Aici descoperim
dreptul tehnologiei

hands-sign-contract-agreement-paper-document_1284-47459.jpg

Probabil te-ai întrebat cel puțin o dată în viața, în calitatea ta de avocat, jurist, antreprenor sau cetățean, ce valoare juridică au documentele semnate electronic. Cum ar putea fi ele folosite în instanță în favoarea ta sau împotriva ta? Noi ne-am propus să explicăm cum funcționează semnăturile electronice, de câte tipuri sunt acestea și cum pot fi ele utilizate ca probe în instanță.

Sediul materiei

Art. 266 din Codul de procedură civilă prevede că „înscrisul pe suport informatic este admis ca probă în aceleași condiții ca înscrisul pe suport hârtie, dacă îndeplinește condițiile prevăzute de lege”. Legea la care se referă Codul de procedură civilă și care are rolul de a clarifica forța probatorie a înscrisurilor semnate electronic este Legea nr. 455/2001 privind semnătura electronică, republicată.

Această lege prevede trei tipuri de semnătură electronică: semnătură electronică simplă, semnătură electronică extinsă, semnătură electronică extinsă și calificată. În continuare vom oferi explicații și exemple cu privire la cele trei tipuri și forța lor probantă.

Documentele semnate electronic și semnătura electronică simplă

Legea 455/2001 definește semnătura electronică simplă drept „date în formă electronică, care sunt atașate sau logic asociate cu alte date în formă electronică și care servesc ca metodă de identificare” (art. 4 pct. 3).

Prea tehnic, prea abstract… Dar vom încerca să explicăm lucrurile într-un limbaj simplu.

Și cum altfel am putea explica lucrurile fără a porni de la câteva exemple?

Un exemplu clasic de semnătură electronică simplă este o semnătură scanată aplicată pe un document electronic. De exemplu, o semnătură în format png/jpg aplicată într-un document Word. Ulterior generării PDF-ului, se poate considera că acest document are o semnătură electronică simplă.

Un alt exemplu de semnătură electronică simplă este semnătura prin click[1] („clickwrap agreement”). Cu alte cuvinte, atunci când apeși butonul de accept la termeni și condiții, în realitate ai semnat un contract. Acel contract semnat printr-un click are forță juridică, după cum vom arăta în cele ce urmează.

Te-ar putea interesa și:

Forța probatorie a semnăturii electronice simple

Semnătura electronică simplă are forța probatorie a unui început de dovadă scrisă (art. 310 Codul de procedură civilă). Prin urmare, documentul semnat prin intermediul unei semnături electronice simple poate face dovadă în instanță doar dacă este completat cu alte mijloace de probă (art. 310 alin (2) Codul de procedură civilă). Cea mai concludentă probă este o expertiză tehnică, dar și martorii sau prezumțiile sunt la fel de utile. Probele suplimentare ar trebui să confirme identitatea persoanei, respectiv faptul că într-adevăr persoana X a semnat documentul. Dacă în privința unui document PDF dovedirea identității pare mai dificilă, în situația semnăturii prin click, dovada este mult mai ușor de făcut din moment ce furnizorul serviciului digital are acces și la alte date precum adresa IP a celui care a accesat site-ul, adresa de e-mail și, în unele cazuri, numărul de telefon. Această semnătură electronică prezintă cea mai slabă forță probatorie. Important de reținut este faptul că dacă forma scrisă a actului juridic este obligatorie ad validitatem sau ad probationem, această semnătură electronică simplă este lipsită de forță probatorie în instanță[2].

Semnătura electronică extinsă

Legea 455/2001 definește semnătura electronică extinsă drept semnătura electronică care îndeplinește în mod cumulativ următoarele patru condiții:

  1. a)este legată în mod unic de semnatar
  2. b)asigură identificarea semnatarului
  3. c)este creată prin mijloace controlate exclusiv de semnatar
  4. d)este legată de datele în formă electronică, la care se raportează în așa fel încât orice modificare ulterioară a acestora este identificabilă.

Cele mai cunoscute exemple pentru semnătura electronică extinsă sunt variantele oferite de DocuSign sau alte servicii digitale.

KIT GDPR Premium

Forța probatorie a semnăturii electronice extinse

Semnătura electronică extinsă necalificată are forța probatorie a unui început de dovadă scrisă (art. 310 Codul de procedură civilă). Prin urmare, documentul semnat prin intermediul unei semnături electronice simple poate face dovadă în instanță doar dacă este completat cu alte mijloace de probă (art. 310 alin (2) Codul de procedură civilă). Mai mult, potrivit art. 9 din legea  nr. 455/2001, partea care invocă înaintea instanței o semnătură electronică extinsă trebuie să probeze că aceasta următoarele condiții:

a)este legată în mod unic de semnatar

b)asigură identificarea semnatarului

c)este creată prin mijloace controlate exclusiv de semnatar

d)este legată de datele în formă electronică, la care se raportează în așa fel încât orice modificare ulterioară a acestora este identificabilă.

Și așa se naște o întrebare interesantă. De ce ai folosi un serviciu de tip Docusign din moment ce nu are o forță probatorie prea ridicată și trebuie să dovedești cele patru condiții? Răspunsul la această întrebare stă în tehnologia pe care o oferă aceste servicii care îți vor permite să demonstrezi îndeplinirea celorlalte condiții fără a mai fi nevoie să apelezi la alte probe precum expertiza tehnică și martorii. Cu toate acestea, chiar în situația utilizării acestui tip de semnătură pentru documentele semnate electronic, în funcție de particularitățile fiecărui caz, poate fi nevoie de a aduce probe suplimentare în fața instanței.

Important de reținut este faptul că dacă forma scrisă a actului juridic este obligatorie ad validitatem sau ad probationem, această semnătură electronică simplă este lipsită de forță probatorie în instanță[3].

Semnătura electronică extinsă calificată

Această semnătură conține un certificat digital calificat care identifică în mod unic persoana. Ea poate fi furnizată un furnizor acreditat de servicii de certificare care respectă toate condițiile impuse de Legea nr. 455/2001 sau de furnizori neacreditați. Digisign sau Alfasign sunt furnizori acreditați pentru astfel de semnături în România. Dacă furnizorul nu este acreditat, sarcina probei este mai dificilă deoarece cel care aduce un înscris semnat electronic în instanță va trebui să demonstreze că furnizorul neacreditat respectă toate condițiile prevăzute la art. 20 din lege.

Are cea mai ridicată forță probatorie, fiind asimilată înscrisului sub semnătură electronică. Spre deosebire de semnăturile indicate anterior, această semnătură are forță probatorie inclusiv în situațiile în care legea impune formă scrisă ad validitatem sau ad probationem (art. 7 Legea nr. 455/2001). Mai mult, această semnătură este prezumată a îndeplini condițiile de validitate a semnăturii. Prin urmare, spre deosebire de celelalte semnături, atunci când aduci un astfel de document în instanță, nu mai este nevoie să demonstrezi că semnătura îndeplinește cerințele de la art. 4 pct. 4.

Concluzii

Un lucru a fost clar în 2020: ne-am digitalizat. Semnăm contracte online ca să lucrăm mai productiv și ca să salvăm copaci. Dar înainte să semnăm, ar trebui să ne întrebăm dacă ce valoare va avea semnătura noastră în eventualitatea nefericită a unui litigiu. Noi am arătat că există trei tipuri de semnătură pentru documentele semnate electronic, fiecare cu avantajele și dezavantajele sale și cu o forță probatorie mai ridicată sau mai scăzută. Într-un articol viitor ne propunem să răspundem la întrebarea când devine un e-mail contract. Stay close și nu uita să te abonezi la newsletter pentru a primi articolele noastre direct pe e-mail.

***

Referințe:

[1] Bruce S. Nathan, Terence D., Electronic Signatures, Agreements & Documents; The Recipe for Enforceability and Admissibility, disponibil la următoarea adresă, link accesat 05.01.2020.

[2] Art. 7 din Legea nr. 455/2001 prevede „În cazurile în care, potrivit legii, forma scrisă este cerută ca o condiție de probă sau de validitate a unui act juridic, un înscris în formă electronică îndeplinește această cerință dacă i s-a încorporat, atașat sau i s-a asociat logic o semnătură electronică extinsă, bazată pe un certificat calificat și generată prin intermediul unui dispozitiv securizat de creare a semnăturii”.

[3] Art. 7 din Legea nr. 455/2001 prevede „În cazurile în care, potrivit legii, forma scrisă este cerută ca o condiție de probă sau de validitate a unui act juridic, un înscris în formă electronică îndeplinește această cerință dacă i s-a încorporat, atașat sau i s-a asociat logic o semnătură electronică extinsă, bazată pe un certificat calificat și generată prin intermediul unui dispozitiv securizat de creare a semnăturii”.

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori.]



politia-sfat-pentru-taximetristii-bucuresteni-sa-renunte-la-clever-taxi-si-star-taxi-reprezentantii-aplicatiilor-revoltati-265182.jpg

La data de 3 decembrie 2020, CJUE a pronunțat o hotărâre preliminară[1] cu privire la interpretarea dreptului Uniunii în ceea ce privește aplicația Star Taxi App. Deși într-o cauză anterioară din 2017, Asociación Profesional Elite Taxi[2],CJUE a considerat că Uber nu este un serviciu al societății informaționale, ci este „indisociabil legat de un serviciu de transport”[3], în cauza Star Taxi, CJUE a considerat că aplicația Star Taxi, având în vedere funcțiile sale tehnice și operaționale, are un regim diferit și este un serviciu al societății informaționale, cu toate consecințele ce decurg din această calificare. În acest articol vom rezuma hotărârea CJUE în Cauza Star Taxi App și vom compara anumite elemente cu speța Uber. La finalul articolului, vom aduce în discuție câteva implicații practice ale acestor două hotărâri.

Situația de fapt (litigiul principal)

Litigiul principal are ca părți Star Taxi App SRL, pe de o parte, Municipiul București și Consiliul General al Municipiului București, pe de altă parte, în legătură cu o reglementare internă (Hotărârea nr. 626/2017[4]) care are drept efect condiționarea aplicației Star Taxi App SRL de obținerea unei autorizații prealabile.

Instanța de trimitere (Tribunalul București) a avut îndoieli în privința a două aspecte. În primul rând, instanța de trimitere a dorit să afle dacă serviciul furnizat de aplicația Star Taxi trebuie să fie calificat drept „serviciu al societății informaționale”. În al doilea rând, Tribunalul București a dorit să afle dacă o reglementare care supune prestarea unui astfel de serviciu unui regim de autorizare prealabilă este conformă cu Directiva 2000/31 și trebuie să fie comunicată Comisiei înainte de adoptarea sa, conform articolului 5 din Directiva 2015/1535 (pct. 35). În vederea lămuririi acestor aspecte, Tribunalul București a adresat CJUE patru întrebări preliminare[5].

Hotărârea CJUE

(i) Serviciu al societății informaționale sau serviciu de transport?

CJUE a considerat că aplicația Star Taxi App reprezintă un „serviciu al societății informaționale” în sensul Directivei 2015/1535.

CJUE a ajuns la concluzia că serviciul oferit de aplicația Star Taxi App este un „serviciu al societății informaționale” deoarece îndeplinește patru condiții cumulative vizate la articolul 1 alineatul (1) litera (b) din Directiva 2015/1535 (pct. 48).

Potrivit articolului 1 alineatul (1) litera (b) din Directiva 2015/1535, prin „serviciu al societății informaționale” se înțelege „orice serviciu al societății informaționale, adică orice serviciu prestat în mod normal în schimbul unei remunerații, la distanță, prin mijloace electronice și la solicitarea individuală a beneficiarului serviciului” (pct. 42).

Din lectura definiției de mai sus, rezultă că un serviciu al societății informaționale trebuie să îndeplinească patru condiții cumulative, respectiv:

  1. trebuie să fie un serviciu prestat în mod normal în schimbul unei remunerații;
  2. serviciul trebuie să fie prestat „la distanță”;
  3. serviciul trebuie să fie prestat „prin mijloace electronice”;
  4. serviciul trebuie să fie prestat „la solicitarea individuală a beneficiarului serviciului”.

Din moment ce este clar că toate condițiile de la pct. 2-4 de mai sus sunt îndeplinite în situația serviciului oferit de aplicația Star Taxi, serviciu care este, în mod evident, prestat la distanță, prin mijloace electronice și la solicitarea individuală a beneficiarului, în continuare vom explica doar prima condiție.

Cu privire la punctul 1. de mai sus, respectiv cu privire la condiția ca serviciul să fie prestat în mod normal în schimbul unei remunerații, CJUE a arătat că această condiție este îndeplinită chiar dacă persoana care dorește să efectueze o deplasare nu plătește pentru aplicație deoarece între aplicație și fiecare șofer de taxi autorizat există un contract de prestări servicii „însoțit de plata de către acesta din urmă a unui abonament lunar”. Astfel cum arată Curtea la pct. 45 „rezultă dintr‑o jurisprudență constantă că remunerația pentru un serviciu furnizat de un prestator în cadrul unei activități economice nu este plătită neapărat de toate persoanele care beneficiază de acesta” (pct. 45).

(ii) Este autorizarea prealabilă a aplicației conformă cu dreptul Uniunii?

CJUE a arătat că art. 56 TFUE, art. 3 alin. (2) și (4) din Directiva 2000/31 și art. 16 din Directiva 2006/123 nu sunt aplicabile unui litigiu precum cel principal. În primul rând, „dispozițiile Tratatului FUE în materie de liberă prestare a serviciilor nu își găsesc aplicarea într‑o situație în care toate elementele se limitează la interiorul unui singur stat membru” (pct. 71), cum este cazul aplicației Star Taxi care funcționează doar pe teritoriul României.  În al doilea rând, Directiva 2000/31 și Directiva 2006/123 se aplică doar serviciilor societății informaționale care provin dintr-un alt stat membru (pct. 72-73), ceea ce nu este cazul în situația Star Taxi, fiind o aplicație furnizată de o societate română pe teritoriul României.

Cu toate acestea, celelalte dispoziții invocate de Tribunalul București, respectiv Directiva 2000/31 și Directiva 2006/123, dispoziții care interzic, în principiu, interzicerea autorizării prealabile a serviciilor societății informaționale, se aplică și în situații pur interne care se limitează la un singur stat membru. Astfel cum subliniază CJUE la pct. 77 „o reglementare a unui stat membru care organizează un astfel de serviciu [serviciu al societății informaționale] este, în consecință, susceptibilă să intre în domeniul de aplicare al Directivei 2000/31, ca și în cel al Directivei 2006/123” din moment ce s-a stabilit deja că ne aflăm în situația unui serviciu al societății informaționale, iar nu în situația „unui serviciu în domeniul transporturilor”.

CJUE nu a putut răspunde dacă regimul autorizării prealabile instituit prin Hotărârea nr. 626/2017 este conformă cu dreptul Uniunii deoarece a considerat că instanța de trimitere (Tribunalul București) nu i-a oferit suficiente elemente care să îi permită să ofere un răspuns util (pct. 88). Așadar, arată Curtea la pct. 80 „va reveni acesteia din urmă [Tribunalului București] sarcina de a aprecia, având în vedere ansamblul elementelor relevante, dacă regimul de autorizare prealabilă stabilit de reglementarea în discuție în litigiul principal îndeplinește efectiv cele două serii de cerințe amintite la punctele 86 și 87 din prezenta hotărâre”.

Deși s-a abținut în a spune prea multe, CJUE a oferit instanței de trimitere indicii importante la pct. 90-92, respectiv condiționarea eliberării „unei autorizații de furnizare a unui serviciu de îndeplinirea unor cerințe tehnice neadaptate la serviciul respectiv și, prin urmare, generatoare de cheltuieli și de costuri nejustificate pentru prestatorii lui nu poate fi conform cu articolul 10 alineatul (2) din Directiva 2006/123” (pct. 90). Mai departe, la pct. 91-92, CJUE explică ce s-ar putea înțelege prin „cerințe tehnice neadaptate”, respectiv:

„Aceasta poate fi în special situația unei obligații impuse prestatorilor unui serviciu de intermediere având ca obiect, cu ajutorul unei aplicații pentru smartphone, punerea în legătură, în schimbul unei remunerații, a unor persoane care doresc să efectueze o deplasare urbană și a unor șoferi de taxi autorizați de a transmite cursele acestor șoferi printr‑o stație radio de emisie‑recepție, aspect a cărui verificare este însă de competența instanței de trimitere.

Într‑adevăr, o asemenea obligație, care stabilește în sarcina atât a prestatorului serviciului de intermediere, cât și a șoferilor de taxi obligația de a dispune de un astfel de dispozitiv de transmisie și care impune totodată prestatorului serviciului de intermediere să dispună de personal special însărcinat cu transmiterea curselor către șoferi, este nu numai inutilă, ci și lipsită de legătură cu caracteristicile unui serviciu care este legat în întregime de capacitățile tehnice ale smartphone‑urilor, care permit, fără intermediere umană directă, localizarea atât a șoferilor de taxi, cât și a clienților lor potențiali și punerea lor în legătură în mod automat”.

O comparație cu situația Uber

Într-o cauză anterioară din 2017, Asociación Profesional Elite Taxi[6],CJUE a considerat că Uber nu este un serviciu al societății informaționale, ci este „indisociabil legat de un serviciu de transport”[7]. În cauza Star Taxi analizată mai sus, CJUE a considerat că serviciile furnizate de Star Taxi nu sunt servicii de transport, ci servicii ale societății informaționale.

Este necesară o scurtă paranteză pentru a înțelege contextul. Diferența între serviciu al societății informaționale și serviciu de transport prezintă numeroase implicații importante în practică, deoarece, spre deosebire de serviciul societății informaționale, serviciul de transport este supus unui regim mult mai strict (autorizări, condiții suplimentare, răspundere mai ridicată etc). Cu alte cuvinte, analizând comparativ cele două hotărâri CJUE, se observă că, dintr-un anumit unghi juridic, aplicația Star Taxi (și altele asemănătoare) are un regim juridic mai favorabil decât aplicația Uber.

CJUE a considerat că Uber nu se rezumă la un simplu serviciu de intermediere între călători și șoferi așa cum se rezumă aplicația Star Taxi, ci desfășoară mai multe activități care, privite împreună, conduc către concluzia că se furnizează servicii de transport urban. În concret, așa cum arată Curtea la pct. 39[8], Uber selectează șoferii și le impune diverse reguli (calitatea autovehiculului, comportamentul șoferilor etc), stabilind inclusiv prețul maxim pe cursă, și încasează costul deplasării de la client înainte de a achita o parte șoferului. Mai mult, Uber poate, în anumite condiții, exlude șoferii din sistem.

Concluzie

Economia digitală colaborativă („peer-to-peer” sau P2P) se extinde cu viteza luminii în toate ariile vieții, iar în fața instanțelor se ridică probleme juridice noi, la intersecția dintre drept și tehnologie. Calificarea unei platforme digitale sau a unei aplicații drept serviciu al societății informaționale prezintă numeroase consecințe în practică deoarece această calificare conduce către un regim juridic mai puțin strict, în comparație cu un serviciu digital care ar fi considerat că nu doar intermediază, ci oferă direct servicii. Dacă o platformă sau o aplicație este calificată ca serviciu al societății informaționale, atunci reglementările legale care prevăd autorizarea și care  sunt discriminatorii sau nu sunt proporționale în raport cu un interes public vor fi incompatibile cu dreptul Uniunii[9]. Mai mult, această calificare poate conduce și către aplicabilitatea derogării privind răspunderea furnizorilor de servicii ale societății informaționale, în condițiile stabilite la  art. 14 din Directiva e-commerce.

 

Referințe:

[1] CJUE, Cauza C-62/19, Star Taxi App, Hotărârea din 3 decembrie 2020, ECLI:EU:C:2020:980

[2] CJUE, C-434/15, Asociación Profesional Elite Taxi, hotărârea din 20 decembrie 2017, ECLI:EU:C:2017:981.

[3] Idem, pct. 48.

[4] „În această privință, instanța de trimitere arată că această hotărâre, prin introducerea punctelor (i1) și (i2) la articolul 3 din anexa nr. 1 la Hotărârea nr. 178/2008, a extins definiția activității de „dispecerat”, supusă autorizării prealabile prevăzute de Legea nr. 38/2003, la activitatea de aceeași natură efectuată prin intermediul unei aplicații informatice. Prin modificarea articolului 21 din această anexă, hotărârea menționată a impus de asemenea obligativitatea serviciilor de dispecerat pentru toate taxiurile transportatorilor autorizați. Astfel, aceste servicii nu pot fi furnizate decât de dispeceri de taxi autorizați de autoritatea competentă, în condiții care asigură clientului posibilitatea de a apela la aceste servicii prin telefon sau prin alte mijloace, inclusiv prin intermediul aplicațiilor conectate la internet care poartă obligatoriu numele dispeceratului care figurează în autorizația de dispecerat eliberată de autoritatea competentă. În sfârșit, aceeași hotărâre a adăugat, la punctul 6al articolului 59 din Hotărârea nr. 178/2008, că nerespectarea acestor reguli se sancționează cu amendă de la 4 500 la 5 000 RON [între circa 925 și 1025 de euro]”, CJUE, Cauza C-62/19, hot. cit. supra n.1., pct. 30.

[5] „1)      [Articolul 1 primul paragraf punctul 2 din Directiva 98/34 și articolul 2 litera (a) din Directiva 2000/31], care prevăd că serviciul societății informaționale este «serviciul prestat în scopul obținerii unei remunerații, la distanță, prin mijloace electronice și la solicitarea individuală a beneficiarului serviciului», trebuie interpretate în sensul că o activitate de tipul celei prestate de Star Taxi App (respectiv serviciul ce constă în punerea în legătură directă, prin intermediul unei aplicații electronice, a clienților [de] taxi cu șoferi de taxi) trebuie considerată un serviciu specific societății informaționale și economiei colaborative [ținând cont de faptul că Star Taxi App nu îndeplinește criteriile avute în vedere de Curte la punctul 39 din Hotărârea din 20 decembrie 2017, Asociación Profesional Elite Taxi (C‑434/15, EU:C:2017:981), referitoare la Uber, pentru a fi transportator]?

2)      În situația în care [serviciul prestat de] Star Taxi App este considerat serviciu al societății informaționale, prevederile articolului 4 din Directiva 2000/31, ale articolelor 9, 10 și 16 din Directiva 2006/123, precum și ale articolului 56 TFUE introduc activitatea Star Taxi App sub incidența principiului libertății de a presta servicii [și], în caz afirmativ, acestea se opun unei reglementări de tipul [celei care figurează la articolul 3, la articolul 21 alineatele (1) și (31), la articolul 41 alineatul (21) și la articolul 59 punctul 61 din anexa nr. 1 la Hotărârea nr. 178/2008]?

3)      În cazul în care Directiva 2000/31 este aplicabilă în ceea ce privește serviciul prestat de Star Taxi App, limitările prevăzute de un stat membru în privința libertății de a presta serviciul electronic, prin impunerea, în ceea ce privește serviciul, a obligației de a deține autorizație sau licență, constituie măsuri [care pot deroga, în temeiul alineatului (4) al articolului 3 din această directivă, de la alineatul (2) al acestui articol]?

4)      Prevederile articolului 5 din Directiva 2015/1535 se opun adoptării fără notificarea prealabilă a Comisiei a unei reglementări de tipul [celei care figurează la articolul 3, la articolul 21 alineatele (1) și (31), la articolul 41 alineatul (21) și la articolul 59 punctul 61 din anexa nr. 1 la Hotărârea nr. 178/2008]?”

[6] CJUE, C-434/15, hot. cit. supra n.2.

[7] Idem, pct. 48.

[8] Idem, pct. 39.

[9] Emma Psaila, Sara Fiorentini, Marta Santos Silva, Ana Gomez, Exploratory study of consumer issues in online peer-to-peer platform markets Task 5 Report – Legal Analysis Report, European Commission, februarie 2017, p. 25.

 


ai-concept-background-abstract-artificial-human-head-with-eyes-light-digital-future-vision-illustration_333792-87.jpg

CNIL (Autoritatea de supraveghere a protecției datelor din Franța) spunea într-un raport faptul că „dezbaterea asupra faptului dacă este sau nu necesar a reglementa inteligența artificială trece cu vederea faptul că algoritmii sunt reglementați de aproximativ 40 de ani” și oferă mai departe exemplul primei legi a protecției datelor din Franța care datează din anul 1978[1].

În România, prima lege a protecției datelor a apărut în 2001 (Legea 677/2001) care conținea, încă de atunci, aspecte precise privind reglementarea inteligenței artificiale. Așadar, putem observa faptul că România are legislație cu privire la AI de 19 ani. Legea a fost abrogată în 2018.

Începând cu 25 mai 2018, în toată Europa, inclusiv în România, se aplică Regulamentul General Privind Protecția Datelor  care a abrogat vechea directivă[2], Regulament care, prin articolul 22, reglementează, în mod specific, inteligența artificială și drepturile omului în fața deciziilor exclusiv automate ale mașinilor[3]. Deși prin acest articol vom dezbate art. 22, ar fi util de menționat faptul că și alte dispoziții din RGPD sunt aplicabile inteligenței artificiale, cum ar fi dreptul de a fi informat cu privire la algoritmii utilizați (art. 13) – inteligența artificială, dreptul de a-ți rectifica sau șterge datele dintr-un sistem informatic, dreptul de a avea acces la propriile date dintr-un sistem informatic etc. RGPD nu este o lege care protejează doar protecția datelor în mod abstract, ci prin asigurarea protecției datelor se contribuie la respectarea și altor drepturi și libertăți fundamentale.

Sigur că RGPD nu utilizează, în mod concret, termenul de „inteligență artificială”, însă referirea la AI se deduce indirect din interpretarea sintagmei utilizate în prevederile art. 22, respectiv „decizie bazată exclusiv pe prelucrarea automată”.

 

Te-ar putea interesa și: Dreptul la viață privată contează pentru că…

 

Inteligența artificială este reglementată și prin alte instrumente juridice, cum ar fi Regulamentul P2B[4].

Cu toate acestea, legislația nu este perfectă și lasă loc de îmbunătățiri, însă înainte de a discuta despre legile viitorului, ar trebui să aflăm ce prevede concret legislația care se aplică în prezent pentru a ști ce anume ar trebui îmbunătățit.

Ce prevede RGPD?

Notă: textele de mai jos sunt lungi și dacă nu ai timp (sau răbdare), poți trece la secțiunea finală din articol unde am sintetizat informația.

Articolul 22 din RGPD prevede:

„(1) Persoana vizată are dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automată[i], inclusiv crearea de profiluri, care produce efecte juridice care privesc persoana vizată sau o afectează în mod similar într-o măsură semnificativă.

(2) Alineatul (1) nu se aplică în cazul în care decizia:

(a) este necesară pentru încheierea sau executarea unui contract între persoana vizată și un operator de date;

(b) este autorizată prin dreptul Uniunii sau dreptul intern care se aplică operatorului și care prevede, de asemenea, măsuri corespunzătoare pentru protejarea drepturilor, libertăților și intereselor legitime ale persoanei vizate; sau

(c) are la bază consimțământul explicit al persoanei vizate.

(3) În cazurile menționate la alineatul (2) literele (a) și (c), operatorul de date pune în aplicare măsuri corespunzătoare pentru protejarea drepturilor, libertăților și intereselor legitime ale persoanei vizate, cel puțin dreptul acesteia de a obține intervenție umană din partea operatorului, de a-și exprima punctul de vedere și de a contesta decizia.

(4) Deciziile menționate la alineatul (2) nu au la bază categoriile speciale de date cu caracter personal menționate la articolul 9 alineatul (1), cu excepția cazului în care se aplică articolul 9 alineatul (2) litera (a) sau (g) și în care au fost instituite măsuri corespunzătoare pentru protejarea drepturilor, libertăților și intereselor legitime ale persoanei vizate.”

KIT GDPR Premium

 

Considerentele 71-72 din RGPD prevăd:

(71) Persoana vizată ar trebui să aibă dreptul de a nu face obiectul unei decizii, care poate include o măsură, care evaluează aspecte personale referitoare la persoana vizată, care se bazează exclusiv pe prelucrarea automată și care produce efecte juridice care privesc persoana vizată sau o afectează în mod similar într-o măsură semnificativă, cum ar fi refuzul automat al unei cereri de credit online sau practicile de recrutare pe cale electronică, fără intervenție umană. O astfel de prelucrare include „crearea de profiluri”, care constă în orice formă de prelucrare automată a datelor cu caracter personal prin evaluarea aspectelor personale referitoare la o persoană fizică, în special în vederea analizării sau preconizării anumitor aspecte privind randamentul la locul de muncă al persoanei vizate, situația economică, starea de sănătate, preferințele sau interesele personale, fiabilitatea sau comportamentul, locația sau deplasările, atunci când aceasta produce efecte juridice care privesc persoana vizată sau o afectează în mod similar într-o măsură semnificativă. Cu toate acestea, luarea de decizii pe baza unei astfel de prelucrări, inclusiv crearea de profiluri, ar trebui permisă în cazul în care este autorizată în mod expres în dreptul Uniunii sau în dreptul intern care se aplică operatorului, inclusiv în scopul monitorizării și prevenirii fraudei și a evaziunii fiscale, desfășurate în conformitate cu reglementările, standardele și recomandările instituțiilor Uniunii sau ale organismelor naționale de supraveghere, și în scopul asigurării securității și fiabilității unui serviciu oferit de operator sau în cazul în care este necesară pentru încheierea sau executarea unui contract între persoana vizată și un operator sau în cazul în care persoana vizată și-a dat în mod explicit consimțământul. În orice caz, o astfel de prelucrare ar trebui să facă obiectul unor garanții corespunzătoare, care ar trebui să includă o informare specifică a persoanei vizate și dreptul acesteia de a obține intervenție umană, de a-și exprima punctul de vedere, de a primi o explicație privind decizia luată în urma unei astfel de evaluări, precum și dreptul de a contesta decizia. O astfel de măsură nu ar trebui să se refere la un copil. Pentru a asigura o prelucrare echitabilă și transparentă în ceea ce privește persoana vizată, având în vedere circumstanțele specifice și contextul în care sunt prelucrate datele cu caracter personal, operatorul ar trebui să utilizeze proceduri matematice sau statistice adecvate pentru crearea de profiluri, să implementeze măsuri tehnice și organizatorice adecvate pentru a asigura în special faptul că factorii care duc la inexactități ale datelor cu caracter personal sunt corectați și că riscul de erori este redus la minimum, precum și să securizeze datele cu caracter personal într-un mod care să țină seama de pericolele potențiale la adresa intereselor și drepturilor persoanei vizate și care să prevină, printre altele, efectele discriminatorii împotriva persoanelor pe motiv de rasă sau origine etnică, opinii politice, religie sau convingeri, apartenență sindicală, caracteristici genetice, stare de sănătate sau orientare sexuală sau care să ducă la măsuri care să aibă astfel de efecte. Procesul decizional automatizat și crearea de profiluri pe baza unor categorii speciale de date cu caracter personal ar trebui permise numai în condiții specifice.

(72) Crearea de profiluri este supusă normelor prezentului regulament care reglementează prelucrarea datelor cu caracter personal, precum temeiurile juridice ale prelucrării sau principiile de protecție a datelor. Comitetul european pentru protecția datelor instituit prin prezentul regulament („comitetul”) ar trebui să poată emite orientări în acest context.

 

Ce vor să spună concret textele de mai sus?

  1. 22 RGPD interzice unei mașini să ia decizii cu privire la o persoană (decizie fără intervenție umană) atunci când acea decizie poate avea un impact juridic sau un impact semnificativ asupra omului.
  2. 13 alin. 2. Lit. f) din RGPD spune că persoana are dreptul de a fi informată cu privire la logica utilizată algoritm și cu privire la consecințele acestei prelucrări prin sisteme inteligente.
  3. 22 alin. (3) RGPD instituie în favoarea persoanei vizate două drepturi cu privire la deciziile luate de AI: dreptul de a contesta decizia și de a solicita intervenție umană.
  4. 22 și considerentele 71-72 din RGPD spun, printre altele, faptul că AI-ul poate fi implementat cu garanții adecvate pentru persoana vizată pentru a se evita consecințele mai puțin plăcute asupra drepturilor și libertăților fundamentale.
  5. 22 și considerentele 71-72 din RGPD protejează în mod special copiii.
  6. 22 și considerentele 71-72 din RGPD protejează omul împotriva discriminării realizate de AI.

Mai departe….

CNIL arată că legislația actuală ar putea fi îmbunătățită[5]. În primul rând  RGPD se focusează doar pe inteligența artificială care prelucrează date cu caracter personal, fiind exclusă inteligența artificială care prelucrează exclusiv date fără caracter personal, iar în al doilea rând, există și o problemă a eficacității acestei legi deorece există un dezechilibru de putere între cei care controlează astfel de sisteme AI și cei ale căror date sunt prelucrate, aceștia din urmă putând avea piedici în a-și exercita drepturile, cum ar fi dreptul la contestație sau dreptul de a obține intervenție umană.[6]

 

***

Surse:

[1] Victor Demiaux, CNIL, How can humans keep the upper hand? The ethical matters raised by algorithms and artificial intelligence the ethical issues, decembrie 2017, p. 45.

[2] Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date, JO L 281, 23.11.1995, p. 31-50

[3] A se vedea și Ruxandra SAVA, Când decizia o ia maşina… Despre profilare, drepturi şi echilibru într-un univers digital, disponibil la juridice, link accesat 11.11.2020.

[4] Regulamentul (UE) 2019/1150 al Parlamentului European și al Consiliului din 20 iunie 2019 privind promovarea echității și a transparenței pentru întreprinderile utilizatoare de servicii de intermediere online (Text cu relevanță pentru SEE), PE/56/2019/REV/1, JO L 186, 11.7.2019, p. 57-79.

[5] Victor Demiaux, CNIL, op.cit., p. 45.

[6] Ibidem.

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori.]



user-people-network-circuit-board-link-connection-technology_1379-882.jpg

La data de 20 octombrie 2020, Comitetul European pentru Protecția Datelor (în continuare „CEPD”) a adoptat Orientările 4/2019 asupra Articolul 25 din RGPD – Protecția datelor începând cu momentul conceperii (by design) și în mod implicit (by default).

Principiile privacy by design și privacy by default înseamnă că trebuie avută protecția datelor încă din faza de concept a sistemului informatic și pe întreaga sa viața. Acest articol este util companiilor care utilizează sisteme informatice, celor care dezvoltă sisteme informatice, consilierilor juridici și avocaților în domeniul dreptului tehnologiei, experților tehnici GDPR, experților în securitatea informației și responsabililor cu protecția datelor.

Prin intermediul acestui articol vom trece în revistă cele mai importante elemente ale ghidului CEPD cu privire la respectarea principiilor privacy by design și privacy by default,

1. Scopul

Ghidul este destinat operatorilor pentru a avea un set minim de elemente care să îi ajute în aplicarea art. 25 alin. (1) și (2) din RGPD, respectiv pentru respectarea principiilor privacy by design și privacy by default,

Art. 25 alin. 1 din RGPD prevede:

„Având în vedere stadiul actual al tehnologiei, costurile implementării, și natura, domeniul de aplicare, contextul și scopurile prelucrării, precum și riscurile cu grade diferite de probabilitate și gravitate pentru drepturile și libertățile persoanelor fizice pe care le prezintă prelucrarea, operatorul, atât în momentul stabilirii mijloacelor de prelucrare, cât și în cel al prelucrării în sine, pune în aplicare măsuri tehnice și organizatorice adecvate, cum ar fi pseudonimizarea, care sunt destinate să pună în aplicare în mod eficient principiile de protecție a datelor, precum reducerea la minimum a datelor, și să integreze garanțiile necesare în cadrul prelucrării, pentru a îndeplini cerințele prezentului regulament și a proteja drepturile persoanelor vizate.”

Art. 25 alin. 2 din RGPD prevede:

„Operatorul pune în aplicare măsuri tehnice și organizatorice adecvate pentru a asigura că, în mod implicit, sunt prelucrate numai date cu caracter personal care sunt necesare pentru fiecare scop specific al prelucrării. Respectiva obligație se aplică volumului de date colectate, gradului de prelucrare a acestora, perioadei lor de stocare și accesibilității lor. În special, astfel de măsuri asigură că, în mod implicit, datele cu caracter personal nu pot fi accesate, fără intervenția persoanei, de un număr nelimitat de persoane”

Ghidul poate fi util și persoanelor împuternicite sau dezvoltatorii de servicii digitale și aplicații pentru a ști cum să dezvolte astfel de produse și servicii astfel încât să protejeze datele cu caracter personal ale utilizatorilor.

2. Analiza art. 25 alin. (1) RGPD (Protecția datelor by design)

În conformitate cu articolul 25 alineatul (1), operatorul pune în aplicare măsuri tehnice și organizatorice adecvate, menite să pună în aplicare principiile de protecție a datelor și să integreze garanțiile necesare în cadrul prelucrării pentru a îndeplini cerințele și a proteja drepturile și libertățile persoanelor vizate. Atât măsurile adecvate, cât și garanțiile necesare sunt menite să servească aceluiași scop de a proteja drepturile persoanelor vizate și de a se asigura că protecția datelor lor cu caracter personal este integrată în prelucrare.

KIT GDPR Premium

 

Măsurile tehnice și organizatorice și garanțiile necesare pot fi înțelese în sens larg ca orice metodă sau mijloace pe care un operator le poate utiliza în prelucrare. A fi adecvat înseamnă că măsurile și garanțiile necesare ar trebui să fie adecvate pentru atingerea scopului propus, și anume acestea trebuie să pună în aplicare în mod eficace principiile de protecție a datelor. Cerința de adecvare este, prin urmare, strâns legată de cerința de eficacitate.

O măsură tehnică și organizatorică poate fi orice măsură care ajută la conformare și este necesară pentru atingerea scopului, ca de exemplu, training-ul personalului, soluții IT pentru securitate, contracte și alte proceduri scrise și implementate, proceduri privind facilitatea exercitării drepturilor persoanelor vizate, securitatea sistemelor informatice, contracte semnate cu persoanele împuternicite și alți colaboratori pentru a proteja în mod adecvat datele, coduri de conduită.

La punerea în aplicare a măsurilor tehnice și organizatorice adecvate trebuie luate în calcul principiile de protecție a datelor și respectarea tuturor drepturilor persoanelor vizate.

Deși RGPD nu indică în mod clar care sunt aceste măsuri tehnice și organizatorice, precizează totuși că acestea trebuie să aibă un caracter adecvat pentru a asigura protecția datelor și faptul că operatorul trebuie să documentele măsurile implementate și să fie apt să demonstreze că aceste măsuri au un caracter adecvat.

 

Te-ar putea interesa și:

 

2.1. Caracterul adecvat

În vederea stabilirii caracterului adecvat, art. 22 alin. 1 din RGPD oferă o listă de elemente care ar trebui luată în calcul, respectiv stadiul actual al tehnologiei, costurile implementării, natura, domeniul de aplicare, contextul și scopurile prelucrării, și riscurile cu grade diferite de probabilitate și gravitate pentru drepturile și libertățile persoanelor fizice.

Cu privire la „stadiul actual al tehnologiei”, CEPD recomandă, printre altele, operatorilor să țină seama de progresul actual al tehnologiilor disponibile pe piață și subliniază că „stadiul actual” este un concept dinamic care nu poate fi fixat la un anumit punct în timp, prin urmare operatorul trebuie să fie la curent în mod continuu cu noile dezvoltări tehnologice pentru a asigura protecția datelor la cele mai înalte standarde disponibile pe piață.

Cu privire la „costurile implementării, CEPD precizează că acest element nu impune operatorului să cheltuiască o cantitate disproporționată de resurse atunci când există măsuri alternative, mai puțin costisitoare, dar eficiente. Oricum, arată CEPD, costurile implementările sunt un factor care trebuie luat în considerare pentru a implementa principiile și nu un factor care să îi permită operatorului să nu implementeze principiile privacy by design.

Cu privire la „natura, domeniul de aplicare, contextul și scopurile prelucrării”, CEPD a arătat că noțiunea de natură înseamnă caracteristicile inerente ale prelucrării, domeniul de aplicare se referă la volumul și intervalul de prelucrare, contextul se referă la circumstanțele prelucrării, care pot influența așteptările persoanei vizate, în timp ce scopul se referă la obiectivele prelucrării.

Cu privire la „riscurile cu grade diferite de probabilitate și gravitate pentru drepturile și libertățile persoanelor fizice”, CEPD reamintește că RGPD are o abordare bazată pe risc. Prin urmare, atunci când realizează o analiză de risc pentru conformarea cu art. 25, operatorul trebuie să identifice riscurile la adresa drepturilor și libertăților persoanelor vizate, să determine probabilitatea acestor riscuri de a se produce pentru a ști ce măsuri trebuie puse în aplicare pentru a reduce la minimum riscurile.

CEPD arată „O evaluare sistematică și aprofundată a prelucrării este esențială atunci când se efectuează evaluări ale riscurilor. De exemplu, un operator evaluează riscurile specifice asociate lipsei consimțământului liber acordat, ceea ce constituie o încălcare a principiului legalității, în cursul prelucrării datelor cu caracter personal ale copiilor și tinerilor sub 18 ani ca grup vulnerabil, într-un caz în care nu există niciun alt temei juridic, și pune în aplicare măsuri adecvate pentru a aborda și a atenua în mod eficient riscurile identificate asociate cu acest grup de persoane vizate”

Prin urmare, ce dorește să spună CEPD este că o prelucrare cu un risc mai mare pentru persoanele vizate (de exemplu, un grup vulnerabil, copiii sau prelucrarea categoriilor speciale de date) are nevoie de măsuri mai ridicate de reducere a riscurilor în comparație cu o prelucrare obișnuită.

3. Analiza art. 25 alin. (2) RGPD (Protecția datelor by default)

CEPD explică faptul că termenul „by default” (în mod implicit) în contextul prelucrării de date cu caracter personal se referă la a face alegeri cu privire la valorile de configurare sau opțiunile de prelucrare care sunt stabilite sau prescrise într-un sistem de prelucrare, ar fi o aplicație software, serviciu sau dispozitiv, sau o procedură de prelucrare manuală care afectează cantitatea de date cu caracter personal colectate, amploarea prelucrării lor, perioada de stocare a acestora și accesibilitatea lor.

CEPD arată, printre altele, și următoarele (i) operatorul nu trebuie să prelucreze mai multe date decât sunt necesare pentru funcționarea sistemului; (2) datele nu trebuie stocate în sistem pe o perioadă mai lungă decât cea strict necesară; (3) operatorul trebuie să determine scopuri explicite, legitime și concrete (De ce are nevoie de date?); (4) în cazul în care operatorul utilizează software terț sau software de la terți, operatorul ar trebui să efectueze o evaluare a riscurilor produsului și să se asigure că funcțiile care nu au un temei juridic sau nu sunt compatibile cu scopurile prevăzute ale prelucrării sunt dezactivate.

3.1. Dimensiunea obligației de a reduce la minimum

Articolul 25 alineatul (2) enumeră dimensiunile obligației de reducere la minimum a datelor pentru respectarea principiilor privacy by design și privacy by default, precizând că obligația se aplică volumului de date colectate, gradului de prelucrare a acestora, perioadei lor de stocare și accesibilității lor.

Cu privire la volumul de date colectate, CEPD arată că dacă volumul de date colectate este mai mare, în consecință, riscurile vor fi mai mari și operatorul trebuie să implementeze măsuri tehnice și organizatorice mai ridicate.

Cu privire la gradul de prelucrare, CEPD arată că „operațiunile de prelucrare efectuate asupra datelor cu caracter personal trebuie să se limiteze la ceea ce este necesar. Multe operațiuni de prelucrare pot contribui la un scop de prelucrare. Cu toate acestea, faptul că anumite date cu caracter personal sunt necesare pentru îndeplinirea unui scop nu înseamnă că toate tipurile și frecvențele operațiunilor de prelucrare pot fi efectuate pe date. Operatorii ar trebui, de asemenea, să aibă grijă să nu extindă limitele “scopurilor compatibile” ale articolului 6 alineatul (4) și să aibă în vedere ce prelucrare se va încadra în așteptările rezonabile ale persoanelor vizate”. Cu alte cuvinte, CEPD arată că reducerea la minimum pentru respectarea principiilor privacy by design și privacy by default, trebuie realizată nu doar în raport cu volumul de date colectate, ci și în raport cu gradul de prelucrare.

În ceea ce privește perioada de stocare, CEPD arată că datele trebuie stocate pe perioada minimă pentru atingerea scopurilor și orice reținere a datelor trebuie justificată de operator în conformitate cu principiul responsabilității. După împlinirea perioadei, datele trebuie șterse sau anonimizate. În privința anonimizării, CEPD arată că trebuie evaluate în mod constant orice riscuri cu privire la inversarea procesului de anonimizare care poate conduce, fie și indirect, către identificarea persoanei.

În ceea ce privește accesibilitatea, CEPD precizează că operatorul trebuie să limiteze cine are acces la date deoarece datele nu pot fi disponibile unui număr nelimitat de persoane și la ce parte din sistem este nevoie de acces – printr-o analiză prealabilă a necesității. Operatorul trebuie să se asigure că datele personale sunt accesibile celor care au nevoie de ele, de exemplu, în situații critice. Controalele de acces, arată CEPD, trebuie setate pentru întregul flux de date în timpul prelucrării.

4. Privacy by design și privacy by default: implementarea principiilor-cheie ale RGPD

 4.1. Transparența

Operatorul trebuie să fie transparent față de persoana vizată cu privire la modalitatea în care colectează, utilizează și transferă datele.

Elemente-cheie care trebuie avute în vedere pentru transparență:

  • Claritate – Informațiile trebuie să fie într-un limbaj clar și simplu, concis și inteligibil.
  • Semantică – Comunicarea ar trebui să aibă un sens clar pentru publicul în cauză.
  • Accesibilitate – Informațiile trebuie să fie ușor accesibile pentru persoana vizată.
  • Contextualitate – Informațiile ar trebui furnizate la momentul relevant și în forma corespunzătoare.
  • Relevanță – Informațiile ar trebui să fie relevante și aplicabile persoanei vizate specifice.
  • Design universal – Informație accesibilă, limbă cunoscută, lizibilitate și claritate.
  • Inteligibilitate – Persoanele vizate ar trebui să aibă o înțelegere corectă a ceea ce se pot aștepta în ceea ce privește prelucrarea datelor lor cu caracter personal, în special atunci când persoanele vizate sunt copii sau alte grupuri vulnerabile.
  • Multi-canal – Informații ar trebui să fie furnizate în diferite canale și mass-media, nu numai textual, pentru a crește probabilitatea ca informațiile să ajungă în mod eficient la persoana vizată.
  • Stratificare – Informațiile ar trebui să fie stratificate într-un mod care să rezolve tensiunea dintre exhaustivitate și înțelegere, contabilizând în același timp așteptările rezonabile ale persoanelor vizate.
4.2. Legalitatea

Operatorul trebuie să identifice cel puțin o bază legală pentru prelucrare, în conformitate cu principiul legalității.

Elemente-cheie care trebuie avute în vedere pentru legalitate:

  • Relevanța – Temeiul juridic corect care se aplică prelucrării.
  • Diferențiere – Temeiul juridic utilizat pentru fiecare activitate de prelucrare se diferențiază.
  • Scop specificat – Temeiul juridic adecvat trebuie să fie clar legat de scopul specific al prelucrării.
  • Necesitate – Prelucrarea trebuie să fie necesară și necondiționată pentru ca scopul să fie legal.
  • Autonomie – Persoanei vizate ar trebui să i se acorde cel mai înalt grad de autonomie posibil în ceea ce privește controlul asupra datelor cu caracter personal în cadrul temeiului juridic respectiv.
  • Obținerea consimțământului – consimțământul trebuie dat în mod liber, specific, informat și lipsit de ambiguitate. Ar trebui să se acorde o atenție deosebită capacității copiilor și adolescenților de a oferi consimțământul în cunoștință de cauză.
  • Retragerea consimțământului – În cazul în care consimțământul este temeiul juridic, prelucrarea ar trebui să faciliteze retragerea consimțământului. Retragerea trebuie să fiela fel de ușoară ca și acordarea consimțământului. În caz contrar, mecanismul de consimțământ al operatorului nu respectă GDPR.
  • Echilibrarea intereselor – În cazul în care interesele legitime constituie temeiul juridic, operatorul trebuie să efectueze o analiză a interesul legitim, acordând o atenție deosebită dezechilibrului de putere, în special copiilor cu vârsta sub 18 ani și altor grupuri vulnerabile. Trebuie să existe măsuri și garanții pentru a atenua impactul negativ asupra persoanelor vizate.
  • Predeterminare – Temeiul juridic se stabilește înainte de începerea prelucrării.
  • Încetarea – În cazul în care temeiul juridic încetează să se mai aplice, prelucrarea încetează în consecință.
  • Ajustare – În cazul în care există o modificare valabilă a temeiului juridic pentru prelucrare, prelucrarea efectivă trebuie ajustată în conformitate cu noul temei juridic.
  • Repartizarea responsabilității – Ori de câte ori există o relație de operatori asociați, părțile trebuie să își repartizeze în mod clar și transparent responsabilitățile respective față de persoana vizată și să elaboreze măsurile prelucrării în conformitate cu această repartizare.
4.3. Echitatea

În general, echitatea presupune faptul că operatorul trebuie să prelucreze datele cu caracter personal doar în modalități la care persoanele vizate s-ar aștepta în mod rezonabil și nu ar trebui utilizate modalități care au efecte negative nejustificate asupra acestora.

Elemente-cheie care trebuie avute în vedere pentru echitate și pentru respectarea principiilor privacy by design și privacy by default,:

  • Autonomia – Persoanelor vizate ar trebui să li se acorde cel mai înalt grad de autonomie posibil pentru a determina utilizarea datelor lor cu caracter personal, precum și asupra domeniului de aplicare și condițiilor de utilizare sau prelucrare.
  • Interacțiunea – Persoanele vizate trebuie să fie în măsură să comunice și să își exercite drepturile cu privire la datele cu caracter personal prelucrate de operator.
  • Așteptarea rezonabilă – Prelucrarea ar trebui să corespundă așteptărilor rezonabile ale persoanelor vizate.
  • Nediscriminarea – Operatorul nu trebuie să discrimineze în mod nedrept persoanele vizate.
  • Neexploatarea – Operatorul nu ar trebui să exploateze nevoile sau vulnerabilitățile persoanelor vizate.
  • Alegerea consumatorului – Operatorul nu ar trebui să „blocheze” utilizatorii lor într-un mod nedrept.
  • Echilibrul de putere – Echilibrul de putere ar trebui să fie un obiectiv cheie al relației operator-subiect vizat. Trebuie evitate dezechilibrele de putere. În cazul în care acest lucru nu este posibil, acestea ar trebui recunoscute și contabilizate cu măsuri adecvate.
  • Niciun transfer de risc – Operatorii nu ar trebui să transfere riscurile prelucrării către persoanele vizate.
  • Fără înșelăciune – Informațiile și opțiunile de prelucrare a datelor ar trebui furnizate într-un mod obiectiv și neutru, evitând orice limbaj sau design înșelător sau manipulator.
  • Respectarea drepturilor – Operatorul trebuie să respecte drepturile fundamentale ale persoanelor vizate și să pună în aplicare măsuri și garanții adecvate
  • Abordare etică – Operatorul ar trebui să vadă impactul mai larg al prelucrării asupra drepturilor și demnității persoanelor.
  • Veridicitate – Operatorul trebuie să prelucreze datele așa cum declară în fața persoanei vizate.
  • Intervenție umană – Operatorul trebuie să includă o intervenție umană calificată, capabilă să descopere deciziile eronate pe care mașinile le pot lua cu privire la oameni
  • Algoritmi corecți – să evalueze în mod regulat dacă algoritmii funcționează în conformitate cu scopurile și să ajusteze algoritmii pentru a atenua riscurile descoperite și pentru a asigura corectitudinea prelucrării. Persoanele vizate ar trebui să fie informate cu privire la funcționarea prelucrării datelor cu caracter personal pe baza algoritmilor care analizează sau fac previziuni despre acestea, ar fi performanța la locul de muncă, situația economică, sănătatea, preferințele personale, fiabilitatea sau comportamentul, locația sau mișcările.
4.4. Privacy by design și privacy by default. Limitarea scopului

Elemente-cheie care trebuie avute în vedere pentru limitarea scopului:

  • Predeterminare – Scopurile legitime se stabilesc înainte de proiectarea prelucrării.
  • Specificitate – Scopurile sunt specificate și explicite cu privire la rațiunea din spatele activității de prelucrare.
  • Orientarea scopului – Scopul prelucrării ar trebui să ghideze proiectarea prelucrării și stabilirea limitelor de prelucrare.
  • Necesitatea – Scopul determină ce date cu caracter personal sunt necesare pentru prelucrare.
  • Compatibilitatea – Orice nou scop trebuie să fie compatibil cu scopul inițial pentru care au fost colectate datele.
  • Limitarea prelucrării ulterioare – Operatorul nu ar trebui să conecteze seturi de date și să efectueze nicio prelucrare ulterioară în scopuri noi incompatibile.
  • Limitări ale reutilizării – Operatorul ar trebui să utilizeze măsuri tehnice, inclusiv hashing și criptare, pentru a limita posibilitatea de utiliza în alte scopuri datele cu caracter personal. Operatorul ar trebui, de asemenea, să dispună de măsuri organizatorice, ar fi politici și obligații contractuale, care limitează reutilizarea datelor cu caracter personal.
  • Revizuirea – Operatorul ar trebui să verifice periodic dacă prelucrarea este necesară în scopurile pentru care au fost colectate datele și să testeze sistemul în raport cu limitarea scopului.
4.5. Reducerea la minimum a datelor

Elemente-cheie care trebuie avute în vedere pentru reducerea la minimum a datelor:

  • Evitarea datelor – Evitați prelucrarea împreună a datelor cu caracter personal atunci când acest lucru este posibil. Încercați să delimitați seturile de date și să prelucrați doar ceea ce este necesar.
  • Limitarea – Limitarea cantității de date cu caracter personal colectate la ceea ce este necesar în scopul limitării accesului.
  • Limitarea accesului doar la persoanele care au nevoie de date.
  • Relevanță – Datele cu caracter personal ar trebui să fie relevante pentru prelucrarea în cauză, iar operatorul ar trebui să poată demonstra această relevanță.
  • Necesitate – Fiecare categorie de date cu caracter personal este necesară în scopurile specificate și ar trebui prelucrată numai dacă nu este posibilă îndeplinirea scopului prin alte mijloace mai puțin intruzive.
  • Agregare – Utilizați date agregate atunci când este posibil.
  • Pseudonimizarea – Pseudonimizează datele cu caracter personal de îndată ce nu mai este necesar să aveți nevoie de el și stocați-le separat cu chei de criptare.
  • Anonimizarea și ștergerea – În cazul în care datele cu caracter personal nu sunt sau nu mai sunt necesare în acest scop, datele cu caracter personal vor fi anonimizate sau șterse.
  • Fluxul de date – Fluxul de date ar trebui să fie suficient de eficient pentru a nu crea mai multe copii decât este necesar.
  • “Stadiul actual al tehnologiei” – Operatorul ar trebui să aplice tehnologii actualizate și adecvate pentru evitarea și reducerea la minimum a datelor.
4.6. Exactitatea

Elemente-cheie care trebuie avute în vedere pentru respectarea exactității:

  • Sursa datelor – Sursele de date cu caracter personal ar trebui să fie de încredere pentru acuratețea datelor.
  • Gradul de acuratețe – Fiecare element de date cu caracter personal ar trebui să fie cât mai precis pentru scopurile specificate.
  • Foarte precis – Reduceți numărul de rezultate fals pozitive/negative, de exemplu prejudecăți în deciziile automatizate și inteligența artificială.
  • Verificare – În funcție de natura datelor, în funcție de cât de des se pot modifica, operatorul ar trebui să verifice corectitudinea datelor cu caracter personal cu persoana vizată înainte și în diferite etape ale prelucrării (de exemplu, în funcție de cerințele privind vârsta).
  • Ștergere/rectificare – Operatorul șterge sau rectifică datele inexacte fără întârziere. Operatorul facilitează în special acest lucru în cazul în care persoanele vizate sunt sau au fost copii și doresc ulterior să elimine astfel de date cu caracter personal.
  • Evitarea propagării erorilor – Operatorii ar trebui să atenueze efectul unei erori acumulate în lanțul de prelucrare.
  • Acces – Persoanele vizate ar trebui să primească informații despre datele cu caracter personal și accesul efectiv la acestea, în conformitate cu articolele 12-15 din RGPD, pentru a controla acuratețea și a le rectifica, după caz.
  • Acuratețe continuă – Datele cu caracter personal ar trebui să fie exacte în toate etapele prelucrării, testele de acuratețe ar trebui efectuate în etape critice.
  • Actualizare – Datele cu caracter personal se actualizează, dacă este necesar.
  • Proiectarea datelor – Utilizarea caracteristicilor de proiectare tehnologică și organizațională pentru a reduce inexactitatea, de exemplu, să prezinte opțiuni concise prestabilite în locul câmpurilor de text liber.
 4.7. Limitarea duratei de stocare

Elemente-cheie care trebuie luate în calcul pentru respectarea principiului limitării legate de stocate și a principiilor privacy by design și privacy by default:

  • Ștergere și anonimizare – Operatorul ar trebui să aibă proceduri interne clare și funcționalități pentru ștergere și/sau anonimizare.
  • Eficacitatea anonimizării/ștergerii – Operatorul se asigură că nu este posibilă reidentificarea persoanelor din datelor anonimizate sau recuperarea datelor șterse și trebuie să testeze dacă acest lucru este posibil.
  • Automatizare – Ștergerea anumitor date cu caracter personal ar trebui să fie automatizată.
  • Criterii de stocare – Operatorul stabilește ce date și durata stocării pentru fiecare categorie de date.
  • Justificare – Operatorul trebuie să fie în măsură să justifice de ce perioada de stocare este necesară.
  • Punerea în aplicare a politicilor de retenție – Operatorul ar trebui să aplice politicile interne de retenție și să efectueze teste pentru a stabili dacă organizația implementează politicile.
  • Copii de rezervă/jurnale – Operatorii stabilesc ce date cu caracter personal și durata stocării sunt necesare pentru copii de rezervă și jurnale.

4.8. Integritate și confidențialitate

Elemente cheie pentru respectarea principiului integrității și confidențialității și a principiilor privacy by design și privacy by default:

  • Sistemul de management al securității informației– Dispuneți de un mijloc operativ de gestionare a politicilor și procedurilor de securitate a informațiilor.
  • Analiza riscurilor – Evaluarea riscurilor împotriva securității datelor cu caracter personal prin luarea în considerare a impactului asupra drepturilor persoanelor și prin contracararea riscurilor identificate.
  • Securitate prin proiectare – Luați în considerare cerințele de securitate cât mai curând posibil în proiectarea și dezvoltarea sistemului și integrați și efectuați în permanență teste relevante.
  • Întreținere – Revizuirea și testarea regulată a software-ului, hardware-ului, sistemelor și serviciilor etc. pentru a descoperi vulnerabilitățile sistemelor care susțin prelucrarea.
  • Managementul controlului accesului – Operatorii trebuie să se asigure că numai personalul autorizat care are acces la datele cu caracter personal necesare pentru sarcinile lor de prelucrare, iar operatorul ar trebui să facă diferențe între privilegiile de acces ale personalului autorizat.
  • Limitarea accesului– Modelați prelucrarea datelor într-un mod în care un număr minim de persoane au nevoie de acces la datele cu caracter personal pentru a-și îndeplini sarcinile și limitați accesul în consecință.
  • Segregarea accesului – Modelarea prelucrării datelor într-un mod în care nicio persoană nu are nevoie de acces cuprinzător la toate datele colectate despre o persoană vizată, cu atât mai puțin la toate datele cu caracter personal ale unei anumite categorii de persoane vizate.
  • Transferuri securizate – Transferurile vor fi asigurate împotriva accesului și modificărilor neautorizate și accidentale.
  • Stocare securizată – Stocarea datelor trebuie să fie sigură împotriva accesului și modificărilor neautorizate. Ar trebui să existe proceduri pentru a evalua riscul stocării centralizate sau descentralizate și la ce categorii de date cu caracter personal se aplică. Unele date pot avea nevoie de măsuri de securitate suplimentare decât altele, de exemplu categoriile speciale de date.
  • Pseudonimizare – Datele cu caracter personal și back-up-urile/jurnalele ar trebui să fie pseudonimizate ca măsură de securitate pentru a reduce la minimum riscurile de potențiale încălcări ale securității datelor, de exemplu prin utilizarea hashing-ului sau a criptării.
  • Copii de rezervă/jurnale – Păstrați copiile de rezervă și jurnalele în măsura necesară pentru securitatea informațiilor, utilizați pistele de audit și monitorizarea evenimentelor ca un control de securitate de rutină. Acestea trebuie protejate împotriva accesului neautorizat și accidental, precum și a modificărilor și trebuie evizuite periodic, iar incidentele ar trebui tratate cu promptitudine.
  • Recuperarea în caz de dezastru/ continuitatea activității – Abordarea cerințelor privind recuperarea în caz de dezastru a sistemului informatic și continuitatea activității pentru a restabili disponibilitatea datelor cu caracter personal în urma incidentelor majore.
  • Protecția în funcție de risc – Toate categoriile de date cu caracter personal ar trebui protejate prin măsuri adecvate în ceea ce privește riscul unei încălcări a securității. Datele care prezintă riscuri speciale ar trebui, atunci când este posibil, să fie separate de restul datelor cu caracter personal.
  • Gestionarea răspunsului la incidente de securitate – dispuneți de proceduri pentru a detecta, a conține, a gestiona, a raporta și a învăța din încălcările securității datelor.
  • Gestionarea incidentelor – Operatorul ar trebui să dispună de procese pentru a gestiona încălcările și incidentele, pentru a face sistemul de procesare mai robust. Aceasta include proceduri de notificare, ar fi gestionarea notificării (către autoritatea de supraveghere) și informații (către persoanele vizate). Astfel de proceduri se regăsesc în KIT GDPR Premium.

5. Recomandări suplimentare ale CEPD

Pentru respectarea principiilor privacy by design și privacy by default, CEPD recomandă, printre altele, și următoarele:

  1. Operatorii ar trebui să se gândească la protecția datelor din etapele inițiale ale planificării unui sistem informatic (privacy by design), chiar înainte de momentul determinării mijloacelor de prelucrare.
  2. Atunci când s-a desemnat un responsabil cu protecția datelor, acesta trebuie să fie implicat în crearea și implementarea procedurilor și politicilor necesare.
  3. Operatorii trebuie să aibă politici suplimentare pentru prelucrarea datelor copiilor și a altor grupuri vulnerabile.
  4. Dezvoltatorii de sisteme informatice trebuie să aibă un rol activ în a ține sisteme la cele mai noi dezvoltări ale tehnologiei în materie de protecție a datelor.
  5. CEPD recomandă ca operatorii să ceară dezvoltatorilor și persoanelor împuternicite să demonstreze cum hardware-ul, software-ul, serviciul sau sistemul respectă cerințele GDPR și ce măsuri și garanții prezintă acestea.
  6. Operatorii trebuie să fie transparenți față de persoana vizată despre standardele de conformitate a sistemelor IT pe care le utilizează.

Documentul integral în limba engleză poate fi accesat aici.

 

Vrei să te aliniezi la GPPR? Cum te putem ajuta:

  • Consultanță și implementare GDPR. Află mai multe aici. 
  • KIT complet de documente prin care îți faci singur implementarea, cu suportul nostru juridic. Află mai multe aici

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori.]



Colorful-3D-Illustrated-Remote-Learning-Events-and-Special-Interest-Presentation-1200x675.png

În anul 2010, domnul Costeja González, cetățean spaniol cu domiciliul în Spania, a formulat o reclamație la AEPD împotriva unui cotidian cu difuzare largă, în special în Catalonia (Spania), precum și împotriva Google Spain și a Google Inc. Această reclamație se întemeia pe faptul că, atunci când un utilizator de internet introducea numele domnului Costeja González în motorul de căutare al grupului Google (denumit în continuare „Google Search”), se afișau linkuri către două pagini ale cotidianului La Vanguardia, din 19 ianuarie 1998 și, respectiv, din 9 martie 1998, pe care figura un anunț, în care se menționa numele domnului Costeja González, cu privire la o vânzare la licitație a unor imobile asociată unei proceduri de executare silită desfășurate în vederea plății unor datorii la asigurările sociale.

Domnul Costeja González a solicitat eliminarea datelor sale cu caracter personal. AEPD a admis în parte reclamația, însă Google Spain și Google Inc s-au adresat instanței de judecată.

 

Te-ar putea interesa și:

 

Instanța de judecată a suspendat cauza și a adresat Curții de Justiție a Uniunii Europene mai multe întrebări preliminare[1] prin intermediul cărora a întrebat, în esență, următoarele:

  • Este Google un operator de date?
  • Este activitatea unui motor de căutare o prelucrare de date?
  • Are o persoana fizică dreptul de a-și șterge datele?
  • Cum se rezolvă conflictul dintre dreptul la ștergerea datelor și dreptul la informare?

***

Curtea de Justiție a răspuns că activitatea unui motor de căutare[2] trebuie calificată drept „prelucrare a datelor cu caracter personal” în sensul legislației privind protecția datelor, atunci când informațiile respective conțin date cu caracter personal iar operatorul acestui motor de căutare trebuie considerat „operator” (pct. 41).

Prin intermediul acestei hotărâri CJUE a consacrat jurisprudențial dreptul la ștergerea datelor, care, la vremea respectivă nu era prevăzut explicit în legislația privind protecția datelor și a statuat că „operatorul unui motor de căutare este obligat să elimine de pe lista de rezultate, afișată în urma unei căutări efectuate plecând de la numele unei persoane, linkurile către paginile web publicate de terți și care conțin informații referitoare la această persoană și în ipoteza în care acest nume sau aceste informații nu sunt șterse în prealabil sau simultan de pe paginile web respective, iar aceasta, dacă este cazul, chiar dacă publicarea lor în sine pe paginile menționate este licită” (pct. 88).

Cu privire la conflictul dintre dreptul la ștergerea datelor și dreptul la informare, CJUE a statuat că, în principiu dreptul la protecția datelor și dreptul la viață privată prevalează, în general, asupra dreptului la informare, dar a subliniat și faptul că „nu aceasta ar fi însă situația dacă ar reieși că, din motive speciale, precum rolul jucat de persoana respectivă în viața publică, ingerința în drepturile sale fundamentale este justificată de interesul preponderent al publicului menționat de a avea acces, prin intermediul acestei includeri, la informația în cauză(pct. 99).

CEDO a precizat, prin Hotărârea nr. 59320/00 din 24 iunie 2004, că și persoanele publice au o așteptare legitimă ca aspectele ce țin de viața privată să fie protejate într-o cauză care privea distribuirea în presa germană a unor imagini a Carolinei, Prințesă de Hanovra implicată în diverse activități cotidiene.

Pentru a decide în sensul celor indicate anterior, CEDO a readus în discuție importanța fundamentală a protejării vieții private din punctul de vedere al dezvoltării personalității fiecărei ființe umane și a stabilit că fiecare persoană, inclusiv persoanele publice, trebuie să aibă o „așteptarea legitimă” ca aspectele de țin de viața privată să fie protejate.

 

KIT GDPR Premium

 

 

***

Referințe

[1] Întrebările preliminare adresate Curții au fost următoarele: „1)      În ceea ce privește aplicarea teritorială a Directivei [95/46] și, prin urmare, a reglementării spaniole privind protecția datelor cu caracter personal:

  1. a)      Trebuie să se interpreteze că există un «sediu» în sensul dispozițiilor articolului 4 alineatul (1) litera (a) din [Directiva 95/46] atunci când sunt îndeplinite una sau mai multe dintre următoarele condiții:

–        societatea operatoare a motorului de căutare înființează într‑un stat membru o sucursală sau o filială destinată promovării și vânzării spațiului publicitar oferit de motorul de căutare, a cărei activitate este orientată către locuitorii acelui stat

sau

–        societatea‑mamă desemnează o filială situată în acest stat membru drept reprezentanta sa și operatoare a două fișiere concrete cuprinzând datele clienților care au încheiat contracte de publicitate cu societatea menționată

sau

–        sucursala sau filiala stabilită într‑un stat membru transmite societății‑mamă, stabilită în afara Uniunii Europene, solicitările și cererile care îi sunt adresate atât de persoanele interesate, cât și de autoritățile competente în legătură cu respectarea dreptului de protecție a datelor, chiar dacă respectiva colaborare are loc în mod voluntar?

  1. b)      Articolul 4 alineatul (1) litera (c) din [Directiva 95/46] trebuie interpretat în sensul că există o «recurgere la mijloace […] situate pe teritoriul statului membru respectiv»:

–        când un motor de căutare utilizează «păianjeni web» sau roboți pentru a găsi și a indexa informațiile conținute pe paginile web situate pe serverele din acest stat membru

sau

–        când utilizează un nume de domeniu propriu unui stat membru și orientează căutările și rezultatele în funcție de limba acestui stat membru?

  1. c)      Poate fi considerată o recurgere la mijloace, potrivit dispozițiilor articolului 4 alineatul (1) litera (c) din [Directiva 95/46], stocarea temporară a informațiilor indexate de motoarele de căutare pe internet? În cazul unui răspuns afirmativ la această din urmă întrebare, se poate considera că acest criteriu de legătură există atunci când societatea refuză să dezvăluie locul în care stochează aceste indexuri, invocând motive legate de concurență?
  2. d)      Indiferent de răspunsul la întrebările anterioare și în special în cazul în care Curtea ar considera că nu sunt întrunite criteriile de legătură prevăzute la articolul 4 din Directiva [95/46]:

[Directiva 95/46] trebuie aplicată, în lumina articolului 8 din [cartă], în statul membru în care este localizat centrul de greutate al conflictului și unde este posibilă o protecție mai eficientă a drepturilor cetățenilor Uniunii […]?

2)      În ceea ce privește activitatea motoarelor de căutare ca furnizori de conținuturi în raport cu [Directiva 95/46]:

  1. a)      În legătură cu activitatea [Google Search], ca furnizor de conținuturi, care constă în găsirea informațiilor publicate sau introduse în rețea de către terți, indexarea acestora în mod automat și stocarea lor temporară și, în cele din urmă, punerea acestora la dispoziția utilizatorilor de internet într‑o anumită ordine de preferință, atunci când informațiile respective conțin date cu caracter personal ale unor terți, trebuie să se interpreteze că o activitate precum cea descrisă este cuprinsă în noțiunea «prelucrare a datelor» de la articolul 2 litera (b) din [Directiva 95/46]?
  2. b)      În cazul unui răspuns afirmativ la întrebarea anterioară și în legătură cu o activitate precum cea descrisă deja:

Articolul 2 litera (d) din [Directiva 95/46] trebuie interpretat în sensul că societatea care gestionează [Google Search] este «operator» al datelor cu caracter personal conținute de paginile web pe care le indexează?

  1. c)      În cazul unui răspuns afirmativ la întrebarea anterioară, [AEPD], în cadrul protecției drepturilor prevăzute la articolul 12 litera (b) și la articolul 14 [primul paragraf] litera (a) din [Directiva 95/46], poate să solicite în mod direct [Google Search] să retragă din indexurile sale o informație publicată de terți, fără a se adresa în prealabil sau simultan titularului paginii web pe care se află informația menționată?
  2. d)      În cazul unui răspuns afirmativ la această din urmă întrebare, ar fi exclusă obligația operatorilor motoarelor de căutare de a proteja aceste drepturi atunci când informațiile care conțin date cu caracter personal au fost publicate în mod legal de către terți și sunt păstrate pe pagina web inițială?

3)      În ceea ce privește întinderea dreptului de ștergere și/sau de opoziție în raport cu dreptul de a fi uitat, este adresată următoarea întrebare:

Trebuie să se interpreteze că drepturile de ștergere și de blocare a datelor, reglementate la articolul 12 litera (b), și dreptul de opoziție, reglementat la articolul 14 [primul paragraf] litera (a) din [Directiva 95/46], includ posibilitatea persoanei vizate de a se îndrepta împotriva operatorilor motoarelor de căutare pentru a împiedica indexarea informațiilor referitoare la persoana sa publicate pe paginile web ale terților, prevalându‑se de dorința sa ca informațiile respective să nu fie cunoscute de utilizatorii de internet atunci când consideră că acestea îi pot aduce prejudicii sau când dorește să fie uitate, deși este vorba despre informații publicate în mod legal de către terți?”

 

[2] „activitatea unui motor de căutare care constă în găsirea informațiilor publicate sau introduse pe internet de către terți, indexarea acestora în mod automat și stocarea lor temporară și, în cele din urmă, punerea acestora la dispoziția utilizatorilor de internet într‑o anumită ordine de preferință”, CJUE, cauza C-131/12, Google Spain și Google, hotărârea din 13 mai 2014, pct. 41.

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori.]



biometric-identification-scanners-background_1284-26513.jpg

C-291/12, Schwarz, hotărârea din 17 octombrie 2013

ECLI:EU:C:2013:670

 

Litigiul principal

Domnul Schwarz a solicitat Stadt Bochum eliberarea unui pașaport refuzând totodată prelevarea cu această ocazie a amprentelor sale digitale. Întrucât Stadt Bochum a respins cererea sa, domnul Schwarz a introdus o acțiune la instanța de trimitere în vederea obligării acestei municipalități să îi elibereze un pașaport fără prelevarea amprentelor sale digitale.

În fața acestei instanțe, domnul Schwarz contestă validitatea Regulamentului nr. 2252/2004, care a introdus obligația de prelevare a amprentelor digitale ale solicitanților de pașapoarte. El susține că acest regulament nu are un temei juridic corespunzător și că este afectat de un viciu de procedură. În plus, articolul 1 alineatul (2) din regulamentul menționat ar încălca dreptul la protecția datelor cu caracter personal, consacrat, pe de o parte, într‑un cadru mai general, la articolul 7 din Carta drepturilor fundamentale a Uniunii Europene (denumită în continuare „carta”), referitor dreptul la viața privată, și, pe de altă parte, în mod explicit, la articolul 8 din aceasta.

Instanța a suspendat judecarea cauzei și a adresat Curții o întrebare preliminară.

Articolul 1 alineatul (2) din Regulamentul [nr. 2252/2004] este valid?

Hotărârea și argumentele Curții de Justiție

Prin intermediul hotărârii pronunțate, CJUE a stabilit că art. 1 alin. (2) din Regulamentul nr. 2252/2004 este valid (pct. 66) deoarece, în viziunea Curții, (i) restrângerea care rezultă din prelevarea și din stocarea amprentelor digitale în cadrul eliberării pașapoartelor este proporțională și respect dispozițiile art. 52 din cartă(pct. 35), urmărind două obiective de interes general, respectiv „primul fiind prevenirea falsificării pașapoartelor, iar al doilea, prevenirea utilizării lor frauduloase, cu alte cuvinte, utilizarea acestora de către alte persoane decât titularul lor legitim” (pct. 36) contribuind la a nu permite accesul ilegal pe teritoriul Uniunii (pct 37); (ii) unica alternativă viabilă la înlocuirea amprentelor digitale și a fotografiilor biometric ar fi înregistrarea unei imagini a irisului, iar din dosarul prezentat Curții nu reiese procedeu ar afecta mai puțin drepturile recunoscute de articolele 7 și 8 din cartă decât prelevarea amprentelor digitale (pct. 51); (iii) Regulamentul nr. 2252/2004 respectă anumite limite de proporționalitate deoarece „precizează în mod expres că amprentele digitale pot fi utilizate numai pentru a verifica autenticitatea pașaportului și identitatea titularului său” (pct. 56) și prevede standard ridicate de securitate precizând că „datele în cauză se stochează pe un suport de stocare integrat în pașaport și de înaltă securitate” (pct. 57).

Cu toate acestea, CJUE atrage atenția că dacă datele ar fi utilizate în alte scopuri de către autoritățile naționale, interpretarea ar fi alta, însă revine instanței naționale să aplice dreptul național la fiecare caz în parte (pct. 62).

 

KIT GDPR Premium

 

Te-ar putea interesa și:

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori.]



wide-selective-closeup-shot-stack-baked-chocolate-cookies_181624-3987.jpg

În cauza C-673/17, Planet49, CJUE, prin hotărârea din 1 octombrie 2019 (ECLI:EU:C:2019:801), unde s-a pus în discuție valabilitatea unui consimțământ prin intermediul unei căsuțe pre-bifate pe un site de jocuri de noroc, instanța de trimitere a întrebat dacă legislația e-privacy trebuie să fie interpretată diferit în funcție de aspectul dacă informațiile stocate sau consultate în echipamentul terminal al utilizatorului unui site internet constituie sau nu date cu caracter personal.

La această întrebare, CJUE a răspuns că este necesar un consimțământ al utilizatorului indiferent dacă informațiile stocate constituie sau nu date cu caracter personal (pct. 70-71) deoarece informațiile stocate pe echipamentul terminal fac parte din sfera privată a utilizatorului care trebuie protejată conform Convenției europene pentru apărarea drepturilor omului și a libertăților fundamentale. „Această protecție se aplică oricărei informații stocate pe acest echipament terminal, indiferent dacă este vorba sau nu despre date cu caracter personal, și urmărește printre altele, astfel cum reiese din același considerent, să protejeze utilizatorii împotriva riscului ca hidden identifiers sau alte procedee similare să acceseze echipamentul terminal al acestor utilizatori fără știrea lor.” (pct. 70)

 

KIT GDPR Premium

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori.]



vutton24.jpg

CJUE. Louis Vuitton vs. Google. Anunțuri Google Ads care trimit către imitații ale concurenților. Mărci, internet, motor de căutare, răspundere

CJUE, Google France and Google (cauzele conexate C-236/08 C-238/08, ECR 2010 p. I-2417), Hotărârea din 23 martie 2010,  ECLI:EU:C:2010:159

 

În cauzele conexate C-236/08 si C-238/08, CJUE s-a pronunțat cu privire la utilizarea mărcilor în mediul online prin utilizarea serviciului Google Ads, respectiv prin utilizarea unor cuvinte-cheie identice sau similare cu o marcă înregistrată.

1.Despre Google Ads (fostul Google Adwords)

Google gestionează un motor de căutare pe internet. Atunci când un utilizator de internet efectuează o căutare pornind de la unul sau de la mai multe cuvinte, motorul de căutare va afișa site‑urile care par să corespundă cel mai bine acestor cuvinte în ordinea descrescătoare a relevanței lor. Este vorba despre așa‑numitele rezultate „naturale” ale căutării.

Pe de altă parte, Google oferă un serviciu de referenţiere cu plată denumit „AdWords”, în prezent Google Ads. Acest serviciu permite oricărui operator economic să determine, prin intermediul selectării unuia sau mai multor cuvinte‑cheie, apariția unui link promoțional către site‑ul său, în cazul în care există o concordanță între acest cuvânt sau aceste cuvinte și cel sau cele cuprinse în căutarea introdusă de un utilizator de internet în motorul de căutare.

Respectivul link promoțional este însoțit de un scurt mesaj comercial. Acest link și acest mesaj, împreună, constituie anunțul afișat la rubrica menționată mai sus. Pentru fiecare clic pe linkul promoțional, cel care publică anunțul datorează o remunerație pentru serviciul de referenţiere. Această remunerație este calculată în funcție, printre altele, de „prețul maxim pe clic” cu plata căruia cel care publică anunțul s‑a declarat de acord la încheierea contractului de serviciu de referenţiere cu Google, precum și în funcție de numărul de clicuri efectuate de utilizatorii de internet pe linkul respectiv. Mai multe persoane care publică anunțuri pot selecta același cuvânt‑cheie. Astfel, ordinea de afișare este stabilită, printre altele, în funcție de prețul maxim pe clic, de numărul de clicuri anterioare pe linkurile respective, precum și de calitatea anunțului, astfel cum este evaluată de Google. Cel care publică anunțul își poate îmbunătăți în orice moment poziția în ordinea de afișare, stabilind un preț maxim pe clic mai ridicat sau încercând să amelioreze calitatea anunțului său. Google a inițiat un proces automatizat pentru a permite selectarea cuvintelor‑cheie și crearea anunțurilor. Cei care publică anunțuri selectează cuvintele‑cheie, redactează mesajul comercial și inserează linkul către site‑ul lor.

 

KIT GDPR Premium

 

2. Situația de fapt. Litigiul principal[1]. Întrebările preliminare

Vuitton, care comercializează în special genți de lux și alte produse de marochinărie, este titulara mărcii comunitare „Vuitton” și a mărcilor naționale franceze „Louis Vuitton” și „LV”. Este cert că acestea sunt mărci de renume.  La începutul anului 2003, la cererea societății Vuitton s‑a constatat că, la utilizarea motorului de căutare Google, introducerea de către utilizatorul de internet a termenilor din care sunt constituite mărcile sale determină apariția în cadrul rubricii „liens commerciaux” a unor linkuri către site‑uri care propun imitații ale produselor Vuitton. S‑a stabilit de asemenea că Google oferea celor care publică anunțuri posibilitatea de a selecta nu numai cuvinte‑cheie care corespund mărcilor Vuitton, dar și aceste cuvinte‑cheie asociate expresiilor care denotă imitarea, precum „imitație” și „copie”.

Vuitton a acționat Google în justiție pentru a se constata, printre altele, că aceasta din urmă a adus atingere mărcilor sale. Google a fost condamnată pentru contrafacerea mărcilor Vuitton prin hotărârea din 4 februarie 2005 pronunțată de tribunal de grande instance de Paris (Tribunalul de Mare Instanță din Paris) și apoi, în apel, prin hotărârea din 28 iunie 2006 pronunțată de cour d’appel de Paris (Curtea de Apel din Paris). Google a declarat recurs împotriva acestei din urmă hotărâri.

În aceste condiții, Cour de cassation (Curtea de Casație) a hotărât să suspende judecarea cauzei și să adreseze Curții trei întrebări preliminare[2] pentru a stabili, printre altele, în ce măsură utilizarea serviciilor Google Ads de către un concurent în contextul descris anterior înseamnă o utilizare ilegală a unei mărci, dacă titularul mărcii se poate opune și în ce măsură se poate atrage răspunderea Google. 

3. Hotărârea Curții de Justiție

Curtea de Justiție a considerat, printre altele, faptul că utilizarea serviciului Google Ads de către un concurent prin introducerea unor cuvinte-cheie identice sau similare cu o marcă înregistrată reprezintă o utilizare a mărcii, iar titularul mărcii, în speță Louis Vuitton, are dreptul să se opună la utilizarea ilegală a semnului mărcii[3]. Cu toate acestea, în viziunea CJUE, Google nu este răspunzător pentru această activitate deoarece nu sunt îndeplinite condițiile răspunderii furnizorului serviciilor de referențiere în temeiul legislației e-commerce[4]

4. Implicații practice

Companiile care utilizează serviciile Google Ads pentru promovare online ar trebui să realizeze o analiză legală prealabilă postării unor astfel de anunțuri pentru a se asigura că nu încalcă legislația privind mărcile și/sau alte legi naționale sau europene.

 

Te-ar putea interesa și:

 

 

Referințe:

[1] Desi cauza are la bază trei litigii principale în prezentul material vom descrie doar unul dintre acestea.

[2] O parte din actele normative indicate au fost abrogate și înlocuite de alte acte normative. O versiune la zi a actelor normative poate fi consultată la următoarea adresă. Întrebările preliminare au fost:

„1)      Articolul 5 alineatul (1) literele (a) și (b) din [Directiva 89/104] și articolul 9 alineatul (1) literele (a) și (b) din [Regulamentul nr. 40/94] trebuie interpretate în sensul că furnizorul de servicii de referenţiere cu plată care pune la dispoziția celor care publică anunțuri cuvinte‑cheie care reproduc sau imită mărci înregistrate și care organizează, prin contractul de referenţiere, crearea și afișarea privilegiată, plecând de la aceste cuvinte‑cheie, a unor linkuri promoționale spre site‑uri pe care sunt propuse produse contrafăcute realizează o utilizare a acestor mărci pe care titularul [lor] are dreptul să o interzică?

2)      În ipoteza în care mărcile sunt de renume, titularul ar putea să se opună unei astfel de utilizări, în temeiul articolului 5 alineatul (2) din [D]irectiva [89/104] și al articolului 9 alineatul (1) litera (c) din [R]egulamentul [nr. 40/94]?

3)      În ipoteza în care o astfel de utilizare nu ar constitui o utilizare care poate fi interzisă de titularul mărcii, în temeiul [D]irectivei [89/104] și al [R]egulamentului [nr. 40/94], furnizorul de servicii de referenţiere cu plată poate fi considerat ca prestând un serviciu al societății informaționale care constă în stocarea de informații furnizate de un destinatar al serviciului, în sensul articolului 14 din [Directiva 2000/31], astfel încât răspunderea acestuia nu ar putea fi angajată înainte de a fi informat de titularul mărcii cu privire la utilizarea ilegală a semnului de către cel care publică anunțul?”

[3] CJUE, Google France and Google (cauzele conexate C-236/08 C-238/08, ECR 2010 p. I-2417), Hotărârea din 23 martie 2010,  ECLI:EU:C:2010:159, pct. 60-74.

[4] Idem, pct. 106-120; Directiva 2000/31/CE a Parlamentului European și a Consiliului din 8 iunie 2000 privind anumite aspecte juridice ale serviciilor societății informaționale, în special ale comerțului electronic, pe piața internă (directiva privind comerțul electronic), JO L 178, 17.7.2000, p. 1-16.  

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori.]



blackboard-inscribed-with-scientific-formulas-calculations_1150-19413.jpg

Autoritatea de Supraveghere din Suedia a stabilit că elevilor de la un liceu din Skellefteå le-a fost violat dreptul la viață privată prin testarea tehnologiilor de recunoaștere facială.

Liceul a invitat o companie privată, Tieto, să instaleze camere de recunoaștere facială în interiorul claselor pentru a înregistra automat prezența studenților la cursuri. Compania a spus faptul că această tehnologie a salvat 10 minute la fiecare curs față de metodele tradiționale de realizare a prezenței.

Potrivit Autoritatii de Supraveghere din Suedia, nici elevii și nici părinții nu și-au dat un consimțământ valabil față de colectarea datelor deoarece se află într-o relație de dependență cu școala.

Tieto a spus că au cerut opinia elevilor cu privire la noua tehnologia , iar elevii au spus că tehnologia de recunoaștere facială este „înfricoșătoare și invazivă”, însă opinia elevilor nu i-a oprit de a introduce tehnologia în clase.

 

Te-ar putea interesa și:

 

Autoritatea de Supraveghere din Suedia a amendat școala cu 20.000 euro pentru încălcarea GDPR deoarece, printre altele, școala nu a efectuat o evaluare de impact suficientă asupra protecției datelor.

Suedia nu este singura țară care încearcă să integreze recunoașterea facială în sălile de clasă; cazuri similare au fost luate în considerare de Autoritatea de supraveghere din Franța, iar în unele școli din New York, camerele de recunoaștere facială sunt folosite pentru intrările în holurile din școli. Chiar și în China, unde camerele de recunoaștere facială sunt deja folosite pentru a detecta starea de spirit și nivelul de focalizare al elevilor bazate pe analiza pseudoscientifică a expresiilor lor faciale, guvernul crede că lucrurile au mers prea departe – și acum caută să reducă utilizarea lor în școli.

Un precedent periculos pentru România ar putea fi introducerea și utilizarea camerelor termografice în școli și licee.

Elevii care își exercită dreptul la educație nu ar trebui să facă obiectul unei monitorizări obligatorii pentru care nu își pot da un consimțământ liber deoarece se află într-o relație de dependență cu școala. Pandemia Covid-19 și tranziția la educația online au deschis noi oportunități pentru utilizarea noilor tehnologii, însă în acest context al digitalizării ar trebui să remarcăm faptul că dreptul la viață privată al elevului rămâne esențial.

 

KIT GDPR Premium

Sursa: privacyinternational.org



male-hand-breaks-through-red-paper-shows-his-thumb-up_79720-132.jpg

Cauza C‑40/17, Fashion ID împotriva Verbraucherzentrale NRW eV, cu participarea Facebook Ireland Ltd., ECLI:EU:C:2019:629, 29.07.2019

 

Litigiul principal

Verbraucherzentrale NRW eV, o organizație de protecție a consumatorilor din Germania, s-a adresat instanței de judecată împotriva Fashion ID, un magazin online de modă, pe motivul plasării pe website-ul Fashion ID a unui buton de ”Like” al Facebook. Plasarea acestui buton implică o transmitere de date cu caracter personal ale vizitatorilor site-ului Fashion ID către serverele Facebook. Acest lucru se întâmplă:

a) Fără informarea vizitatorilor site-ului

b) Indiferent dacă vizitatorul este un utilizator Facebook

c) Indiferent dacă acesta apasă butonul de Like sau nu

Potrivit organizației germane de protecție a consumatorilor, Fashion ID (operatorul de date) nu furnizează persoanelor vizate informațiile necesare și nici nu le solicită acestora consimțământul la prelucrarea datelor lor cu caracter personal, potrivit Directivei (Directiva 95/46, înlocuită ulterior prin Regulamentul UE 2018/679).

În acest context, curtea din Dusseldorf a sesizat CJUE cu șase întrebări preliminare.

Cadrul legislativ relevant

Directiva 95/46 privind protecția datelor. Relevante sunt articolele 7 și 10 din această Directivă, care prevăd că prelucrarea datelor cu caracter personal se poate realiza numai dacă, printre altele, persoana vizată și-a dat consimțământul neechivoc sau prelucrarea este necesară pentru realizarea interesului legitim urmărit de operator sau de către unul sau mai mulți terți, cu condiția ca acest interes să nu prejudicieze interesul sau drepturile și libertățile fundamentale ale persoanei vizate. De asemenea, operatorul are obligația de a furniza persoanei vizate cel puțin informațiile următoare: „identitatea operatorului și, dacă este cazul, a reprezentantului; scopul prelucrării căreia îi sunt destinate datele; orice alte informații suplimentare, cum ar fi destinatarii sau categoriile de destinatari ai datelor; dacă răspunsurile la întrebări sunt obligatorii sau voluntare, precum și consecințele posibile ale evitării răspunsului;  existența dreptului de acces la datele care o privesc și de rectificare a datelor cu caracter personal.”

Directiva 2002/58/CE :  „Statele membre se asigură că stocarea de informații sau dobândirea accesului la informațiile deja stocate în echipamentul terminal al unui abonat sau utilizator este permisă doar cu condiția ca abonatul sau utilizatorul în cauză să își fi dat acordul, după ce a primit informații clare și complete”.

Directiva 2009/22/CE privind acțiunile în încetare în ceea ce privește protecția intereselor consumatorilor: organizațiile colective de protecție a consumatorilor se pot adresa instanțelor judecătorești pentru apărarea intereselor consumatorilor, în vederea  încetării sau interzicerii oricărei încălcări.

Regulamentul 2016/679 (GDPR):   Persoana vizată are dreptul de a mandata un organism, o organizație sau o asociație fără scop lucrativ, care au fost constituite în mod corespunzător în conformitate cu dreptul intern, ale căror obiective statutare sunt de interes public, care sunt active în domeniul protecției drepturilor și libertăților persoanelor vizate în ceea ce privește protecția datelor lor cu caracter personal, să depună plângerea în numele său, să exercite în numele său drepturile prevăzute de lege. Această entitate are, de asemenea, dreptul de a se adresa Autorității de Supraveghere.

KIT GDPR Premium

 

 

Întrebările preliminare

  1. Poate o organizație de protecție a intereselor consumatorilor să se adreseze unei instanțe cu o cerere în materia protecției datelor?
  2. Are calitatea de ”operator asociat” operatorul unui website pe care apare conținut al unui alt furnizor (precum butonul de ”Like” al Facebook afișat pe website-ul Fashion ID), determinând motorul de căutare al vizitatorului website-ului să transmită date cu caracter personal deținătorului conținutului afișat (Facebook), având în vedere că operatorul website-ului (Fashion ID) are o influență limitată asupra prelucrării datelor respective?
  3. Dacă se constată că cei doi (Facebook și Fashion ID) au calitatea de operatori asociați, care dintre ei este responsabil pentru furnizarea informațiilor necesare și pentru colectarea consimțământului vizitatorilor website-ului?

 

Te-ar putea interesa și:

 

Concluziile Curții

1. Referitor la prima întrebare, statele membre pot permite organizațiilor de consumatori să se adreseze instanțelor cu cereri în vederea protejării drepturilor și intereselor fundamentale ale persoanelor vizate. De asemenea, GDPR (art. 80) permite în mod explicit organizațiilor non-profit să se adreseze instanțelor, indiferent dacă sunt mandatate în acest sens de către persoanele vizate sau nu.

2. Facebook și Fashion ID sunt operatori asociați, având în vedere că Fashion ID are calitatea de operator, având influență asupra prelucrării datelor cu caracter personal și prelucrându-le în scopuri proprii. Prin decizia de a afișa pe site butonul de ”Like”, Fashion ID obține un avantaj comercial prin faptul că produsele sale se bucură de o publicitate crescută pe rețeaua de socializare Facebook. De asemenea, Fashion ID influențează, în mod decisiv, colectarea și transmiterea de date cu caracter personal către Facebook, aceste operațiuni neavând loc în lipsa butonului de ”Like”. Curtea precizează că o entitate poate avea calitatea de operator de date, chiar dacă nu are acces efectiv la acele date, ci doar le colectează și le transmite spre prelucrare unui terț.

3. Curtea concluzionează că Fashion ID este un operator asociat numai cu privire la două operațiuni de prelucrare: colectarea datelor și transmiterea acestora către Facebook, nu și în privința operațiunilor subsecvente de prelucrare realizate de către Facebook.

4. În privința partajării responsabilității între cei doi operatori asociați, Curtea decide că Fashion ID trebuie să îndeplinească obligația de informare a persoanelor vizate și să colecteze consimțământul acestora, deoarece aceste obligații trebuie îndeplinite înainte ca datele să fie colectate și transmise, iar aceste operațiuni se realizează în momentul în care o persoană vizitează website-ul Fashion ID. Aceste obligații sunt limitate la operațiunile de colectare și transmitere a datelor către Facebook.

Prin această hotărâre, curtea creează o abordare orientată către etapele prelucrării datelor cu caracter personal a noțiunii de ”operatori asociați”. Așadar, aceste etape, chiar și în cazul prelucrărilor complexe, trebuie să fie clar delimitate.

 

Vrei să te aliniezi la GPPR? Cum te putem ajuta:

  • Consultanță și implementare GDPR. Află mai multe aici. 
  • KIT complet de documente prin care îți faci singur implementarea, cu suportul nostru juridic. Află mai multe aici

 

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori.]



Intră în comunitate