STUDII

Publicitatea personalizată și selectarea temeiurilor legale pentru prelucrarea datelor personale de către platformele digitale

Juanita GOICOVICI^*

Rezumat. Studiul abordează problematica identificării unor temeiuri legale pentru procesarea datelor personale ale utilizatorilor de către platformele care dețin o poziție dominantă pe piața de servicii specifice, reflectată în decizia CJUE din 4 iulie 2023, în cauza C‑252/21, Meta Platforms Inc. Decizia CJUE va avea reverberații masive asupra manierei în care instanțele naționale și autoritățile de supraveghere cu atribuții în materia controlului prelucrării datelo r personale vor aplica prevederile art. 9 alin. 1 RGPD, pentru tehnologiile cookies care selectează date de navigare pe site-urile partenerilor comerciali ai unei platforme digitale supradimensionate și care implică stocarea unor „categorii speciale de date cu caracter personal”, a căror procesare este în principiu interzisă. Pe cel de-al doilea palier, decizia CJUE marchează imposibilitatea, pentru platformele digitale, de a selecta temeiuri legale precum executarea contractului ori interesul legitim al operatorului de date, atunci când colectează datele personale și, îndeosebi, datele comportamentale ale utilizatorilor, în contexte care sunt ireconciliabile cu necesitatea efectivă a executării unor obligații contractuale.

Cuvinte-cheie: publicitate personalizată, date personale, date comportamentale, IA predictivă, RGPD, platforme digitale supradimensionate.

Personalized advertising and selection of legal grounds for the processing of personal data by digital platforms

Abstract. The study addresses the problematics of identifying pertinent legal justifications for the processing of users’ personal data by very large digital platforms, as these issues were reflected in the CJEU decision of July 4, 2023, in case C‑252/21, Meta Platforms Inc. The decision of the CJEU will have massive reverberations on the manner under which national courts and supervisory authorities with competencies in the matter of controlling the processing of personal information will apply the provisions of art. 9, 1st para. GDPR, for cookie technologies that select browsing data on the websites of commercial partners of an oversized digital platform and that involve the storage of ‘special categories of personal data,’ prohibiting the processing operations which concern these categories. On the second level, the CJEU decision marks the impossibility, for digital platforms, of selecting legal grounds such as the performance of the contract or the legitimate interest of the data operator, when collecting personal data and, especially, behavioral data of users, in contexts that are irreconcilable with the genuine necessity of performing contractual obligations.

Keywords: personalized advertising, personal data, behavioral data, predictive AI, GDPR, very large digital platforms.

 

Cuprins

Cuprins 108

Introducere 109

I.          Fațete ale colectării consimțământului consumatorilor în scopul profilării comerciale 112

A.    Clarificarea scopurilor prelucrării datelor și a corelațiilor cu principiul „limitării scopurilor prelucrării” 112

B.    Selectarea temeiului legal pentru crearea de profiluri comerciale și publicitatea direcționată 118

II.         Reverberații în materia exercitării dreptului consumatorilor de retragere a acordului asupra procesării datelor 128

III.       Personalizarea mesajelor publicitare pe baza datelor deduse din profilarea consumatorilor 130

A.    Datele colectate de la consumator de către furnizorii de servicii digitale sau de conținut digital 130

B.    Subtipuri de practici de profilare și publicitate „contextuală” 134

IV.        Publicitatea comportamentală în contractele mediate digital 135

A.    Direcționarea segmentată a publicității personalizate în funcție de comportamentul online al consumatorului 135

B.    Practici de retargeting publicitar bazate pe istoricul navigării 137

C.    Clasamentul personalizat al clientelei și personalizarea prețurilor 140

Concluzii 142

Bibliografie. 145

 

Introducere

Abordarea legitimității utilizării datelor personale pentru generarea de profiluri comerciale, ca premise pentru calibrarea publicității personalizate rămâne un subiect controversat, care captează atenția practicienilor. Întrucât selectarea temeiului legal pentru prelucrarea informațiilor personale care are ca rezultat crearea de profiluri comerciale și publicitatea direcționată nu este o sarcină ușoară, platformelor digitale[1] le incumbă, în principiu, obligația să acorde o atenție deosebită respectării cerințelor granulare pentru colectarea opțiunilor consumatorilor[2], îndeosebi când consimțământul pentru stocarea datelor s-ar putea întrepătrunde cu consimțământul pentru executarea contractului privind furnizarea de servicii digitale sau de conținut digital[3] (i), sau atunci când platformele au ratat ocazia de a clarifica consumatorilor destinația datelor cu caracter personal „brute”, și anume scopurile generării de date care sunt utilizate în activități comerciale de profilare (ii). Clasamentul personalizat și generarea ofertelor personalizate sunt, de asemenea, problematice, îndeosebi practicile discriminatorii bazate pe comportamentul online al consumatorilor și operațiunile de retargeting sau stabilirea condițiilor contractuale personalizate pentru produse și servicii pentru care consumatorii și-au manifestat interesul în funcție de istoricul lor de navigare online[4]. Lucrarea explorează coordonatele care pot fi considerate tipice pentru conceptul de publicitate „comportamentală”, subliniind importanța regulilor de protecție a datelor personale atunci când se utilizează diferite subtipuri de practici de profilare și publicitate „contextuală”. Pornind de la cerințele principiului „limitării scopului”[5], ilustrat la art. 5, alin. (1), lit. (b) din Regulamentul (UE) 2016/679 privind protecția datelor (în continuare RGPD), se așteaptă ca platformele să respecte componentele unor scopuri determinate sau explicite atunci când intenționează să genereze date deduse și profiluri comerciale bazate pe date comportamentale „brute” colectate de la consumatori[6].

Calibrarea colectării consimțământului consumatorilor pentru urmărirea datelor comportamentale a fost întotdeauna o sarcină delicată, în contexte în care platformele folosesc date deduse pentru generarea de profiluri comerciale ca premise pentru angajarea în campanii de publicitate personalizată; pe de o parte, informațiile personale care au fost recrutate pentru anumite scopuri explicite, cum ar fi realizarea de statistici sau auditarea performanței contractuale, nu ar putea fi supuse procesării pe baza extinderii scopurilor de colectare selectate anterior. Astfel, generarea profilării comerciale, atunci când se bazează pe consimțământul consumatorilor, trebuie adusă în mod explicit în atenția consumatorilor vizați, într-o manieră aparentă, permițându-le consumatorilor să respingă utilizarea datelor lor ca temei pentru profilarea comportamentală[7]. Vom insista asupra ideii că, atunci când folosesc date deduse pentru crearea de profiluri comerciale, platformele trebuie să clarifice utilizarea datelor cu caracter personal în tehnicile de publicitate personalizată, păstrând premise autentice pentru respectarea vieții private și recunoașterea importanței acesteia atunci când se utilizează publicitatea comportamentală în contractele mediate digital[8]. Direcționarea segmentată în funcție de afinitatea sau trăsăturile comportamentale ale consumatorilor poate fi văzută ca intruzivă, dacă nu este însoțită de măsuri adecvate care să asigure accesul consumatorilor la datele lor personale și dreptul de a formula o opoziție față de continuarea prelucrării datelor. În mod evident, atunci când se selectează temeiurile legale pentru procesarea informațiilor personale care are ca rezultat crearea de profiluri comerciale și publicitatea direcționată, respectarea consimțământului granular și asigurarea premiselor pentru consimțământul nealterat devin cruciale, mai ales în intersecția cu dreptul de retragere al consumatorilor[9] (dreptul persoanei vizate, de a revoca ad nutum consimțământul privind procedarea datelor personale).

I.              Fațete ale colectării consimțământului consumatorilor în scopul profilării comerciale

A.             Clarificarea scopurilor prelucrării datelor și a corelațiilor cu principiul „limitării scopurilor prelucrării”

Parcimonia care înconjoară, în textul GDPR, selectarea temeiurilor legale pertinente în scopuri de marketing personalizat este un locus communis, frecvent revizuit de practicienii în dreptul protecției datelor personale. Adecvarea selectării scopurilor de colectare[10] și prelucrare rămâne un subiect delicat, deși nu este ignorat în totalitate în textul GDPR. Publicitatea comportamentală, privită prin prisma obligațiilor operatorilor de date, este abordată în primul rând în considerentul 38 din GDPR, atunci când postulează necesitatea implementării unor măsuri de protecție specifice[11] în perimetrul colectării și prelucrării informațiilor personale ale utilizatorilor minori[12] in ideea de a genera profiluri comerciale pe baza cărora ar fi promovate „servicii oferite direct unui minor”[13]. În al doilea rând, tezele finale ale considerentului 47 din GDPR reiterează în mod expres că „scopurile de marketing direct” pot fi selectate de colectorii de date pe motiv de „interes legitim”, în ciuda potențialei lipse a consimțământului specific al persoanelor vizate pentru profilarea comportamentală, atât timp cât întrucât „interesele sau drepturile și libertățile fundamentale ale persoanei vizate nu prevalează” asupra intereselor legitime ale colectorilor de date de a genera profiluri comerciale[14], exploatate în continuare în strategiile de marketing personalizate. Rațiunea finală a selectării temeiurilor legale menționate este de a ghida operatorii de date în respectarea „așteptărilor rezonabile” ale persoanelor vizate[15], reprezentate ca potențiali consumatori[16] (eșantionul-țintă).

În al treilea rând, după cum este postulat în considerentul 70 din RGPD, dreptul persoanei vizate de a se opune publicității personalizate sau marketing-ului direct exploatând datele comportamentale rămâne de o importanță crucială, stimulând și mai mult obligația operatorilor de date de a evidenția utilizatorilor existența dreptului de opoziție în etapa precontractuală (atunci când este cazul) sau la acceptarea/respingerea condițiilor generale de utilizare și la a recurge la separarea informațiilor[17] privind dreptul de opoziție prin raportare la orice alte informații oferite utilizatorului[18]. În special, ar fi necesară o atenție deosebită atunci când se selectează limbajul clar și transparent care descrie persoanei vizate[19] existența dreptului de a se opune publicității personalizate și a refuza utilizarea tehnologiilor de profilare cu privire la scopurile de marketing direct invocate de operatorul de date[20]. Mai degrabă „insulare”, referirile la „scopurile de marketing direct” din considerentele 47 și 70 ale RGPD nu sunt însoțite de dispoziții de reglementare distincte privind profilarea comercială, reglementarea rămânând lacunară în acest sens. Cu toate acestea, afirmațiile semi-permisive cuprinse în considerentul 38 din RGPD cu privire la recurgerea operatorilor de date la „interesele legitime” ca temei de legitimare a prelucrărilor de date orientate spre publicitate personalizată trebuie interpretate în mod precaut și parcimonios, întrucât „interesele legitime” ale operatorului sunt menționate doar ca excepțional admisibile, pentru justificarea operațiunilor comerciale de profilare[21].

Operatorilor de date le revine, prin urmare, misiunea să acorde o atenție deosebită selectării scopurilor de prelucrare enumerate la art. 6, alin. (1) din RGPD, întrucât pe baza orientărilor stabilite în considerentul 47 din RGPD, operatorii de date nu sunt scutiți de identificarea unor motive de legitimare adecvate[22], mai ales atunci când consimțământul persoanei vizate ar reprezenta o sursă mai potrivită de legitimare pentru utilizarea tehnicilor comerciale de profilare[23]. În materia exercitării dreptului de a se opune exploatării prin „marketing direct” a datelor sale, perspective semnificative pot fi conturate prin respectarea prevederilor art. 21, alin. (2) din RGPD, care par să accentueze recurgerea atemporală la dreptul de a obiecta la profilarea comercială, exercitabil „oricând” posterior colectării, inclusiv pentru date a căror utilizare se referă la implementarea tehnicilor de „marketing direct”[24].

Aceste afirmații reflectă pertinența unei conexiuni distincte între colectarea datelor și explorarea profilării comerciale, oferind persoanelor vizate posibilitatea de a exercita controlul asupra utilizării termenilor de profilare[25]. În eventualitatea respingerii opțiunilor de prelucrare[26] orientate către publicitate personalizată, operatorul de date este obligat să nu penalizeze alegerea persoanei vizate în nicio manieră oneroasă sau neoneroasă. De asemenea, platformelor digitale le revine obligația de a permite consumatorilor să solicite portarea datelor personale „brute” colectate[27] (însă nu și portarea datelor derivate, rezultate din procesarea datelor personale primare).

Aparent oximoronică, problema retragerii consimțământului relativ la scopuri de „marketing direct” nu devine sinonimă cu dreptul de a obiecta la perpetuarea profilării comerciale. În aceeași paradigmă, succesiunea retragerii consimțământului poate viza toate operațiunile de prelucrare a datelor la care consumatorul și-a dat inițial consimțământul/pentru care a operat stocarea inițială a consimțământului consumatorului[28]. De exemplu, consumatorul își poate retrage ulterior consimțământul în scopuri de marketing direct, menținând, dacă dorește, consimțământul în scopul realizării unor statistici privind frecvența navigării. De asemenea, în temeiul art. 6, alin. 1, lit. (e) și (f) sau ale art. 6, alin. 4 RGPD, utilizatorii ar putea să se opună profilării comerciale. Operatorului datelor îi incumbă obligația să stopeze prelucrarea, cu excepția cazului în care demonstrează că  se justifică continuarea prelucrării pentru a constata, exercita sau apăra anumite drepturi în instanță. Urmărirea trăsăturilor comportamentale și generarea de profiluri comerciale[29], respectiv utilizarea datelor în scopuri de marketing direct s-ar baza în principal pe consimțământul utilizatorilor[30] pentru tehnici de marketing personalizate[31], adesea invalidate din cauza lipsei de transparență a scopurilor comerciale de profilare sau din cauza creării de efecte dezechilibrate, atunci când generează efecte discriminatorii[32], recurgând la tehnicile descrise ca „modele întunecate”[33] (dark patterns)[34].

B.             Selectarea temeiului legal pentru crearea de profiluri comerciale și publicitatea direcționată

Un perimetru legal aparent „arid” poate deveni semnificativ „luxuriant” datorită reverberațiilor sale practice asupra obligațiilor colectorului de date, atunci când este adusă în discuția obligația platformelor digitale de a informa în mod transparent utilizatorii cu privire la implementarea tehnicilor comerciale de profilare. O îmbinare a mecanismelor protective ar viza atât operațiunile de profilare comercială, cât și publicitatea personalizată, crearea de profiluri pe baza datelor derivate sau deduse. Abordarea duală a colectării consimțământului pentru profilarea comercială și utilizarea algoritmilor de anticipare a preferințelor de selecție a produselor continuă să creeze îngrijorare pentru practicienii din domeniul juridic, referitor la stabilirea standardelor pertinente de conduită loială față de potențialii consumatori.

Colectarea consimțământului granular și, mai precis, a consimțământului secvențial al utilizatorului rămâne o sarcină dificil de realizat, mai ales atunci când intervine problematica identificării temeiurilor legale pertinente, după cum este ilustrat în decizia CJUE din 4 iulie 2023, în cauza C‑252/21[35]. Tendința platformelor[36] de a se baza pe scopuri de „executare contractuală” atunci când colectează și stochează date cu caracter personal destinate a fi utilizate pentru profilarea comercială a fost contestată și, la fel de important, au fost ridicate probleme de legitimitate cu privire la recurgerea la motivele de „interes legitim”.

Principalul palier pe care intervin efectele hotărârii pronunțate de CJUE în cauza C‑252/21 este cel referitor la competența autorităților de supraveghere a practicilor anticoncurențiale dintr-un stat membru, în contextul examinării alegațiilor privitoare la eventualul abuz de poziție dominantă al companiilor comerciale[37], de a constata și de a sancționa practicile comerciale caracterizate prin neconformarea companiilor la exigențele impuse de prevederile RGPD (relative la procesarea inadecvată a datelor personale ale consumatorilor), cu precizarea că aceste atribuții de control nu le suplinesc pe cele ale ANSPDCP și nu se activează decât în măsura în care maniera ilegală a procesării datelor, absența legitimării procesării ori inadecvarea temeiurilor juridice[38] selectate de către operatorul de date personale ar fi contextualizată încât să prezinte relevanță pentru caracterizarea abuzului de poziție dominantă (de pildă, consimțământul consumatorilor la procesarea datelor a fost constrâns prin practici favorizate de dimensiunile platformei digitale, consumatori rămânând fără o alternativă reală de accesare a unor servicii digitale similare, în cazul refuzului de a ceda în contrapartidă datele personale) ori a practicii anticoncurențiale investigate.[39]

Cel de-al doilea palier pe care se desfășoară efectele deciziei CJUE[40] din 4 iulie 2023, în cauza C‑252/21 este, cel mai probabil, considerabil mai „spectaculos” decât primul efect descris, întrucât judecătorii CJUE, reuniți în Marea Cameră, au enumerat în dispozitivul hotărârii fiecare dintre cele 6 temeiuri legale la care o platformă digitală supradimensionată[41] precum Meta Platforms ar putea recurge pentru a legitima procesarea datelor personale (inclusiv a datelor comportamentale) ale utilizatorilor[42], „demontând” fiecare dintre aceste temeiuri pentru argumente enunțate punctual în dispozitivul deciziei Curții. Mai întâi, pornind de la constatarea că tendința platformelor digitale[43], în calitate de operatori și colectori de date personale în cantități enorme[44], ar fi aceea de a glisa dinspre selectarea consimțământului utilizatorilor[45] (ca temei legal problematic al procesării, dată fiind dificultatea de a proba, de către operatorul datelor, caracterul liber, neviciat, granular și secvențial al acordului consumatorului pentru fiecare dintre scopurile procesării) către temeiuri legale aparent mai „accesibile” ori aparent mai facil de invocat, precum colectarea datelor personale în scopul executării obligațiilor contractuale, în scopul executării unor obligații legale, în scopul menținerii intereselor vitale ale persoanei vizate ori „paliativul suprem”, interesul legitim al operatorului și al partenerilor săi comerciali (inclusiv interesul legitim concretizat în derularea campaniilor de marketing personalizat[46]), Curtea demontează fiecare dintre aceste temeiuri, reiterând aprecieri legate de pertinența invocării acestora.

Astfel, pentru eșichierul reprezentat de situațiile în care o platformă digitală ar invoca executare prestațiilor contractuale, sub incidența art. 6, alin. 1, lit. b) RGPD, pentru a fonda procesarea datelor personale ale utilizatorilor, acest temei al prelucrării va fi admisibil strict în cazurile caracterizate prin caracterul indispensabil al operațiunilor de colectare/stocare de date personale pentru acțiuni integrate într-o manieră efectivă în prestația contractuală destinată acelorași utilizatori. În cazul Meta Platforms, admisibilitatea acestui temei legal pare să fie puțin probabilă ori chiar interzisă[47], dat fiind faptul că, pentru serviciile de găzduire de conținut (pentru conturile individuale de utilizatori Facebook/Instagram) cu caracter (predominant) non-oneros, nu există în derulare un contract principal (de furnizare de produse/servicii care să necesite exploatarea datelor de livrare, a datelor de contact, a datelor de geolocalizare etc.). Din teza finală a considerentelor decisive/decizorii ale deciziei CJUE în cauza C‑252/21 enunțate la pct. 4 din dispozitivul hotărârii, rezultă că criteriul care ar ghida instanțele/autoritățile naționale de supraveghere în admiterea/respingerea temeiului legal al executării obligațiilor contractuale, selectat de un operator de date din categoria platformelor digitale, ar fi reprezentat de faptul că absența procesării respectivelor informații personale ar compromite însăși realizarea obiectului principal al contractului; din aceste aserțiuni rezultă că, dimpotrivă, în cazurile în care abandonarea procesării datelor nu ar afecta în manieră substanțială angajarea efectelor principale ale contractului, platforma digitală nu va putea eluda consimțământul utilizatorilor, ca temei legal pertinent al colectării datelor.

Nici intenția unora dintre platformele digitale supradimensionate de a compartimenta conținutul advertorial pentru două categorii de utilizatori, oferind versiunea non-advertorial oneroasă a serviciilor de tip block-add nu rezolvă mulțumitor problema recrutării consimțământului utilizatorilor, dat fiind faptul că, pentru utilizatorii înregistrați care nu optează pentru serviciul oneros de filtrare a mesajelor publicitare, ar urma ca target-area acestora cu mesaje publicitare personalizate să aibă loc în continuare în baza unui consimțământ implicit ori tacit privitor la astfel de practici, în contextul în care persoanele vizate își mențin activ contul de utilizator pentru serviciile (predominat) gratuite oferite de respectiva platformă digitală.

Pe cel de-al treilea palier al discuției, pentru utilizarea tehnologiilor cookies, în dispozitivul deciziei CJUE în cauza C‑252/21, se evidențiază, într-o calificare juridică implicând, cel mai probabil, reverberații masive asupra manierei în care instanțele naționale (și autoritățile de supraveghere cu atribuții în materia controlului prelucrării datelor personale) vor aplica prevederile art. 9 alin. 1 RGPD, că recurgerea la module cookies care selectează date de navigare pe site-urile partenerilor comerciali ai unei platforme digitale supradimensionate implică, în realitate, procesarea de „categorii speciale de date cu caracter personal”, a căror procesare este în principiu interzisă, sub rezerva derogărilor stipulate în art. 9, alin. 2 RGPD. Deducem, din analiza argumentelor Curții, că o astfel de înregimentare (a datelor personale rezultate din istoricul navigării pe site-uri comerciale, colectate într-un anumit interval temporal prin intermediul tehnologiilor cookies) le-ar încadra în categoria „datelor personale sensibile derivate”, adică în categoria datelor cărora le este imprimat statutul de „date speciale” (necesitând o protecție mai accentuată ori, în absența unor garanții suplimentare, restricționarea procesării), întrucât cu ajutorul acestor date colectate secvențial din monitorizarea navigării online a utilizatorului, pot fi accesate (în manieră derivată ori inductivă) date sensibile a căror procesare este principial restricționată/interzisă în textul RGPD pentru protejarea persoanelor fizice vizate.

Într-un al patrulea rând, decizia CJUE în cauza C‑252/21 prezintă relevanță sub aspectul aprecierilor cu privire la relevarea unui consimțământ indirect, tacit ori implicit al utilizatorilor pentru deconspirarea publică a opțiunilor afective și a preferințelor acestora rezultate din activarea pe platformele digitale a unor butoane active din categoria like/dislike sau share și a manierei în care astfel de preferințe ar putea fi în mod legal exploatate în profilarea comercială a utilizatorilor. După cum s-a evidențiat în considerentele reținute de Curte în legătură cu interpretarea prevederilor art. 9, alin. 2, lit. e) RGPD, nu este legitimă procesarea datelor colectate de platforma digitală prin tehnologii cookies monitorizând istoricul de navigare, pentru sesiunile derulate pe site-urile partenerilor săi comerciali, pentru datele recrutate de la utilizator activând butoanele „Îmi place” sau „Distribuie” sau datele de identificare pentru conectarea în contul de utilizator. În aprecierea Curții, s-ar putea considera că există un consimțământ efectiv al utilizatorului cu privire la acțiunea de a face publice în mod manifest aceste date, strict în situațiile în care utilizatorul a optat secvențial, „pe baza unei configurări individuale efectuate în deplină cunoștință de cauză, de a face datele care îl privesc accesibile unui număr nelimitat de persoane” (după cum se precizează în pct. 3, teza finală din dispozitivul hotărârii CJUE în cauza C‑252/21). Vor fi, astfel, valabile doar manifestările exprese de consimțământ, nu și cele tacite, indirecte sau implicite, deduse din gesturile digitale ale consumatorului, pentru colectarea (de către platforma digitală) a opțiunilor și a preferințelor sale comerciale (de exemplu, activarea butonului like pentru un produs pe pagina web a unui comerciant) va fi necesară solicitarea acordului expres al utilizatorului, în absența căruia stocarea acestor date nu va mai fi posibilă prin invocarea interesului legitim (de a derula operațiuni de marketing) al platformei digitale și al partenerilor săi comerciali (precum se întâmpla în practică anterior adoptării deciziei CJUE în cauza C‑252/21).

Pe cel de-al cincilea palier, decizia CJUE în cauza Meta Platforms aduce clarificări în materia invocării interesului legitim de către platformele digitale pentru procesarea datelor personale/comportamentale ale utilizatorilor ori pentru profilarea comercială a utilizatorilor, elucidând limitele între care varianta „de rezervă” a interesului legitim, ca sursă de legitimare a procesării potrivit art. 6, alin. 1, lit. f) RGPD, ar putea funcționa; prin urmare, s-a reținut că recurgerea operatorilor de date la interesul legitim va necesita un „test de relevanță” rezultând „dintr-o evaluare comparativă a intereselor” antagonice implicate (cel privind protejarea vieții private a utilizatorului și, de cealaltă parte, interesele comerciale/de marketing ale platformelor implicate), cu precizarea că se va verifica, totodată, dacă (în această balansare a celor două categorii de interese diametral opuse) libertățile și drepturile fundamentale ale utilizatorilor nu ar trebui să prevaleze (în perimetrul fiecărui caz în parte) asupra interesului legitim de factură comercială al operatorului (platforma digitală pe care se derulează operațiunile de colectare a datelor comportamentale care alimentează profilarea comercială a utilizatorilor) sau interesul legitim unui terț din categoria partenerilor comerciali.

Pe cel de-al șaselea palier, rezultă din dispozitivul deciziei CJUE în cauza C‑252/21 că nici invocarea temeiului legal al procesării datelor descris în art. 6, alin. 1, lit. c) RGPD (prelucrarea de informații personale în care se angajează operatorul în contextul executării de către acesta a unei obligații legale care îi incumbă) nu va putea justifica, pentru platformele digitale supradimensionate, colectarea de date comportamentale. De altfel, este ostensibilă falia care desparte operațiunile genuine, de executare veritabilă a unor obligații legale imperative de drept național sau unional impuse operatorilor, „în asocierea acestor date cu contul rețelei sociale al utilizatorilor menționați” și, pe de altă parte, operațiunile de profilare comercială care presupun exploatarea unor date comportamentale recrutate fără știrea utilizatorilor (ori fără ca aceștia să conștientizeze că istoricul lor de navigare online alimentează profilarea comercială).

Pe cel de-al șaptelea palier al raționamentului propus de Curte în decizia pronunțată în cauza C‑252/21, este demontată (și dezavuată explicit) posibilitatea platformelor digitale supradimensionate de a recurge la temeiul „protejării intereselor vitale ale persoanei utilizatorului” atunci când monitorizează comportamentul online al acestuia; resorturile reglementării intereselor vitale ale persoanei vizate și al includerii acestora pe lista temeiurilor procesării de date personale, enunțată în art. 6, alin. 1, lit. d) și e) din RGPD, țin de permiterea procesării datelor în cazurile care implică o anumită urgență pentru siguranța fizică ori chiar pentru supraviețuirea persoanei vizate, ceea ce ar justifica prelucrarea datelor sale chiar și în absența consimțământului său expres ori a existenței altor temeiuri legale ale procesării. Dimpotrivă, colectarea datelor comportamentale de către platformele digitale (și exploatarea comercială a acestora în operațiuni de profilare și de promovare a publicității personalizate) pare a fi dificil ori imposibil de conciliat cu criteriile urgențelor medicale ori ale protejării intereselor vitale ale utilizatorilor (operațiunile de profilare comercială părând a se situa, mai degrabă, la antipodul situațiilor care implică ocrotirea unor interese vitale ori a unor interese publice).

II.            Reverberații în materia exercitării dreptului consumatorilor de retragere a acordului asupra procesării datelor

Validarea capacității persoanei vizate de a renunța la colectarea/prelucrarea datelor în scopuri de marketing direct este strâns legată de asigurarea consimțământului „liber”; dimpotrivă, în ipotezele în care persoana vizată s-a simțit obligată să accepte publicitatea personalizată sau în ipotezele în care persoana vizată a avut temerea că se va confrunta cu consecințe negative sau cu reverberații economice nefavorabile (oneroase) atunci când a omis acordarea acceptului asupra procesării în scopuri comerciale sau de profilare, consimțământul potențialului consumator nu va fi tratat ca valabil exprimat, astfel cum se subliniază în Considerentul 32 din RGPD. Văzută ca o adevărată „piatră angulară” în arhitectura sistemului de protecție conturat în textul RGPD, selectarea adecvată a temeiului legal al prelucrării este direct corelată cu posibilitatea revocării acordului persoanei vizate, cel puțin în ceea ce privește reiterarea dreptului discreționar al consumatorului de retractare, care poate fi exercitat în orice moment (pentru informațiile stocate cu respectarea de comercianții profesioniști sau operatorii de date a obligației de a furniza informații transparente privind utilizarea tehnicilor de urmărire a datelor comportamentale).

Ca trăsături preliminare, trebuie amintite mai multe caracteristici, în special cele care accentuează scopul „periculos” al exploatării datelor comportamentale, rezultat din gradul accentuat de vulnerabilitate care marchează poziția informațională sau economică a consumatorului la momentul perfectării contractului privind furnizarea de servicii digitale. Ca o trăsătură secundară, rămâne important de menționat că angajarea în mecanismul de exercitare a dreptului de retragere care afectează consimțământul consumatorului nu poate fi însoțită de impunerea de penalități financiare sau restricții contractuale „sancționând” sau „penalizând” retragerea consimțământului. În mod evident, dreptul de retragere se exercită invariabil și exclusiv pe bază neoneroasă și prezintă un caracter discreționar (în limitele trasate pentru sfera materială a dreptului de retragere), conceput ca o contrapondere a impulsivității persoanei vizate. Este vizată contractarea de servicii digitale[48] care implică date comportamentale cedate în contrapartidă, context în care eventuala retractare a acordului consumatorului ar putea funcționa ca paliativ pentru imposibilitatea verificării detaliate/imediate a efectelor potențial discriminatorii sau a reverberațiilor[49] negative ale tehnicilor comerciale de profilare.

Consimțământul utilizatorilor asupra exploatării în scopuri de marketing personalizat a datelor lor personale este retractabil ad nutum, imediat după emiterea acordului și oricând pe parcursul operațiunilor de procesare, posterior retractării comerciantul putând menține datele în prelucrare doar în măsura în care ar fi indispensabile executării obligațiilor contractuale asumate în raporturile cu utilizatorii.

III.           Personalizarea mesajelor publicitare pe baza datelor deduse din profilarea consumatorilor

A.             Datele colectate de la consumator de către furnizorii de servicii digitale sau de conținut digital

Atunci când se evaluează conformarea platformelor digitale la cerințele de transparență privind utilizarea algoritmilor de profilare comercială, rămâne crucială obligația operatorului de date de a selecta cu parcimonie scopurile colectării și stocării datelor și de a se abține de la a propune extinderea scopurilor prelucrării datelor personale după inițierea procesării. Caracteristicile practice ale acestor mecanisme de colectare a consimțământului utilizatorilor pot prezenta ambiguități, precum în cazul în care persoanele vizate au fost invitate să își dea acordul cu termenii generali, cum ar fi cei care autorizează scopuri de marketing nediferențiate („Persoana vizată este de acord cu utilizarea datelor sale personale pentru viitoare comunicări de marketing”). Pentru utilizatorii profani, acești termeni vagi sau opaci pot să nu servească la descifrarea reverberațiilor potențial dăunătoare ale autorizării utilizării algoritmilor comerciali de profilare, în special a celor care intervin în perimetrul exercitării dreptului de control al persoanei vizate (i) sau în termenii de securizare a datelor atunci când se confruntă cu tehnici de urmărire a elementelor comportamentale (ii). Într-o cauză care a acumulat rapid elemente de notorietate[50], operatorul de date personale a folosit software-ul pentru procesarea semnalului audio bazat pe inteligență artificială pentru a identifica perioadele de tăcere, tonalități diferite ale vocii utilizatorului, cuvinte-cheie și elemente emoționale (cum ar fi viteza vorbirii, volumul și înălțimea sunetelor emise) în fișierele de sunet înregistrate pentru a identifica nivelul de nemulțumire a clienților. Odată ce software-ul a luat decizia automată de a identifica apelurile conform acestor criterii, un angajat al Băncii a ascultat înregistrările și a apelat clienții pentru a gestiona problemele care generaseră episoadele de nemulțumire ale clienților. Banca a precizat că temeiul său legal pentru această prelucrare ar fi interesul legitim, iar scopul său a fost acela de a efectua controlul calității apelurilor, pentru a preveni reclamațiile și retragerea clienților, precum și pentru a crește eficiența presării serviciilor. Banca a precizat că clienții au fost informați la începutul apelurilor că sunt în curs de înregistrare, dar a recunoscut că nu i-au informat că software-ul AI va fi utilizat pentru analiza emoțională a apelurilor. Banca a mai susținut că sistemul AI nu era antrenat să efectueze luarea deciziilor automate în vederea profilării și nu ar discrimina clienții la momentul prestării serviciilor, bazat pe interacțiunea telefonică și pe scorul emoțional[51].

Efectele prejudiciabile potențiale ale recurgerii la autorizarea implicită (de către persoanele vizate) a publicității personalizate sunt triple: (a) utilizarea predominantă de către operatorii de date sau furnizorii de servicii digitale a mecanismelor de colectare „în bloc” a consimțământului utilizatorilor pentru condițiile generale de activare a contului, incluzând exploatarea datelor pentru profilarea comercială, ar contribui la diminuarea sau evanescența opțiunilor de control ale persoanelor vizate; (b) caracterul nerezonabil și inechitabil al stocării datelor, în special atunci când utilizarea tehnologiilor de urmărire a datelor cu preferințe comerciale a fost sugerată ca opțională în moduri neevidente, pentru intervale de timp succesive în timpul perioadelor de stocare și procesare a datelor; cel puțin pentru utilizatorii profani care se confruntă cu solicitarea consimțământului în scopuri de marketing; (c) colectarea masivă a datelor personale care periclitează dreptul la viață privată,  deoarece urmărirea locației geografice, monitorizarea preferințelor de navigare pe platforme comerciale, colectarea datelor privind cheltuielile lunare sau semestriale efectuate de consumator pentru achiziția de produse etc. pot fi utilizate în moduri extrem de intruzive de către operatorii de date, inclusiv în cazurile recurgerii la tehnici de atribuire a mesajelor publicitare personalizate de tip retargeting și la utilizarea algoritmilor de redirecționare.

Unele dintre aceste probleme provocatoare, aproape „nevralgice” pot fi rezolvate prin recurgerea la tehnici granulare de colectare a consimțământului, precum și la „stratificarea” scopurilor sau la „stratificarea” opțiunilor de consimțământ[52]; în special atunci când discutăm despre inadecvarea tehnicilor de renunțare la consimțământ, explorând valențele consimțământului tacit în scopuri de marketing direct, rămâne important să se observe preeminența consimțământului persoanei vizate pentru profilarea comercială, ca temei legal al prelucrării datelor.

Atunci când enumeră reverberațiile negative endogene și exogene ale recurgerii la tehnici comerciale de profilare în moduri netransparente[53], cercetătorii anteriori au enunțat caracteristici precum implicarea unor efecte discriminatorii (în special în ceea ce privește discriminarea nejustificată în personalizarea prețurilor[54] care defavorizează utilizatorii și potențialii consumatori (i), utilizarea strategiilor înșelătoare și interferențele manipulative de marketing cu decizia consumatorilor de a accepta termenii tranzacției (ii) și, în sfârșit, recurgerea la „modele întunecate” (dark patterns) sau „modele înșelătoare” (delusive patterns)[55] (iii), cum ar fi reclame deghizate, date ireale privind popularitatea socială a produsului sau serviciului promovat (recenzii false ale produselor), abonament ascuns la comunicări publicitare (comunicări de tip newsletter neselectate de consumator, însă activate by default) etc.

Un exemplu ilustrativ ar fi acela în care, pe durata sesiunii de navigare în contul personal pe o platformă digitală oferind prioritar servicii non-comerciale (precum Meta Platforms, inclusiv divizia Instagram), consumatorul primește un banner publicitar, un conținut de tip pop-add ori retargeted, utilizatorul cedând impulsului de a accesa site-ul comerciantului; la momentul plasării unei eventuale comenzi, algoritmii auto-fill sunt instruiți să preia datele personale relevante din contul de utilizator Meta, ceea ce nu ar implica per se tehnici de profilare fără acordul explicit al consumatorului, iar procesarea datelor de către cel de-al doilea operator (comerciantul pe pagina web a căpruia a fost plasată comanda) s-ar putea fonda pe dispozițiile art. 6, alin. 1, lit. b) RGPD, referitoare la îndeplinirea obligațiilor contractuale.

B.             Subtipuri de practici de profilare și publicitate „contextuală”

Atunci când discutăm taxonomiile potențiale aplicabile publicității „contextuale”, este important să diferențiem între (i) personalizarea serviciilor digitale la cererea consumatorului (cu caracter oneros sau neoneros, cum ar fi accesarea unor servicii digitale gratuite) și, la celălalt pol, (ii) personalizarea comunicări publicitare adresate consumatorilor existenți sau potențial interesați. Elementele de diferențiere sunt extrase din caracteristicile endogene ale serviciilor personalizate, cum ar fi faptul că, spre deosebire de mesajele publicitare personalizate, furnizarea personalizată a serviciilor digitale rămâne neesențială din punct de vedere tehnic pentru funcționarea serviciului sau pentru îndeplinirea obligațiilor contractuale și depinde de existența unor termeni de personalizare B2C agreați în mod explicit și acceptați de către partenerii contractuali.

„Publicitatea contextuală” și „publicitatea comportamentală” sunt diferențiate în funcție de rolurile jucate de istoricul de navigare online al utilizatorului (i) și de conținutul web accesat (ii), ca ipoteze utilizate la descrierea celor două seturi de tehnici publicitare; datele extrase din mediul digital în care categoria de utilizatori vizată a navigat sunt considerabil mai intruzive decât publicitatea personalizată bazată pe direcționarea prin cuvinte-cheie (iii). Pentru exploatarea datelor colectate despre conținutul paginilor web vizitate de persoana vizată într-un anumit interval temporar, software-ul de urmărire a datelor comportamentale ar fi capabil să detecteze preferințele și să anticipeze tendințele preferențiale nu numai pe baza conținutului paginilor web vizitate, dar și să opereze deducerea datelor adiacente care deconspiră interesele comerciale manifestate de potențialii consumatori[56] pe baza istoricului lor de navigare online, implicând de obicei sisteme de retargeting în timp real. Deloc surprinzător, publicitatea comportamentală este percepută ca fiind mult mai periculoasă (în ceea ce privește diminuarea confidențialității, favorizarea practicilor discriminatorii etc.), în comparație cu publicitatea contextualizată, deși ambele seturi de tehnici publicitare pot implica utilizarea unor cantități similare de date deduse (inferred data, diferențiabile din punct de vedere calitativ).

IV.          Publicitatea comportamentală în contractele mediate digital

A.             Direcționarea segmentată a publicității personalizate în funcție de comportamentul online al consumatorului

Monitorizarea comportamentului consumatorilor și anticiparea preferințelor comerciale presupun uzul unor tehnologii care intervin într-un perimetru dominat de „vulnerabilitatea consumatorului” (care posedă capacități medii de înțelegere și abilități de reacție), într-un context în care consumatorul serviciilor digitale a fost descris, cel mai frecvent, ca fiind „partea fragilizată” a relațiilor contractuale. În același timp, utilizarea generalizată a publicității personalizate într-o paradigmă (post)consumeristă domină o mare varietate de spații virtuale în care post-sincronizarea adoptării (și adaptării) normelor juridice este, frecvent (aproape repetitiv), și substanțial întârziată prin raportare la strategiile actorilor implicați. Fațetele polimorfe ale protecției juridice atribuite persoanelor vizate nu sunt, nici ele, neglijabile. Legitimarea supravegherii comportamentale a consumatorilor existenți sau potențiali ar depinde de rolul jucat de tehnicile de colectare a consimțământului, în special atunci când se generează date despre trăsăturile psihocomportamentale „consumeriste”. Multiplicarea tehnicilor de direcționare publicitară segmentată, în special a celor care „monetizează” trăsăturile comportamentale de cumpărare online, accentuează riscurile asociate cu încălcările la scară largă a vieții private, precum și pe cele care decurg din vulnerabilizarea consumatorului, asociate cu proliferarea practicilor contractuale discriminatorii/neloiale.

Configurarea obligațiilor specifice incumbând platformelor digitale pentru etapa precontractuală rămâne crucială, cum ar fi obligația de a furniza informații prealabile sau corolarul acesteia, obligația de a avertiza persoanele vizate asupra unor elemente precum existența și modalitățile de exercitare a controlului asupra datelor personale colectate în scopuri de publicitate personalizată, tehnici pre-contractuale care se poziționează în proximitatea formării unui consimțământ informat. Atunci când se asigură conștientizarea de către consumator a posibilităților de respingere a utilizării informațiilor personale orientate spre marketing direct, se poate acorda prioritate recurgerii la norme legale „consumeriste” supletive ori, după caz, imperative. Antrenând consecințe practice majore, în special atunci când se abordează asimetriile informaționale care caracterizează accesul la serviciile digitale care implică tehnologii de colectare a datelor comportamentale, obligația pre-contractuală de informare continuă să prezinte valențe profilactice semnificative.

B.             Practici de retargeting publicitar bazate pe istoricul navigării

Colectarea „excesivă” de date comportamentale de către platformele digitale, în special cele colectate de către platformele supradimensionate[57], și utilizarea lor ulterioară în scopuri de redirecționare publicitară ridică îngrijorări cu privire la pertinența paradigmelor consimțământului informat care caracterizează abordarea „clasică” a problemelor de protecție a consumatorilor, atunci când intersectează mecanisme de protecție a datelor cu caracter personal. Merită reamintit faptul că, pentru platformele digitale supradimensionate, sunt instituite obligații ce vizează ameliorarea modalităților de transparentizare (obligații de raportare detaliate), moderarea conținutului, renunțarea la sistemele de profilare/recomandări publicitare personalizate în absența consimțământului expres, explicit și secvențial al consumatorului, protecția drepturilor minorilor, interzicerea publicității comerciale bazate pe date sensibile, cum ar fi exploatarea comercială a datelor medicale[58] privind utilizatorii serviciilor digitale.

În general, formalismul informativ care a devenit specific reglementărilor privind protecția consumatorilor nu poate fi înregimentat în categoriile clasice de abordări formaliste și ar putea deveni insuficient în contextul accesării serviciilor digitale, întrucât persoanele vizate ca potențiali consumatori ar fi dezinteresate de parcurgerea/lecturarea ulterioară a informațiilor adiacente cu privire la scopurile colectării datelor. Asemenea tehnici profilactice, cum ar fi formalismul informativ, pot avea un impact limitat asupra capacității consumatorilor de a selecta în mod pertinent scopurile prelucrării datelor personale. Astfel, în măsura în care un anumit text legal sancționează încălcarea formalismului informativ incidental în contractele digitale încheiate cu consumatorii cu nulitatea (absolută sau relativă) a contractului informal (al cărui text digital omite mențiunile obligatorii impuse de dispozițiile legale), este dificil de susținut că formalismul informativ ar putea fi considerat a fi o formalitate validatoare, fără de care consimțământul persoanei vizate să nu poată fi exprimat în mod valabil, iar contractul încheiat cu nerespectarea normelor legale imperative referitoare la cerințele de formă respective să fie lovit de nulitate. Formalismul informativ poate fi considerat ca reprezentând, simultan, o regulă substanțială, stimulând impulsul colectorului de date de a respecta alegerea autentică a persoanei vizate cu privire la utilizarea tehnicilor de publicitate comportamentală, însă ar putea fi eludat prin rubrici prebifate ori prin butonul activ „skip” ori alte tehnici similare care permit consumatorului să ignore importanța lecturării termenilor contractuali.

Furnizarea unei cantități exorbitante de informații (în special prin încorporarea unei multitudini de informații redundante în conținutul invitației adresate persoanelor vizate de către operatorul de date) ar putea viza acceptarea/respingerea tehnicilor de publicitate personalizată care explorează datele personale comportamentale[59]. Aceste tipuri de strategii pot deveni o tactică persuasivă în relațiile cu consumatorii[60], context în care, sub pretextul furnizării de explicații terminologice suplimentare sau detalierii efectelor juridice semnificative, scopul final este acela de a distrage atenția sau de a deturna vigilența consumatorului de la aspectele esențiale ale operațiunilor de colectare a datelor cu caracter personal, inclusiv de la cele referitoare la onerozitatea accentuată a acestui transfer de date personale în contrapartidă, în ceea ce privește, de pildă, personalizarea discriminatorie a prețurilor[61].

C.             Clasamentul personalizat al clientelei și personalizarea prețurilor

Tehnicile de stabilire a prețurilor personalizate pot alimenta nenumărate controverse juridice legate de practicile discriminatorii, făcând necesară în rândurile consumatorului creșterea gradului de conștientizare cu privire la caracterul inechitabil al clauzelor de profilare comercială. Este de așteptat ca algoritmii de stabilire a prețurilor[62], într-o abordare idealistă, să prezinte caracteristici by design și by default evitând efectele discriminatorii ale personalizării prețurilor care ar implica anumite caracteristici referitoare la naționalitatea, sexul, vârsta consumatorului, rasa, credințele religioase sau opiniile politice ale consumatorului. Totuși, în mod implicit, majoritatea tehnicilor de personalizare a prețurilor ar compromite tratamentul egal oferit consumatorilor. Soluțiile pot consta în alocarea unui tratament juridic pertinent restrictiv pentru supravegherea comercială generalizată, în loc să se bazeze pe capacitatea consumatorilor de a discerne pericolele atunci când abordează consimțământul la reclame personalizate prin exploatarea datelor comportamentale[63] sau pe disponibilitatea operatorilor de date de a selecta funcții „neutre” și imparțiale pentru algoritmi personalizați de stabilire a prețurilor. De exemplu, considerentul 110 din Concluziile Raportului OCDE din 2018 privind „Prețurile personalizate în era digitală” descrie aspectele legate de prețurile personalizate care se intersectează cu protecția datelor cu caracter personal în ceea ce privește consumatorii” accentuează ideea potrivit căreia „consumatorul mediu” nu ar fi echipat cu instrumente adecvate pentru descifrarea reverberațiilor negative ale tehnicilor de personalizare a prețurilor folosind date comportamentale secvențiale.

În ceea ce privește o conduită contractuală de excludere discriminatorie, se pot distinge două categorii distincte de practici discriminatorii: (i) refuzul de a încheia contractul pe baza unor considerente economice (cum ar fi riscurile estimate de insolvabilitate a consumatorului); (ii) refuzul încheierii contractului pe baza unor considerente discriminatorii, într-un context în care discriminarea la care este supus consumatorul poate fi fie (a) directă, atunci când constă într-un act discriminatoriu voluntar, intenționat, împotriva consumatorilor de produse/servicii; sau (b) indirectă, atunci când măsurile de facto aparent neutre aplicate de profesionist dezavantajează în mod semnificativ o persoană sau un grup, în calitate de consumatori.

Concluzii

Sub denumirea de „denaturare a scopurilor prelucrării”, reorientarea datelor cu caracter personal colectate inițial pentru a alimenta profilarea comportamentală prezintă riscuri semnificative pentru persoanele vizate. În cele din urmă, diminuarea controlului persoanelor vizate asupra manierei de exploatare comercială a propriilor date se află în centrul dezbaterilor privind legitimarea exploatării informațiilor personale, în special de către platformele digitale supradimensionate, în scopuri de marketing direct. În mod evident, intruziunea tehnicilor de urmărire a datelor comportamentale asupra vieții private a persoanelor vizate alimentează în egală măsură preocupările practicienilor în drept, atunci când se confruntă cu problematica evaluării legitimității scopurilor de prelucrare sau a adecvării mijloacelor pentru asigurarea unei alegeri transparente din partea consumatorului[64]. După cum se subliniază în considerentul 58 din GDPR, cerințele de transparență primesc o relevanță deosebită în ipotezele în care tehnologiile de urmărire a datelor comportamentale prezintă grade de complexitate care au efecte estompate asupra capacității persoanelor vizate de a înțelege dacă scopurile de marketing direct sunt selectate de operatorul de date sau de către partenerii săi comerciali[65] sau dacă tehnicile de publicitate online au folosit datele sale personale pentru generarea de mesaje publicitare personalizate ori pentru crearea de profiluri comerciale. Rezonabilitatea și corectitudinea utilizării tehnologiilor de profilare comercială la care recurg operatorii/colectorii de date personale în scopuri de marketing direct, reprezintă pilonii importanți ai analizei textelor legale incidente. Abordând soluțiile la întrebările ridicate de utilizarea în continuă extindere a tehnologiilor de profilare comercială, tehnologiile IA de profilare comercială aduc, fără îndoială, provocări substanțiale pentru protecția „clasică” a consumatorilor. Din motive evidente, cel puțin pentru o parte importantă a acestor probleme, sarcina majoră a forurilor legislative naționale și ale UE ar pivota în jurul identificării modalităților strict controlate de reglementare a exploatării datelor cu caracter personal în publicitatea comportamentală și stabilirea standardelor de transparență pentru „descifrarea” pertinentă a scopurilor colectării datelor comportamentale ale persoanelor vizate, atunci când se confruntă cu publicitatea contextuală.

Având origini în conflictul de interese aparent între interesul manifestat de comercianții profesioniști și furnizorii de servicii digitale, pentru dezvoltarea și extinderea strategiilor de publicitate personalizate și, de cealaltă parte, așteptările rezonabile ale utilizatorilor față de respectarea confidențialității, problematica legitimării tehnicilor de publicitate „personalizată” și comportamentală, soldându-se cu supravegherea comportamentului potențialilor consumatori, rămâne strâns legată de necesitatea stabilirii limitelor judiciare pertinente. În pofida faptului că datele comportamentale relevante din punct de vedere comercial nu reprezintă per se „date sensibile”, acest tip de informații deduse ar putea câștiga statutul de date „granulare” care ar putea facilita în manieră indirectă accesarea unor informații sensibile. Ideea stabilirii unor limite legale precise pentru obligația de dezvăluire transparentă (de către platformele digitale în raporturile cu utilizatorii) a unor astfel de componente ale scopurilor de prelucrare a datelor se referă, mai degrabă, la informațiile care implică utilizarea datelor comportamentale și a tehnologiilor de urmărire/monitorizare comportamentală care pun în pericol confidențialitatea și dreptul la viață privată[66]. Antinomia „date obișnuite – date comportamentale” își găsește esența în antiteza definitorie a primelor în raport cu cele din urmă, ca reprezentând o categorie reziduală (care nu implică „date sensibile” în versiunea uzuală sau în manieră obișnuită), dar care poate facilita extragerea în manieră indirectă a unor informații sensibile vizând utilizatorii.

Sub rezerva rigorilor judiciare care sunt în mod ostensibil necesare în perimetrul prelucrării informațiilor personale de către platformele digitale supradimensionate, datele comportamentale utilizate pentru profilarea comercială ar putea deconspira trăsături psihologice care „fragilizează” capacitatea consumatorilor de a se angaja în alegeri pertinente, de unde și importanța a unei reduceri ad minimum a colectării acestor date în perimetrul prelucrării datelor publicitare personalizate. Ca epitom pentru categoria specială menționată este aptitudinea, aparent mai accentuată, de a pune în pericol dreptul la viață privată, dezvăluind elemente din viața privată a utilizatorilor care ar putea face consumatorii vulnerabili la elemente discriminatorii contractuale sau la traiectorii manipulatoare și strategii de marketing înșelătoare. Aspectele litigioase ale legitimității ar putea pivota în jurul limitelor pertinente pentru utilizarea în expansiune a tehnologiilor concentrate pe urmărirea emoțiilor și anticiparea preferințelor comerciale, selectare care poate să apară ca o „sarcină sisifică” pentru legislatorii naționali și organismele de reglementare transnaționale.

Bibliografie

Boerman Sophie C., Kruikemeier Sanne, Bol Nadine, „When is personalized advertising crossing personal boundaries? How type of information, data sharing, and personalized pricing influence consumer perceptions of personalized advertising”, Computers in Human Behavior Reports, n. 4, 2021, online: https://www.sciencedirect.com/science/article/pii/S2451958821000920;

Botes Marietjie, „Autonomy and the social dilemma of online manipulative behavior”, AI and Ethics, vol. 3, n. 1, 2023, pp. 315-323, online: https://doi.org/10.1007/s43681-022-00157-5;

Brenncke Martin, „A Theory of Exploitation for Consumer Law: Online Choice Architectures, Dark Patterns, and Autonomy Violations” (December 15, 2023), Journal of Consumer Policy, online: https://ssrn.com/abstract=4665868 și https://doi.org/10.1007/s10603-023-09554-7;

Brewczyńska Magdalena, „Between Legitimacy and Lawfulness: In Search of Rationality and Consistency in EU Data Protection”, European Data Protection Law Review, vol. 9, n. 2, 2023, pp. 112-122, online: https://doi.org/10.21552/edpl/2023/2/6;

Buytaert Tom, De Meyere Jean, „Arrêt «Meta Platforms»: violation du RGPD constitutive d’un abus de position dominante”, Journal de droit européen, n. 9, 2023, pp. 449-452;

Campos Carvalho Joana, „Online platforms: concept, role in the conclusion of contracts and current legal framework in Europe”, Cuadernos de Derecho Transnacional, vol. 12, n. 1, 2020, pp. 863‑874, online: https://doi.org/10.20318/cdt.2020.5227;

Chen Jiahong, Regulating Online Behavioural Advertising Through Data Protection Law, Edward Elgar Publishing, Cheltenham, 2021;

Chen Zirou, SHI Mengze, „Predictive Accuracy, Search Intensity, and Personalized Advertising” (December 10, 2022), online: https://ssrn.com/abstract=4298841 și http://dx.doi.org/10.2139/ssrn.4298841;

Chiara Pier Giorgio, „The Balance Between Security, Privacy and Data Protection in IoT Data Sharing”, European Data Protection Law Review, vol. 7, n. 1, 2021, pp. 18-30, online: https://doi.org/10.21552/edpl/2021/1/6 și https://edpl.lexxion.eu/article/EDPL/2021/1/6;

Custers Bart, Vrabec Helena, Friedewald Michael, „Assessing the Legal and Ethical Impact of Data Reuse”, European Data Protection Law Review, vol. 5, n. 3, 2019, pp. 317-337, online: https://doi.org/10.21552/edpl/2019/3/7;

Dalla Corte Lorenzo, „On proportionality in the data protection jurisprudence of the CJEU”, International Data Privacy Law, vol. 12, n. 4, 2022, pp. 259–275, online: https://academic.oup.com/idpl/advance-article-abstract/ și https://doi.org/10.1093/idpl/ipac014;

Davola Antonio, „Fostering Consumer Protection in the Granular Market: The Role of Rules on Consent, Misrepresentation and Fraud in Regulating Personalized Practices”, Amsterdam Law School Research Paper No. 2021-07, Technology and Regulation, Special Issue: Should Data Drive Private Law, 2022, pp. 76-86, online: https://techreg.org/article/view/11177/12407 și https://papers.ssrn.com/sol3/papers.cfm?abstract_id=3791265;

De Graaf Tycho, „Consequences of Nullifying an Agreement on Account of Personalised Pricing”, Journal of European Consumer and Market Law (EuCML), vol. 8, n. 5, 2019, pp. 1051-1073;

Duivenvoorde Bram, „Redesigning the UCPD for the Age of Personalised Marketing”, Journal of European Consumer and Market Law (EuCML), vol. 12, n. 5, 2023, pp. 177-184, online: https://kluwerlawonline.com/journalarticle/Journal+of+European+Consumer+and+Market+Law/12.2/EuCML2023036;

Duivenvoorde Bram, „The Liability of Online Marketplaces under the Unfair Commercial Practices Directive, the E-commerce Directive and the Digital Services Act”, Journal of European Consumer and Market Law, vol. 11, n. 2, 2022, pp. 43-52, online: https://kluwerlawonline.com/journalarticle/Journal+of+European+Consumer+and+Market+Law/11.2/EuCML2022009;

Edpb ((European Data Protection Board) Guidelines 03/2022 on Deceptive design patterns in social media platform interfaces: how to recognise and avoid them, Version 2.0, Adopted on 14 February 2023, online: https://edpb.europa.eu/system/files/2023-02/edpb_03-2022_guidelines_on_deceptive_design_patterns_in_social_media_platform_interfaces_v2_en_0.pdf;

„EDPB publishes urgent binding decision regarding Meta”, 07.12.2023, Bruxelles, online:  https://edpb.europa.eu/news/news/2023/edpb-publishes-urgent-binding-decision-regarding-meta_en;

European Commission, Press Release, „Digital Services Act: Commission designates first set of Very Large Online Platforms and Search Engines”, 25 April 2023, online: https://ec.europa.eu/commission/presscorner/detail/en/IP_23_2413;

Fernandez Maryant, Pant Sebastien, „Why it’s time to ban surveillance ads” (November 15, 2021), The European Consumer Organisation (BEUC) Blog, online: https://www.beuc.eu/blog/why-its-time-to-ban-surveillance-ads/;

Goicovici Juanita, „The collecting of consent to the processing of children’s personal data, between volatility and disobedience”, SHS Web of Conferences, vol. 177, n. 04001, 2023, online: https://www.shs-conferences.org/articles/shsconf/pdf/2023/26/shsconf_copeji2023_04001.pdf;

Goicovici Juanita, Dreptul relațiilor dintre profesioniști și consumatori, Hamangiu, București, 2022;

Goicovici Juanita, Unilateral Termination and Adjustment of the Consumer Contract on Digital Content, Regional Law Review, vol. 2, 2021, pp. 283-296, online: https://doi.org/10.18485/iup_rlrc.2021.2.ch17;

Goicovici Juanita, „Clauzele privind drepturile consumatorilor în contractele de servicii cloud computing”, Revista Română de Drept Privat, n. 2/2019, pp. 399-415;

Goicovici Juanita, „Consimțământul consumatorului la prelucrarea datelor personale în    contractele business to consumer–condiția consimțământului  granular”, Analele Universității de   Vest din Timișoara, Seria Drept, n. 2, 2019, pp. 7-24, online: https://drept.uvt.ro/administrare/files/1634395962-articol-juanita-goicovici.pdf;

Goicovici Juanita, „Portabilitatea datelor cu caracter personal, prin prisma dispozițiilor RGDP și ale Directivei 2019/770: este gambitul reginei mutarea de deschidere adecvată?”, Analele Științifice ale Universității „Alexandru Ioan Cuza” din Iași, Seria Științe Juridice, Tomul LXVII, Supliment 2, 2021, pp. 57-80, online: http://pub.law.uaic.ro/files/articole/2021/vol.2_2/4.goicovici.pdf;

Goicovici Juanita, „Granularity and specificity of consent and implications thereof for the data controller in the light of the principle of ‘purpose limitation’”, InterEULawEast: Journal for the International and European Law, Economics and Market Integrations, vol. 9, n. 2, 2022, pp. 43-69, online: https://hrcak.srce.hr/293334;

Goicovici Juanita, „Prelucrarea datelor personale sensibile indirecte din declarațiile fiscale privind conflictele de interese”, Studia Universitatis Babes Bolyai Iurisprudentia, vol. 67, n. 4, 2022, pp. 13-54, online: https://doi.org/10.24193/SUBBiur.67(2022).4.1;

Goicovici Juanita, „Retractarea consimțământului consumatorului în contractele electronice: Golemul perfect, reflectat în jurisprudența recentă”, Revista Română de Drept Privat, n. 1, 2022, pp. 304-328;

Goicovici Juanita, „The Traders’ Liability for Lack of Conformity of the Digital Content and of the Digital Services, as Regulated by Directive (EU) 2019/770”, Analele Științifice ale Universităţii Alexandru Ioan Cuza din Iași, seria Ştiinţe Juridice, vol. 66, n. 1 bis, 2020, pp. 79-98, online: https://pub.law.uaic.ro/ro/volume-publicate/2020/anale-uaic-tomul-lxvi-tiine-juridice-supliment/juanita-goicovici;

Goicovici Juanita, „Elementele constitutive ale practicilor comerciale neloiale în relațiile cu consumatorii”, Studia Universitatis Babes Bolyai Iurisprudentia, n. 3, 2016, pp. 88-100, online: http://arhiva-studia.law.ubbcluj.ro/pdfs/1488469330-04Goicovici_88_100.pdf;

Griffin Rachel, „Tackling Discrimination in Targeted Advertising: US regulators take very small steps in the right direction – but where is the EU?” (June 23, 2022), online: https://verfassungsblog.de/targeted-ad/ și https://doi.org/10.17176/20220623-153440-0;

Hahn Isabel, „Purpose Limitation in the Time of Data Power: Is There a Way Forward?”, European Data Protection, vol. 7, n. 1, 2021, pp. 31-44, online: https://doi.org/10.21552/edpl/2021/1/7;

Hermann Erik, „Psychological targeting: nudge or boost to foster mindful and sustainable consumption?”, AI & Society, vol. 38, n. 2, 2023, pp. 961-962, online: https://doi.org/10.1007/s00146-022-01403-4;

Hinsch Wilfried, „Differences That Make a Difference: Computational Profiling and Fairness to Individuals”, în Voeneky S., Kellmeyer P., Mueller O., Burgard W. (coord.), The Cambridge Handbook of Responsible Artificial Intelligence: Interdisciplinary Perspectives, Cambridge University Press, Cambridge, 2022, pp. 229-251, DOI:10.1017/9781009207898.019.

Hriscu Ana-Maria, „C‑252/21 Meta v Bundeskartellamt: The Lawfulness of Big Tech’s Processing of Personal Data and the Relationship Between Data Protection and Competition Law”, European Data Protection Law Review, vol. 9, n. 3, 2023, pp. 371-377;

Iyer Pooja, „Consumer Data and Privacy Fiduciaries: A Comparison Based on Balance of Power and Consumer Agency” (August 1, 2023), online: https://ssrn.com/abstract=4528526 și http://dx.doi.org/10.2139/ssrn.4528526;

Jabłonowska Agnieszka, „Consumer Protection in the Age of Data-Driven Behaviour Modification”, Journal of European Consumer and Market Law, vol. 11, n. 2, 2022, pp. 67-71, online: https://kluwerlawonline.com/journalarticle/Journal+of+European+Consumer+and+Market+Law/11.2/EuCML2022012;

Jarovsky Luiza, „Dark Patterns in Personal Data Collection: Definition, Taxonomy and Lawfulness” (March 1, 2022), online: https://ssrn.com/abstract=4048582 și http://dx.doi.org/10.2139/ssrn.4048582;

Jarovsky Luiza, „Transparency by Design: Reducing Informational Vulnerabilities Through UX Design” (May 25, 2022), online: https://ssrn.com/abstract=4119284;

Jarovsky Luiza, „Improving Consent in Information Privacy through Autonomy-Preserving Protective Measures (APPMs)”, European Data Protection Law Review, vol. 4, n. 4, 2018, pp. 447-458, online: https://doi.org/10.21552/edpl/2018/4/7;

Jasmontaite Lina, Kamara Irene, Zanfir-Fortuna Gabriela, Leucci Stefano, „Data Protection by Design and by Default: Framing Guiding Principles into Legal Obligations in the GDPR”, European Data Protection Law Review, vol. 4, n. 2, 2018, pp. 168-189, online: https://doi.org/10.21552/edpl/2018/2/7;

Keller Perry, „After Third Party Tracking: Regulating the Harms of Behavioural Advertising Through Consumer Data Protection” (May 4, 2022), online: https://ssrn.com/abstract=4115750 și http://dx.doi.org/10.2139/ssrn.4115750;

Lafever Gary, „Beyond GDPR: Unauthorized reidentification and the Mosaic Effect in the EU AI Act” (10 aug. 2023), online: https://iapp.org/news/a/beyond-gdpr-unauthorized-reidentification-and-the-mosaic-effect-in-the-eu-ai-act/;

Leiser Mark, „Protecting Children from Dark Patterns and Deceptive Design” (December 11, 2023), online: https://ssrn.com/abstract=4660222;

LI Zihao, „Affinity-Based Algorithmic Pricing: A Dilemma for EU Data Protection Law”, Computer Law & Security Review, vol. 46, 2022 online: https://ssrn.com/abstract=4144571 și http://dx.doi.org/10.2139/ssrn.4144571;

Luguri Jamie, Strahilevitz Lior, „Shining a Light on Dark Patterns”, Journal of Legal Analysis, vol. 43, n. 12, 2021, online: https://ssrn.com/abstract=3431205 și http://dx.doi.org/10.2139/ssrn.3431205;

Luzak Joasia, „Tomorrow Never Dies: VLOPs debacle” (24 aug. 2023) online: https://recent-ecl.blogspot.com/2023/08/tomorrow-never-dies-vlops-debacle.html;

Mäihäniemi Beata, „The role of behavioural economics in shaping remedies for Facebook’s excessive data gathering”, Computer Law & Security Review, vol. 46, 2022, online: https://www.sciencedirect.com/science/article/pii/S0267364922000565;

Nebbia Paolisa, „The interaction of competition, consumer and data protection laws: a few comments inspired by the recent case law of the Court of Justice of the European Union”, ERA-Forum: Scripta Iuris Europaei, vol. 23, n. 4, 2023, pp. 515-527;

Picht Peter Georg, „CJEU on Facebook: GDPR processing justifications and application competence: EuGH, Urt. vom 4.7.2023: C‑252/21”, Gewerblicher Rechtsschutz und Urheberrecht, 2023, pp. 1169-1172;

Polat Cemre, Özçelik Barış, „Locating Online Platforms in the Right Place: Between the Digital Services Act and the Liability Law”, Journal of European Consumer and Market Law, vol. 12, n. 4, 2023, pp. 168-172, online: https://kluwerlawonline.com/journalarticle/Journal+of+European+Consumer+and+Market+Law/12.4/EuCML2023034;

Potel-Saville Marie, Lechevalier Fabien, „Comment les dark patterns manipulent nos usages mobiles? Proposition de régulation pour un digital durable et centré sur l’humain”, în Hanitra Randrianasolo Rakotobe, Jean-Michel Ledjou (coord.), Nouveaux enjeux liés aux usages des applications et des services mobiles: Quelles opportunités et quels risques?, ACFAS Symposium, L’Harmattan, Paris, 2023, online : https://ssrn.com/abstract=4652956;

RIZZUTO Francesco, „The implications of the Meta Ireland Platforms ruling for the powers of national competition authorities and national regulatory and supervisory authorities”, European Competition Law Review, vol. 44, n. 12, 2023, pp. 532-538;

Rott Peter, Strycharz Joanna, Alleweldt Frank, „Personalised pricing”, Study requested by the European Parliament, Policy Department for Economic, Scientific and Quality of Life Policies, Directorate-General for Internal Policies (November 2022, Luxembourg), online: https://www.europarl.europa.eu/RegData/etudes/STUD/2022/734008/IPOL_STU(2022)734008_EN.pdf;

Schönau Andreas, „Agency in augmented reality: exploring the ethics of Facebook’s AI-powered predictive recommendation system”, AI and Ethics, vol. 3, n. 2, 2023, pp. 407-417, online: https://doi.org/10.1007/s43681-022-00158-4;

Seele Peter, Dierksmeier Claus, Hofstetter Reto, Schultz Mario, „Mapping the ethicality of algorithmic pricing: A review of dynamic and personalized pricing”, Journal of Business Ethics, vol. 170, n. 4, 2021, pp. 697-702, online: https://doi.org/10.1007/s10551-019-04371-w;

Senftleben Martin, „Trademark Law, AI-Driven Behavioural Advertising, and the Digital Services Act – Towards Source and Parameter Transparency for Consumers, Brand Owners and Competitors”, în Ryan ABBOTT (coord.), Research Handbook on Intellectual Property and Artificial Intelligence, Edward Elgar, Cheltenham, 2022, pp. 309-324, online: https://ssrn.com/abstract=3947739 și http://dx.doi.org/10.2139/ssrn.3947739;

Soh Sheng Yin, „Privacy Nudges: An Alternative Regulatory Mechanism to ‘Informed Consent’ for Online Data Protection Behaviour”, European Data Protection Law Review, vol. 5, n. 1, 2019, pp. 65-74, online: https://doi.org/10.21552/edpl/2019/1/10;

Szilágyi Ferenc, „Personal Data as Consideration for the Facebook Service”, Journal of European Consumer and Market Law, vol. 11, n. 4, 2022, pp. 154-161, online: https://kluwerlawonline.com/journalarticle/Journal+of+European+Consumer+and+Market+Law/11.4/EuCML2022026;

Van Eijk Nico, Hoofnagle Chris Jay, Kannekens Emilie, „Unfair Commercial Practices: A Complementary Approach to Privacy Protection”, European Data Protection Law Review, vol. 3, n. 3, 2017, pp. 325-337, online: https://doi.org/10.21552/edpl/2017/3/7 și https://edpl.lexxion.eu/article/EDPL/2017/3/7;

Vaziri Ali, „Is this the end of consent-less tracking by online platforms in the EU?” (27 iul. 2023), online: https://iapp.org/news/a/is-this-the-end-of-consent-less-tracking-by-online-platforms-in-the-eu/;

Veale Michael, Nouwens Midas, Santos Cristiana, „Impossible Asks: Can the Transparency and Consent Framework Ever Authorise Real-Time Bidding After the Belgian DPA Decision?”, Technology and Regulation, 2022, online: https://doi.org/10.26116/techreg.2022.002 și https://techreg.org/article/view/11594;

Weber Rolf H., „The Disclosure Dream – Towards a New Transparency Concept in EU Consumer Law”, Journal of European Consumer and Market Law, vol. 12, n. 2, 2023, pp. 67-70, online: https://kluwerlawonline.com/journalarticle/Journal+of+European+Consumer+and+Market+Law/12.2/EuCML2023018;

Zardiashvili Alexander, Sears Alan M., „Targeted Advertising and Consumer Protection Law in the EU”, Vanderbilt Journal of Transnational Law, vol. 56, n. 3, 2023, online: https://ssrn.com/abstract=4249743.