Secţiuni » Arii de practică
BusinessAchiziţii publiceAfaceri transfrontaliereAsigurăriBankingConcurenţăConstrucţiiCorporateComercialCyberlawEnergieFiscalitateFuziuni & AchiziţiiGamblingHealth & PharmaInfrastructurăInsolvenţăMedia & publicitatePiaţa de capitalProprietate intelectualăTelecomTransporturi
ProtectiveDrepturile omuluiData protectionDreptul familieiDreptul munciiDreptul sportuluiMalpraxis medicalProtecţia consumatorilorProtecţia mediului
LitigationArbitrajContencios administrativContravenţiiDrept penalMediereProcedură civilăRecuperare creanţe
Materii principale: CyberlawDreptul Uniunii EuropeneDrept constituţionalDrept civilProcedură civilăDrept penalDreptul muncii
Dreptul Uniunii Europene
DezbateriCărţiProfesionişti
 

Când decizia o ia maşina… Despre profilare, drepturi şi echilibru într-un univers digital
06.10.2020 | Ruxandra SAVA

JURIDICE - In Law We Trust
Ruxandra Sava

Ruxandra Sava

Motto:

„- Cum aș putea să mă duc la bancă, din moment ce sunt arestat?

 – Va să zică asta e, spuse inspectorul care tocmai ajunsese lângă ușă, m-ai înțeles greșit. Ești arestat, firește, dar nimeni nu te împiedică să-ți vezi mai departe de slujbă. De asemenea, nimeni nu te împiedică să-ți duci mai departe traiul tău dumitale obișnuit.”

Franz Kafka, Procesul

 

Acest articol a fost publicat și în Revista Română pentru Protecția și Securitatea Datelor cu Caracter Personal nr. 3/2020

 

Ruxandra Sava[1]

Abstract: This paper analyzes the benefits ad risks of artificial intelligence and examines some of the solutions provided by GDPR to a data subject in front of decisions based on automated processing, including profiling. This paper speaks about power and control, focusing on an ethical and balances approach in the development of the intelligent systems of the future.  In section 1, we discussed the benefits and risks of artificial intelligence, in section 2A we analyzed the context of AI development and the impact on human rights, in section 2B we analyzed the risks of profiling and decisions based on automated processing. In section 3 we discussed about some of the legal solutions for the exercise of human rights in relation to artificial intelligence.

Rezumat: Acest articol analizează beneficiile și riscurile inteligenței artificiale și dezbate o parte din soluțiile pe care le oferă RGPD omului aflat în fața unor decizii automate sau profilări ale inteligenței artificiale. Articolul vorbește despre putere și control cu focus pe o abordare etică și echilibrată în dezvoltarea sistemelor inteligente ale viitorului. În secțiunea 1 am discutat beneficiile și riscurile inteligenței artificiale, în secțiunea 2A am discutat despre contextul prezent al dezvoltării AI, în secțiunea 2B, am analizat crearea de profiluri și procesul decizional automatizat și riscurile inerente. În secțiunea 3 am discutat despre soluții concrete pentru valorificarea drepturilor omului în fața inteligenței artificiale. 

***

Cuvinte-cheie: RGPD, protecția datelor cu caracter personal, inteligență artificială, Big Data, crearea de profiluri, decizii automate cu impact semnificativ, art. 22 RGPD, transparență, echitate, responsabilul cu protecția datelor, evaluarea impactului asupra protecției datelor, personalitate digitală, Privacy by design, Privacy by default, digitalizare, discriminare, drepturile omului.

Keywords: GDPR, data protection, artificial intelligence, Big Data, profiling, decisions based on automated processing, transparency, equity, data protection officer, DPIA, digital personality, Privacy by design, Privacy by default, digital society, discrimination, human rights.

 1. Introducere

Inteligența artificială (IA) este printre noi. Într-o formă incipientă, azi o găsim integrată în marketing- domeniu unde se poate anticipa comportamentul viitor al cumpărătorilor, în medicină, în asigurări – pentru prevenirea fraudelor, în securitate cibernetică – pentru prevenirea incidentelor de securitate, în trafic pentru a ni se recomanda ruta cea mai rapidă de către serviciile de navigare GPS[2] și în multe alte domenii – cercetare[3], meteorologie, sport, HR etc.[4].

De ce ne-am opune inteligenței artificiale din moment ce ne face mai fericiți? Ajungem mai devreme acasă[5], avem afaceri mai prospere și mai productive[6], știm vremea exactă[7] și atenuăm schimbările climatice[8]. Muncim mai productiv și prevenim mai ușor bolile[9]. Scăpăm de o parte din griji și lăsăm tehnologia să ia decizii pentru noi și, uneori, îi permitem să ia decizii și în privința noastră.

Ar fi o greșeală să ne opunem inteligenței artificiale. Însă, în egală măsură, ar fi și o greșeală să fim orbi din moment ce „riscul cel mai mare ar fi să nu încercăm în niciun fel să anticipăm viitorul”[10]. Ar fi o greșeală să nu ne gândim deloc la consecințele mai puțin plăcute ale IA[11] deoarece inteligența artificială, așa cum subliniază Comisia, „implică o serie de riscuri potențiale, cum ar fi un proces decizional opac, discriminarea de gen sau de alt tip, intruziunea în viața noastră privată sau utilizarea în scopuri infracționale”[12].

În 2015, la o căutare pe internet utilizând cuvintele „maimuță”, „gorilă” sau „cimpanzeu” motorul de căutare Google afișa imagini cu oameni de culoare[13], afectându-le demnitatea. Tehnologia are erori. În doctrină s-a remarcat că oamenii sunt deranjați de ideea că mașinile vor lua decizii în ceea ce îi privește, decizii pe care nu le-ar putea înțelege sau contesta[14], internetul fiind, „în egală măsură, un avantaj și un risc pentru utilizatori, [utilizatori] ce pot fi în același timp <<beneficiari>> și <<victime>>”[15].

Josef K. din romanul lui Kafka era o victimă a unui sistem de justiție cu proceduri lipsite de transparență. Deși arestat, domnul K. avea în continuare libertate de mișcare, însă adevărata închisoare era lipsa puterii de a înțelege un sistem prea absurd pentru a putea fi înțeles.

Datele, fie că sunt personale[16] sau fără caracter personal, reprezintă hrana pentru IA și Big Data. Principiul este simplu: funcția predictivă a inteligenței artificiale este mai exactă pe măsură ce prelucrează o cantitate mai mare de date pentru a învăța să „gândească”[17]. Ca un copil care înainte să poată merge, face nenumărate greșeli și IA, pentru a învăța, are nevoie să greșească.

Avem profiluri digitale tot mai avansate create pe baza datelor pe care le oferim pe internet deoarece, așa cum a subliniat un autor, preţul gratuităţii serviciilor digitale este viaţa privată[18]. Profilarea noastră online, în viziunea altui autor[19], conduce către „o persoană digitală” compusă din înregistrări, fragmente de date și biți de informații. Dosarele noastre digitale rămân teribil de nesigure, riscând să fie ținta hoților de identitate sau a erorilor neglijente. Și în tot acest timp, suntem ca Josef K.- neputincios, nesigur și neliniștit – ținut în mod constant pe dinafară în timp ce deciziile importante despre noi sunt luate pe baza informațiilor noastre personale din dosarele digitale”[20].

2. De la profilare la decizii automate cu impact semnificativ

A. CONTEXT

Miliarde de octeți sunt eliberați într-o secundă pe măsură ce facem click[21]. „Devenim conserve proaspete[22], ar spune un autor. „Sclav al algoritmului”, ar fi de acord alți autori[23]. „Înșelați prin design”, ar spune Autoritatea pentru protecția consumatorilor din Norvegia[24].Mai apoi, ne vor înlocui roboții, care oricum vor ști mai multă carte decât noi și vor avea mai multe răspunsuri decât întrebări[25]”.

Din ce în ce mai mult, algoritmii ne reglementează viețile, fie că vorbim de sfera publică sau de sfera privată a vieții[26], iar „transpunerea personalităţii într-un mediu ne-natural are consecinţe în plan juridic, inclusiv cu privire la drepturile și obligaţiile sale [persoanei]”[27]. Într-un studiu s-a demonstrat cum Facebook colectează date nu doar despre utilizatorii rețelei sociale, ci și despre persoanele care nu au aderat niciodată la rețeaua socială[28]. Site-urile web care integrează module provenite de la Facebook (de exemplu, butonul de like) îi permit lui Facebook să urmărească utilizatorii de internet, indiferent dacă apasă sau nu butonul de Like, așa cum s-a arătat în studiul citat anterior.

Problematica urmăririi de către Facebook a persoanelor care nu au conturi a fost subliniată recent și de CJUE în cauza Wirtschaftsakademie[29]:

„În fond, trebuie să se sublinieze că paginile pentru fani găzduite pe Facebook pot fi vizitate și de persoane care nu sunt utilizatori ai Facebook și care nu dispun, așadar, de un cont de utilizator pe această rețea socială. În acest caz, răspunderea administratorului paginii pentru fani în privința prelucrării datelor cu caracter personal ale acestor persoane este și mai importantă, întrucât simpla consultare a paginii pentru fani de către vizitatori declanșează automat prelucrarea datelor lor cu caracter personal.”

Acestă urmărire se realizează, în majoritatea cazurilor, fără știrea utilizatorilor, deoarece modalitatea de prelucrare a datelor este descrisă într-un limbaj complicat, în documente lungi și dificil de accesat. Într-un sondaj realizat de publicația LegalUp.ro, 47,3% dintre respondenți au spus că nu citesc politicile de confidențialitate deoarece sunt lungi și scrise într-un limbaj complicat cu jargon juridic și tehnic[30].

Două spețe recente la CJUE au confirmat că, în situația unor asocieri digitale între entități diferite prin diverse mecanisme specifice (integrarea unor module, a unui API, utilizarea unor funcții terțe), entitățile devin operatori asociați și au o responsabilitate comună față de utilizatorul de internet pentru a-l informa și a-i permite acestuia exercitarea drepturilor. În 2018, în cauza Wirtschaftsakademie[31], CJUE a stabilit că administratorul unei pagini de Facebook are calitatea de operator asociat cu Facebook, iar în 2019, în cauza Fashion ID[32] a statuat că administratorul unui site care integrează un buton de like este operator asociat împotrivă cu Facebook. Interpretarea CJUE poate fi extinsă la alte asocieri în mediul online, atunci când se integrează sisteme informatice externe și se prelucrează în comun date.

Un autor afirma că „spațiul nu mai există atunci când suntem interconectați într-o vastă rețea”[33], iar noi ne întrebăm: ce se întâmplă cu acest volum imens de date personale colectate online? Așa cum am remarcat anterior, BIG DATA ajută la dezvoltarea inteligenței artificiale, însă acesta este doar un factor. În documentarul „Iluzia Intimității”[34] (Netflix, 2019) s-a concluzionat că serviciile digitale prelucrează datele în modalități dificil de înțeles și că algoritmii ne pot influența libertatea de alegere și viața[35].

Dacă informația înseamnă putere, în mod rezonabil, ne întrebăm: cei care dețin datele personale au putere asupra celorlalți?

În doctrină s-a subliniat faptul că „în lumea digitală observăm un dezechilibru evident de putere între entităţile care prelucrează datele şi persoanele ale căror date sunt prelucrate, în sensul că viaţa acestor persoane ar putea fi influenţată de eventualele decizii eronate ale entităţilor bazate pe analiza automată a datelor sau de eşecurile procedurilor de protecţie a informaţiilor private”[36]. În Politica Viitorului, Jamie Susskind scria:

„Puterea stă în capacitatea de a vedea fără a fi văzut, de a-i cunoaște pe alții în vreme ce tu nu poți fi cunoscut. De-a lungul istoriei, cei slabi s-au străduit să se ascundă de ochii altora, încercând în același timp să le impună celor puternici o atitudine transparentă[37].”

Algoritmii devin puternici prin prelucrarea unui volum mare de date. Dar ei ar trebui dezvoltați astfel încât să servească omul, iar nu să îl afecteze negativ. RGPD[38] stipulează în considerentul (4) din preambul că „prelucrarea datelor cu caracter personal ar trebui să fie în serviciul cetățenilor”.

B. Dreptul omului în fața mașinii. Profilarea și deciziile automate cu impact semnificativ

B.1. Sediul materiei – RGPD și Legea nr. 190/2018[39]

RGPD ar putea fi, așa cum afirmă doi autori, „o sursă de fericire”[40] pentru persoana vizată. GDPR a oferit nenumărate drepturi persoanei vizate[41]. În această secțiune vom dezbate, în contextul inteligenței artificiale, dreptul prevăzut de art. 22 RGPD și de considerentele 71-72 din preambulul RGPD – dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automată, inclusiv crearea de profiluri, pe care îl vom numi dreptul omului în fața mașinii.

Considerentul (71) oferă indicii suplimentare despre semnificația dreptului prevăzut de art. 22 RGPD:

„Persoana vizată ar trebui să aibă dreptul de a nu face obiectul unei decizii, care poate include o măsură, care evaluează aspecte personale referitoare la persoana vizată, care se bazează exclusiv pe prelucrarea automată și care produce efecte juridice care privesc persoana vizată sau o afectează în mod similar într-o măsură semnificativă, cum ar fi refuzul automat al unei cereri de credit online sau practicile de recrutare pe cale electronică, fără intervenție umană. O astfel de prelucrare include „crearea de profiluri”, care constă în orice formă de prelucrare automată a datelor cu caracter personal prin evaluarea aspectelor personale referitoare la o persoană fizică, în special în vederea analizării sau preconizării anumitor aspecte privind randamentul la locul de muncă al persoanei vizate, situația economică, starea de sănătate, preferințele sau interesele personale, fiabilitatea sau comportamentul, locația sau deplasările, atunci când aceasta produce efecte juridice care privesc persoana vizată sau o afectează în mod similar într-o măsură semnificativă. (…)”

Art. 22 alin. (1) din RGPD prevede că persoana fizică are dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automată, inclusiv crearea de profiluri, care produce efecte juridice în privința sa sau o afectează în mod similar într-o măsură semnificativă. Cu toate acestea, alin. (2) introduce trei excepții de la regula instituită prin alin. (1), respectiv atunci când decizia este (1) este necesară pentru încheierea sau executarea unui contract între persoana vizată și un operator de date; sau (2) este autorizată prin dreptul Uniunii sau dreptul intern care se aplică operatorului și care prevede, de asemenea, măsuri corespunzătoare pentru protejarea drepturilor, libertăților și intereselor legitime ale persoanei vizate; sau (3) are la bază consimțământul explicit[42] al persoanei vizate. Mai departe, alin. 3 al art. 22 RGPD stipulează că în cazurile (1) și (2) indicate mai sus,  operatorul de date pune în aplicare măsuri corespunzătoare pentru protejarea drepturilor, libertăților și intereselor legitime ale persoanei vizate, cel puțin dreptul acesteia de a obține intervenție umană din partea operatorului, de a-și exprima punctul de vedere și de a contesta decizia. Prin urmare, putem deduce că din dreptul prevăzut la art. 22 se desprind trei noi drepturi ale persoanei vizate: dreptul de a obține intervenție umană, dreptul de exprimare al punctului de vedere și dreptul de a contesta decizia. În final, alin. (4) prevede că decizia cu impact semnificativ nu poate avea la bază categorii speciale de date[43], cu excepția situației în care s-a obținut consimțământul explicit sau din motive de interes public major în conformitate cu art. 9 alin. 2 lit. g) din RGPD[44].

Legiuitorul național a mers mai departe și, prin art. 3 alin. (1) din Legea nr. 190/2018 a stipulat faptul că prelucrarea datelor genetice, biometrice sau a datelor privind sănătatea, în scopul realizării unui proces decizional automatizat sau pentru crearea de profiluri, este permisă dacă există consimțământul explicit al persoanei vizate sau dacă prelucrarea este efectuată în temeiul unor dispoziții legale exprese, cu instituirea unor măsuri corespunzătoare pentru protejarea drepturilor, libertăților și intereselor legitime ale persoanei vizate. La o lectură atentă observăm că legiuitorul român reia cu alte cuvinte prevederile de la art. 22 RGPD care interzic prelucrarea categoriilor speciale de date, dar omite să includă și cerința îndeplinirii unui „interes public major”. Având în vedere efectul direct[45] al regulamentului (art. 288 TFUE), art. 3 alin. (1) din Legea nr. 190/2018 se va interpreta în lumina art. 22 alin. (4) din RGPD. În concret, dacă prelucrarea datelor speciale în scopul realizării unui proces decizional automat va putea fi efectuată în baza unor dispoziții legale exprese naționale de care vorbește art. 3 alin. (1) din Legea nr. 190/2018, acea prelucrare ar trebui să fie necesară din motive de interes public major, astfel cum prevede art. 9 alin. 2 lit. g) din RGPD, interes public care este proporțional cu obiectivul urmărit, respectă esența dreptului la protecția datelor și prevede măsuri corespunzătoare și specifice pentru protejarea drepturilor fundamentale și a intereselor persoanei vizate.

De lege ferenda, pentru o protecție mai mare a omului în fața mașinii, considerăm oportună includerea cerinței „interesului public major”  în textul art. 3 alin. (1) din Legea nr. 190/2018.

B.2. Profilarea și deciziile individuale automate cu efect semnificativ

Înainte de a discuta mai multe despre soluții pentru echilibru și valori într-un univers digital, considerăm necesară lămurirea noțiunilor de profilare și de decizii automate cu efect semnificativ, precum și riscurile la adresa drepturilor și libertăților persoanelor vizate.

Deși profilarea, una dintre cele mai puternice și invizibile tehnici care ne conturează prezentul și viitorul[46] poate avea o serie de avantaje pentru afaceri, stat și cetățeni există și riscuri cu privire la persoanele profilate[47], „un astfel de mecanism [al profilării] fiind susceptibil a aduce atingere drepturilor indivizilor, cu repercusiuni importante în privința afectării reputației lor sau a negării beneficiului unor drepturi”[48].

Potrivit Grupului de Lucru Art. 29[49], profilarea este o procedură utilizată pentru a „formula previziuni cu privire la persoane, utilizând date din diverse surse, pentru a presupune ceva despre cineva, pe baza calităților altor persoane care par asemănătoare din punct de vedere statistic”[50]. Considerentul 71 din regulament arată cum profilarea poate analiza sau preconiza aspecte „privind randamentul la locul de muncă al persoanei vizate, situația economică, starea de sănătate, preferințele sau interesele personale, fiabilitatea sau comportamentul, locația sau deplasările, atunci când aceasta produce efecte juridice care privesc persoana vizată sau o afectează în mod similar într-o măsură semnificativă”. Pe internet, companiile pot crea profiluri ale utilizatorilor prin procesul de capturare al urmelor digitale pe care utilizatorii le lasă atunci când vizitează site-urile[51] prin mecanismul unui „webtracking comportamental prin utilizarea de cookie-uri”[52], profiluri care pot fi utilizate pentru publicitate comportamentală direcționată sau ar putea fi expuse riscului de a fi vândute către agenții guvernamentale pentru diverse scopuri (securitate națională, apărare etc)[53].

Grupul de Lucru Art. 29 explică:

„procesul decizional automatizat are un domeniu de aplicare diferit și poate să se suprapună parțial cu crearea de profiluri, ori să rezulte din aceasta. Procesul decizional exclusiv automatizat este capacitatea de a lua decizii prin mijloace tehnologice, fără implicarea umană”[54].

În continuare, Grupul de Lucru subliniază că „deciziile automatizate se pot lua cu sau fără crearea de profiluri; crearea de profiluri se poate efectua fără luarea unor decizii automatizate”[55]. În doctrină s-a arătat cum „astfel de prelucrări [deciziile automate] sunt specifice, de exemplu, în relațiile de muncă, unde se urmărește evaluarea capacității profesionale a unui candidat la un anume post, sau în sectorul financiar-bancar, unde se utilizează de tip scoring, pentru a stabili gradul de solvabilitate al unui solicitant de credit, bazat pe istoricul debitelor anterioare și pe alți parametri personali”[56].

Cei care călătoresc cu Uber știu că, la finalul fiecărei zile, fiecare utilizator – șofer sau pasager, are o notă bazată pe media aritmetică a notelor date de ceilalți utilizatori ai serviciului, nota maximă fiind 5. Potrivit theverge.com, șoferii care au o notă sub 4.6 se pot regăsi în situația de a li se interzice accesul la serviciu[57]. Acesta este un exemplu concret de decizie automată cu impact semnificativ, dar, în practică, putem găsi numeroase alte exemple precum scorul FICO, analiza automată a CV-urilor etc.

Atât profilarea cât și luarea deciziilor automate trebuie să afecteze persoana vizată într-o măsură semnificativă pentru a intra sub protecția RGPD.

B.3. Impactul semnificativ

Interpretând art. 22 alin. (1) din RGPD reiese că profilarea și deciziile automate sunt supuse rigorilor RGPD dacă produc efecte juridice în privința persoanei vizate sau dacă o afectează într-o măsură semnificativă.

Cu privire la prelucrarea automată a datelor PNR, CJUE a observat că „evaluarea riscului pe care îl reprezintă pasagerii pentru securitatea publică se efectuează (…) prin mijloace de analiză automatizate a datelor PNR anterior sosirii pasagerilor aerieni în Canada. În măsura în care aceste analize se efectuează pornind de la date cu caracter personal neverificate și în măsura în care se bazează pe modele și pe criterii prestabilite, ele prezintă în mod necesar o anumită marjă de eroare.” (pct. 169 din Avizul 1/15).

Mai departe, CJUE a subliniat faptul că „Desigur, în ceea ce privește consecințele prelucrării automate a datelor PNR  conform articolului 15 din acordul preconizat, Canada se abține să adopte <<decizii care au urmări negative semnificative asupra unui pasager exclusiv pe baza prelucrării automate a datelor PNR>>”.

În concluzie, CJUE a stabilit faptul că, pentru a se evita erorile, este nevoie de intervenție umană prin mijloace neautomatizate înainte de a se lua o decizie care poate avea consecințe negative pentru pasagerii aerieni vizați. Cu alte cuvinte, deciziile importante cu privire la pasagerii aerieni nu pot fi luate integral de un soft, ci trebuie reexaminate de către un operator uman[58].

O decizie care are un efect juridic ar putea însemna, așa cum s-a arătat în doctrină, încetarea unui contract[59], de exemplu, o concediere. Un efect similar semnificativ ar putea avea, așa cum exemplifică considerentul 71 din preambulul regulamentului, refuzul automat al unei cereri de credit online sau practicile de recrutare pe cale electronică, fără intervenție umană.

În trecut s-a afirmat că țintirea unei persoane în mediul online cu o reclamă personalizată nu este o decizie afectează în mod semnificativ[60]. Nu aderăm la această opinie deoarece ne putem imagina cu ușurință situații în care reclamele personalizate pot afecta în mod semnificativ un utilizator online. Să luăm, spre exemplu, situația unei persoane care suferă de obezitate și care a fost inclusă de companiile de fast-food într-o categorie de persoane dependente de astfel de produse. Afișarea obsesivă a acestor reclame ar putea conduce către influențarea persoana de a consuma și mai multe alimente care îi afectează sănătatea. Aceasta este și opinia Grupului de Lucru Art. 29 care dă exemplul unei persoane care se confruntă cu dificultăți financiare și  care primește în mod regulat anunțuri publicitare pentru credite cu dobândă mare, existând riscul să accepte aceste oferte și să se îndatoreze și mai mult[61]. În doctrină s-a afirmat că dacă persoana ignoră anunțurile, atunci este puțin probabil să se considere că reclama afectează semnificativ, însă dacă persoana este influențată să cumpere ca urmare a acestor reclame, ne putem afla în situația unui impact semnificativ[62]. În altă lucrare s-a dat exemplul afișării unor reclame la produse de slăbit unor persoane anorexice[63] sau afișarea unor reclame la jocuri de noroc unor persoane aflate în situații financiare dificile[64].

Pentru a descoperi în ce măsură o decizie poate afecta juridic sau în  mod semnificativ persoanele, ar trebuie efectuată în prealabil o analiză de la caz la caz pe baza unei evaluări a impactului asupra protecției datelor cu caracter personal[65].

B.4. Riscurile profilării

Așa cum am arătat în introducere, inteligența artificială are nenumărate beneficii, dar profilarea persoanelor și deciziile IA implică și riscuri la adresa drepturilor și libertăților omului. Cele mai dezbătute riscuri ale profilării sunt discriminarea[66], stigmatizarea, inexactitatea și abuzul[67], riscurile la adresa libertății de exprimare și informare[68], influențarea alegerilor consumatorilor[69] sau preferințelor electorale[70], riscuri la adresa demnității umane[71].

Cu privire la discriminare, în doctrină s-a afirmat că algoritmii de învățare automatizată sunt „<<orbi>> în opoziţie cu operatorii umani, şi produc algoritmi de înaltă tehnologie ce transmit tiparele discriminatorii existente, incluse în datele prelucrate”[72]. Problema discriminării capătă amploare dacă ne aflăm în prezența prelucrării unor categorii speciale de date precum rasa, etnia, religia, orientarea sexuală, date privind sănătatea, existând riscul ca persoanele să fie judecate și discriminate[73] pe baza unor criterii intime, mai ales în situațiile în care BIG DATA este combinată cu științele psihologice pentru a crea profiluri și mai intime ale persoanelor[74] . Există riscul ca aceste prelucrări să conducă la excluderi ale persoanelor aparținând unor grupuri sau minorități[75]. Cu privire la relația dintre protecția datelor și nediscriminarea, s-a pronunțat și CJUE în cauza Heinz Huber împotriva Bundesrepublik Deutschland[76] hotărând faptul că protecția datelor și nediscrimianrea pot fi compatibilile în situația existenței unui registru al resortisanților doar dacă se respectă cerința necesității[77].

Cu privire la riscul prelucrării unor date inexacte, în doctrină s-a spus că:

„Dacă datele utilizate în cadrul unui proces decizional automatizat sau al unui proces de creare a unui profil sunt inexacte, orice decizie sau profil care va rezulta în urma acestuia va fi eronat. Este posibil ca deciziile să fie luate pe baza unor date învechite sau a interpretării incorecte a datelor externe. Inexactitățile pot conduce la formularea unor previziuni sau declarații necorespunzătoare, de exemplu, cu privire la riscul în materie de sănătate, credit sau asigurare pe care îl prezintă o persoană. Chiar dacă datele brute sunt înregistrate cu exactitate, este posibil ca setul de date să nu fie pe deplin reprezentativ sau ca analiza să fie afectată de distorsiuni ascunse. Operatorii trebuie să introducă măsuri solide pentru a verifica și a asigura în mod permanent faptul că datele reutilizate sau obținute în mod indirect sunt exacte și de actualitate. Aceasta consolidează importanța furnizării unor informații clare despre datele cu caracter personal care sunt prelucrate, astfel încât persoana vizată să poată corecta orice inexactități și să amelioreze calitatea datelor.”[78]

Deoarece „utilizatorul nu este obligat să valideze cu documente oficiale realitatea informaţiilor furnizate”[79], profilarea unei persoane poate conduce către  crearea unei anumite imagini care poate să fie eronată sau chiar frauduloasă[80].

Cu privire la riscurile la adresa libertății de exprimare și informare, în doctrină s-a arătat cum persoanele care se simt supravegheate sau urmărite pot întâmpina dificultăți în a se exprima liber[81] și vor tinde către o cenzură a liberei exprimări care ar putea afecta, în cele din urmă, chiar libertatea de gândi liber[82]. Pentru a înțelege pe deplin acest risc, ar trebui să îl privim în lumina problematicii „fake-news” – „practici de dezinformare a utilizatorilor prin diseminare de conţinut fals sau spam cu ajutorul unor conturi false, în special pe Twitter”[83] sau pe alte rețele de socializare. Tot cu privire la libertatea de informare, s-a arătat și cum furnizarea automată de conținut relevant pentru utilizator îl poate priva de oportunitatea de a avea acces la conținutul care este cu adevărat util[84]. Să luăm două exemple concrete: Facebook și Netflix. Dacă Facebook furnizează conținutul în baza unor procese automate greu de înțeles în stadiul actual al științei, la Netflix procesul este mai transparent – Netflix recomandă filme pe unei profilări a utilizatorului ca urmare a filmelor deja urmărire. Prin urmare, dacă utilizatorul a urmărit filme istorice, Netflix îi va recomanda filme din aceeași categorie care l-ar putea interesa. Acești algoritmi creează, în viziunea noastră, riscul ca utilizatorul să rămână într-o bulă a trecutului chiar și atunci când are în plan să își schimbe viața, preferințele și obiceiurile. Fără un control adecvat asupra setărilor de confidențialitate există riscul ca utilizatorul să rămână prizonier în aceeași zonă de interes și să întâmpine piedici în evoluția sa personală[85].

Cu privire la influențarea deciziilor consumatorului sau influențarea preferințelor electorale, Comitetul European pentru Protecția Datelor (CEPD) a atras atenția că profilarea poate conduce către manipulare prin influențarea comportamentului și alegerilor libere ale persoanelor[86] arătând cum campaniile electorale și afacerile pot ținti utilizatorii de internet cu mesaje personalizate pe interesele, nevoile și valorile individuale pentru a activa o anumită emoție sau reacție din partea lor[87].

***

Omul a devenit prizonier al unui univers digital al datelor infinite. Destinul lui Josef K. este tragic, dar romanul lui Kafka este ficțiune. În realitatea, Omul are soluții dacă găsește cheia potrivită.

Cheile care pot deschide ferestrele către libertate în universul digital există. Dreptul are chei infinite, iar noi vom descrie o parte din ele în secțiunea următoare.

3. Infinite chei către libertate

A. Protecția datelor – o nouă cultură?

Pe prima pagină a site-ului ANSPDCP[88] scrie „ne propunem edificarea unei adevărate culturi a protecției datelor personale în România”, iar noi ne-am întrebat de ce este nevoie de o cultură a protecției datelor și de ce este importantă viața privată și protecția datelor. Desigur că vorbim despre un drept fundamental, însă ce ne-a atras cu adevărat atenția a fost relația pe care o are protecția datelor cu celelalte drepturi și libertăți. Dacă „dreptul la viață private protejează din punct de vedere juridic nucleul existenței umane”[89], înglobează autonomia, demnitatea, liberul-arbitru și este o condiție necesară și prealabilă pentru democrație[90], suntem de părere că protecția datelor și viața privată nu ar trebui privite în mod izolat, ci în relație cu alte drepturi și libertăți fundamentale.  Asociația Privacy International este de părere că viața privată este ordinea care protejează celelalte drepturi, iar fără aceasta celelalte drepturi și libertăți sunt în pericol[91]. Această relație este explicată și de către considerentul 4 din preambulul regulamentului:

„(…) Prezentul regulament respectă toate drepturile fundamentale și libertățile și principiile recunoscute în cartă astfel cum sunt consacrate în tratate, în special respectarea vieții private și de familie, a reședinței și a comunicațiilor, a protecției datelor cu caracter personal, a libertății de gândire, de conștiință și de religie, a libertății de exprimare și de informare, a libertății de a desfășura o activitate comercială, dreptul la o cale de atac eficientă și la un proces echitabil, precum și diversitatea culturală, religioasă și lingvistică.”

Pentru edificarea unei culturi a protecției datelor este necesar a reține faptul că protecția datelor este, așa cum s-a afirmat în doctrină, mult mai mult decât dreptul la viață privată[92] și protejează valori democratice și constituționale precum libertatea de expresie, nediscriminarea, libertatea de gândire, de conștiință și de religie, demnitatea[93].

Însă legislația este ineficientă dacă nu este urmată de acțiuni concrete[94]. Prin urmare, pentru edificarea unei adevărate culturi a protecției datelor este nevoie, alături de sancționarea celor care încalcă legislația, și de mobilizarea către prevenție a tuturor actorilor. Putem identifica, la acest moment, câteva soluții care ar putea preveni efectele nedorite ale tehnologiei asupra drepturilor și libertăților: educația persoanelor vizate (inclusiv a copiilor)[95] pentru a conștientiza riscurile, pentru a afla cum își pot proteja datele și pentru a ști cum își pot exercita drepturile, o abordare etică în dezvoltarea noilor tehnologii[96], facilitarea exercitării drepturilor persoanelor vizate, echilibrarea corectă a drepturilor și intereselor atunci când acestea intră în conflict și, nu în ultimul rând, o interpretare și aplicare corectă a legislației de către practicienii dreptului. 

Vom discuta despre o parte din aceste soluții în continuare, iar alte soluții le vom aborda în lucrări viitoare.

B. Când măștile cad. De la transparență la explicație

Așa cum personajul din romanul lui Kafka era judecat printr-o procedură netransparentă, în opinia unui autor, la fel se întâmplă și pe internet cu persoanele care nu sunt informate cu privire la modul în care informațiile personale sunt utilizate și cu privire la modalitatea în care se iau deciziile pe baza acestor informații[97]. În doctrină s-a subliniat și că „indivizii ale căror drepturi au fost încălcate se pot afla într-o poziţie foarte slabă chiar şi pentru a cunoaşte aceasta şi cu atât mai puţin pentru a cunoaşte cum şi împotriva cui să acţioneze”[98].

RGPD a oferit o serie de drepturi persoanelor vizate, dar acestea au valoare dacă sunt exercitate[99] de către persoanele vizate și dacă operatorii și persoanele împuternicite le facilitează exercitarea drepturilor. Având în vedere că persoanele vizate sunt lipsite în prezent de resurse și de cunoștințele necesare pentru exercitarea drepturilor[100], ar trebui găsite soluții alternative pentru crearea unui echilibru în spațiul digital și în raport cu inteligența artificială deoarece și RGPD, asemenea legislației privind protecția consumatorului sau asemenea dreptului muncii, urmărește să protejeze partea mai slabă[101] în raport cu cea mai puternică.

„Codul înseamnă putere”[102], iar „în lumea vieții digitale, vom fi supuși din ce în ce mai mult unor noi forme de control, regulile fiind înglobate în tehnologia pe care o întâlnim la fiecare pas”[103]. Dacă vom da dreptate acestui autor, credem că ar fi oportun să cunoaștem regulile tehnologiei ceea ce ne conduce către un principiu-cheie al RGPD – principiul transparenței (art. 5 alin. (1) lit a) RGPD)[104].

Transparența în RGPD este construită pe mai mulți piloni. Un pilon este reprezentat de obligația de informare a persoanei vizate cu privire la modalitatea în care i se prelucrează datele (art. 13-14 RGPD) căreia îi corespunde, în mod corelativ, un drept la informare al persoanei vizate[105], iar altul este reprezentat de transparența comunicărilor față de persoana vizată atunci când aceasta își exercită drepturile. În contextul inteligenței artificiale, regăsim o obligație specifică de informare (art. 13 alin. (2) lit. f) RGPD) cu privire la existența unui proces decizional automatizat incluzând crearea de profiluri precum și informații pertinente privind logica utilizată și privind importanța și consecințele preconizate ale unei astfel de prelucrări pentru persoana vizată.

Informarea persoanei vizate trebuie să îndeplinească o serie de cerințe de formă și de fond[106]. Cu privire la cerințe de formă, modalitatea de acces trebuie să fie una facilă pentru persoana vizată pentru a ajunge în cel mai scurt timp la informația care contează[107]. Cu privire la cerințele de fond, informarea persoanei vizate trebuie să conțină toate elementele obligatorii de la art. 13-14 RGPD, iar în contextul utilizării inteligenței artificiale pentru crearea de profiluri sau luarea unor decizii automate, persoanei vizate trebuie să i se furnizeze suplimentar informații pertinente cum funcționează algoritmii și consecințele acestei prelucrări.

RGPD nu explică ce înțelege prin informații pertinente privind logica utilizată și privind importanța și consecințele preconizate ale unei astfel de prelucrări pentru persoana vizată, însă doctrina, Grupul de Lucru Art. 29 și autoritatea de supraveghere din Spania au oferit indicii suplimentare.

Operatorii trebuie să explice clar și simplu persoanelor modul în care funcționează crearea de profiluri și procesul decizional automatizat[108], iar informarea trebuie furnizată într-o formă pe înțelesul unei persoane fără cunoștințe tehnice[109] astfel încât persoanele să fie în control și să cunoască cum sunt evaluați și ce consecințe poate avea această evaluare, profilare sau decizie asupra lor[110]. Informațiile furnizate trebuie să fie suficient de cuprinzătoare pentru ca persoana vizată să înțeleagă motivele care au stat la baza deciziei[111] sau profilării. În doctrină s-a arătat că informațiile pertinente privind logica utilizată ar trebui să cuprindă: a) informațiile despre datele personale prin intermediul cărora se ia decizia; (b) o listă a factorilor care influențează decizia; (c) o explicație rezonabilă despre motivul din spatele deciziei[112]. Autoritatea de supraveghere din Spania a oferit noi indicii, oferind, printre altele, următoarele exemple: a) informații detaliate despre datele personale utilizate; b) importanța fiecărei categorii de date în procesul decizional; c) calitatea datelor de învățare al algoritmului și tipul de modele utilizate; d) activitățile de profilare desfășurate și implicațiile acestora; e) valorile de eroare sau de precizie, în conformitate cu valorile corespunzătoare utilizate pentru a măsura eligibilitatea deducției; f) dacă există sau nu o intervenție umană în luarea deciziei; g) orice informații cu privire la audituri, în special cu privire la posibila deviație a rezultatelor deducțiilor, precum și certificarea sau certificările efectuate pe sistemul IA. Pentru sistemele adaptive sau sistemele evolutive, informații cu privire la ultimul audit efectuat [113].

În doctrină s-a afirmat și că persoana vizată ar trebui să aibă informații suficient de clare pentru a înțelege raționamentul din spatele deciziei pentru a afla dacă a fost discriminată și dacă are temeiuri juridice pentru o acțiune legală[114]. Având în vedere că profilarea și luarea deciziilor automate utilizând categorii speciale de date au un regim special în RGPD, considerăm că informarea persoanei ar trebui să cuprindă o listă detaliată a acestor categorii de date. Totodată, în acest caz, informarea ar trebui să cuprindă și indicarea măsurilor care au fost instituite pentru protejarea drepturilor, libertăților și intereselor legitime ale persoanei vizate.

Importanța informării persoanei vizate cu privire la logica algoritmului și consecințele unei decizii automate are relevanță dacă o privim în contextul celor trei noi drepturi prin art. 22 alin. (3), respectiv dreptul de a obține intervenție umană, dreptul de a-și exprima punctul de vedere și dreptul de a contesta decizia. Este nevoie de o informare adecvată astfel încât persoana să aibă posibilitatea de a-și exercita în mod adecvat aceste drepturi.

C. Dans și echilibru în universul digital

1. Principii și o aplicare unitară a RGPD

Ar fi dificil să ne gândim la un echilibru în universul digital între drepturile oamenilor și interesele operatorilor fără integrarea principiilor esențiale ale RGPD (art. 5) respectiv legalitatea, echitatea și transparența, principiul limitării scopului, principiul reducerii la minimum a datelor, exactitate, principiul limitării stocării, integritate și confidențialitate și responsabilitate[115].

În contextul inteligenței artificiale este necesară integrarea tuturor principiilor în toate activitățile automate de prelucrare ale mașinilor. Despre principiul transparenței ne-am ocupat în secțiunea anterioară, iar principiul echității îl vom aduce în discuție în subsecțiunea următoare. În prezenta secțiune vom discuta despre legalitate, reducerea la minimum a datelor și exactitatea.

Cu privire la principiul legalității, facem precizarea că în situațiile în care deciziile automate se iau ca urmare a consimțământului, acesta trebuie să fie explicit, adică să îndeplinească o serie de criterii suplimentare față de un consimțământ obișnuit[116]. Cu privire la principiul reducerii la minimum a datelor, datele care nu sunt necesare pentru procesul de învățare al algoritmului trebuie șterse din sistemul informatic[117]. Respectarea principiului exactității este deosebit de importantă pentru a se evita luarea unor decizii eronate în privința persoanelor[118], iar operatorul ar trebui să se asigure că datele sunt exacte și actualizare și să răspundă în cel mai scurt timp la o cerere de rectificare a persoanei vizate.

Cu privire la aplicarea unitară a art. 22 din RGPD, facem precizarea că există două opinii. Unii autori spun că art. 22 alin. (1) ar trebui interpretat ca o interdicție prealabilă către operator de a lua decizii automate sau a profila persoana care să producă efecte semnificative[119] argumentând faptul că această interpretare ar oferi cea mai bună protecție persoanelor. Alții autori sunt de părere că art. 22 alin. (1) ar trebui interpretat ca un drept care poate fi exercitat la cerere[120].

Grupul de Lucru Art. 29 este de părere că art. 22 alin. (1) ar trebui interpretat ca o interdicție prealabilă, argumentând în modalitatea descrisă mai jos:

„Această interpretare consolidează ideea conform căreia persoana vizată are control asupra datelor sale cu caracter personal, ceea ce este în concordanță cu principiile fundamentale ale RGPD. Interpretarea articolului 22 ca fiind o interdicție, mai degrabă decât un drept care să fie invocat, înseamnă că persoanele sunt automat protejate împotriva posibilelor efecte pe care le poate avea acest tip de prelucrare[121]”.

2. Umanizarea tehnologiei – o abordare etică

Profesorul Șandru scria că „posibilităţile de profilare, utilizarea de algoritmi, utilizarea inteligenţei artificiale sau internetul lucrurilor pot conduce la prelucrări de date masive fără a putea fi avut în vedere principiul echităţii. Epoca „big data” a consumerismului produce şi victime colaterale”[122]

O mașină nu are rațiune, emoții sau valori, dar dacă aceste mașini sunt programate de oameni, echitatea ar putea fi integrată în sisteme pentru a aduce tehnologia mai aproape de umanitate. Această umanizare se poate realiza printr-o serie de procese, dar și RGPD are câteva soluții cheie, printre care efectuarea unei evaluări de impact, numirea unui responsabil cu protecția datelor, Privacy by design și Privacy by default.  

O abordare etică a inteligenței artificiale urmărește a proteja valori precum demnitatea, libertatea, democrația, egalitatea și autonomia tuturor persoanelor în ceea ce privește deciziile luate de mașină[123] și „în tot acest circuit, rolul factorului uman este primordial: de la momentul proiectării platformei digitale, pe tot parcursul creării şi gestionării comunităţii virtuale, dar şi în fiecare activitate ce implică membrii comunităţii, se va reflecta necesitatea de a acţiona cu bună credinţă şi în spiritul protejării dreptului la viaţă privată”[124]. Dacă „factorul uman joacă un rol decisiv în protecţia informaţiilor” [125], iar profilările și deciziile automate cu impact semnificativ pot afecta oamenii, pentru o abordare etică și umanizarea tehnologiei ar putea fi esențială numirea unui responsabil cu protecția datelor care să supravegheze conformitatea prelucrărilor cu RGPD și să se bucure de toate garanțiile prevăzute de GDPR[126], printre care sprijin, acces la resurse și independența (art. 38 RGPD).

Din prevederile art. 35 alin. (1) RGPD reiese că în situația utilizării inteligenței artificiale pentru a profila sau a lua decizii cu impact semnificativ asupra persoanelor fizice care sunt susceptibile „să genereze un risc ridicat pentru drepturile și libertățile persoanelor fizice”, operatorul este obligat să efectueze, înainte de prelucrare, o evaluare a impactului asupra protecției datelor[127]. Evaluarea de impact ar trebui să indice măsurile concrete pentru atenuarea riscurilor asupra protecției datelor, cum ar fi, de exemplu, o implicare reală a factorului uman în procesul decizional și măsuri concrete pentru a da posibilitatea persoanei de a solicita intervenție umană, de a-și exprima punctul de vedere și de a contesta decizia. Totodată principiile Privacy by design și Privacy by default (art. 25 RGPD) ar trebui să guverneze sistemele inteligenței artificiale încă din faza de proiect și în tot ciclul lor de viață.

***

CONCLUZII

Destinul lui Josef K. este tragic, dar concluziile noastre nu sunt despre absurd, putere și control, ci despre echilibru. Dacă am privi situația diferit? Și scriitorul Gabriel Garcia Marquez și-a imaginat, în romanul „Un veac de singurătate” o lume absurdă, dar plină de fericire:

„Lumea era atât de recentă încât multe lucruri nici nu aveau încă nume, iar pentru a le deosebi trebuia să le arăți cu degetul. (…) Era într-adevăr un sat fericit.”

Dreptul are infinite portaluri către echilibru într-un univers digital. Art. 22 RGPD e un portal esențial. Indiferent de cum îl numim, important e să nu își piardă esența pentru că esența digitalizării stă în echilibru. Dreptul omului în fața mașinii – art. 22 RGPD – va scrie istorie.

 


[1] Mihaela – Ruxandra Sava este avocat definitiv în Baroul București. Este membră IAPP (International Association of Privacy Professionals), deținând certificarea CIPP/e (Certified Information Privacy Professional/Europe). E-mail ruxandra.sava@legalup.ro.
[2] Devin Pickell, 8 Examples of Industries Using Predictive Analytics Today, 2019, disponibil aici, link accesat 02.10.2020.
[3] Și acest articol a fost redactat utilizând parțial soluții de inteligență artificială, urmate de verificare umană. A se vedea, de exemplu, Google Developers (https://developers.google.com/), platforma sintact.ro oferită de Wolters Kluwer, https://www.mendeley.com/, Scribd (https://www.scribd.com/), Kindle Cloud Reader (read.amazon.ro), https://www.linguee.com/.
[4] Ruxandra Sava, Radu Constantin Oprescu, BIG DATA – „vaccinul tehnologic” împotriva COVID-19? Va supraviețui viața privată?, Revista de note și studii juridice (RNSJ), 2020, disponibil aici, link accesat 02.10.2020.
[5] Devin Pickell, op. cit., supra n. 2.
[6] Comisia Europeană, Carte albă privind inteligența artificială. O abordare europeană axată pe excelență și încredere, Bruxelles, 2020, p. 2.
[7] Devin Pickell, op. cit., supra n. 2.
[8] Comisia Europeană, cit. supra n. 6, p. 2.
[9] Ibidem.
[10] Jamie Susskind, Politica viitorului. Tehnologia digitală și societatea, traducător Adina Ihora, Ed. Corint, 2019, p. 17.
[11] Ibidem.
[12] Ibidem.
[13] Jamies Vincent, Google ‘fixed’ its racist algorithm by removing gorillas from its image-labeling tech, 2018, disponibil aici, link accesat 02.10.2020.
[14] Lilian Edwards, Michael Veale, Slave to the Algorithm? Why a ‘Right to an Explanation’ Is Probably Not the Remedy You Are Looking For (May 23, 2017). 16 Duke Law & Technology Review 18 (2017), p. 38, disponibil la SSRN: https://ssrn.com/abstract=2972855.
[15] Ancuţa Gianina Opre, Simona Șandru, Dreptul de a fi uitat pe internet, mijloc de combatere a discriminării în M. Tomescu (ed.), „Nediscriminare și egalitate de șanse în societatea contemporană”, Editura Pro Universitaria, București, 2015, p. 282.
[16] Datele cu caracter personal sunt definite de art. 4 alin. (1) din RGPD drept „orice informații privind o persoană fizică identificată sau identificabilă („persoana vizată”); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale”.
[17] Pentru mai multe informații despre relația dintre Big Data și AI a se consulta Viktor Mayer-Schönberger, Kenneth Cukier, BIG DATA – A revolution that will tranform how we live, work and live, Houghton Mifflin Harcourt, 2013.
[18] Daniel-Mihail Șandru, Imposibila coexistenţă între protecţia datelor şi comunităţile virtuale? Ce urmează? Pandectele Române, nr. 1/2018, disponibilă online aici, link accesat 02.10.2020.
[19] Daniel J. Solove, The digital person. Technology and Privacy in the Information Age, New York University Press, 2004, p. 226.
[20] Ibidem.
[21] Daniel J. Solove, op.cit. supra n. 19, p. 19.
[22] Daniel – Mihail Șandru, Conserve proaspete, juridice.ro, 24.06.2020, link accesat 22.08.2020.
[23] Edwards, Lilian and Veale, Michael, op.cit. supra n. 14, p. 20.
[24] Forbrukerradet, Deceived by Design. How tech companies use dark patterns to discourage us from exercising our rights to privacy, 2018.
[25] Daniel – Mihail Șandru, op. cit. supra n. 22.
[26] Lilian Edwards, Michael Veale, op. cit., supra n. 14, p. 19.
[27] Daniel-Mihail Șandru, Tipologia protecției datelor cu caracter personal în situații de criză medicală: coronavirus COVID-19, Pandectele Române nr. 1/2020, p. 43.
[28] Urmărirea online persoanelor care nu au conturi de Facebook de către Facebook se realizează prin intermediul modulelor integrate pe site-uri, de exemplu butonul de like. A se vedea Arnold Roosendaal Facebook Tracks and Traces Everyone: Like This!, Tilburg Law School Legal Studies Research Paper Series No. 03/2011, Disponibil la  SSRN: https://ssrn.com/abstract=1717563.
[29] CJUE, cauza C‑210/16, hotărârea din 5 iunie 2018, ECLI:EU:C:2018:388, pct. 41.
[30] Rezultatele sondajului sunt disponibile online aici, link accesat 02.10.2020.
[31] CJUE, hot. cit., supra n. 29, pct. (38)-(44).
[32]  CJUE, cauza C-40/17, hotărârea din 29 iulie 2019, ECLI:EU:C:2019:629, pct. (68)-(85).
[33] Silvia Uscov, De la începuturi a fost digitalizarea”, juridice.ro, 2020, link accesat 22.08.2020.
[34] The Great Hack, Directed by Karim AmerJehane Noujaim, Netflix, 2019.
[35] Pentru mai multe informații despre cum ne pot influența algoritmii alegerile și viața, a se consulta Ruxandra Sava, MATRIX 2.0. Despre cum ne influențează algoritmii alegerile și viața”, 2020, LegalUp.ro, link accesat 02.10.2020.
[36] Alexandra Pana, Rolul factorului uman în asigurarea protecţiei datelor personale prelucrate în cadrul comunităţilor virtuale, Pandectele Romane nr. 6 din 2019, versiune electronică oferită de platforma sintact.ro. Versiunea digitală a revistei nu conține numerotarea paginilor.
[37] Jamie Susskind, op. cit., supra n. 10, p. 143.
[38] Regulamentul (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor) a fost publicat în Jurnalul Oficial L 119, 4.5.2016, p. 1-88, iar textul a fost rectificat ulterior, înainte de punerea sa în aplicare, rectificarea fiind publicată în Jurnalul Oficial L 127, 23.5.2018.
[39] Legea nr. 190/2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor), Text publicat în Monitorul Oficial, Partea I nr. 651 din 26 iulie 2018. În vigoare de la 31 iulie 2018.
[40] Daniel-Mihail Șandru, Irina Alexe, Subiectele Regulamentului General privind Protecţia Datelor în caleidoscopul nuanţelor de fericire, Pandectele Române nr. 3/2019, p. 74-80.
[41] A se vedea, în acest sens, Daniel-Mihail Șandru, Irina Alexe, Subiectele Regulamentului General privind Protecţia Datelor în caleidoscopul nuanţelor de fericire, Pandectele Române nr. 3/2019, p. 74-80; Simona Șandru, Protecția datelor personale și viața privată, Ed. Hamangiu, 2016, p. 127-383; Gabriela Zanfir, Protecția datelor personale. Drepturile persoanei vizate, Ed. C.H.Beck, București, 2015;
[42] Pentru mai multe informații despre standardele consimțământului explicit, a se consulta Grupul de Lucru „Articolul 29” pentru Protecția Datelor, Orientări asupra Consimțământului în temeiul Regulamentului 2016/679, Adoptat la 28 noiembrie 2017, Bruxelles, p. 19-20.
[43] Categoriile speciale de date sunt, potrivit art. 9 alin. 1 din RGPD, datele cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă, convingerile filozofice, apartenența la sindicate datele genetice, datele biometrice pentru identificarea unică a unei persoane fizice, datele privind sănătatea, datele privind viața sexuală sau orientarea sexuală ale unei persoane fizice.
[44] Art. 9 alin. 2 lit. g) din RGPD prevede că „prelucrarea este necesară din motive de interes public major, în baza dreptului Uniunii sau a dreptului intern, care este proporțional cu obiectivul urmărit, respectă esența dreptului la protecția datelor și prevede măsuri corespunzătoare și specifice pentru protejarea drepturilor fundamentale și a intereselor persoanei vizate”.
[45] Art. 288 prevede că un regulament „este obligatoriu în toate elementele sale și se aplică direct în fiecare stat membru”. Pentru mai multe detalii a se vedea Paul Craig, Grainne de Burca, Dreptul Uniunii Europene. Comentarii, jurisprudență și doctrină, Ediția a VI-a, Ed. Hamangiu, 2017, București, p. 222-223.
[46] Serge Gutwirth, Yves Poullet, Paul De Hert (Editors), Data Protection in a Profiled World, Springer, 2010, p. 39.
[47] Idem, p. 137.
[48] Ancuţa Gianina Opre, Simona Șandru, op.cit. supra n. 15, p. 282.
[49] Grupul de lucru Art. 29 pentru protecţia persoanelor în ceea ce priveşte prelucrarea datelor cu caracter personal a fost înlocuit începând cu data de 25 mai 2018 de Comitetul European pentru Protecţia Datelor.
[50] Grupul de Lucru „Articolul 29” pentru Protecția Datelor Orientări privind procesul decizional individual automatizat și crearea de profiluri în sensul Regulamentului (UE) 2016/679, Adoptate la 3 octombrie 2017 astfel cum au fost revizuite și adoptate ultima dată la 6 februarie 2018, p. 7.
[51] Serge Gutwirth, Ronald Leenes, Paul de Hert (Editors), Reforming European Data Protection Law, Springer, 2015, p. 44.
[52] Daniel – Mihail Șandru, Imposibila coexistenţă între protecţia datelor și comunităţile virtuale? Ce urmează?, Pandectele Române nr. 1/2018, p. 22.
[53] Serge Gutwirth, Ronald Leenes, Paul de Hert (Editors), op. cit, supra n. 51, p. 45.
[54] Grupul de Lucru „Articolul 29” pentru Protecția Datelor cit. supra n. 50, p. 8.
[55] Ibidem.
[56] Simona Șandru, op. cit. supra n. 41, p. 213.
[57] Andrew J. Hawkins, Uber will now deactivate riders with below average ratings, disponibil aici, link accesat 03.10.2020.
[58] Aceasta este poziția CJUE exprimată la pct. 173 din Avizul 1/15: „În plus, în măsura în care analiza automatizată a datelor PNR implică în mod necesar, (…), o anumită marjă de eroare, orice rezultat pozitiv obținut în urma prelucrării automate a respectivelor date trebuie să fie supus, (…), unei reexaminări individuale prin mijloace neautomatizate înainte de adoptarea unei măsuri individuale care să aibă urmări negative în privința pasagerilor aerieni vizați. Astfel, o asemenea măsură nu poate, în temeiul articolului 15 amintit, să se întemeieze în mod decisiv numai pe rezultatul unei prelucrări automate a datelor PNR.”
[59] Lukas Feiler, Nikolaus Forgo, Michaela Weigl, The EU General Data Protection Regulation (GDPR): A commentary, German Law Publishers, 2018, Scribd Version, p. 263.
[60] Ibidem.
[61] Grupul de Lucru „Articolul 29” pentru Protecția Datelor, cit. supra n. 50, p. 24.
[62] Maja Brkan , Do Algorithms Rule the World? Algorithmic Decision-Making in the Framework of the GDPR and Beyond (August 1, 2017). Disponibil la SSRN: https://ssrn.com/abstract=3124901.
[63] Lilian Edwards, Michael Veale, Clarity, Surprises, and Further Questions in the Article 29 Working Party Draft Guidance on Automated Decision-Making and Profiling (2018). Computer Law & Security Review 34(2) 2018, 398-404, DOI: 10.1016/j.clsr.2017.12.002, Disponibil la  SSRN: https://ssrn.com/abstract=3071679.
[64] Idem, p. 402.
[65] Pentru detalii despre efectuarea evaluării impactului asupra protecției datelor, a se consulta Grupul de Lucru „Articolul 29” pentru Protecția Datelor, Ghid privind Evaluarea impactului asupra protecției datelor (DPIA) și stabilirea dacă o prelucrare este „susceptibilă să genereze un risc ridicat” în sensul Regulamentului 2016/679, Bruxelles, 2017.
[66] EDPB, Guidelines 8/2020 on the targeting of social media users, Version 1.0, Version for public consultation, 2 september 2020, p. 5.
[67] Serge Gutwirth, Yves Poullet, Paul De Hert (Editors), op. cit. supra n. 46, p. 138-140.
[68] A se vedea, de exemplu, Serge Gutwirth, Ronald Leenes, Paul de Hert (Editors), op. cit., supra n. 51, p. 45; Manon Oostveen, Kristina Irion în Bakhoum, Conde Gallego, Mackenrodt, Surblytė-Namavičienė, (Editors), Personal Data in Competition, Consumer Protection and Intellectual Property Law, Towards a Holistic Approach?, Springer, 2018, location 378, Amazon Reader Version.
[69] EDPB, cit. supra n. 66, p. 5.
[70] A se vedea, de exemplu, Agencia Española de Protección de Datos, RGPD compliance of processings that embed Artificial Intelligence. An introduction, 2020, p. 6; EDPB, cit. supra n. 66, p. 5
[71] Manon Oostveen, Kristina Irion în Bakhoum, Conde Gallego, Mackenrodt, Surblytė-Namavičienė, (Editors), op. cit. supra n. 68, location 255, Amazon Reader Version.
[72] Eduardo Gill Pedro, Anna Zemskova Xavier, Groussot, Spre principii generale 2.0: aplicarea principiilor generale ale dreptului Uniunii Europene în societatea digital, Revista Romana de Drept European (Comunitar) nr. 4 din 2019, versiune electronică oferită de platforma sintact.ro. Versiunea digitală a revistei nu conține numerotarea paginilor.
[73] Serge Gutwirth, Yves Poullet, Paul De Hert (Editors), op. cit. supra n. 46, p. 138.
[74] EDPS, Opinion on online manipulation and personal data, Opinion 3/2018, p. 8.
[75] EDPB, cit. supra n. 66, p. 5p. 5.
[76] CJUE. C‑524/06, Hotărârea din 16 decembrie 2008, ECLI:EU:C:2008:724.
[77] Cu privire la prima întrebare preliminară, CJUE a hotărât că utilizarea unui registru precum AZR în scopul de a sprijini autoritățile însărcinate cu aplicarea dispozițiilor privind dreptul de ședere este, în principiu, legitimă și, având în vedere natura sa, este compatibilă cu interzicerea discriminării exercitate pe motiv de cetățenie atâta timp cât este îndeplinită cerința necesității prevăzută la articolul 7 litera (e) din Directiva 95/46. Cu privire la acest sistem de prelucrare a datelor cu caracter personal, precum cel instituit prin AZRG, cerința necesității este îndeplinită doar decât (1) în cazul în care conține numai datele necesare pentru aplicarea de către autoritățile menționate a acestor dispoziții și (2) în cazul în care caracterul său centralizat permite o aplicare mai eficientă a acestor dispoziții în ceea ce privește dreptul de ședere al cetățenilor Uniunii care nu sunt resortisanți ai acestui stat membru. CJUE. C‑524/06, Hotărârea din 16 decembrie 2008, ECLI:EU:C:2008:724, pct. 47-66
[78] Grupul de Lucru „Articolul 29” pentru protecția datelor, cit. supra n. 50, p. 13.
[79] Alexandra Pana, op. cit., supra n. 35, versiune electronică oferită de platforma sintact.ro. Versiunea digitală a revistei nu conține numerotarea paginilor.
[80] Ancuţa Gianina Opre, Simona Șandru, op.cit., supra n. 15, p. 288.
[81] Neil M. Richards, The Dangers of Surveillance (March 25, 2013). Harvard Law Review, 2013, Disponibil la SSRN: https://ssrn.com/abstract=2239412, p. 1946.
[82] A se vedea, de exemplu, Serge Gutwirth, Ronald Leenes, Paul de Hert (Editors), op. cit., supra n. 51, p. 45; Manon Oostveen, Kristina Irion în Bakhoum, Conde Gallego, Mackenrodt, Surblytė-Namavičienė, (Editors), op. cit. supra n. 68, location 404, Amazon Reader Version.
[83] Alexandra Pana, op. cit. supra n. 35, versiune electronică oferită de platforma sintact.ro. Versiunea digitală a revistei nu conține numerotarea paginilor.
[84] Serge Gutwirth, Ronald Leenes, Paul de Hert (Editors), op. cit. supra n. 51, p. 45.
[85] Ruxandra Sava, Despre confort și control. Social media, TV, Netflix, Spotify, AI și viață, 2018, link accesat 03.10.2020.
[86] EDPB, cit. supra n. 66, p. 5.
[87] Idem, p. 6.
[88] Site-ul oficial al ANSPDCP este dataprotection.ro.
[89] Elena – Simina Tănăsescu „Există viață privată în satul global?” în prefața lucrării doamnei Simona Șandru, Protecția datelor personale și viața privată, Ed. Hamangiu, 2016.
[90] Frederike Kaltheuner, Privacy is Power, TechExtra, 2018, p. 15.
[91]Privacy International, Privacy Matters, https://privacyinternational.org/learning-resources/privacy-matters, link accesat 04.09.2020.
[92] Serge Gutwirth, Yves Poullet, Paul De Hert (Editors), op. cit. supra n. 46, p. 37.
[93] Idem, p. 36.
[94] Serge Gutwirth, Ronald Leenes, Paul de Hert (Editors), op. cit. supra n. 51, p. 57.
[95] „Când beneficiarii acestui drept vor înţelege importanţa lui în structura juridică a societăţii şi nu vor mai trata cu uşurinţă diseminarea datelor personale, abia atunci vom putea discuta despre o cultură de securitate a datelor personale. La fel cum o persoană este conştientă că trebuie să îşi păstreze în siguranţă cheile de la casă, PIN-ul de la cardul bancar, cartea de identitate, ea trebuie să fie conştientă şi de importanţa numărului său de telefon, a aplicaţiilor pe care le instalează pe telefonul mobil, a fotografiilor pe care le încarcă în mediul electronic, a datelor cardului bancar pe care le furnizează unor site-uri aparent prietenoase, a faptului că raportează în mediul online, cu acurateţe maximă, locaţia în care se găseşte şi persoanele care o însoţesc”. A se vedea Alexandra Pana, op. cit., supra n. 35, versiune electronică oferită de platforma sintact.ro. Versiunea digitală a revistei nu conține numerotarea paginilor.
[96] Încurajarea unei abordări etice în dezvoltarea inteligenței artificiale se regăsește o are și Comisia Europeană în Carte albă privind inteligența artificială. O abordare europeană axată pe excelență și încredere, cit. supra n. 6.
[97] Daniel J. Solove, op.cit., supra n. 19, p. 178.
[98] Gill Pedro Eduardo, Zemskova Anna, Groussot Xavier, op. cit. supra n. 72, versiune electronică oferită de platforma sintact.ro. Versiunea digitală a revistei nu conține numerotarea paginilor.
[99] Lilian Edwards, Michael Veale, op. cit. supra n. 14, p. 74.
[100] Idem, p. 67.
[101] Bakhoum, Conde Gallego, Mackenrodt, Surblytė-Namavičienė (coord.), op. cit. supra n. 68, Kindle Edition, Location 154.
[102] Jamie Susskind, op. cit. supra n. 10, p. 107.
[103] Idem, p. 91.
[104] Pentru detalii despre principiul transparenței a se consulta Daniel-Mihail ȘANDRU, Principiul transparenţei în protecţia datelor cu caracter personal, Pandectele Române nr. 4/2018, p. 67;
[105] Pentru mai multe detalii despre dreptul la informare a se consulta Gabriela Zanfir – Fortuna în lucrarea Christopher Kuner, op. cit., supra n. 41, p. 413-448.
[106] Pentru detalii a se consulta Grupul de Lucru pentru Protecția Datelor instituit în temeiul Articolului 29, Orientări privind transparența în temeiul Regulamentului 2016/679, 2018, Bruxelles.
[107] Daniel-Mihail Șandru, op. cit., supra n. 104, p. 67.
[108] Grupul de Lucru „Articolul 29” pentru Protecția Datelor, cit. supra n. 50, p. 18.
[109] Andrew D. Selbst, Julia Powles, Meaningful Information and the Right to Explanation (November 27, 2017). International Data Privacy Law, vol. 7(4), 233-242 (2017), Disponibil la SSRN: https://ssrn.com/abstract=3039125, p. 7.
[110] Serge Gutwirth, Yves Poullet, Paul De Hert (Editors), op. cit. supra n. 46, p. 36.
[111] Grupul de Lucru „Articolul 29” pentru Protecția Datelor, cit. supra n. 50, p. 28.
[112] Maja Brkan, op. cit., supra n. 62, p. 15.
[113] Agencia Española de Protección de Datos, cit. supra n. 70, p. 23.
[114] Andrew D. Selbst, Julia Powles, op. cit. supra n. 109, p. 8.
[115] Pentru mai multe informații despre principiile-cheie a se consulta Mihail-Daniel Șandru, La vremuri noi, principii vechi. Observaţii critice privind două expresii nou introduse în art. 5 al Regulamentului General privind Protecţia Datelor, Revista Română de Drept al Afacerilor nr. 1/2018.
[116] Pentru mai multe informații despre standardele consimțământului explicit, a se consulta Grupul de Lucru „Articolul 29” pentru Protecția Datelor, cit. supra n. 42, p. 19-20.
[117] Agencia Española de Protección de Datos, cit. supra n. 70, p. 24.
[118] Ancuţa Gianina Opre, Simona Șandru, op. cit., supra n. 15, p. 288.
[119] A se vedea, de exemplu, Sandra Wachter, Brent Mittelstadt, Luciano Floridi, Why a Right to Explanation of Automated Decision-Making Does Not Exist in the General Data Protection Regulation (December 28, 2016). International Data Privacy Law, 2017, Disponibil la  SSRN: https://ssrn.com/abstract=2903469, p. 39-40.
[120] A se vedea, de exemplu, Lee A. Bygarve în lucrarea Christopher Kuner, Lee A. Bygrave, Christopher Docksey (coord.), op. cit. supra n. 41, p. 530-532.
[121] Grupul de Lucru „Articolul 29” pentru Protecția Datelor, cit. supra n. 50, p. 22.
[122] Daniel-Mihail Șandru, Principiul echității în prelucrarea datelor cu caracter personal, Pandectele Române nr. 3/2018, versiune electronică oferită de platforma sintact.ro. Versiunea digitală a revistei nu conține numerotarea paginilor.
[123] Agencia Española de Protección de Datos, cit. supra n. 70, p. 7.
[124] Alexandra Pana, op. cit. supra n. 35, versiune electronică oferită de platforma sintact.ro. Versiunea digitală a revistei nu conține numerotarea paginilor.
[125] Alexandra Pana, op. cit., supra n. 35, versiune electronică oferită de platforma sintact.ro. Versiunea digitală a revistei nu conține numerotarea paginilor.
[126] Pentru mai multe detalii a se vedea Irina Alexe, Rolul responsabilului cu protecţia datelor în respectarea drepturilor persoanei vizate, Revista Romana de Drept al Afacerilor 3 din 2019, versiune electronică oferită de platforma sintact.ro. Versiunea digitală a revistei nu conține numerotarea paginilor.
[127] Pentru detalii despre efectuarea evaluării de impact, a se consulta Grupul de Lucru „Articolul 29” pentru Protecția Datelor, Ghid privind Evaluarea impactului asupra protecției datelor (DPIA) și stabilirea dacă o prelucrare este „susceptibilă să genereze un risc ridicat” în sensul Regulamentului 2016/679, Bruxelles, 2017.


Av. Ruxandra Sava, CIPP/e

PLATINUM+
PLATINUM Signature       

PLATINUM  ACADEMIC

GOLD                                

VIDEO STANDARD
Aflaţi mai mult despre , , , , , , , , , , , , , , , ,

Puteţi publica şi dumneavoastră pe JURIDICE.ro. Publicăm chiar şi opinii cu care nu suntem de acord. Vă rugăm să vă familiarizaţi cu obiectivele şi valorile Societătii de Stiinţe Juridice, despre care puteti ciţi aici.
JURIDICE.ro este o platformă de exprimare. Publicarea nu semnifică asumarea de către noi a mesajului.

Pentru a publica vă rugăm să citiţi Condiţiile de publicare, Politica privind protecţia datelor cu caracter personal şi să ne scrieţi la adresa redactie@juridice.ro!












Securitatea electronică este importantă pentru avocaţi
 Mesaj de conştientizare susţinut de FORTINET
JURIDICE utilizează şi recomandă SmartBill

Lex Discipulo Laus

Lasă un răspuns

Acest sit folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.

Important: Descurajăm publicarea de comentarii defăimatoare. Vor fi validate doar comentariile care respectă Politica JURIDICE.ro şi Condiţiile de publicare.