Dreptul de a cunoaște identitatea reală a destinatarilor cărora datele personale au fost sau vor fi dezvăluite (C-154/21 Österreichische Post) și potențialele limitări în contextul dezvoltării sistemelor de inteligență artificială
13 februarie 2023 | Monica CALU
Monica Calu
Costurile încălcării Regulamentului General Privind Protecția Datelor din Europa, pe scurt, RGPD (sau GDPR – General Data Protection Regulation), au crescut an de an, iar BigTech, marile companii de tehnologie, sunt cele care au primit cea mai însemnată parte din miliardele de euro amenzi percepute de agențiile de reglementare. De exemplu, numai în Irlanda, unde se află sediile europene ale marilor companii precum Google, Apple și Facebook, investigațiile comisarilor au condus la amenzi de mare valoare, cum ar fi 265 de milioane de euro datorate de Facebook în noiembrie pentru un incident privind încălcarea confidențialității datelor. Sancțiunea este rezultatul unei investigații începute în aprilie 2021 legată de descoperirea unui set de date personale colectate de Facebook și care se scurseseră în mediul online. Cea mai mare amendă unică de anul trecut a fost de 405 milioane de euro și a fost impusă tot de autoritatea irlandeză pentru protecția datelor în septembrie anul trecut împotriva grupului de social media Meta (Facebook) pentru multiplele sale presupuse eșecuri de a proteja datele personale ale copiilor. La vremea respectivă, Instagram a spus că va contesta decizia și modul în care s-a calculat valoarea amenzii.
Cu toate acestea, pe rolul instanțelor de judecată din numeroase state membre încă se află cazuri ale căror soluționări ar trebui să conducă la o mai bună protecție a datelor cu caracter personal ale cetățenilor europeni. Astfel, la mijlocul lunii ianuarie 2023, Curtea de Justiție a Uniunii Europene, în cauza C-154/21[i] „Trimitere preliminară – Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal – Regulamentul (UE) 2016/679 – Articolul 15 alineatul (1) litera (c) – Dreptul de acces al persoanei vizate la datele sale – Informații cu privire la destinatarii sau categoriile de destinatari cărora datele cu caracter personal le‑au fost sau urmează să le fie divulgate – Restrângeri”, vizând Österreichische Post, a răspuns la o întrebare cu privire la unul dintre aceste drepturi, și anume dreptul de acces.
Regulamentul General privind Protecția Datelor (RGPD) oferă persoanelor (ca subiecți ai datelor cu caracter personal) o serie de drepturi. Acestea sunt enumerate în capitolul III din RGPD și includ, printre altele, dreptul de a fi informat despre procesarea datelor cu caracter personal (articolele 13 și 14 din RGPD), dreptul de acces (articolul 15 din RGPD), dreptul la rectificare (Articolul 16 din RGPD), dreptul la ștergerea datelor (articolul 17 din RGPD) și așa mai departe.
Așa cum se menționează în art. 15, persoana vizată are dreptul de a obține din partea operatorului o confirmare că se prelucrează sau nu date cu caracter personal care o privesc și, în caz afirmativ, acces la datele respective și la următoarele informații: „(…)
(c) destinatarii sau categoriile de destinatari cărora datele cu caracter personal le-au fost sau urmează să le fie divulgate, în special destinatari din țări terțe sau organizații internaționale.”
Cu privire la litigiul principal, la 15 ianuarie 2019, RW s‑a adresat societății Österreichische Post pentru a obține, în temeiul articolului 15 din RGPD, accesul la datele cu caracter personal care îl priveau și care erau sau fuseseră păstrate în trecut de aceasta, iar în cazul în care datele respective fuseseră divulgate către terți, identitatea acestor destinatari. Ca răspuns la această cerere, Österreichische Post s‑a limitat să indice că utilizează date, în măsura autorizată de lege, în cadrul activității sale de editor al anuarelor telefonice și că propune aceste date cu caracter personal unor parteneri comerciali în scopuri de marketing. În plus, ea a făcut trimitere la un site internet pentru mai multe informații și privind alte scopuri de prelucrare a datelor. Ea nu i‑a comunicat lui RW identitatea destinatarilor concreți ai datelor. (para. 17, 18).
RW a chemat societatea Österreichische Post în judecată în fața instanțelor austriece, solicitând obligarea acesteia din urmă să îi furnizeze, printre altele, identitatea destinatarului sau a destinatarilor datelor sale cu caracter personal astfel divulgate. În cursul procedurii judiciare astfel inițiate, Österreichische Post l‑a informat pe RW că datele sale cu caracter personal fuseseră prelucrate în scopuri de marketing și fuseseră transmise unor clienți, printre care agenți de publicitate în sectorul vânzării prin corespondență și al comerțului fizic, întreprinderi informatice, editori de adrese și asociații, precum organizații caritabile, organizații neguvernamentale (ONG) sau partide politice, dar nu a dezvăluit identitatea reală a destinatarilor cărora le-a dezvăluit datele personale (para. 20).
În cadrul recursului pe care l-a făcut RW la Oberster Gerichtshof (Curtea Supremă, Austria), instanța de trimitere a ridicat problema interpretării articolului 15 alineatul (1) litera (c) din RGPD, întrucât modul de redactare a acestei dispoziții nu ar permite să se stabilească în mod clar dacă ea acordă persoanei vizate dreptul de a avea acces la informațiile referitoare la destinatarii concreți ai datelor divulgate sau dacă operatorul dispune de o alegere discreționară în ceea ce privește modul în care înțelege să dea curs unei cereri de acces la informațiile referitoare la destinatari.
Într-adevăr, la aplicarea articolului 15 alineatul (1) din RGPD în practică apar îndoieli în ceea privește interpretarea. Principala întrebare este dacă este necesar să se dea informații despre destinatarii particulari ai datelor sau ar fi suficient să se informeze despre categoriile generale ale acestor destinatari? Îndoielil similare apar în contextul articolelor 13 (1E) și 14 (1E) ale RGPD, care obligă operatorul, ca parte a obligațiilor sale de informare efectuate la momentul colectării datelor, să informeze despre „destinatarii sau categoriile de destinatari a datelor personale, dacă există”.
În opinia Curții, articolul 15 alineatul (1) din RGPD oferă dreptul de a fi informat despre destinatarii specifici ai datelor cu caracter personal și, prin urmare, să le cunoască identitatea reală. Curtea citează mai multe argumente în acest sens:
(1) Persoanei vizate ar trebui să li se garanteze dreptul de a cunoaște și de a fi informați despre procesarea datelor lor personale, în special despre destinatarii cărora sunt disponibile datele. Acest lucru este accentuat în recitalul 63 al RGPD, care, trebuie menționat, nu se referă la dreptul la informații despre „categorii de destinatari de date”, ci, în general, la dreptul la informații despre „destinatarii datelor cu caracter personal” (para. 33)
(2) Operatorul trebuie să proceseze datele cu caracter personal în conformitate cu principiul transparenței, care din perspectiva persoanei vizate înseamnă că informațiile despre modul în care datele sale personale sunt procesate ar trebui să fie ușor accesibile și inteligibile (para. 35).
(3) „Articolul 15 din RGPD prezintă un drept autentic de acces la persoana vizată, cu rezultatul că persoana vizată trebuie să aibă opțiunea de a obține fie informații despre destinatarii specifici cărora le -au fost sau vor fi dezvăluite datele , acolo unde este posibil, sau informații despre categoriile de destinatar.” (para. 36).
(4) În al patrulea rând, Curtea a statuat deja că exercitarea acestui drept de acces trebuie să permită persoanei vizate să verifice nu numai că datele care o privesc sunt exacte, ci și că ele sunt prelucrate în mod legal (…), în special că au fost divulgate unor destinatari autorizați. Dreptul de acces este adesea exercitat pentru a verifica exactitatea datelor sau legalitatea procesării. În acest sens, dreptul de acces determină frecvent acțiuni suplimentare ale subiectului de date, adică exercitarea altor drepturi în cadrul RGPD, de ex. dreptul de a șterge sau dreptul de a obiecta la procesare. Prin urmare, exercițiul complet și diligent al dreptului de acces este esențial pentru a garanta eficacitatea drepturilor subiectului de date (paragraful 38).
Cu toate acestea, CJUE a reamintit că dreptul la protecția datelor cu caracter personal nu este un drept absolut, ci este supus limitărilor. Operatorul, în ciuda unei solicitări exprese din partea persoanei vizate, nu trebuie să furnizeze informații despre identitatea destinatarilor datelor, dacă „în împrejurări specifice” nu este posibil să se furnizeze informații despre destinatarii specifici . Cu toate acestea, ceea ce lipsește acestei hotărâri a Curții este o clarificare a ceea ce sunt „împrejurările speciale” care ar justifica refuzul de a dezvălui identitatea destinatarilor. (paragraful 48). În lipsa acestor elemente, nu putem decât să presupunem că este vorba despre cazul în care este imposibil să se identifice acești destinatari sau a cazului în care operatorul menționat demonstrează că cererile de acces ale persoanei vizate sunt în mod vădit nefondate sau excesive, în sensul articolului 12 alineatul (5) din RGPD, cazuri în care acesta îi poate indica acestei persoane numai categoriile de destinatari în cauză, așa cum se menționează la articolul 12 (5b) RGPD.
Prin urmare, se poate admite ca, în „împrejurări specifice”, să nu fie posibil să se furnizeze informații cu privire la destinatari concreți. Prin urmare, dreptul de acces va putea fi restrâns la informarea privind categoriile de destinatari dacă este imposibil să se comunice identitatea destinatarilor concreți, mai ales atunci când aceștia nu sunt cunoscuți încă.
În practică, acest lucru înseamnă că fiecare cerere de acces la datele personale va trebui analizată cu atenție. Cu siguranță, este mai ușor pentru operatori să furnizeze informații generale despre categoriile de destinatari, mai degrabă decât informații specifice despre identitatea destinatarilor. Pentru operatorii de seturi mari de date, care împărtășesc date cu multe entități și primesc multe solicitări de acces la date, o examinare detaliată a fluxurilor de date poate fi greoaie. Cu toate acestea, o astfel de interpretare nu ar putea a fi acceptabilă, mai ales dacă ne referim la protecția consumatorilor și în special a consumatorilor de servicii financiare.
Deși se poate spune că prin Hotărârea din Cauza C-154/21 Curtea a oferit o umbrelă de protecție pentru persoanele vizate, obligând operatorii să fie mai preciși, mai transparenți în procesarea datelor și să ofere informații fiabile și complete acestora, totuși nu rezolvă problema controlului accesului la datele furnizate marilor beneficiari, adică cei implicați în crearea sistemelor de inteligență artificială, a celor care ocupă în mod deosebit de crearea de profiluri ale consumatorilor pe baza fluxurilor de date financiare, care s-ar putea prevala de ”împrejurările specifice” în care prelucrează volume imense de date cu caracter personal.
Hotărârea din cauza C-154/21 este totuși un semnal bun pentru persoanele vizate de prelucrarea datelor cu caracter personal, în special consumatorii de diverse servicii online, deoarece oferă motive clare pentru a solicita informații detaliate despre procesarea acestor date. În domenii precum protecția consumatorilor de servicii financiare, dreptul de acces al persoanei vizate trebuie însă luat în considerare nu singular, ci corelat, în circumstanțe speciale, cu dreptul de a fi uitat care prezintă interes pentru consumatorii care încheie asigurări de viață (cu care să garanteze credite) sau de sănătate, atunci când au fost diagnosticați și tratați cu o formă de cancer.
Dacă ne gândim la faptul că pe masa legislatorilor europeni acum se află Regulamentul privind inteligența artificială[ii], iar sistemele de inteligență artificială, pe scurt, IA (sau AI – Artificial Intelligence) sunt dezvoltate și distribuite prin lanțuri valorice complexe, este deosebit de important ca prin acest act să se clarifice relația dintre responsabilitățile în temeiul Actului privind IA și responsabilitățile care există deja în temeiul altor acte legislative, cum ar fi legislația relevantă a Uniunii privind protecția datelor (RGPD) sau legislația sectorială, inclusiv în ceea ce privește sectorul serviciilor financiare.
Legislația existentă în domeniul protecției datelor, în special RGPD, joacă un rol important în reglementarea IA, cu toate acestea, RGPD nu oferă o protecție suficientă într-un context IA. Drepturile cheie pentru consumatori, cum ar fi dreptul de a contesta o decizie algoritmică, dreptul de a face o plângere împotriva unui operator sau distribuitor de servicii online nu ar trebui să depindă de procesarea datelor cu caracter personal, tot așa cum autonomia de decizie și liberul arbitru al consumatorilor, confidențialitatea ar trebui garantate, fără a exista neclarități care regulament este aplicabil într-o situație sau împrejurare specială.
[i] Disponibil aici
[ii] Propunere de Regulament al Parlamentului European și al Consiliului de stabilire a unor norme armonizate privind inteligența artificială (Legea privind Inteligența Artificială) și de modificare a anumitor acte legislative ale Uniunii, Com/2021/206 final
Monica Calu, Președinte Asociația Consumers United/Consumatorii Uniți
