În data de 4 mai 2020, Comitetul European pentru Protecția Datelor („EDPB”) a adoptat „Orientările 05/2020 cu privire la consimțământ în temeiul Regulamentului 2016/679 (versiunea 1.1)” („Orientările 05/2020”), prin care actualizează opiniile emise anterior pe aceeași temă de către Grupul de Lucru „Articolul 29” („GL Art. 29”).
Intenția EDPB este ca noul document de referință pentru temeiul legal al consimțământului să îl înlocuiască pe cel precedent, fără a afecta însă alte orientări punctuale pe tema consimțământului prezente în documentele GL Art. 29.
Deși conținutul orientărilor anterioare rămâne în mare parte identic (cu modificări formale, cum ar fi cele legate de înlocuirea GL Art. 29), EDPB a folosit această ocazie pentru a aduce o serie de noi clarificări legate de interpretarea prevederilor aplicabile consimțământului pentru prelucrarea datelor cu caracter personal conform GDPR.
Noutățile aduse de EDPB se referă la următoarele două tematici principale:
(a) Condiționarea accesului la conținutul unui website de acceptarea plasării cookies
Utilizarea de „cookie walls”, ca mecanism pentru a stimula consimțământul utilizatorilor a fost intens dezbătută. Principalele contraargumente au fost legate de caracterul inechitabil al alegerii prezentate utilizatorilor, lipsa de control asupra informației sau lipsa unei alegeri reale (mai ales în situații de monopol asupra unui anumit tip de informație, care ajunge să fie inaccesibilă).
EDPB a tranșat problema valabilității consimțământului influențat prin „cookie walls”, plasând acest mecanism în lista exemplelor de încălcare a caracterului liber al consimțământului pentru prelucrarea datelor cu caracter personal.
(b) Deducerea consimțământului din diferite acțiuni ale utilizatorilor pe un website (scroll/swipe)
O altă practică des întâlnită este informarea utilizatorilor care accesează un website despre faptul că o acțiune a lor de tipul scroll sau swipe va fi asimilată acordului pentru plasarea de cookies sau tehnologii similare. În acest caz, nu sunt întrunite condițiile de valabilitate a consimțământului referitoare la claritate, la lipsa de echivoc a acțiunii și la lipsa de ambiguitate. În al doilea rând, mecanismul va face practic dificilă respectarea art. 7(3) din GDPR, care stabilește dreptul de retragere a consimțământului și creează o simetrie cu simplitatea modalității de transmitere a acordului pentru prelucrarea datelor personale.
Aceste noutăți sunt discutate pe larg în articolul GDPR: Noi orientări privind valabilitatea consimțământului în cazul „cookie walls” și al acțiunilor swipe/scroll în cadrul unui website, scris de către Dana Ududec, partener PrivacyON și publicat în numărul 2/2020 al Revistei Române de Drept al Afacerilor.