Ghidul provizoriu publicat de Comitetul European pentru Protecția Datelor (EDPB) la 12 septembrie 2025 (cunoscut sub numele de „Draft Guidelines on the interplay between the DSA and the GDPR”) urmărește să clarifice modul în care furnizorii de servicii intermediare (ISP) ar trebui să interpreteze și să aplice GDPR atunci când prelucrează date cu caracter personal în contextul cerințelor Regulamentului privind serviciile digitale (DSA)
În ceea ce privește aplicarea Articolului 26 din DSA (Publicitatea pe platformele online) în contextul GDPR, EDPB a emis următoarele recomandări și clarificări:
1. Transparența Generală a Publicității (Art. 26(1) DSA)
• Dezvăluirea informațiilor în timp real și direct din reclamă: Furnizorii de platforme online trebuie să dezvăluie când o informație de pe platforma lor este o reclamă și dacă a fost utilizată profilarea pentru a prezenta reclama respectivă utilizatorilor.
• Această informație trebuie livrată utilizatorilor în timp real.
• Informațiile trebuie să fie furnizate direct din reclama însăși, mai degrabă decât printr-o politică de confidențialitate aflată "la un click distanță" (via a “one click away” privacy policy).
• Informațiile specifice cerute de Articolul 26 din DSA (precum parametrii principali folosiți pentru determinarea destinatarului și modalitățile de schimbare a acestor parametri) ar fi furnizate după ce ar fi putut avea loc o prelucrare a datelor cu caracter personal. Aceasta diferă de cerințele de transparență ale GDPR (Art. 13 și 14), care impun ca informațiile să fie furnizate în momentul obținerii datelor cu caracter personal, adică înainte ca prelucrarea să aibă loc.
• Măsuri de protecție: Furnizorii de platforme online ar trebui să se asigure că prezentarea informațiilor către utilizatori și capacitatea acestora de a schimba parametrii nu permit serviciilor intermediare care conectează editorii de reclame cu agenții de publicitate să acceseze sau să colecteze informații suplimentare despre destinatarul serviciului.
2. Interzicerea Utilizării Categoriilor Speciale de Date pentru Profilare (Art. 26(3) DSA)
Articolul 26 alineatul (3) din DSA stabilește o interdicție specifică:
• Interdicție absolută: Furnizorii de platforme online nu trebuie să prezinte comunicări cu caracter publicitar destinatarilor serviciului pe baza creării de profiluri (astfel cum sunt definite la Articolul 4 punctul 4 din Regulamentul (UE) 2016/679) care utilizează categorii speciale de date cu caracter personal menționate la Articolul 9 alineatul (1) din GDPR.
• Complimentaritate cu GDPR: Această interdicție se aplică chiar și în situațiile în care furnizorul de platforme online ar avea un temei legal adecvat în temeiul Articolului 6 alineatul (1) din GDPR și o derogare corespunzătoare în temeiul Articolului 9 alineatul (2) din GDPR pentru o astfel de prelucrare. Astfel, regulile speciale prevăzute de DSA completează interdicțiile stabilite la Articolele 9(2) și 22(4) din GDPR.
3. Deciziile Individuale Automatizate (Art. 22 GDPR)
• Evaluarea Impactului: Dispozițiile Articolului 26 alineatul (1) din DSA se pot referi la practici de prelucrare a datelor care intră sub incidența procesului decizional individual automatizat și a profilării care îndeplinesc criteriile Articolului 22 alineatul (1) din GDPR, în cazul în care profilarea duce la o decizie care produce efecte juridice sau afectează în mod similar semnificativ persoana vizată.
• Obligații de transparență suplimentare: În conformitate cu GDPR (Art. 13(2)(f) sau 14(2)(g)), operatorii trebuie să informeze persoanele vizate cu privire la existența unui proces decizional automatizat, inclusiv profilarea, logica implicată, precum și semnificația și consecințele preconizate ale unei astfel de prelucrări. Recitalul 60 din GDPR prevede că persoana vizată ar trebui să fie informată cu privire la existența profilării și la consecințele acesteia, chiar dacă profilarea nu intră sub incidența Articolului 22 din GDPR.
Photo by Smartupworld Affordable Website Management on Unsplash
Comentarii