sursa foto: Profimedia
De fiecare dată când apeși „accept all", nu dai doar un clic. Dai o semnătură.
Nu metaforică. Juridică.
Industria digitală a reușit o performanță pe care puțini legiuitori au anticipat-o: să transforme unul dintre cele mai importante acte de voință juridică — consimțământul — într-un reflex de 0,3 secunde. Pop-up-ul apare, degetul apasă, pagina se încarcă. Nimeni nu citește. Nimeni nu întreabă. Și totuși, ceva s-a semnat.
De unde vine regula
Înainte de GDPR, înainte de scandalurile Cambridge Analytica, înainte ca „datele personale" să devină subiect de primă pagină, exista deja o regulă europeană clară: Directiva ePrivacy (2002/58/CE) interzicea stocarea sau accesarea informațiilor pe dispozitivul unui utilizator, fără acordul său prealabil. Era 2002. Aproape nimeni nu o lua în serios.
Douăzeci de ani mai târziu, Regulamentul General privind Protecția Datelor — GDPR (679/2016/UE) — a transformat această regulă dintr-o obligație formală într-un mecanism cu dinți. Amenzi de până la 4% din cifra de afaceri globală, autorități naționale de supraveghere cu puteri reale, și o jurisprudență europeană în formare rapidă. Meta a primit, în 2023, o amendă de 1,2 miliarde de euro din partea autorității irlandeze de protecție a datelor — recordul absolut de la intrarea în vigoare a GDPR.
Cadrul nu mai este decorativ.
Ce înseamnă, de fapt, „accept all"
Distincția dintre cele două butoane nu este una de comoditate sau estetică. Este una economică.
Cookie-urile „necesare" fac ce spune numele: țin sesiunea activă, rețin conținutul coșului de cumpărături, asigură autentificarea. Fără ele, site-ul nu funcționează. Acestea pot fi instalate fără consimțământ explicit — temeiul legal este interesul legitim al operatorului sau executarea contractului.
Toate celelalte — cookie-urile de analiză, de marketing, de profilare comportamentală — servesc un alt stăpân: ecosistemul publicitar digital, estimat la peste 600 de miliarde de dolari la nivel global în 2023, conform rapoartelor IAB Europe. Aceste cookie-uri nu îți rețin preferințele. Îți construiesc un portret: ce citești, cât timp, de unde, cu ce frecvență, în ce ore, pe ce dispozitiv. Portretul acesta se vinde. Nu direct, nu cu numele tău pe el — dar se vinde.
„Vânzarea datelor" — unde este adevărul
Termenul circulă excesiv și imprecis. Merită clarificat, pentru că precizia juridică contează.
În Dreptul european, datele personale nu pot fi transferate ca un bun tranzacționabil, în afara unui temei legal valid și a unui scop specificat. GDPR nu interzice transferul datelor către terți, dar îl supune unor condiții stricte: informare, proporționalitate, limitare la scop. Operatorul nu îți vinde datele ca pe o marfă. Îți monetizează atenția și comportamentul, prin mecanisme tehnice mai subtile — segmentare publicitară, audiențe personalizate, licitații în timp real (real-time bidding).
Există afirmații care circulă în spațiul public — inclusiv cea referitoare la presupuse transferuri de date de localizare de la Uber către companii farmaceutice, în legătură cu clinici oncologice — care nu sunt susținute de dovezi publice solide și verificabile. Au existat investigații jurnalistice și controverse privind utilizarea datelor de localizare de către diverse platforme, dar mecanisme comerciale concrete de acest tip nu au fost confirmate factual în documente publice. Diferența dintre o practică discutabilă și o faptă documentată este tocmai distanța pe care un jurist nu își permite să o ignore.
Ceea ce este documentat și verificabil: utilizarea datelor agregate sau pseudonimizate în scopuri de publicitate direcționată, profilare și vânzare de audiențe — practici analizate extensiv de autorități precum CNIL (Franța), ICO (Marea Britanie) și ANSPDCP la nivel național.
Datele „sensibile" și inferența algoritmică
GDPR identifică o categorie specială de date care necesită protecție sporită: date privind sănătatea, viața sexuală, orientarea sexuală, convingerile religioase sau politice. Prelucrarea lor este, ca regulă, interzisă — cu excepții limitate și strict reglementate.
Problema nu este că platformele colectează explicit aceste date. Problema este că deduce aceste date sensibile din comportament, fără să le fi colectat explicit. Le reconstituie din indicii indirecte.
Un algoritm care știe că accesezi anumite platforme de dating, la anumite ore, din anumite locații, și corelează aceste informații cu alte semnale comportamentale, poate ajunge la concluzii care ating zona datelor sensibile — fără să fi colectat vreodată o singură valoare explicit protejată. Aceasta este zona gri în care Dreptul european se confruntă cu limitele propriei arhitecturi.
Ce rămâne după clic
Alegerea dintre „accept all" și „accept only necessary" nu este o chestiune de preferință personală. Este măsura exactă a expunerii pe care utilizatorul o acceptă — conștient sau nu.
Cadrul legal există. Este sofisticat, în continuă evoluție și, comparativ cu alte jurisdicții, printre cele mai protectoare din lume. Problema nu este absența regulilor. Problema este că aceste reguli funcționează pe un fundament fragil: consimțământul informat al unui utilizator care nu citește, nu înțelege și, uneori, nici nu are o alternativă reală de refuz.
Iar un consimțământ dat fără înțelegere reală nu este consimțământ. Este, în cel mai bun caz, o formalitate de care companiile se folosesc pentru a evita sancțiunile.
Urmăriți Republica pe Google News
Urmăriți Republica pe Threads
Urmăriți Republica pe canalul de WhatsApp
Alătură-te comunității noastre. Scrie bine și argumentat și poți fi unul dintre editorialiștii platformei noastre.