95/46 trebuie interpretat în sensul că această autoritate de supraveghere poate exercită în integralitate competenţele efective de intervenţie care i-au fost conferite conform articolului 28 alineatul (3) din această directivă împotriva operatorului, inclusiv atunci când acest operator este stabilit în alt stat membru sau chiar într-un stat terţ.
4) Articolul 28 alineatele (1), (3) şi (6) din Directiva 95/46 trebuie interpretat în sensul că, în circumstanţe precum cele în discuţie în litigiul principal, autoritatea de supraveghere care provine din statul membru în care se află sediul operatorului poate să îşi exercite competenţele de intervenţie împotriva acestui operator în mod independent şi fără a fi obligată să solicite în prealabil autorităţii de supraveghere din statul membru în care se află operatorul respectiv să îşi exercite competenţele.”
Ai nevoie de Directiva nr. 46/1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date? Îl poți obține în varianta actualizată, în format PDF sau MOBI de AICI!
