Secţiuni » Articole
Articole autoriRNSJESSENTIALSStudiiOpiniiInterviuriPovestim cărţi
Opinii
PLATINUM+ PLATINUM Signature     

PLATINUM ACADEMIC
GOLD                       

VIDEO STANDARD
BASIC





Particularități legate de prelucrarea seturilor mixte de date (cu sau fără caracter personal)
26.06.2020 | Oana CHIOSEA

JURIDICE - In Law We Trust
Oana Chiosea

Oana Chiosea

Subiectul protectiei datelor a capatat importanta majora, devenind consacrat in viziunea noastra – fie ca suntem profesionisti sau persoane fizice vizate de prelucrari si ocrotite de lege – incepand cu data de 25 mai 2018, odata cu intrarea in vigoare a Regulamentului General privind Protectia Datelor cu Caracter personal sau cum este denumit generic – “GDPR”, al carui scop principal a fost sa instituie sanctiuni mai dure pentru operatorii care nu respecta principiile de prelucrare a datelor cu caracter personal – marea majoritate deja stabilite in vechea legislatie.

Seturi de date prelucrate

In economia actuala a datelor, cele mai intalnite informatii uzitate in activitatea de zi cu zi a operatorilor care conduc si administreaza o afacere la nivel national/european/international nu sunt cele personale, ci asa-zisele date fara caracter personal, ce nu sunt atat de populare prin comparatie.

Ce reprezinta datele cu caracter personal? Prin date cu caracter personal legiuitorul intelege orice informatii privind o persoana fizica identificata sau identificabila; o persoana fizica identificabila este o persoana care poate fi identificata, direct sau indirect, in special prin referire la un element de identificare, cum ar fi un nume, un numar de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identitatii sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale[1].

Pentru a determina in ce masura o persoana fizica este identificabila, trebuie avut in vedere, de o maniera rezonabila, toti factorii obiectivi si mijloacele disponibile pentru identificarea persoanei fizice, precum costurile si intervalul de timp necesare pentru identificare, tinandu-se seama atat de tehnologia disponibila la momentul prelucrarii, cat si de dezvoltarea tehnologica a operatorului de date[2].

Datele fara caracter personal se diferentiaza de datele personale definite supra prin faptul ca: (i) fie nu provin de la sau nu sunt legate de existenta unei persoane fizice identificate sau identificabile (ca de exemplu datele tehnice ale unui echipament, datele meteo, etc.), (ii) fie, desi au fost la origine date cu caracter personal, in prezent sunt anonimizate (de ex. datele cu caracter personal apartinand clientilor unei banci au fost anonimizate in core system-ul acesteia dupa implinirea termenului de retentie impus de legislatia privind prevenirea si combaterea spalarii banilor si a finantarii terorismului).

Un subiect de interes in practica operatorilor tine de posibila clasificare ca date personale a datelor apartinand entitatilor juridice. In concret, ca regula, atunci cind prelucam datele de identificare sau contact ale unei societati (ex. denumire, numar de telefon, adresa de e-mail, adresa, etc.), in principiu, nu suntem supusi regulilor impuse de Regulamentul general privind protectia datelor (GDPR) deoarece acestea nu intra in categoria datelor cu caracter personal.

Cu toate acestea, in cazul in care prin prelucrarea informatiilor ce tin de persoana juridica/persoana fizica autorizata/independenta, etc. putem identifica persoana fizica care o detine/administreaza, atunci trebuie sa respectam cerintele in materie de protectia si securitatea datelor cu caracter personal[3] la fel ca pentru personale fizice (de ex. in cazul unui Cabinet de avocat denumit “Ion Popescu – Cabinet de avocat” se poate identifica cu usurinta persoana fizica avocat titular al cabinetului).

Revenind la discutia initiala, o problema des intalnita in practica este aceea a clarificarii regimului juridic aplicate bazelor/seturilor de date mixte compuse atat din date cu caracter personal, cat si din date fara caracter personal.

Care este definitia seturilor de date mixte si cum le putem identifica? Acestea constituie marea majoritate a bazelor de date utilizate in economia globala a datelor si sunt larg raspandite datorita evolutiilor tehnologice, cum ar fi internetul lucrurilor, inteligenta artificiala si tehnologiile care permit analiza volumelor mari de date.

Dupa cum rezulta din Orientarile Comisiei Europene referitoare la Regulamentul privind un cadru pentru libera circulatie a datelor fara caracter personal in Uniunea Europeana din data de 29 mai 2019, constituie seturi de date mixte: (i) seturile de date de la o banca, in special cele care contin informatii referitoare la clientii si detaliile tranzactiilor efectuate, cum ar fi servicii de plata (carduri de credit si de debit), aplicatii de gestionare a relatiilor dintre parteneri si acorduri de imprumut, precum si documente care combina date referitoare atat la persoanele fizice, cat si la cele juridice; (ii) certificatele de atestare fiscala ale unei societati, care mentioneaza numele si numarul de telefon ale directorului general al societatii; (iii) datele statistice anonimizate ale unei institutii de cercetare si datele primare colectate initial, cum ar fi raspunsurile respondentilor individuali la intrebarile chestionarului statistic; (iv) baza de date a unei societati cu privire la problemele informatice si solutiile acestora, bazata pe rapoarte individuale privind incidentele informatice; (v) datele referitoare la internetul obiectelor, dintre care unele date permit formularea unor ipoteze cu privire la persoane identificabile (de exemplu, prezenta la o anumita adresa si modele de utilizare) si (vi) analiza datelor privind registrul de exploatare al echipamentelor de fabricatie din industria prelucratoare.

Reguli pentru prelucrarea seturilor mixte de date

In ceea ce priveste regulile de intocmire si gestionare a bazelor de date mixte de care trebuie sa tina cont intreprinderile in activitatea lor de zi cu zi, mentionam ca, la data de 18 noiembrie 2018, Parlamentul European si Consiliul au adoptat Regulamentul U.E. nr. 2018/1807 privind un cadrul pentru libera circulatie a datelor fara caracter personal in Uniunea Europeana (“Regulamentul pentru libera circulatie a datelor fara caracter personal”) tocmai pentru a nu limita schimburile de date fara caracter personal avand in vedere incertitudinea legata de conformarea prelucrararilor de date la cerintele impuse si sanctionate de GDPR.

Acest act normativ clarifica situatia juridica a seturilor de date mixte, stabilind ca in cazul unui set de date compus atat din date cu caracter personal, cat si din date fara caracter personal, Regulamentul pentru libera circulatie a datelor fara caracter personal se aplica exclusiv partii din setul de date fara caracter personal. In schimp, in cazul in care datele cu caracter personal si cele fara caracter personal dintr-un set de date sunt legate intre ele in mod indisolubil, se vor aplica regulile aplicabile prelucrarii de date cu caracter personal prin GDPR[4].

Din interpretarea intelesului termenului “indisolubil” utilizat in caracterizarea legaturii dintre datele prelucrate, ar rezulta ca aceasta relatie este atat de stransa/solida incat nu poate fi desfacuta sau, mai bine zis, datele care, teoretic, ar avea caracter nepersonal nu pot fi separate de persoana fizica identificata/indentificabila.

Cu titlu de exemplu, o situatie de acest tip poate surveni atunci cand o banca ofera un serviciu de banca la distanta (mobile banking) clientilor sai persoane juridice, prin intermediul unei aplicatii mobile.

In speta, desi marea majoritate a informatiilor stocate in aplicatie sunt referitoare la platile si incasarile facute de o persoana juridica, exista in lista tranzactiilor si date de identificare sau contact ale unor persoane fizice (administrator, reprezentant, clienti persoane fizice etc.). Din moment ce banca respectiva administreaza seturi de date mixte (i.e. extrase de cont) in cadrul aplicatiei mobile dedicate persoanelor juridice, pentru a se conforma cerintelor RGPR, nu poate aplica masuri de securitate (ex. criptarea comunicatiei, autentificare prin doi factori, parolare, etc.) doar partial pentru datele cu caracter personal inregistrate in aplicatie, ci se va raporta la tot suportul electronic de date, atat personale, cat si fara caracter personal (asa-zisele date financiare).

De cele mai multe ori, fie ca vorbim de clienti persoane vizate, fie ca avem in vedere proprii salariati, in practica, profesionistilor le este aproape imposibil sau, chiar daca este fezabil din punct de vedere tehnic, foarte costisitor sa separe in integralitate datele personale de cele fara caracter personal prin achizitionarea unor software-uri separate. De asemenea, volumul de munca pentru administrarea in acelasi scop a doua baze de date distincte se dubleaza.

Cu toate acestea, in cazul in care un operator doreste sa diferentieze, in cadrul cadrul aceleiasi baze de date electronice datele cu caracter personal de cele fara caracter personal, poate folosi un „tertip” tehnic de tipul urmator: datele fara caracter personal sunt prezentate in clar, insa cele cu caracter personal fie sunt anonimizate – caz in care se transforma in date nepersonale[5], fie sunt pseudonimizate – situatie in care se mentin ca date personale, carora li se aplica masura de securitate a pseudonimizarii. In orice caz, nu putem spune pana in prezent ca este posibila separarea completa a celor doua tipuri de date.

Din acest motiv, cea mai simpla varianta este ca, de regula, atunci cand administram un set de date mixt, sa-l gestionam in conformitate cu obligatiile impuse de Regulamentul general privind protectia datelor, cu respectarea drepturilor garantate de lege persoanelor vizate si a principiilor de prelucrare a datelor cu caracter personal.

Ce se intampla cu seturile de date mixte stocate in format material?

Avand in vedere ca Regulamentul pentru libera circulatie a datelor fara caracter personal prevede expres la art. 2 faptul ca regulile instituite in cadrul sau se refera doar la datele fara caracter personal prelucrate electronic, apare intrebarea cum clasificam stetul de date mixte stocat/printat in format material?

Consider ca raspunsul la acesta intrebare poate fi dat cu luarea in considerare a analogiei juridice (ubi eadem est ratio, eadem lex esse debet sau ubi eadem est ratio, ibi eadem solutio esse debet), bazandu-ma pe ideea ca exista aceleasi ratiune si aici ca in cazul prelucrarii electronice a bazelor de date, si anume legatura indisolubila dintre datele cu caracter presonal si cele fara caracter personal. Prin urmare, trebuie data aceeasi solutie, respectiv daca seturile de date sunt legate intre ele in mod indisolubil, se vor aplica regulile aplicabile prelucrarii de date cu caracter personal stabilite de GDPR.

Respectarea drepturilor persoanelor vizate

O analiza de interes are loc atunci cand intreprinderea primeste solicitari de exercitare drepturi garantate de RGPR, ce au ca obiect date cu caracter personal prelucrate in cadrul unui sitem mixt de date. Nu ma refer aici la acordarea dreptului la informare cu privire la modalitatea si scopurile prelucrarii, a dreptului la rectificare a datelor inexacte, a dreptului la restrictionarea prelucrarii atunci cand sunt aplicabile cazurile expres reglementate prin RGPR si de a se opune prelucrarii datelor personale din setul mixt de date atunci cand exista motive legate de situatia particulara a persoanei fizice care prevaleaza deoarece, de cele mai multe ori, acestea nu presupun o complexitate deosebita de restul operatiunilor de prelucrare.

In schimb, am in vedere o examinare mai detaliata a spetei ce trebuie realizata de operatorul de date atunci cand persoana vizata isi exercita dreptul de acces la datele sale personale, ce fac parte dintr-un set mixt de date.

De regula, seturile mixte de date contin informatii privind afacerea administrata, secrete comerciale, date financiar-contabile si asa mai departe.

Daca operatorul de date ar aplica ad literam prevederile art. 15 alin (3) din RGPR, care dispun ca „operatorul furnizeaza o copie a datelor cu caracter personal care fac obiectul prelucrarii”, atunci s-ar auto-expune pericolului de a dezvalui din secretele sale comerciale care, pana la urma, sunt rezultatul unui efort intelectual sau financiar propriu ce il distinge de concurenta, ceea ce n-ar fi corect.

Astfel, din punctul meu de vedere, in cazurile de acest tip, prevederile art. 15 alin. (3) RGPD nu acorda un drept de acces efectiv la documente in format fizic sau electronic, ci se interpreteaza in spiritul echitabil al legii, in sensul de a lua o decizie abia dupa efectuarea un test de echilibru al dreptului la viata privata garantat persoanei vizate solicitante in raport cu asigurarea intereselor legitime de afaceri ale comerciantilor care le prelucreaza cu buna credinta.

In orice caz, garantia asigurarii echilibrului ar fi mai mare daca solicitarea dreptului de acces ajunge sa fie dezbatuta in cadrul unui litigiu, deoarece documentele in format electronic care contin seturi mixte de date pot fi puse la dispozitia instantei si a partii adverse, doar dupa ce completul de judecata a analizat utilitatea, pertinenta si concludenta probei a carei administrare se solicita dupa dezbaterea partilor.

Cu titlu de exemplu, instantele din Austria[6] au clarificat o decizie ambigua a autoritatii austriece in materie de protectia datelor (ADPA) in ceea ce priveste acordarea dreptului de acces la date bancare. In concret, instanta a limitat dreptul de acces exercitat de persoana vizata doar la datele personale regasite in cadrul extrasului de cont, iar nu la documentul/extrasul de cont in sine care, de cele mai multe ori, constituie un serviciu bancar contra-cost – obiect al afacerii desfasurate.

Prin urmare, avand in vedere ca operatorii de date au obligatia sa protejeze drepturile si interesele altor persoane vizate de prelucrarea de date, dar si dreptul sa pastreze propriile lor secrete comerciale si sa obtina profit de pe seama serviciilor oferite (ex. situatia extraselor de cont), o alternativa rezonabila pentru toti actorii implicati, dar mai costisitoare din punct de vedere financiar, pentru a oferi acces la datele personale dintr-un set mixt de date stocate in format electronic o constituie achizitionarea unui sistem de tip “targeted data discovery”, setat sa caute si sa extraga dintr-un volum mare de informatie, sub forma unui raport cu criterii ante-stabilite, toate datele cu caracter personal gestionate in legatura cu o persoana fizica in cauza (i.e., persoana vizata care isi exercita dreptul de acces la datele personale, inclusiv cele care fac parte din seturi mixte).

In loc de concluzie, apreciez ca a avut loc deja trecerea la o cultura bazata pe date, personale si de business, ce au o valoare pecuniara din ce mai mare, cuantificabila de analistii care lucreaza in domeniu, dar pe care o putem estima si noi, indirect, prin observarea sumelor solicitate pe “dark web” (internetul ascuns, folosit de gruparile de infractori) de persoanele malitioase care au ajuns, de exemplu, sa “vanda” intreaga identitate online a unei persoane pentru numai 1.200 de dolari[7].


[1] Art. 4 punctul 1 din Regulamentul (UE) 2016/679 (Regulamentului general privind protectia datelor).
[2] Considerentul nr. 26 din Regulamentul (UE) 2016/679 (Regulamentului general privind protectia datelor).
[3] A se vedea hotararea Curtii de Justitie din 9 noiembrie 2010 in cauzele conexate Volker und Markus Schecke GbR, C-92/09 si Hartmut Eifert, C-93/09/Land Hessen, ECLI:EU:C:2010:662, punctul 52.
[4] Art. 2 alin. (2) din Regulamentul U.E. nr. 2018/1807 privind un cadrul pentru libera circulatie a datelor fara caracter personal in Uniunea Europeana.
[5] In cazul acesta exista insa riscul de a nu mai putea face legatura intre persoana si datele financiare conexe, de exemplu.
[6] AFAC, 24 mai 2019, W258 2205602-1.
[7] A se vedea aici.


Av. Oana Chiosea

Aflaţi mai mult despre , , , ,

Puteţi publica şi dumneavoastră pe JURIDICE.ro. Publicăm chiar şi opinii cu care nu suntem de acord. Vă rugăm să vă familiarizaţi cu obiectivele şi valorile Societătii de Stiinţe Juridice, despre care puteti ciţi aici.
JURIDICE.ro este o platformă de exprimare. Publicarea nu semnifică asumarea de către noi a mesajului.

Pentru a publica vă rugăm să citiţi Condiţiile de publicare, Politica privind protecţia datelor cu caracter personal şi să ne scrieţi la adresa redactie@juridice.ro!







JURIDICE utilizează şi recomandă SmartBill

JURIDICE gratuit pentru studenţi

Securitatea electronică este importantă pentru avocaţi [Mesaj de conştientizare susţinut de FORTINET]

JURIDICE recomandă e-Consultanta, consultantul tău personal în finanţare


Lasă un răspuns

Acest sit folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.

Important: Descurajăm publicarea de comentarii defăimatoare. Vor fi validate doar comentariile care respectă Politica JURIDICE.ro şi Condiţiile de publicare.