Considerente practice privind lista EIPD publicată de ANSPDCP
6 decembrie 2018 | Monica IANCU, Andra TURTOI
Monica Iancu
Andra Turtoi
Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (“ANSPDCP”) a emis în data de 18 octombrie 2018 Decizia nr. 174 privind lista operațiunilor pentru care este obligatorie realizarea evaluării impactului asupra protecției datelor cu caracter personal (“EIPD”) (“Decizia EIPD”). Decizia EIPD a fost publicată după finalizarea împreună cu Comitetul european pentru protecția datelor (”CEPD”) a mecanismului pentru asigurarea coerenței, conform articolului 64 din Regulamentul general privind protecția datelor (“RGPD”).
Am analizat pe scurt situațiile care, conform Deciziei EIPD, impun efectuarea unei EIPD (Secțiunea A), în continuare am formulat o serie de comentarii cu privire la alte situații potențiale (Secțiunea B) înainte de a formula câteva concluzii (Secțiunea C).
A. Cazurile pentru care este obligatorie realizarea EIPD conform Deciziei EIPD
Potrivit Deciziei EIPD, există 7 (șapte) categorii de situații în care trebuie efectuată o EIPD. Aceste cazuri se referă la [sublinierea noastră]:
(a) prelucrarea datelor cu caracter personal în vederea realizării unei evaluări sistematice și cuprinzătoare a aspectelor personale referitoare la persoane fizice, care se bazează pe prelucrarea automată, inclusiv crearea de profiluri, și care stă la baza unor decizii care produc efecte juridice privind persoana fizică sau care o afectează în mod similar într-o măsură semnificativă
(b) prelucrarea pe scară largă a datelor cu caracter personal privind originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenența la sindicate, a datelor genetice, a datelor biometrie pentru identificarea unică a unei persoane fizice, a datelor privind sănătatea, viața sexuală sau orientarea sexuală ale unei persoane fizice sau a datelor cu caracter personal referitoare la condamnări penale și infracțiuni;
(c) prelucrarea datelor cu caracter personal având ca scop monitorizarea sistematică pe scară largă a unei zone accesibile publicului, cum ar fi supravegherea video în centre comerciale, stadioane, piețe, parcuri sau alte asemenea spații.
Dispozițiile de mai sus reprezintă o simplă preluare a prevederilor RGPD, respectiv ale articolului 35 alin. (3) literele a)-c) și, prin urmare, nu au un caracter specific, deși ar fi fost de așteptat o listă mai explicită a unor situații particulare.
Singura completare adusă de ANSPDCP este definirea, cu titlu exemplificativ, a monitorizării sistematice pe scară largă a zonelor accesibile publicului menționată la litera c).
(d) prelucrarea pe scară largă a datelor cu caracter personal ale persoanelor vulnerabile, în special ale minorilor și ale angajaților, prin mijloace automate de monitorizare și/sau înregistrare sistematică a comportamentului, inclusiv în vederea desfășurării activităților de reclamă, marketing și publicitate.
Cazul de mai sus pare a se referi la trei dintre criteriile stabilite de Grupul de lucru pentru protecția datelor instituit în temeiul Articolului 29 în Orientările său privind evaluarea impactului asupra protecției datelor (EIPD) și pentru a se stabili dacă prelucrarea este “susceptibilă să genereze un risc ridicat” în înțelesul Regulamentului 2016/679 (“Orientările EIPD”)[1], în timp ce recomandarea Grupului de lucru ”Articolul 29” este că în general cel puțin două criterii trebuie îndeplinite pentru a fi necesară efectuarea unei EIPD. În consecință, în contextul Deciziei EIPD se ridică întrebarea dacă, de exemplu, prelucrarea pe scară largă a datelor cu caracter personal ale persoanelor vulnerabile impune necesitatea unei EIPD chiar dacă aceasta nu se efectuează prin mijloace automate de monitorizare sau înregistrare sistematică. În lumina Orientărilor EIPD, răspunsul este afirmativ.
(e) prelucrarea pe scară largă a datelor cu caracter personal prin utilizarea inovatoare sau implementarea unor tehnologii noi, în special în cazul în care operațiunile respective limitează capacitatea persoanelor vizate de a-și exercita drepturile, cum ar fi utilizarea tehnicilor de recunoaștere facială în vederea facilitării accesului în diferite spații;
(f) prelucrarea pe scară largă a datelor generate de dispozitive cu senzori care transmit date prin internet sau prin alte mijloace (aplicații „Internetul lucrurilor”, cum ar fi smart TV, vehicule conectate, contoare inteligente, jucării inteligente, orașe inteligente sau alte asemenea aplicații);
Ca și în cazul dispozițiilor prevăzute la litera d), și prevederile menționate la litera e) și f) au la bază tot criteriul prelucrării pe scară largă[2]; în plus, prelucrarea trebuie să se refere la activități sau dispozitive care sunt intrusive într-o anumită măsură. Cele două cazuri par a se suprapune (ambele fiind concentrate asupra acelorași două criterii); cu toate acestea, ele oferă informații utile asupra a ceea ce ANSPDCP pare să considere a cădea sub incidența conceptului de tehnologii noi.
(g) prelucrarea pe scară largă și/sau sistematică a datelor de trafic și/sau de localizare a persoanelor fizice (cum ar fi monitorizarea prin Wi-Fi, prelucrarea datelor de localizare geografică a pasagerilor în transportul public sau alte asemenea situații) atunci când prelucrarea nu este necesară pentru prestarea unui serviciu solicitat de persoana vizată.
ANSPDCP pare să pună un accent deosebit pe criteriul referitor la prelucrarea pe scară largă, având în vedere că toate noile cazuri prevăzute în Decizia EIPD, respectiv cele de la litera (d) la litera g), fac referire la acesta (în mod alternativ cu prelucrarea sistematică prevăzută la litera (g)). În acest fel, ANSPDCP pare să stabilească un element de referință cu ajutorul căruia operatorii de date sunt îndrumați să evalueze în primul rând dacă operațiunile de prelucrare pe care le efectuează cad sau nu sub incidența criteriului de prelucrare pe scară largă.
B. Există și alte situații care impun necesitatea unei EIPD?
Decizia EIPD cuprinde o listă care nu este exhaustivă și care doar include exemple de situații considerate de ANSPDCP că atrag obligația efectuării unei EIPD. În consecință, și alte activități de prelucrare ar putea impune necesitatea efectuării unei EIPD.
Prin urmare, Decizia EIPD nu îi scutește pe operatorii de date de efortul de a aprecia nevoia de a efectua o EIPD. Din această perspectivă, Orientările EIPD rămân un instrument nemijlocit pentru a stabili dacă activitățile de prelucrare pe care le întreprind sunt susceptibile să genereze un risc ridicat pentru drepturile și libertățile persoanelor fizice, și pe cale de consecință, dacă se impune necesitatea efectuării unei EIPD.
În conformitate cu Orientările EIPD, ca o regulă generală, dacă activitățile de prelucrare implică cel puțin două din cele nouă criterii, acestea vor face obiectul obligației EIPD: (1) evaluarea sau punctarea; (2) luarea de decizii în mod automat cu un efect juridic sau similar semnificativ; (3) monitorizare sistematică; (4) date sensibile sau date foarte personale; (5) date prelucrate pe scară largă; (6) corelarea sau combinarea seturilor de date; (7) date privind persoanele vizate vulnerabile; (8) utilizarea inovatoare sau aplicarea unor soluții tehnologice sau organizaționale noi; și (9) prelucrarea în sine împiedică persoanele fizice să-și exercite un drept sau să utilizeze un serviciu ori un contract.
Acest aspect este în acord cu Opinia nr. 19/2018 a Comitetului european pentru protecția datelor privind proiectul de listă a operațiunilor de prelucrare care fac obiectul cerinței de efectuare a unei evaluări a impactului asupra protecției datelor, întocmită de autoritatea competentă de supraveghere din România (“Opinia”)[3], care impune obligația ca toate listele naționale să clarifice faptul că nu sunt exhaustive și că au la bază și completează Orientările EIPD.
C. Câteva concluzii
Decizia EIPD este utilă având în vedere că stabilește un nivel indicativ (destul de ridicat de fapt) al percepției pe care ANSPDCP o are cu privire la intensitatea/ scara activităților de prelucrare care necesită o EIPD. Ar trebui, prin urmare, să reprezinte un instrument fiabil pentru a-i ajuta pe operatorii de date să știe la ce să se aștepte în cazul unor investigații legate de protecția datelor.
Decizia EIPD include, de asemenea, cu titlu exemplificativ, anumite cazuri specifice care în opinia autorității fac obiectul unei EIPD, ca de exemplu prelucrarea cu ajutorul unor dispozitive de recunoaștere facială; în acest sens, comparativ cu listele publicate de autoritățile altor State Membre, Decizia EIPD propune o cale de mijloc; nu este atât de specifică și utilă ca lista publicată de alte autorități, de exemplu, autoritatea din Franța[4] (de exemplu, pentru monitorizarea permanentă a activităților angajaților sunt oferite drept exemple dispozitivele de supraveghere cibernetică, precum cele folosite pentru efectuarea unei analize a fluxurilor de email transmise pentru identificarea posibilelor scurgeri de informații, cunoscute drept ”prevenirea pierderii datelor” și supravegherea video a angajaților care gestionează bani), nici nu este limitată doar la a relua criteriile menționate în Orientările EIPD, ca în cazul autorității din Irlanda[5].
Activitatea desfășurată de ANSPDCP anterior adoptării RGPD nu trebuie nici ea ignorată. Într-adevăr, se pare că există o suprapunere relevantă între activitățile de prelucrare pentru care ANSPDCP solicita notificarea în perioada care precedă RGPD (astfel cum rezultă din Decizia nr. 200 din 4 decembrie 2015 privind stabilirea cazurilor de prelucrare a datelor cu caracter personal pentru care nu este necesară notificarea, în prezent aborgată) și cele pentru care este necesară o EIPD în conformitate cu RGPD.
Deși RGPD a fost deseori comparat cu o revoluție datorită noutății conceptelor pe care le prevede, apreciem că poate fi confortabilă o abordare bazată într-o oarecare măsură pe trecut în vederea pregătirii mai bune pentru viitor.
[1] Disponibil aici.
[2] Definit de Grupul de Lucru ”Articolul 29” în Ghidul privind responsabilul cu protecția datelor, disponibil aici;
[3] Disponibilă aici.
[4] Disponibilă aici;
[5] Disponibilă aici.
Av. Monica Iancu
Partener BONDOC ȘI ASOCIAȚII
Andra Turtoi
Associate BONDOC ȘI ASOCIAȚII
