Secţiuni » Arii de practică » Protective » Data protection
Data protection
DezbateriConferinţeToate evenimenteleCărţiProfesionişti

Banner BA-01
Servicii JURIDICE.ro
Banner BA-02
Articole Data protection Opinii SELECTED

Particularități legate de prelucrarea seturilor mixte de date (cu sau fără caracter personal)

26 iunie 2020 | Oana CHIOSEA
Oana Chiosea

Oana Chiosea

Subiectul protecției datelor a căpătat importanță majoră, devenind consacrat în viziunea noastră – fie că suntem profesioniști sau persoane fizice vizate de prelucrări și ocrotite de lege – începând cu data de 25 mai 2018, odată cu intrarea în vioare a Regulamentului General privind Protecția Datelor cu Caracter personal sau cum este denumit generic – “GDPR”, a cărui scop principal a fost să instituie sancțiuni mai dure pentru operatorii care nu respectă principiile de prelucrare a datelor cu caracter personal – marea majoritate deja stabilite în vechea legislație.

Seturi de date prelucrate

În economia actuală a datelor, cele mai întâlnite informații uzitate în activitatea de zi cu zi a operatorilor care conduc și administrează o afacere la nivel național/european/internațional nu sunt cele personale, ci așa-zisele date fără caracter personal, ce nu sunt atât de populare prin comparație.

Ce reprezinta datele cu caracter personal?: prin date cu caracter personal legiuitorul înțelege orice informații privind o persoană fizică identificată sau identificabilă; o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale[1].

Pentru a determina în ce măsură o persoană fizică este identificabilă, trebuie avut în vedere, de o manieră rezonabilă, toți factorii obiectivi și mijloacele disponibile pentru identificarea persoanei fizice, precum costurile și intervalul de timp necesare pentru identificare, ținându-se seama atât de tehnologia disponibilă la momentul prelucrării, cât și de dezvoltarea tehnologică a operatorului de date[2].

Datele fără caracter personal se diferențiază de datele personale definite supra prin faptul că: (i) fie nu provin de la sau nu sunt legate de existența unei persoane fizice identificate sau identificabile (ca de exemplu datele tehnice ale unui echipament, datele meteo etc.), (ii) fie, deși au fost la origine date cu caracter personal, în prezent sunt anonimizate (de ex. datele cu caracter personal aparținând clienților unei bănci au fost anonimizate în core system-ul acesteia după împlinirea termenului de retenție impus de legislația privind prevenirea și combaterea spălării banilor și a finanțării terorismului).

Un subiect de interes în practica operatorilor ține de posibila clasificare ca date personale a datelor aparținând entităților juridice. În concret, ca regulă, atunci cînd prelucăm datele de identificare sau contact ale unei societăți (ex. denumire, nr. de telefon, adresă de e-mail, adresă etc.), în principiu, nu suntem supuși regulilor impuse de Regulamentul general privind protecția datelor (GDPR) deoarece acestea nu intră în categoria datelor cu caracter personal.

Cu toate acestea, în cazul în care prin prelucrarea informațiilor ce țin de persoana juridică/persoana fizică autorizată/independentă etc. putem identifica persoana fizică care o deține/administrează, atunci trebuie să respectăm cerințele în materie de protecția și securitatea datelor cu caracter personal[3] la fel ca pentru personale fizice (de ex. în cazul unui Cabinet de avocat denumit “Ion Popescu – Cabinet de avocat” se poate identifica cu ușurință persoana fizică avocat titular al cabinetului).

Revenind la discuția inițială, o problemă des întâlnită în practică este aceea a clarificării regimului juridic aplicate bazelor/seturilor de date mixte compuse atât din date cu caracter personal, cât și din date fără caracter personal.

Care este definiția seturilor de date mixte și cum le putem identifica? Acestea constituie marea majoritate a bazelor de date utilizate în economia globală a datelor și sunt larg răspândite datorită evoluțiilor tehnologice, cum ar fi internetul lucrurilor, inteligența artificială și tehnologiile care permit analiza volumelor mari de date.

După cum rezultă din Orientările Comisiei Europene referitoare la Regulamentul privind un cadru pentru libera circulație a datelor fără caracter personal în Uniunea Europeană din data de 29 mai 2019, constituie seturi de date mixte: (i) seturile de date de la o bancă, în special cele care conțin informații referitoare la clienții și detaliile tranzacțiilor efectuate, cum ar fi servicii de plată (carduri de credit și de debit), aplicații de gestionare a relațiilor dintre parteneri și acorduri de împrumut, precum și documente care combină date referitoare atât la persoanele fizice, cât și la cele juridice; (ii) certificatele de atestare fiscală ale unei societăți, care menționează numele și numărul de telefon ale directorului general al societății; (iii) datele statistice anonimizate ale unei instituții de cercetare și datele primare colectate inițial, cum ar fi răspunsurile respondenților individuali la întrebările chestionarului statistic; (iv) baza de date a unei societăți cu privire la problemele informatice și soluțiile acestora, bazată pe rapoarte individuale privind incidentele informatice; (v) datele referitoare la internetul obiectelor, dintre care unele date permit formularea unor ipoteze cu privire la persoane identificabile (de exemplu, prezența la o anumită adresă și modele de utilizare) și (vi) analiza datelor privind registrul de exploatare al echipamentelor de fabricație din industria prelucrătoare.

Reguli pentru prelucrarea seturilor mixte de date

În ceea ce privește regulile de întocmire și gestionare a bazelor de date mixte de care trebuie să țină cont întreprinderile în activitatea lor de zi cu zi, menționăm că, la data de 18 noiembrie 2018, Parlamentul European și Consiliul au adoptat Regulamentul U.E. nr. 2018/1807 privind un cadrul pentru libera circulație a datelor fără caracter personal în Uniunea Europeană (“Regulamentul pentru libera circulație a datelor fără caracter personal”) tocmai pentru a nu limita schimburile de date fără caracter personal avand în vedere incertitudinea legată de conformarea prelucrarărilor de date la cerințele impuse și sancționate de GDPR.

Acest act normativ clarifică situația juridică a seturilor de date mixte, stabilind că în cazul unui set de date compus atât din date cu caracter personal, cât și din date fără caracter personal, Regulamentul pentru libera circulație a datelor fără caracter personal se aplică exclusiv părții din setul de date fără caracter personal. În schimp, în cazul în care datele cu caracter personal și cele fără caracter personal dintr-un set de date sunt legate între ele în mod indisolubil, se vor aplica regulile aplicabile prelucrării de date cu caracter personal prin GDPR[4].

Din înterpretarea înţelesului termenului “indisolubil” utilizat în caracterizarea legăturii dintre datele prelucrate, ar rezulta că aceasta relație este atât de strâsă/solidă încât nu poate fi desfăcută sau, mai bine zis, datele care, teoretic, ar avea caracter nepersonal nu pot fi separate de persoana fizică identificată/indentificabilă.

Cu titlu de exemplu, o situație de acest tip poate surveni atunci când o bancă oferă un serviciu de bancă la distanță (mobile banking) clienților săi persoane juridice, prin intermediul unei aplicații mobile.

În speță, deși marea majoritate a informațiilor stocate în aplicație sunt referitoare la plățile și încasările făcute de o persoana juridică, există în lista tranzacțiilor și date de identificare sau contact ale unor persoane fizice (administrator, reprezentant, clienți persoane fizice etc.). Din moment ce banca respectivă administrează seturi de date mixte (i.e. extrase de cont) în cadrul aplicației mobile dedicate persoanelor juridice, pentru a se conforma cerințelor RGPR, nu poate aplica măsuri de securitate (ex. criptarea comunicației, autentificare prin doi factori, parolare etc.) doar parțial pentru datele cu caracter personal înregistrate în aplicație, ci se va raporta la tot suportul electronic de date, atât personale, cât și fără caracter personal (așa-zisele date financiare).

De cele mai multe ori, fie ca vorbim de clienți persoane vizate, fie că avem în vedere proprii salariați, în practică, profesioniștilor le este aproape imposibil sau, chiar dacă este fezabil din punct de vedere tehnic, foarte costisitor să separe în integralitate datele personale de cele fără caracter personal prin achizitionarea unor software-uri separate. De asemenea, volumul de muncă pentru administrarea în același scop a două baze de date distincte se dublează.

Cu toate acestea, în cazul în care un operator dorește să diferențieze, în cadrul cadrul aceleiași baze de date electronice datele cu caracter personal de cele fără caracter personal, poate folosi un „tertip” tehnic de tipul următor: datele fără caracter personal sunt prezentate în clar, însă cele cu caracter personal fie sunt anonimizate – caz în care se transformă în date nepersonale[5], fie sunt pseudonimizate – situație în care se mențin ca date personale, cărora li se aplică măsura de securitate a pseudonimizării. În orice caz, nu putem spune până în prezent că este posibilă separarea completă a celor două tipuri de date.

Din acest motiv, cea mai simplă variantă este ca, de regulă, atunci când administrăm un set de date mixt, să-l gestionăm în conformitate cu obligatiile impuse de Regulamentul general privind protecția datelor, cu respectarea drepturilor garantate de lege persoanelor vizate și a principiilor de prelucrare a datelor cu caracter personal.

Ce se întâmplă cu seturile de date mixte stocate în format material?

Având în vedere că Regulamentul pentru libera circulație a datelor fără caracter personal prevede expres la art. 2 faptul că regulile instituite în cadrul său se referă doar la datele fără caracter personal prelucrate electronic, apare întrebarea cum clasificăm stetul de date mixte stocat/printat în format material?

Consider ca răspunsul la acestă întrebare poate fi dat cu luarea în considerare a analogiei juridice (ubi eadem est ratio, eadem lex esse debet sau ubi eadem est ratio, ibi eadem solutio esse debet), bazându-mă pe ideea că există aceleaşi raţiune și aici ca în cazul prelucrării electronice a bazelor de date, și anume legatura idisolubilă dintre datele cu caracter presonal și cele fără caracter personal. Prin urmare, trebuie dată aceeaşi soluţie, respectiv dacă seturile de date sunt legate între ele în mod indisolubil, se vor aplica regulile aplicabile prelucrării de date cu caracter personal stabilite de GDPR.

Respectarea drepturilor persoanelor vizate

O analiză de interes are loc atunci când întreprinderea primește solicitări de exercitare drepturi garantate de RGPR, ce au ca obiect date cu caracter personal prelucrate în cadrul unui sitem mixt de date. Nu mă refer aici la acordarea dreptului la informare cu privire la modalitatea și scopurile prelucrării, a dreptului la rectificare a datele inextact, a dreptului la restricționarea prelucrării atunci când sunt aplicabile cazurile expres reglementate prin RGPR și de a se opune prelucrarii datelor personale din setul mixt de date atunci când există motive legate de situația particulară a persoanei fizice care prevalează deoarece, de cele mai multe ori, acestea nu presupun o complexitate deosebită de restul operațiunilor de prelucrare.

În schimb, am în vedere o examinare mai detaliată a speței ce trebuie realizată de operatorul de date atunci când persoana vizată își exercită dreptul de acces la datele sale personale, ce fac parte dintr-un set mixt de date.

De regulă, seturile mixte de date conțin informații privind afacerea administrată, secrete comerciale, date financiar-contabile și așa mai departe.

Dacă operatorul de date ar aplica ad literam prevederile art. 15 alin (3) din RGPR, care dispun că „operatorul furnizează o copie a datelor cu caracter personal care fac obiectul prelucrării”, atunci s-ar auto-expune pericolului de a dezvălui din secretele sale comerciale care, până la urmă, sunt rezultatul unui efort intelectual sau financiar propriu ce îl distinge de concurență, ceea ce n-ar fi corect.

Astfel, din punctul meu de vedere, în cazurile de acest tip, prevederile art. 15 alin. (3) RGPD nu acordă un drept de acces efectiv la documente în format fizic sau electronic, ci se interpretează în spiritul echitabil al legii, în sensul de a lua o decizie abia după efectuarea un test de echilibru al dreptului la viata privată garantat persoanei vizate solicitante în raport cu asigurarea intereselor legitime de afaceri ale comercianților care le prelucrează cu bună credință.

În orice caz, garanția asigurării echilibrului ar fi mai mare dacă solicitarea dreptului de acces ajunge sa fie dezbătută în cadrul unui litigiu, deoarece documentele care conțin seturi mixte de date pot fi puse la dispozitia instantei și a părții adverse, doar după ce completul de judecată a analizat utilitatea, pertinența și concludența probei a cărei administrare se solicită după dezbaterea părților.

Cu titlu de exemplu, instanțele din Austria[6] au clarificat o decizie ambiguă a autorității austriece în materie de protecția datelor (ADPA) în ceea ce privește acordarea dreptului de acces la date bancare. În concret, instanța a limitat dreptul de acces exercitat de persoana vizată doar la datele personale regăsite în cadrul extrasului de cont, iar nu la documentul/extrasul de cont în sine care, de cele mai multe ori, constituie un serviciu bancar contra-cost – obiect al afacerii desfășurate.

Prin urmare, având în vedere că operatorii de date au obligația să protejeze drepturile și interesele altor persoane vizate de prelucrarea de date, dar și dreptul să păstreze propriile lor secrete comerciale și să obțină profit de pe seama serviciilor oferite (ex. situația extraselor de cont), o alternativă rezonabilă pentru toți actorii implicați, dar mai costisitoare din punct de vedere financiar, pentru a oferi acces la datele personale dintr-un set mixt de date stocate în format electronic o constituie achiziționarea unui sistem de tip “targeted data discovery”, setat să caute și să extragă dintr-un volum mare de informație, sub forma unui raport cu criterii ante-stabilite, toate datele cu caracter personal gestionate în legătură cu o persoană fizică în cauză (i.e., persoana vizată care își exercită dreptul de acces la datele personale, inclusiv cele care fac parte din seturi mixte).

În loc de concluzie, apreciez că a avut loc deja trecerea la o cultură bazată pe date, personale și de business, ce au o valoare pecuniară din ce mai mare, cuantificabilă de analiștii care lucrează în domeniu, dar pe care o putem estima și noi, indirect, prin observarea sumelor solicitate pe “dark web” (internetul ascuns, folosit de gruparile de infractori) de persoanele malițioase care au ajuns, de exemplu, să “vândă” întreaga identitate online a unei persoane pentru numai 1.200 de dolari[7].


[1] Art. 4 pct.-ul 1 din Regulamentul (UE) 2016/679 (Regulamentului general privind protecția datelor).
[2] Considerentul nr. 26 din Regulamentul (UE) 2016/679 (Regulamentului general privind protecția datelor).
[3] A se vedea hotărârea Curții de Justiție din 9 noiembrie 2010 în cauzele conexate Volker und Markus Schecke GbR, C-92/09 și Hartmut Eifert, C-93/09/Land Hessen, ECLI:EU:C:2010:662, punctul 52.
[4] Art. 2 alin. (2) din Regulamentul U.E. nr. 2018/1807 privind un cadrul pentru libera circulație a datelor fără caracter personal în Uniunea Europeană.
[5] În cazul acesta există însă riscul de a nu mai putea face legătură între persoană și datele financiare conexe, de exemplu.
[6] AFAC, 24 mai 2019, W258 2205602-1.
[7] https://www.yoda.ro/online/cat-valoreaza-datele-tale-persoane-hakerii-vand-parole-de-acces-pentru-sume-derizorii.html


Av. Oana Chiosea

Citeşte mai mult despre , , , ! Pentru condiţiile de publicare pe JURIDICE.ro detalii aici.
Urmăriţi JURIDICE.ro şi pe LinkedIn LinkedIn JURIDICE.ro WhatsApp WhatsApp Channel JURIDICE Threads Threads JURIDICE Google News Google News JURIDICE

(P) JURIDICE.ro foloseşte şi recomandă SmartBill.

 
Homepage J JURIDICE   Cariere   Evenimente   Dezbateri   Profesionişti   Lawyers Week   Video
 
Drepturile omului
Energie
Fiscalitate
Fuziuni & Achiziţii
Gambling
Health & Pharma
Infrastructură
Insolvenţă
Malpraxis medical
Media & publicitate
Mediere
Piaţa de capital
Procedură civilă
Procedură penală
Proprietate intelectuală
Protecţia animalelor
Protecţia consumatorilor
Protecţia mediului
Sustenabilitate
Recuperare creanţe
Sustenabilitate
Telecom
Transporturi
Drept maritim
Parteneri ⁞ 
Specialişti
Arii de practică
Business ⁞ 
Litigation ⁞ 
Protective
Achiziţii publice
Afaceri transfrontaliere
Arbitraj
Asigurări
Banking
Concurenţă
Construcţii
Contencios administrativ
Contravenţii
Corporate
Cyberlaw
Cybersecurity
Data protection
Drept civil
Drept comercial
Drept constituţional
Drept penal
Dreptul penal al afacerilor
Dreptul familiei
Dreptul muncii
Dreptul Uniunii Europene
Dreptul sportului
Articole
Essentials
Interviuri
Opinii
Revista de note şi studii juridice ISSN
Note de studiu ⁞ 
Studii
Revista revistelor
Autori ⁞ 
Publicare articole
Jurisprudenţă
Curtea Europeană a Drepturilor Omului
Curtea de Justiţie a Uniunii Europene
Curtea Constituţională a României
Înalta Curte de Casaţie şi Justiţie
Dezlegarea unor chestiuni de drept
Recurs în interesul legii
Jurisprudenţă curentă ÎCCJ
Curţi de apel
Tribunale
Judecătorii
Legislaţie
Proiecte legislative
Monitorul Oficial al României
Jurnalul Oficial al Uniunii Europene
Flux noutăţi
Selected
Comunicate
Avocaţi
Executori
Notari
Sistemul judiciar
Studenţi
RSS ⁞ 
Publicare comunicate
Proiecte speciale
Cărţi
Condoleanţe
Covid-19 Legal React
Creepy cases
Life
Poezii
Povestim cărţi
Poveşti juridice
Războiul din Ucraina
Wisdom stories
Women in Law

Servicii J JURIDICE   Membership   Catalog   Recrutare   Talent Search   Comunicare   Documentare   Evenimente   Website   Logo   Foto   Video   Partnership  
 

© 2003-2024 JURIDICE.ro
Despre noi  Website map  Servicii  Contact
Privacy  Politica  Utilizare  Publicare  Parteneri