GDPR: Nu ar trebui condiționat accesul la un produs sau serviciu de consimțământul la prelucrarea unor date personale

A trecut deja suficient timp de la intrarea în vigoare a GDPR ca să putem spune cine a înțeles că una dintre condițiile consimțământului la prelucrarea datelor este să fie dat în mod liber și cine nu a înțeles asta sau a trecut peste.

Printre cei din urmă se numără și cei care ne-au cerut consimțământul pentru anumite date și în lipsa căruia au refuzat să ne lase să accesăm un serviciu sau să cumpărăm un produs.

"Atunci când se evaluează dacă consimțământul este dat în mod liber, se ține seama cât mai mult de faptul că, printre altele, executarea unui contract, inclusiv prestarea unui serviciu, este condiționată sau nu de consimțământul cu privire la prelucrarea datelor cu caracter personal care nu este necesară pentru executarea acestui contract", scrie în GDPR la condițiile privind consimțământul.

De executarea unui contract ori de furnizarea unui serviciu se atașează o cerere pentru consimțământ cu privire la datele X, Y, Z. Fără a le furniza pe toate, la pachet, nu putem avea acces la un produs ori serviciu, ne arată formularul de consimțământ. Sau pierdem accesul la produsul ori serviciul respectiv, după caz.

"Constrângerea de a accepta utilizarea datelor cu caracter personal în plus față de ceea ce este strict necesar limitează alegerile persoanei vizate și împiedică manifestarea liberă a consimțământului. Dat fiind că legislația privind protecția datelor urmărește protecția drepturilor fundamentale, controlul persoanei fizice asupra datelor sale cu caracter personal este esențial și există o prezumție puternică potrivit căreia consimțământul pentru prelucrarea datelor cu caracter personal care nu sunt necesare nu poate fi considerat o contraprestație obligatorie în schimbul executării unui contract sau furnizării unui serviciu", se prevede într-un ghid privind consimțământul ca temei de prelucrare a datelor, întocmit de Grupul de lucru articolul 29.

În accepțiunea GDPR, situația de mai sus nu este dezirabilă. Consimțământul nu este liber exprimat. Operatorul specifică faptul că acele categorii de date (sau unele dintre ele) sunt necesare pentru executarea contractului. Sau, pur și simplu, refuză accesul la un produs ori serviciu celui care nu le furnizează voit, fără explicații.

Dar, atrage atenția grupul de lucru, dacă operatorul de date vrea să prelucreze date cu caracter personal care sunt efectiv necesare pentru executarea unui contract, atunci consimțământul nu este temeiul legal adecvat. Executarea contractului este temeiul. Și nici măcar nu ne uităm la prevederea din GDPR citată mai sus.

Exemple de condiționare a consimțământului

În ghidul privind consimțământul avem și un exemplu de situație unde avem o atare condiționare a consimțământului:

"O bancă solicită consimțământul clienților pentru a permite terților să utilizeze detaliile de plată ale clienților în scopuri de marketing direct. Această activitate de prelucrare nu este necesară pentru executarea contractului încheiat cu clientul și pentru furnizarea de servicii bancare obișnuite. În cazul în care refuzul clientului de a consimți la acest scop de prelucrare ar conduce la blocarea serviciilor bancare, la închiderea contului bancar sau, după caz, la o majorare a taxelor, consimțământul nu poate fi exprimat în mod liber".

Ca un exemplu personal, am întâlnit un site de cumpărături online unde, fără a furniza contul personal de Facebook, mi-a fost refuzat cu totul accesul la site -- nu achiziția, ci posibilitatea însăși de a naviga pe respectivul site (un domeniu din România, firește).

Tranzacția era cât se poate de clară: fără contul de Facebook nu poți intra pe site să faci cumpărături, chestiune care era pusă oricum, din start, sub semnul întrebării, întrucât simpla accesare a unui site de cumpărături nu ne face decât potențiali cumpărători și nicidecum clienți siguri. Ca în exemplul de mai sus, scopul firmei din spatele acelui site era marketingul.

Posibilitatea de a alege între două chestiuni echivalente

"Operatorul ar putea susține că organizația sa oferă persoanelor vizate o alegere reală în sensul că aceștia ar putea alege între, pe de o parte, un serviciu care include consimțământul pentru utilizarea datelor cu caracter personal în scopuri suplimentare și, pe de altă parte, un serviciu echivalent oferit de același operator care nu implică consimțământul pentru utilizarea datelor în scopuri suplimentare. Atât timp cât există posibilitatea executării contractului sau a furnizării serviciului contractat de către operatorul respectiv fără acordarea consimțământului pentru utilizarea datelor diferite sau suplimentare în cauză, aceasta înseamnă că nu mai există un serviciu condiționat. Cu toate acestea, ambele servicii trebuie să fie într-adevăr echivalente", scrie în ghidul grupului de lucru.

Mai clar, nu ar trebui să existe diferențe între ce primește cel care își dă consimțământul pentru acele date suplimentare și ce primește cel care nu o face. Dacă, din contră, există diferențe, atunci consimțământul este condiționat.

În fine, o discuție deschisă și de actualitate rămâne cea privind situațiile în care acordarea consimțământului pentru prelucrarea datelor e răsplătită cu ceva: bonusuri, puncte de fidelitate, reduceri și orice alte feluri de bonificații. În ce măsură mai este valabil acel consimțământ care a fost bonificat? Pentru că este evident că bonificațiile au fost acordate tocmai pentru a îndupleca oamenii să-și acorde consimțământul.