Autoritatea de supraveghere din România (A.N.S.P.D.C.P.) începe presiunea pe conformarea la GDPR: publică spre consultare activitățile care necesită DPIA

 

Dacă, până la acest moment, în România recomandările Autorității de supraveghere nu au fost prea dese, legislația națională ce cuprinde măsuri naționale de implementare și ghidaj specific pentru operatorii economici din România începe să prindă tot mai mult contur.

Începerea conformării la prevederile Regulamentului (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date („Regulamentul general privind protecția datelor” sau „GDPR”) consta în analiza proceselor de business și identificarea acelora care pot ridica un risc semnificativ. De exemplu, în activitatea de marketing și publicitate, activitățile de marketing direct decise pe baza unor criterii automate pe baza evaluării unor aplicații informatice, numită generic în limba engleză „data driven marketing” pot afecta direct drepturile consumatorului sau utilizatorului de serviciu, mai ales atunci când sunt desfășurate la scară largă, întrucât sunt combinate informații colectate din surse diferite, ce includ și o activitate de scoring.

Astfel de evaluări se pot efectua relativ ușor de echipele operaționale din business împreună cu experții/consultanții de GDPR. Voicu Filipescu lucrează proiectele de conformare „end to end” la cerințele GDPR pentru clienții săi în echipa mixtă, ce include specialiști în securitate cibernetică și consultanți în managementul proceselor operaționale. Echipa de Data Protection a Voicu Filipescu este condusă de Marta Popa, partener senior și include încă cel puțin 3 avocați specializați, la nivel senior, middle si junior.

Într-un demers menit să aducă mai multă claritate asupra cazurilor ce necesită DPIA, Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (A.N.S.P.D.C.P.) a publicat la 1.10.2018 pe pagina proprie (www.dataprotection.ro) un proiect de Decizie cu privire la operațiunile pentru care este necesară realizarea evaluării impactului asupra protecției datelor. La acest moment, putem vorbi numai despre un proiect de Decizie (respectiv de o listă propusă privind operațiunile de prelucrare date personale care necesită realizarea evaluării de impact). Draftul de decizie va parcurge întreaga procedură legislativă prevazută de Legea nr. 52/2003 privind transparența decizională, proces finalizat cu publicarea în Monitorul Oficial al României, va intra în vigoare la momentul publicării, estimată către sfârșitul lunii octombrie 2018.

1. Un demers ce trebuie să țină seama de recomandările Comitetului European al Protecției Datelor

Demersul autorității din România se înscrie într-o acțiune coordonată de Comitetul European al Protecției Datelor (EDPB), care a analizat până la finalul lunii septembrie 2018 listele propuse de 22 autorități naționale din state-membre ale Uniunii Europene. Acțiunea are în vedere lista propusă de fiecare stat a operațiunilor de prelucrare care necesită evaluarea impactului asupra protecției datelor cu caracter personal (DPIA).

Reamintim că, potrivit Articolului 35 (1) din Regulamentul general privind protecția datelor, DPIA este necesară atunci când un tip de activitate de procesare a datelor personale este susceptibil să genereze un risc ridicat pentru drepturile și libertățile persoanelor fizice. DPIA trebuie efectuat înaintea prelucrării. Articolul 35 (4) din Regulamentul general privind protecția datelor prevede ca autoritățile de supraveghere întocmesc și publică o listă a tipurilor de operațiuni de prelucrare care fac obiectul cerinței de efectuare a DPIA, pe care le comunică EDPB.

2. Recomandările Autorității de Supraveghere din România

Potrivit recomandărilor emise de EDPB către autoritatea din România la data de 25.09.2018, enumerarea cuprinsă în lista propusă privind operațiunile pentru care este necesară realizarea DPIA trebuie să aibă caracter indicativ (nu exhaustiv). De asemenea, EDPB a recomandat autorității din România să adauge la Decizie o declarație care sa clarifice faptul că lista are la baza Instrucțiunile 248 rev.01 emise de fostul Grup de Lucru al Articolului 29 în domeniul protecției datelor personale (Working Party 29 sau WP29) referitoare la DPIA și că are rolul de a completa și a detalia Instrucțiunile.

Astfel, potrivit listei propuse de A.N.S.P.D.C.P., următoarele operațiuni necesită evaluarea impactului asupra protecției datelor cu caracter personal de către operatori în conformitate cu GDPR:

  • prelucrarea datelor cu caracter personal în vederea realizării unei evaluări sistematice și cuprinzătoare a aspectelor personale referitoare la persoane fizice, care se bazează pe prelucrarea automată, inclusiv crearea de profiluri, și care stă la baza unor decizii care produc efecte juridice privind persoana fizică sau care o afectează în mod similar într-o măsură semnificativă;
  • prelucrarea pe scară largă a datelor cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenența la sindicate, a datelor genetice, a datelor biometrice pentru identificarea unică a unei persoane fizice, a datelor privind sănătatea, viața sexuală sau orientarea sexuală ale unei persoane fizice sau a datelor cu caracter personal referitoare la condamnări penale și infracțiuni;
  • prelucrarea datelor cu caracter personal având ca scop monitorizarea sistematică pe scara largă a unei zone accesibile publicului, cum ar fi supravegherea video în zone publice, precum cai de acces, piețe, parcuri sau alte asemenea spații;
  • prelucrarea pe scară largă a datelor cu caracter personal ale persoanelor vulnerabile, în special ale minorilor, prin mijloace automate de monitorizare și/sau înregistrare sistematică a comportamentului, inclusiv în vederea desfășurării activităților de reclamă, marketing și publicitate;
  • prelucrarea pe scară largă a datelor cu caracter personal prin utilizarea inovatoare sau implementarea unor soluții tehnologice automate noi, în special în cazul în care operațiunile respective limitează capacitatea persoanelor vizate de a-și exercita drepturile, cum ar fi utilizarea tehnicilor de recunoaștere facială în vederea facilitării accesului în diferite spații;
  • prelucrarea pe scară largă a datelor generate prin intermediul dispozitivelor cu senzori care transmit date prin Internet sau alte mijloace (aplicații „Internetul lucrurilor” cum ar fi smart TV, vehicule conectate, contoare inteligente, jucării inteligente, orașe inteligente sau alte asemenea aplicații) în scopuri precum evaluarea situației economice, a stării de sănătate, a preferințelor sau intereselor personale, a solvabilității sau comportamentului, localizarea geografică a persoanelor vizate;
  • prelucrarea pe scară largă și/sau sistematică a datelor de telefonie, de internet sau a altor date de comunicare, a metadatelor sau a datelor de localizare sau urmărire a persoanelor fizice (cum ar fi urmărirea prin Wi-Fi, prelucrarea datelor de localizare geografică a pasagerilor în transportul public sau alte asemenea situații) atunci când prelucrarea nu este necesară pentru prestarea unui serviciu solicitat de persoana vizată.

În privința listei propuse de A.N.S.P.D.C.P., în cadrul opiniei emise la 25.09.2018, EDPD a mai formulat următoarele poziții și recomandări:

  • Monitorizarea angajaților – EDPB este de părere că DPIA ar putea fi necesar în această situație. Având în vedere că autoritatea de supraveghere din România a inclus deja pe lista sa aceste activități, EDPB recomandă includerea unei referințe explicite la Instrucțiunile 248 rev.01 emise de WP29 cât privește prelucrarea datelor persoanelor vulnerabile și monitorizarea sistematică de date, considerând că analiza trebuie efectuată în acest cadru. Observăm că, deși menționată în opinia din 25.09.2018 a EDPD la capitolul “Analiza a listei propuse”, monitorizarea angajaților nu este prevazută ca atare în lista emisa de A.N.S.P.D.C.P., însă ea se poate regăsi în operațiunile cuprinse  la litera a), d), e) sau f) ale proiectului de Decizie.
  • Prelucrarea datelor biometrice – EDPB confirmă propunerea autorității naționale pentru aceasta situație, considerând că procesarea datelor biometrice în vederea identificării în mod unic a unei persoane fizice, realizată în conjuncție cu cel puțin unul din celelalte criterii ce determină necesitatea DPIA conform Instrucțiunilor 248 rev.01, este consistentă și cu alte propuneri ale celorlalte autorități naționale.
  • Prelucrarea datelor genetice – EDPB confirmă propunerea autorității naționale, considerând că procesarea datelor genetice, dacă este realizată în conjuncție cu unul din celelalte criterii ce determină necesitatea DPIA conform Instrucțiunilor 248 rev.01, va necesita DPIA.

După cum chiar EDPB precizează, rolul opiniilor EDPB nu este de a impune o lista unică de prelucrări care necesită DPIA. Mai degrabă, se intenționează stabilirea unei abordări armonizate și consistente în toate statele-membre ale UE pentru evitarea inconsistențelor ce pot afecta protecția în mod echivalent a persoanelor vizate în aceste state și libertatea de mișcare în Uniune.

Potrivit procedurii de colaborare între autoritățile naționale și EDPB, autoritatea din România (cât și alte autorități naționale cărora li s-au transmis recomandări) va trimite poziția sa finală asupra listei în termen de 2 săptămani (așadar, în jurul datei de 15 octombrie 2018), urmând fie să amendeze lista propusă fie să o mențină în forma inițială (precizând motivele relevante). Rămâne de văzut care va fi poziția finală a României față de recomandările EDPB și ale societății civile, însă, având în vedere caracterul relativ minimal al recomandărilor, este de așteptat că autoritatea națională să le implementeze.

3. Concluzii

Acțiunea autorității naționale evidențiază clar necesitatea finalizării proceselor de evaluare a proceselor de business ale operatorilor economici, identificarea acelor procese unde riscul poate să fie semnificativ și unde cel puțin două din criteriile enumerate de autoritate sunt îndeplinite.

Neefectuarea unor analize serioase de tip DPIA poate duce la întreruperea activității operaționale (de prelucrare a datelor personale ale clienților, ceea ce, în funcție de specificul activității poate determina încetarea totală a operațiunilor companiei) și, desigur, la aplicarea de amenzi din partea Autorității de Supraveghere. Avem deja exemple concrete în regiunea Europei Centrale și de Est unde amenzile încep să apară. Astfel, Autoritatea de Supraveghere din Austria (DSB) a sancționat de curând un antreprenor local pentru o activitate de monitorizare video necorespunzătoare (ce includea parțial și o porțiune de trotuar considerată spațiu public și nu era marcată corespunzator). Autoritatea din Austria a aplicat o amendă de 4.800 euro, raportând-o și la dimensiunea organizației controlate.

 

Articolul poate fi citit aici: Articol Marta Popa