RGPD (I) – Extinderea notiunii de date cu caracter personal
7 minute • Redactia • 05 mai 2017
Aceast articol este primul dintr-o serie de articole care vor urma cu privire la viitoarele modificări în conformitate cu noul Regulament general privind protecția datelor („RGPD”), Regulamentul (UE) 2016/679.
Așa-numita „revoluție europeană pentru protecția datelor personale” va începe curând. Regulamentul (UE) 2016/679 privind unificarea legislatiei statelor membre UE cu privire la protecția datelor cu caracter personal si libera circulatie a acestor date a intrat în vigoare pe 24 mai 2016 și se va aplica direct în statele membre UE, începând cu 25 mai 2018.
Deși Regulamentul se va aplica direct în statele membre și nu va necesita implementarea unor legislații naționale, totuși, legislația română va trebui modificată pentru a implementa noile măsuri propuse.
RGPD protejează “datele cu caracter personal”. Dar înțelegerea a ceea ce constituie date cu caracter personal este adesea o surpriză pentru unele organizații. Sunt date personale adresele IP, de exemplu? Ce se întâmplă cu identificatorii unici de dispozitiv sau cu identificatorii biometrici? Datele rămân personale dacă sunt șterse sau criptate?
Ce prevede legea astăzi?
În prezent, definiția UE privind “datele cu caracter personal” este prevăzută în Directiva 95/46/CE privind protecția datelor. Acesta definește datele personale drept “orice informație referitoare la o persoană fizică identificată sau identificabilă” (articolul 2 litera (a)) și recunoaște în mod specific că aceasta include atât identificarea “directă”, cât și cea indirectă (de exemplu, mă identifici pe baza de nume – este o identificare directă, mă descrii ca fiind “avocata care in timpul liber scrie articole interesante pentru blogul Avocatoo” – aceasta este o identificare indirectă).
De asemenea, Directiva menționează că identificarea se poate face prin “un număr de identificare sau unul sau mai mulți factori specifici identității sale fizice, fiziologice, mentale, economice, culturale sau sociale”.
Acest lucru a provocat o mulțime de dezbateri în cercurile europene de confidențialitate – poate un “număr de identificare” să includă, de exemplu, o adresă IP sau un șir de module cookie?
Grupul de lucru de la art. 29 din Directiva a elaborat anterior o serie de orientări cuprinzătoare privind conceptul de date cu caracter personal, care a arătat clar că autoritățile de reglementare din UE au intenționat să trateze definiția “datelor cu caracter personal” într-un sens foarte larg, examinând conținutul, scopul și rezultatul datelor. Și, într-adevăr, legea consideră adresele IP și șirurile de cookie ca date personale, chiar dacă organizațiile în sine nu o fac.
Important de menționat este și că protecția datelor personale este atribuită doar persoanelor fizice, nu și persoanelor juridice.
Datele protejate se referă la orice informatie referitoare la o persoană fizică, ca de exemplu: nume, domiciliu, CNP, fotografie, număr de telefon, e-mail, informații bancare, adresa IP a calculatorului.
Pe lângă aceste date personale „obișnuite”, legislația protejează și anumite date „sensibile” care caracterizează o persoană, cum ar fi originea etnică sau rasială, apartenență politică, apartenență sindicală, viața sexuală, convingeri politice, religioase și filosofice, condamnări penale, sancțiuni administrative sau contravenționale, starea de sănătate, genetica.
Prelucrarea acestor date personale „sensibile” este supusă unor condiții mai stricte decât cele obisnuite.
Ce va impune Regulamentul general privind protecția datelor?
RGPD încearcă să clarifice unele dintre ambiguitățile existente în prezent și chiar să extindă datele cu caracter personal în câteva cazuri, de exemplu, în ceea ce privește datele personale sensibile. În special:
Datele personale și identificatorii unici: RGPD clarifică faptul că conceptul de date cu caracter personal include identificatorii online și datele despre locație – ceea ce înseamnă că definiția legală a datelor cu caracter personal spune acum fără îndoială că adresele IP, ID-urile dispozitivelor mobile și altele asemenea sunt personale și trebuie să fie protejate în consecință. Acest lucru înseamnă că aceste tipuri de date vor fi supuse în prezent echității, legalității, securității, exportului de date și altor cerințe privind protecția datelor, la fel ca orice alt tip de date cu caracter personal “obișnuit”.
Date pseudonime: RGPD introduce un nou concept de “date pseudonime” – în termeni simpli, date personale care au fost supuse unor măsuri tehnologice (cum ar fi hashing sau criptare) astfel încât să nu mai poată identifica direct o persoană fără a utiliza informații suplimentare. Datele pseudonime sunt încă considerate un tip de date cu caracter personal și, prin urmare, fac obiectul cerințelor RGPD. Pe de altă parte, organizațiile care pseudonimează datele lor vor beneficia de relaxarea anumitor dispoziții ale RGPD, în special în ceea ce privește cerințele de notificare a încălcării datelor (deoarece pierderea datelor pseudonime este puțin probabil să creeze riscuri de vătămare – articolele 33 și 34) , posibilitatea unei scutiri de la necesitatea de a se conforma cererilor de acces la date, corecții, ștergere și transfer de date (articolul 11) și o mai mare flexibilitate în crearea de profiluri fără consimțământul persoanelor vizate. De asemenea, RGPD încurajează pseudonimizarea în scopul creșterii securității și a confidențialității. Astfel, organizațiile vor avea motive pentru a utiliza tehnologii de pseudonimizare a datelor în cadrul GDPR pentru a diminua obligațiile de conformitate și pentru a-și gestiona riscurile.
Datele genetice și datele biometrice: RGPD introduce definiții specifice ale “datelor genetice” (de exemplu, secvența genei unui individ) și “date biometrice” (adică amprente digitale, recunoaștere facială, scanări retiniene etc.). Datele genetice și datele biometrice sunt tratate ca date personale sensibile în cadrul RGPD, oferindu-le protecții sporite și, în general, necesită consimțământul explicit al persoanelor în cazul în care aceste date urmează a fi prelucrate. Procesarea pe scară largă a datelor genetice și a datelor biometrice (și, într-adevăr, orice altă categorie de date cu caracter personal sensibile) va determina operatorii să efectueze o evaluare a impactului privind protecția datelor pentru a identifica riscurile potențiale implicate în prelucrarea acestor date și măsurile luate pentru a asigura respectarea .
Care sunt implicațiile practice?
Pentru multe instituții, modificările la conceptul de date cu caracter personal în cadrul RGPD vor fi pur și simplu o afirmație a ceea ce deja știu: că Uniunea Europeana este foarte stricta in privinta datelor cu caracter personal.
Afacerile online – în special cele din sectoarele de analiză, publicitate, mass-media și retele de socializare– vor fi afectate în mod semnificativ de includerea identificatorilor online și a identificatorilor unici in categoria datelor cu caracter personal. Platformele de publicitate, de analiză și de social media din afara UE vor fi probabil obligate, din punct de vedere legal, sa trateze acesti identificatori ca date cu caracter personal asemenea concurentilor europeni și să actualizeze politicile, procedurile și sistemele lor în consecință pentru a nu risca să piardă afacerile din UE și să atragă atenția europeană. Cu toate acestea, aceștia vor avea mai puține obligații dacă vor proceda la pseudonimizarea datelor.
Dincolo de acestea, toate organizațiile vor trebui să revizuiască datele pe care le colectează și să înțeleagă dacă sunt supuse cerințelor privind datele cu caracter personal ale RGPD. În special, aceștia trebuie să fie conștienți de extinderea domeniului de aplicare a datelor sensibile, pentru a include date genetice și date biometrice, care să atragă mai multă protecție, în special necesitatea consimțământului explicit, cu excepția cazului în care există alte prelucrări legale.
În cele din urmă, unele relaxări acordate prelucrării datelor pseudonime vor servi, probabil, la adoptarea de către organizații a tehnologiilor de pseudonimizare, acest lucru putând reduce potențialele cerințe de notificare a încălcării datelor și necesitatea respectării regulilor de acces, corectare, ștergere și portabilitate a persoanelor vizate.
SURSE:
[1] Regulamentul general privind protectia datelor
[2] Directiva 95/46/CE
[3] Legea nr. 677/2001
[4] LEXOLOGY
[5] PRIVACYLAWBLOG
[6] LEXOLOGY
