Aici descoperim
dreptul tehnologiei

highway-road-going-up-as-arrow-success_13920-1021.jpg

Rezumat:  Protecția datelor personale în era digitală prezintă noi provocări. Această lucrare prezintă provocările erei digitale asupra protecției datelor personale, istoricul și evoluția legislației privind protecția datelor, concluziile desprinse din jurisprudența CJUE din ultimii 20 de ani și schimbarea de paradigmă a Comisiei Europene cu privire la protecția datelor în strategia sa privind deceniul digital (2020-2030).

CUPRINS

I. Introducere. Protecția datelor personale – trecut, prezent, viitor

II. Labirintul influențării

III. Fenomenul monetizării datelor personale 

IV. Incursiune retrospectivă în legislație și jurisprudență

V. Perspectivă asupra viitorului digital al Uniunii Europene

 

 I. Introducere. Protecția datelor personale – trecut, prezent, viitor

Orice acțiune pe internet (e.g. efectuarea unui click, ascultarea melodiei preferate pe Youtube, vizionarea unui film, trimiterea unui mesaj instantaneu) lasă urme digitale[1] care, combinate și conectate într-un ecosistem virtual al datelor infinite, poate conduce, astfel cum s-a afirmat în doctrină, către transpunerea personalității într-un mediu virtual, nenatural[2]. Internetul nu uită, ci scanează o copie digitală a universului fizic[3] în care ființa umană capătă, printr-o profilare algoritmică, o „personalitate digitală” formată din „înregistrări, fragmente de date și biți de informații”[4]. Personalitățile digitale sau, în termenul lor uzual, profilurile sunt sensibile la diversele transformări generate de comportamentul utilizatorului în mediul virtual. Ele pot deveni mai precise sau mai elaborate pe măsură ce se prelucrează mai multe date personale sau se combină baze de date din surse diferite. În funcție de exactitatea datelor, ele pot să corespundă sau nu personalității reale a unei persoane. Utilizatorul de internet nu are, din punct de vedere tehnic, control asupra creării sau modificării unui profil digital, deoarece, în majoritatea cazurilor, nici nu este conștient de existența profilării sau de identitatea entității care profilează[5]. Lipsa controlului asupra propriei personalități digitale aduce atingere conceptului de autonomie umană, concept care semnifică, în esență, abilitatea omului de a se guverna pe sine însuși, liber de interferențe străine, potrivit sinelui autentic[6].

Desprins din dreptul la viață privată, dreptul la protecția datelor personale urmărește, inter alia, să ofere persoanei vizate autonomie și control asupra colectării, utilizării sau divulgării de date personale. Dreptul la protecția datelor personale înglobează și alte drepturi specifice (e.g. dreptul la ștergerea datelor, dreptul de acces asupra datelor, dreptul la rectificare). Dreptul la viață privată și dreptul la protecția datelor personale nu au doar o „funcție de secretizare” a unor informații valoroase sau intime, ci au și o „funcție transcendentală”[7], protejând, așa cum s-a afirmat în doctrină, însuși nucleul existenței umane – individualitatea[8]. Astfel cum explică AEPD, aceste drepturi sunt intrinseci inovației, dezvoltării libere și autonome personalității umane și existenței altor drepturi și libertăți fundamentale[9].

Organizația Privacy International este de părere că, în absența dreptului la viață privată, celelalte drepturi și libertăți sunt în pericol[10], arătând cum dreptul la viață privată face posibilă existența unei opțiuni (e.g. o opțiune de a decide cui se dezvăluie datele personale, o opțiune de a se stabili limite); oferă persoanei posibilitatea de a fi în control asupra propriei identități și asupra modalității în care interacționează cu mediul înconjurător; oferă persoanei posibilitatea de a fi în siguranță împotriva abuzului nejustificat de putere; oferă persoanei vizate posibilitatea de gândi liber, fără a fi discriminată, de a fi autonomă și de a trăi în demnitate[11].

Însă, dreptul la viață privată și dreptul la protecția datelor intră deseori în conflict cu interesele operatorilor publici și privați, interese care sunt, în unele situații, legitime (e.g. profit, avantaje economice, inovație, securitate națională, suveranitate digitală). Atingerea acestor obiective pune deseori presiune asupra principiilor prelucrării datelor personale. Există numeroase dileme fără un răspuns clar. Securitate națională sau drepturi fundamentale? Inovație în IA sau protecția vieții private? Libertate de exprimare sau protecția vieții private și a datelor personale? Deși legislația oferă mijloace flexibile pentru echilibrarea drepturilor și intereselor opuse, în prezent, asistăm la o serie de dezechilibre ca urmare a oferirii de prioritate unui drept sau a unui interes în detrimentul altuia. Pe de o parte, supra-reglementările în domeniul protecției datelor au efecte adverse precum „fragmentarea internetului” sau „taxarea granițelor” atunci când informațiile părăsesc o anumită regiune geografică[12], îngrădirea libertății de exprimare și informare pe internet, piedici în calea comerțului internațional, piedici în calea comerțului digital internațional[13] etc. Pe de altă parte, prelucrarea abuzivă a datelor personale – inclusiv dezvăluirea sau accesarea neautorizată a datelor personale pot conduce către o serie de riscuri (e.g. discriminare, manipularea comportamentului de achiziție al consumatorului, influențarea voturilor libere[14], fraudarea identității, hărțuire online, cyber-bulling, deep-fakes, pierderea locurilor de muncă)[15].

În continuare, vom prezenta două dintre cele mai marcante fenomene cu impact major asupra ființelor umane, respectiv încălcarea liberului-arbitru al omului prin tehnici intruzive de manipulare (Secțiunea II) și fenomenul monetizării datelor personale – tratarea datelor personale – elemente intrinseci personalității umane, ca simple bunuri aflate în circuitul civil (Secțiunea III). Mai departe, în  Secțiunea IV, vom realiza o incursiune în legislația și jurisprudența CJUE din ultimii ani cu privire la protecția datelor personale, iar în Secțiunea V, vom arunca o privire asupra modificărilor în regimul prelucrării datelor în deceniul digital (2020-2030), potrivit strategiei Comisiei.

II. Labirintul influențării

La 30 de ani de la apariția World Wide Web (WWW), asigurarea protecției vieții private și a datelor cu caracter personal este o prioritate în toate statele democratice de pe glob. În schimb, statele nedemocratice obțin control și dominație asupra persoanelor prin îngrădirea vieții private[16], ca în romanul lui Orwell unde metafora „Big Brother” semnifică o supraveghere constantă ce controlează întreaga existență a unui om: gânduri, idei și acțiuni[17].

În opinia unui autor, Singapore este exemplul perfect al unei societăți controlate prin date, al cărei program de prelucrare al datelor personale – care și-a propus inițial scopul de a proteja cetățenii de terorism, a ajuns să influențeze aproape toate domeniile vieții (educație, economie, imigrări) [18]. Același autor afirmă că o rută similară urmează și în China prin introducerea scorului social care ar determina condițiile în care o persoană va avea acces la anumite facilități precum obținerea de împrumuturi, locuri de muncă sau călătorii în străinătate[19]. Uniunea Europeană, prin propunerea de Regulament privind inteligența artificială dorește să interzică în mod expres prelucrarea datelor personale în scopul introducerii de scoruri sociale pentru evaluarea algoritmică a ființelor umane. 

Dacă informația înseamnă putere, informațiile personale despre o anumită persoană contribuie, în teorie, la existența abilității de a influența sau manipula. Datele personale sunt vitale pentru actorii privați și publici, deoarece, pe de o parte, companiile private își pot mări cota de piață prin prelucrarea datelor personale (e.g. blocarea consumatorilor în ecosisteme digitale, publicitate direcționată către emoții sau nevoi intime)[20], iar, pe de altă parte, prelucrarea datelor personale de către state urmărește diverse scopuri precum securitate națională[21], suveranitate digitală[22] sau instituirea sau menținerea unor regimuri totalitare[23]. Persoanele fizice pot fi manipulate prin prelucrarea datelor personale (e.g. influențarea alegerilor consumatorilor[24], influențarea alegerilor libere[25]). Manipularea este deseori subtilă și imperceptibilă subiectului manipulat care ar putea crede că decizia îi aparține[26], fără a realiza că i-a fost afectat liberul-arbitru. Un experiment desfășurat de Facebook în perioada 11-18 ianuarie 2012 a revelat faptul că emoțiile transmise prin postări sunt contagioase și că starea de spirit a unei persoane poate fi influențată prin afișarea de conținut care exprimă emoții puternice (e.g. furie, fericire)[27]. Tehnologiile de manipulare, folosite inițial de industria de publicitate pentru a direcționa reclame către nevoi și emoții, au devenit un instrument utilizat și în politică[28]. Controversa Facebook/Cambridge Analytica a arătat cum, în teorie, datele personale ar putea fi utilizate pentru a inocula opinii politice în mintea persoanelor, dacă se cunosc suficiente detalii intime pentru a putea construi un profil psihologic online susceptibil la manipulare[29]. Aceste profiluri intime sunt generate deseori de o prelucrare a unor mari volume de date, deoarece, astfel cum explică CJUE în Digital Rights Ireland[30], meta-datele (datele de transfer și de localizare) prelucrate de companiile de telefonice „pot permite deducerea unor concluzii foarte precise privind viața privată a persoanelor ale căror date au fost păstrate, precum obiceiurile din viața cotidiană, locurile de ședere permanente sau temporare, deplasările zilnice sau alte deplasări, activitățile desfășurate, relațiile sociale ale acestor persoane și mediile sociale frecventate de ele”[31].

Gradul de a succes al manipulării depinde de o profilare cât mai precisă a persoanele, iar profilarea este mai exactă pe măsură ce cantitatea de date personale este mai vastă. Platformele digitale (e.g. site-uri, aplicații) prelucrează, împreună sau separat, pe scară largă, date personale și/sau module cookies sau alte tehnologii similare, înregistrând întreaga existență virtuală a unui utilizator de internet. Într-un raport se arată că există anumite companii ce activează ca brokeri de date, deținând date despre sute de milioane de consumatori, date pe care le analizează, le structurează și le vând, în general, fără permisiunea consumatorilor[32]. Datele personale pot fi oferite direct de către utilizator (e.g. completarea unui formular, postări pe o rețea de socializare, distribuirea locației – „share location”) sau pot fi colectate de către operator prin observarea comportamentului, preferințelor și a emoțiilor (prin module cookies, softuri de capturare automată a datelor, senzorii de urmărire Wi-Fi, RFID, recunoașterea facială a emoțiilor prin analiza expresiilor feței, etc)[33]. În unele situații, informațiile colectate conduc către crearea unor profiluri care pot releva aspecte foarte intime (e.g. credințe religioase, preferințe sexuale, înclinații politice sau comportament de votare[34], date privind sănătatea, date biometrice). S-a afirmat că Amazon și Google ascultă conversațiile prin intermediul asistenților vocali, Amazon Echo și Google Home[35], și, potrivit altor surse, Microsoft își spionează utilizatorii prin intermediul Windows 10[36]. Surprinzător este că butonul de „like” („îmi place”) al lui Facebook plasat pe anumite site-uri urmărește utilizatorii chiar dacă nu este apăsat[37], iar alte surse arată că Facebook deține „profiluri fantome” ale unor persoane ce nu au deținut niciodată conturi pe respectiva rețea socială[38]. Vizitarea a unui singur website conduce către dezvăluirea comportamentului de navigare către aproximativ 100 de platforme terțe ce își limitează răspunderea în spatele unor politici de confidențialitate ce se pot întinde pe sute de pagini[39]. Ca urmare a profilurilor create, cei care dețin bazele de date pot cunoaște un utilizator sau pot prezice comportamentul acestuia mai bine decât prietenii, familia sau partenerul de viață[40]. Manipularea este doar un factor deoarece, la nivel macro, se poate ajunge la segregarea ideologică și politică a societății[41] sau la discriminarea grupurilor vulnerabile[42].

III. Fenomenul monetizării datelor personale  

Legiuitorul european, prin considerentul (24) din Directiva nr. 770/2019[43], ridică la rang de principiu faptul că „datele personale nu pot fi considerate o marfă”. Cu toate acestea, în textul aceluiași considerent, legiuitorul Uniunii observă că modelele de afaceri online unde consumatorul plătește cu date personale în locul unui preț reprezintă o parte semnificativă a pieței. Cu alte cuvinte, deși, în teorie, în virtutea caracterului nepatrimonial, datele personale nu pot fi tratate ca o marfă, în practică, anumite modele de afaceri tratează datele personale ca bunuri aflate în circuitul civil. Într-un raport se arată că venitul mediu pe utilizator în 2020 pe platforma Facebook a fost 7,05 dolari pe glob și 36.49 dolari în SUA și Canada[44]. Fenomenul a fost numit de unii autori „capitalism de supraveghere”[45]. Acest fenomen de monetizare a datelor personale prezintă mai multe riscuri. Un risc este acela că anumite persoane vulnerabile ar putea fi tentate să își comercializeze propriile date, riscând autonomia, controlul și liberul-arbitru. Un alt risc important este acela al plasării persoanei vizate într-o poziție nefavorabilă în raport cu cei care îi prelucrează datele pentru generarea de profit deoarece, aflându-ne în prezența unui drept al personalității, în situația unei acțiuni în despăgubiri, evaluarea prejudiciului și stabilirea cuantumului daunelor morale este dificilă[46].

IV. O incursiune retrospectivă în legislație și jurisprudență

Protecția informațiilor private (datelor personale) ale utilizatorilor de internet a fost una dintre primele valori reglementate în spațiul digital, ca o reacție la ingerințele certe sau potențiale ale internetului asupra vieții private. Dreptul la protecția datelor cu caracter personal s-a desprins din dreptul la viață privată și a fost inclus ca drept autonom fundamental în Carta Drepturilor Fundamentale a Uniunii Europene[47]. Cu toate acestea, protecția datelor cu caracter personal a fost reglementată cu mult timp înainte de intrarea în vigoare a Cartei (2009).

Prima lege ce a reglementat protecția datelor cu caracter personal a fost o lege din Suedia (1973) care a intrat în vigoare la 1 iulie 1974. A urmat o lege federală din SUA din 1974 care proteja confidențialitatea registrelor cu datele elevilor și ale studenților[48]. Tot în același an a fost adoptată în SUA și „Privacy Act” cu privire la colectarea și utilizarea informațiilor personale de către agențiile federale. În Europa, printre țările pioniere în domeniul adoptării legislației privind protecția datelor se numără Franța (1978)[49] și Regatul Unit (1984)[50].

În anul 1980, OCDE a emis Orientările[51] privind protecția confidențialității și a fluxurilor transfrontaliere de date[52], orientări care au fost actualizate în anul 2013[53] dintr-o necesitate de a aborda dimensiunea globală a vieții private prin îmbunătățirea interoperabilității printr-o abordare bazată pe gestionarea riscurilor, introducând noi concepte (e.g. strategii naționale de confidențialitate la cele mai înalte niveluri de guvernare, programe de gestionare a confidențialității, un sistem de notificare a încălcărilor de securitate[54]).

La nivel internațional, primul instrument cu forță juridică obligatorie adoptat în domeniul protecției datelor cu caracter personal a fost Convenția 108 din 28 ianuarie 1981[55]. Toate statele membre au aderat la Convenția 108[56]. Convenția a fost modernizată în luna mai 2018, după o perioadă de activitate intensă și negocieri[57], devenind Convenția 108+. Ea este deschisă spre semnare atât statelor din Uniunea Europeană, cât și celor din afara Uniunii[58].

La nivelul Uniunii Europene, primul instrument cu forță juridică obligatorie a fost Directiva 46/95[59] (1995), urmat de Directiva ePrivacy (2002). În România, prima lege privind protecția datelor a fost adoptată în 2001[60]. În 2009, prin Tratatul de la Lisabona, dreptul la protecția datelor a fost inclus în dreptul primar al Uniunii Europene (art. 16 TFUE și art. 8 CDFUE). Intrarea în vigoare a Cartei în 2009 a condus către proclamarea dreptului la protecția datelor personale ca drept fundamental. În anul 2016, a fost adoptat Regulamentul General privind Protecția Datelor[61], regulament ce a abrogat Directiva 46/95. Acest regulament se aplică începând cu 25 mai 2018 și este cunoscut drept cel mai puternic instrument legislativ pentru protecția datelor personale de pe glob. Regulamentul are atât o aplicabilitate verticală, în raport cu statul, cât și o aplicabilitate orizontală (în raporturi dintre particulari). RGPD reprezintă, la nivel european, cadrul legislativ general privind protecția datelor personale, coexistând cu alte legislații speciale sectoriale (e.g. legislația ePrivacy, legislația privind prelucrarea datelor în scopul prevenirii, descoperirii, cercetării, urmăririi penale şi combaterii infracţiunilor sau al executării pedepselor, măsurilor educative şi de siguranţă). În prezent, la nivel european, se negociază modernizarea legislației ePrivacy prin adoptarea unui Regulament ePrivacy ce urmărește mai multe obiective (e.g. extinderea domeniului de aplicare material, personal și teritorial)[62], precum și un Regulament privind inteligența artificială ce introduce, inter alia, noi garanții pentru protecția datelor prelucrate de către algoritmii IA.

În ultimii 20 de ani, în fața Curții de Justiție a Uniunii Europene (CJUE), a Curții Europene a Drepturilor Omului (CtEDO), a instanțelor naționale europene și a instanțelor străine s-au adus multiple cauze ce priveau protecția dreptului la viață privată și a dreptului la protecția datelor pe internet. Situațiile vizau o serie de probleme legate de prelucrarea datelor pe internet, printre care supravegherea conversațiilor electronice ale angajatului de către angajator[63], păstrarea și accesarea de către autorități a datelor de trafic și a datelor de localizare[64], legislația aplicabilă prelucrării datelor pe internet[65], legalitatea transferurilor de date către state din afara UE[66], prelucrarea adresei IP și încadrarea acesteia în noțiunea de date cu caracter personal[67], cerințele consimțământului cu privire la prelucrarea datelor[68], identificarea utilizatorului prin mijloace electronice[69], prelucrarea de către mai mulți actori a unor baze de date comune și responsabilitatea acestora[70], informarea utilizatorilor de internet cu privire la prelucrarea datelor cu caracter personal[71], prelucrarea datelor personale de către un motor de căutare[72] și prelucrarea datelor speciale de către un motor de căutare[73], publicarea unor înregistrări video pe internet[74], ștergerea datelor din motoarele de căutare[75], întinderea teritorială a dreptului la ștergerea datelor[76], prelucrarea datelor prin intermediul modulele cookie[77], conflictul dintre protecția datelor cu caracter personal și libertatea de exprimare și de informare[78] pe internet.

Din analiza jurisprudenței CJUE (perioada 2013-2020) cu privire la protecția dreptului la viață privată pe internet, se desprind mai multe concluzii relevante pentru această lucrare. În primul rând, tendința CJUE este de a interpreta legislația privind protecția în favoarea persoanei vizate în lumina drepturilor prevăzute la art. 7 și 8 din Cartă[79] statuând ca dreptul la viața privată primează, în principiu, asupra intereselor comerciale și asupra libertății exprimare și de informare a utilizatorilor[80]. În al doilea rând, măsurile implementate de operator  trebuie să fie proporționale cu gradul de risc asupra drepturilor și libertăților fundamentale[81]. În al treilea rând, internetul poate agrava ingerința în drepturile prevăzute la art. 7 și art. 8 din Cartă[82]. În al patrulea rând, o prelucrare abuzivă a datelor poate conduce către ingerința în esența unor drepturi și libertăți fundamentale[83]. În al cincilea rând, prelucrarea nerezonabilă a datelor poate conduce către afectarea altor drepturi și libertăți fundamentale precum libertatea de exprimare și de informare[84] și dreptul la o cale de atac eficientă[85]. Nu în ultimul rând, orice ingerință în dreptul la viață privată și dreptul la protecția datelor trebuie să fie proporțională[86].

V. Privire către viitorul digital al Europei

Cum va fi era inteligenței artificiale? Orașe conectate, automobile autonome ce previn accidentele rutiere, comerț global, drone ce livrează limonadă, roboți ce curăță impecabil podele, tratamente miraculoase ce prelungesc speranța de viață și, de ce nu, chiar salvarea mediului prin tehnologie[87]? Sau, la polul opus, discriminarea grupurilor vulnerabile de către inteligență artificială (IA), înlocuirea lucrătorilor de către IA, manipularea algoritmică a consumatorilor, manipularea voturilor, polarizare ideologică și politică, violarea drepturilor fundamentale, cenzură sau chiar sacrificarea democrației? Va reuși legiuitorul european să navigheze valurile inovației fără a sacrifica drepturile omului?

UE își propune construirea unei societăți bazate pe date[88] așadar, în anul 2020, Comisia a publicat două documente ce prezintă strategia europeană privind datele și inteligența artificială[89]. Deși se recunoaște importanța respectării vieții private și a datelor personale, documentele strategice ale Comisiei, împreună cu o serie de acte normative deja adoptate sau propuneri legislative, urmăresc, mai degrabă, valorificarea și deschiderea datelor decât protecția lor, ca în trecut. De exemplu, atitudinea co-legiuitorilor Uniunii pare că se îndepărtează de la principiile tradiționale privind protecția strictă a datelor personale prin introducerea, în premieră, a principiul „Open by default” prin intermediul Directivei privind datele deschise, arătând la art. 10 alin. (1) faptul că „preocupările legate de […] protecția datelor cu caracter personal […] sunt luate în considerare în conformitate cu principiul <<cât mai deschis cu putință, dar atât de închis cât este necesar>>”. Astfel cum am afirmat anterior, „abordarea nu pare a fi excepțională deoarece în propunerea de Regulament privind guvernanța datelor la nivel european (Legea privind guvernanța datelor) se încearcă facilitarea liberei circulații a datelor prin introducerea altruismului în materie de date”[90], propunându-se și un formular european de obținere a consimțământului privind prelucrarea datelor personale.  Deși CEPD și AEPD au oferit o serie de avize nefavorabile unor proiecte de legislație ce urmăresc deschiderea datelor, va fi interesant de urmărit impactul – real sau formal, al acestor avize. Este ușor de anticipat că deschiderea și valorificarea datelor va fi necesară pentru atingerea strategiilor europene pentru deceniul digital (e.g., dezvoltarea IA, cetățenia digitală, accesul la servicii digitale de sănătate)[91].

Propunerea de regulament ePrivacy, ce a intrat în anul 2021 în etapa concilierii[92] urmărește, prin extinderea domeniului de aplicare în afara granițelor UE, să protejeze utilizatorii de internet și în raport cu furnizorii privați de comunicații electronice pe internet (e.g. servicii precum VoIP (Voce peste Protocol de Internet), mesageria instantanee sau poșta electronică), însă, în ultima versiune, prevede o excepție privind reținerea datelor de transfer și de localizare în scop de securitate națională de către statele membre[93]. Această excepție a atras îngrijorarea CEPD cu privire la intenția legiuitorului european de a „deroga” de la jurisprudența recentă a CJUE privind reținerea datelor de localizare și de transfer[94], citându-se hotărârea din cauza Privacy International[95], prin intermediul căreia CJUE a stabilit că legislația ePrivacy se aplică și prelucrării datelor în scopul securității sau apărării naționale dacă statele membre utilizează companii private (e.g. operatori de telefonie mobilă) pentru colectarea și reținerea datelor de trafic sau de localizare.

 

Concluzii

Ca urmare a intrării în vigoare a Tratatului de la Lisabona, începând cu anul 2009, dreptul la protecția datelor personale a dobândit valoarea juridică de drept fundamental, fiind inclus ca drept autonom și distinct de dreptul la viață privată în dreptul primar al UE (art. 8 din Cartă). Regulamentul General privind Protecția Datelor, ce se aplică din 2009, a extins domeniul de aplicare teritorial al protecției datelor personale aplicându-se, în anumite condiții, și operatorilor din afara UE. Propunerea de regulament ePrivacy urmărește extinderea materială și teritorială a legislației privind protecția vieții private în sectorul comunicațiilor electronice. În concret, ultima versiune a propunerii de regulament prevede că regulamentul ePrivacy se va aplica furnizorilor de servicii de comunicații pe internet (e.g. mesagerie instantanee, poștă electronică), chiar dacă aceștia sunt situați în afara UE.

Deși UE are cea mai puternică legislație cu privire la protecția datelor de pe glob, prin strategia privind deceniul digital (2020-2030), Comisia urmărește, mai degrabă, valorificarea și deschiderea datelor decât protecția lor, ca în trecut. Strategia Comisiei s-a concretizat deja printr-o serie de acte normative deja adoptate sau propuneri legislative ce au drept obiectiv comun construirea unei societăți bazate pe date.

Informația înseamnă putere, așadar deținerea de date personale contribuie, în teorie, la existența abilității de a influența sau manipula. Datele personale au o importanță vitală pentru actorii publici și privați deoarece, prin prelucrarea datelor personale, operatorii publici își pot construi suveranitatea digitală, iar companiile private își pot extinde poziția economică în piață. Dreptul la protecția datelor este un drept fundamental, nepatrimonial, așadar legiuitorul european, prin considerentul (24) din Directiva nr. 770/2019, ridică la rang de principiu faptul că „datele personale nu pot fi considerate o marfă”. Cu toate acestea, în textul aceluiași considerent, legiuitorul Uniunii observă că modelele de afaceri online unde consumatorul plătește cu date personale în locul unui preț reprezintă o parte semnificativă a pieței. Fenomenul monetizării datelor personale are puternice implicații nu doar în domeniul drepturilor consumatorilor, ci și în multe alte arii de drept. Un exemplu este domeniul răspunderii civile delictuale în cadrul căreia evaluarea prejudiciului nepatrimonial este dificilă. Ca efect, persoana vizată este plasată într-o poziție defavorabilă deoarece, deși datele personale sunt tratate, din nefericire, ca simple bunuri aflate în circuitul civil, în situația unei fapte ilicite, persoana fizică nu deține remedii juridice adecvate.

În era digitală, protecția datelor a devenit un domeniu de drept interdisciplinar, ce își croiește drum treptat, dar sigur, în toate celelalte domenii de drept. Dacă tehnologiile viitorului vor aduce noi riscuri pentru drepturile omului, societatea trebuie să prindă valul digitalizării fără a sacrifica drepturile fundamentale. 

 

Referințe:

[1] Carlo Ratti, Dirk Helbing, The Hidden Danger of Big Data în Dirk Helbing, Towards Digital Enlightenment. Essays on the Dark and Light Sides of the Digital Revolution, Ed. Springer, 2019, p. 22.

[2] Daniel – Mihail Șandru, Imposibila coexistenţă între protecţia datelor și comunităţile virtuale? Ce urmează?, Pandectele Române nr. 1/2018, p. 18.

[3] Carlo Ratti, Dirk Helbing, cit. supra, p. 22.

[4] Daniel J. Solove, The Digital Person Technology and Privacy in the Information Age, New York University, 2004, p. 226.

[5] Pentru o discuție despre necesitatea transparenței cu privire la crearea unor profiluri a se vedea Ruxandra Sava, Când decizia o ia mașina… Despre profilare, drepturi și echilibru într-un univers digital, Revista Romana pentru Protecția și Securitatea Datelor cu Caracter Personal nr. 3/2020, p. 24-41.

[6] John Christman, Autonomy in Moral and Political Philosophy, disponibil aici, link accesat 06.06.2021.

[7] Ferdinand David Schoeman, Privacy. Philosophical Dimensions Of The Literature, în Ferdinand David Schoeman, Philosophical Dimensions Of Privacy. An Anthology, Cambridge University Press, 2007, p.  5-7.

[8] Elena – Simina Tănăsescu în prefața lucrării Simona Șandru, Protecția datelor personale și viața privată, Ed. Hamangiu, București, 2016.

[9] AEPD, Opinion 7/2015. Meeting the Challenges of Big Data. A call for transparency, user control, data protection by design and accountability, Bruxelles, 19 noiembrie 2015, p. 9.

[10] Privacy International, Privacy Matters, link accesat 04.09.2020.

[11] Ibidem.

[12] Chander, Anupam, Le, Uyen P., Breaking the Web: Data Localization vs. the Global Internet (April 2014), Emory Law Journal, Forthcoming, UC Davis Legal Studies Research Paper No. 378.

[13] Margot Kaminski, Are Data Privacy Laws Trade Barriers, JOTWELL (October 30, 2020) (reviewing Svetlana Yakovleva, Privacy Protection(ism): The Latest Wave of Trade Constraints on Regulatory Autonomy, 74 U. Miami. L. Rev. 416 (2020)).

[14] În detaliu: Ruxandra Sava, op. cit. supra n. 5, p. 24-41.

[15] Agenția pentru Drepturi Fundamentale a UE (FRA) a publicat într-un raport răspunsurile unor persoane care au fost victime ale încălcării securității și confidențialității datelor cu caracter personal. Potrivit FRA, atunci când au fost întrebate despre prejudiciile care le-au adus încălcarea normelor privind protecția datelor, persoanele au descris prejudiciile în termeni psihologici sau sociali. Acestea au descris prejudiciul ca emoțional sau social (opinia altor persoane sau impactul asupra relațiilor cu ceilalți). FRA, Access to data protection remedies in EU Member States, cit. supra.

[16] Daniel J. Solove, op. cit. supra, p. 29.

[17] Idem, p. 31.

[18] Carlo Ratti, Dirk Helbing, op. cit. supra, p. 75.

[19] Ibidem.

[20]European Parliament, Challenges for Competition Policy in a Digitalised Economy, iulie 2015, p. 33, link accesat 30.04.2021.

[21] De exemplu, o modificare substanțială a ultimei versiuni e propunerii de Regulament privind viața privată și comunicațiile electronice (Privacy) este includerea unei excepții privind reținerea datelor de transfer și de localizare în scop de securitate națională. A se vedea Ruxandra Sava, Protecția juridică a vieții private în sectorul comunicațiilor electronice în UE și în România, 2021, link accesat 06.06.2021.

[22] aici, link accesat 06.06.2021.

[23] Carlo Ratti, Dirk Helbing, The Hidden Danger of Big Data în Dirk Helbing, op. cit. supra., p. 75.

[24] G. Piperea, Protecția consumatorilor în contractele comerciale, Ed. C.H. Beck, București, 2018, p. 149-150.

[25] AEPD, Opinion 3/2018, Opinion on online manipulation and personal data, 19 martie 2018, Bruxelles, p. 13.

[26] Dirk Helbing, op. cit. supra, p. 28.

[27]Sursa aici, link accesat 07.06.2021.

[28] Dirk Helbing, op. cit. supra., p. 28.

[29] Council of Europe, Authors: Sir Nicolas Bratza, Christos Giakoumopoulos, Dirk Voorhoof, Christopher Docksey, John F Larkin, Síofra O’Leary, Bertrand de la Chapelle, Faiza Patel, Nico van Eijk, Tim Eicke, Lorna McGregor, Robert Spano, Arto Kosonen, Mia Spolander, Human Rights. Challenges in the Digital Age: Judicial Perspectives, 2020, p. 171.

[30] CJUE, cauzele conexate C-293/12 și C-594/12, Digital Rights Ireland, hotărârea din 8 aprilie 2014, ECLI:EU:C:2014:238.

[31] Idem, pct. 27.

[32] United States Senate, Committee on Commerce, Science, and Transportation, Office of Oversight and Investigations Majority Staff, A Review of the Data Broker Industry: Collection, Use, and Sale of Consumer Data for Marketing Purposes, 18 decembrie 2013, p. 4.

[33]În schimb, art. 14 se aplică pentru situațiile în care datele sunt colectate din alte surse, cum ar fi date provenite de la operatori terți, din surse publice, de la brokeri de date sau de la alte persoane vizate. A se vedea GL29, Orientări privind transparența în temeiul Regulamentului 2016/679, adoptate la 29 noiembrie 2017, revizuite și adoptate ultima dată la 11 aprilie 2018, p. 16, link accesat 01.03.2021.

[34] Dirk Helbing, op. cit. supra, p. v.

[35] Conform Wired.com, link accesat 11.05.2021.

[36] Conform bgr.com link accesat 09.04.2021.

[37] CJUE, cauza C-40/17, Fashion ID, hotărârea din 29 iulie 2019 ECLI:EU:C:2019:629;

[38] Miriam Frankel, Shadow profiles – Facebook knows about you, even if you’re not on Facebook, 13 aprilie 2018,  link accesat 06.06.2021.

[39] AEPD, Opinion 3/2018. Opinion on online manipulation and personal data, Bruxelles, 19 martie 2018, p. 7.

[40]Conform nytimes.com, link accesat 11.05.2021.

[41] CEPD, Guidelines 8/2020 on the targeting of social media users, Version 1.0, 2 septembrie 2020, p. 6.

[42] Ruxandra Sava, op. cit. supra, p. 24-41

[43] Directiva (UE) 2019/770 a Parlamentului European și a Consiliului din 20 mai 2019 privind anumite aspecte referitoare la contractele de furnizare de conținut digital și de servicii digitale, JO L 136, 22.5.2019, p. 1–27.

[44] Conform s21.q4cdn.com, p. 4, link accesat 25.04.2021.

[45] Shoshana Zuboff, ‘Big Other: Surveillance Capitalism And The Prospects Of An Information Civilization’ , 2015, 30 Journal of Information Technology.

[46] FRA, cit. supra.

[47] Carta drepturilor fundamentale a Uniunii Europene, JO C 326, 26.10.2012, p. 391–407. Carta a fost proclamată oficial în 2000, dar a intrat în vigoare la 1 decembrie 2009,

[48] Conform safecomputing.umich.edu, link accesat 09.04.2021.

[49] Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés

[50] UK Data Protection Act 1984.

[51] Scopul principal al orientărilor OCDE a fost acela de proteja viața privată și libera circulație a informațiilor. A se vedea, de exemplu, Dominik Horodyski, 2013 OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data as an Example of Recent Trends in Personal Data Protection în lucrarea Magdalena Sitek, Peter Terem, Marta Wójcicka, Collective human rights in the first half of the 21st century, Alcide De Gasperi University of Euroregional Economy in Józefów, 2015, p. 258.

[52] Sian Rudgard, Origins and Historical Context of Data Protection Law în lucrarea Eduardo Ustaran, Hogan Lovells (eds.), European Data Protection Law and Practice, International Association of Privacy Professionals (IAPP), 2018, p. 20.

[53] Conform oecd.org, link accesat 03.12.2020.

[54] Conform oecd.org.

[55] Convenția pentru protejarea persoanelor față de prelucrarea automatizată a datelor cu caracter personal din 28.01.1981, text publicat în Monitorul Oficial, Partea I nr. 830 din 21 decembrie 2001, în vigoare de la 21 decembrie 2001.

[56] Steve Peers, Tamara Hervey, Jeff Kenner, Angela Ward (eds.), The EU Charter of Fundamental Rights: A Commentary, Ed. Beck/Hart, 2014, Marea Britanie, republicată în 2019, p. 238.

[57]Conform comunicatului de presă ANSPDCP, link accesat 2.12.2020.

[58] Sian Rudgard, Origins and Historical Context of Data Protection Law în lucrarea Eduardo Ustaran, Hogan Lovells (eds.), European Data Protection Law and Practice, International Association of Privacy Professionals (IAPP), 2018, p. 23.

[59] Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date, JO L 281, 23.11.1995, p. 31–50, abrogată. 

[60] Legea nr. 677 din 21 noiembrie 2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date, Publicată în  MONITORUL OFICIAL nr. 790 din 12 decembrie 2001.

[61] Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) (Text cu relevanță pentru SEE), JO L 119, 4.5.2016, p. 1–88

[62] Ca urmare a noilor modificări, regulamentul s-ar aplica și furnizorilor privați de comunicații electronice pe internet (e.g. servicii precum VoIP (Voce peste Protocol de Internet), mesageria instantanee sau poșta electronică), inclusiv în situațiile în care aceștia sunt stabiliți în afara Uniunii. A se vedea Ruxandra Sava, op. cit. supra n. 23, link accesat 06.06.2021.

[63] CtEDO (Marea Cameră), Bărbulescu c. României, hotărârea din 5 septembrie 2017, ECLI:CE:ECHR:2017:0905JUD006149608.

[64] CJUE, Cauzele conexate C-293/12 și C-594/12, Digital Rights Ireland, Seitlinger și alții, hotărârea din 8 aprilie 2014, ECLI:EU:C:2014:238; CJUE, Cauzele conexate C-203/15 și C-698/15, Tele2 Sverige, hotărârea din 21 decemrie 2016 ECLI:EU:C:2016:970;

[65] CJUE, C-230/14, Weltimmo, hotărârea din 1 octombrie 2015, ECLI:EU:C:2015:639; CJUE, cauza C-191/15, Verein für Konsumenteninformation hotărârea din 28 iulie 2016 ECLI:EU:C:2016:612.

[66] CJUE, Cauza C-362/14, Schrems, hotărârea din 6 octombrie 2015, ECLI:EU:C:2015:650; CJUE, cauza C-311/18, Facebook Ireland and Schrems („Schrems II”), hotărârea din 16 iulie 2020, ECLI:EU:C:2020:559.

[67] CJUE, C-582/14, Breyer, hotărârea din 19 octombrie 2016 ECLI:EU:C:2016:779.

[68] CJUE, Cauza C-536/15, Tele2 (Olanda), hotărârea din 15 martie 2017 ECLI:EU:C:2017:214; CJUE, Cauza C-210/16, Wirtschaftsakademie Schleswig-Holstein, hotărârea din 5 iunie 2018 ECLI:EU:C:2018:388; CJUE, cauza C-40/17, Fashion ID, hotărârea din 29 iulie 2019 ECLI:EU:C:2019:629; CJUE, cauza C-673/17, Planet49, hotărârea din 1 octombrie 201933 ECLI:EU:C:2019:801.

[69] CJUE, C-582/14, Breyer, hotărârea din 19 octombrie 2016 ECLI:EU:C:2016:779.

[70] CJUE, Cauza C-210/16, hot. cit. supra; CJUE, cauza C-40/17, Fashion ID, hotărârea din 29 iulie 2019 ECLI:EU:C:2019:629.

[71] CJUE, cauza C-40/17, hot. cit. supra; CJUE, cauza C-673/17, Planet49, hotărârea din 1 octombrie 201933 ECLI:EU:C:2019:801.

[72] CJUE, C-131/12, Google Spain și Google, hotărârea din 13 mai 2014 ECLI:EU:C:2014:317.

[73] CJUE, cauza C-136/17, GC și alții (Lizibilitatea datelor sensibile), hotărârea din 24 septembrie 2019. ECLI:EU:C:2019:773.

[74] CJUE, cauza C-345/17, Buivids, hotărârea din 14 februarie 2019, ECLI:EU:C:2019:122.

[75] CJUE, C-131/12, cit. supa n. 72, GC și alții (Lizibilitatea datelor sensibile), cit. supra n. 73.

[76] CJUE, cauza C-507/17, Google (Portée territoriale du déréférencement), hotărârea din 24 septembrie 201938 ECLI:EU:C:2019:772.

[77] CJUE, cauza C-673/17, Planet49, hotărârea din 1 octombrie 201933 ECLI:EU:C:2019:801; CJUE, cauza C-136/17, GC și alții (Lizibilitatea datelor sensibile), hot. cit. supra n. 73; CJUE, cauza C-345/17, Buivids, hotărârea din 14 februarie 2019, ECLI:EU:C:2019:122.

[78] CJUE, cauza C-507/17, hot. cit. supra n. 76; CJUE, cauza C-345/17, hot. cit. supra n. 74; CJUE, cauza C-136/17, GC și alții (Lizibilitatea datelor sensibile), hotărârea din 24 septembrie 2019. ECLI:EU:C:2019:773.

[79] A se vedea, de exemplu, CJUE, C-486/12, Cauza X, hotărârea din 12 decembrie 2013, ECLI:EU:C:2013:836; Digital Rights Ireland, Seitlinger și alții, hotărârea din 8 aprilie 2014 , ECLI:EU:C:2014:238; CJUE, C-131/12, Google Spain și Google, hotărârea din 13 mai 2014 ECLI:EU:C:2014:317; CJUE, Cauza C-362/14, Schrems, hotărârea din 6 octombrie 2015, ECLI:EU:C:2015:650; CJUE, cauza C-311/18, Facebook Ireland and Schrems („Schrems II”), hotărârea din 16 iulie 2020, ECLI:EU:C:2020:559; C-212/13, Ryneš, hotărârea din 11 decembrie 2014, ECLI:EU:C:2014:2428; CJUE, C-582/14, Breyer, hotărârea din 19 octombrie 2016, ECLI:EU:C:2016:779; CJUE, Cauzele conexate C-203/15 și C-698/15, Tele2 Sverige, hotărârea din 21 decemrie 2016 ECLI:EU:C:2016:970; CJUE, Cauza C-210/16, Wirtschaftsakademie Schleswig-Holstein, hotărârea din 5 iunie 2018 ECLI:EU:C:2018:388; CJUE, Cauza C-40/17, Fashion ID, hotărârea din 29 iulie 2019, ECLI:EU:C:2019:629; CJUE, C-345/17, Buivids, hotărârea din 14 februarie 201940 ECLI:EU:C:2019:122; CJUE, C-673/17, Planet49, hotărârea din 1 octombrie 2019, ECLI:EU:C:2019:801; CJUE, Cauza C-61/19, Orange România, hotărârea din 11 noiembrie 2020, ECLI:EU:C:2020:901.

[80] CJUE, C-131/12, Google Spain și Google, hotărârea din 13 mai 2014 ECLI:EU:C:2014:317, pct. 97: „Întrucât persoana vizată poate, având în vedere drepturile sale fundamentale prevăzute la articolele 7 și 8 din cartă, să solicite ca informația în cauză să nu mai fie pusă la dispoziția marelui public prin includerea sa într‑o asemenea listă de rezultate, trebuie să se considere că aceste drepturi, […], prevalează în principiu nu numai asupra interesului economic al operatorului motorului de căutare, ci și asupra interesului acestui public de a găsi informația respectivă cu ocazia unei căutări referitoare la numele acelei persoane. Nu aceasta ar fi însă situația dacă ar reieși că, din motive speciale, precum rolul jucat de persoana respectivă în viața publică, ingerința în drepturile sale fundamentale este justificată de interesul preponderent al publicului menționat de a avea acces, prin intermediul acestei includeri, la informația în cauză”.

[81] De exemplu, în cauza C-136/17, GC și alții (Lizibilitatea datelor sensibile), hotărârea din 24 septembrie 2019. ECLI:EU:C:2019:773, pct. 44, CJUE a arătat că datele speciale necesită o protecție sporită deoarece sunt susceptibile să constituie o ingerință deosebit de gravă în drepturile de la art. 7 și 8 din Cartă; În cauza Google Spain (CJUE, C-131/12, Google Spain și Google, hotărârea din 13 mai 2014 ECLI:EU:C:2014:317), CJUE a arătat că, în exercițiul de ponderare a dreptului la protecția datelor cu libertatea de exprimare și informare, se ține cont și de gradul ingerinței în drepturile persoanei vizate. În cauza Digital Rights Ireland (hotărârea din 8 aprilie 2014 , ECLI:EU:C:2014:238, pct. 37), un argument care a contribuit la invalidarea Directivei 2006/2004 a fost acela că datele pe care trebuiau să le păstreze furnizorii de servicii de telecomunicații „pot permite deducerea unor concluzii foarte precise privind viața privată a persoanelor ale căror date au fost păstrate, precum obiceiurile din viața cotidiană, locurile de ședere permanente sau temporare, deplasările zilnice sau alte deplasări, activitățile desfășurate, relațiile sociale ale acestor persoane și mediile sociale frecventate de ele”.

[82] CJUE, C-131/12, Google Spain și Google, hotărârea din 13 mai 2014 ECLI:EU:C:2014:317, pct. 80.

[83] De exemplu, CJUE, Cauzele conexate C-293/12 și C-594/12, Digital Rights Ireland, Seitlinger și alții, hotărârea din 8 aprilie 2014 , ECLI:EU:C:2014:238; [83] CJUE, Cauza C-362/14, Schrems, hotărârea din 6 octombrie 2015, ECLI:EU:C:2015:650; CJUE, cauza C-311/18, Facebook Ireland and Schrems („Schrems II”), hotărârea din 16 iulie 2020, ECLI:EU:C:2020:559.

[84] CJUE, Cauzele conexate C-293/12 și C-594/12, Digital Rights Ireland, Seitlinger și alții, hotărârea din 8 aprilie 2014 , ECLI:EU:C:2014:238, pct. 28.

[85] CJUE, Cauza C-362/14, Schrems, hotărârea din 6 octombrie 2015, ECLI:EU:C:2015:650, pct. 95; CJUE, cauza C-311/18, Facebook Ireland and Schrems („Schrems II”), hotărârea din 16 iulie 2020, ECLI:EU:C:2020:559, pct. 186-197.

[86] A se vedea, de exemplu, CJUE, Cauzele conexate C-293/12 și C-594/12, Digital Rights Ireland, Seitlinger și alții, hotărârea din 8 aprilie 2014 , ECLI:EU:C:2014:238; CJUE, Cauza C-362/14, Schrems, hotărârea din 6 octombrie 2015, ECLI:EU:C:2015:650; CJUE, cauza C-311/18, Facebook Ireland and Schrems („Schrems II”), hotărârea din 16 iulie 2020, ECLI:EU:C:2020:559.

[87] Există numeroase studii care arată că inteligența artificială și tehnologiile viitorului pot combate sau preveni problemele mediului. A se vedea, de exemplu, Anuj Karpatne, Vipin Kumar, Big Data in Climate: Opportunities and Challenges for Machine Learning, link accesat 19.04.2021.

[88] Conform ec.europa.eu, link accesat 01.05.2021.

[89] Comisia Europeană, Carte albă privind inteligența artificială. O abordare europeană axată pe excelență și încredere, 19.02.2020, Bruxelles, link accesat 29.04.2021; Comisia Europeană, Comunicare a Comisiei Către Parlamentul European, Consiliu, Comitetul Economic și Social European și Comitetul Regiunilor, O strategie europeană privind datele, 19.02.2020, Bruxelles, p. 1.

[90] Ruxandra Sava, Privacy by design se întâlnește cu Open by Default. Protecția datelor în domeniul cercetării și inovării în IA, juridice.ro, 12.02.2020, link accesat 07.06.2021.

[91] Conform ec.europa.eu, link accesat 07.06.2021.

[92] Robert Schütze, Dreptul constituțional al Uniunii Europene, Ed. Universitară, București, 2012, trad. Mihaela Banu, Mihai Banu, p. 171.

[93] Ruxandra Sava, op. cit. supra n. 21, link accesat 06.06.2021.

[94]   Ibidem.

[95] CJUE, cauza C-623/17, Privacy International, hotărârea din 6 octombrie 2020, EU:C:2020:790.

 


top-view-orange-slices_23-2148795863.jpg

Din moment ce dreptul la protecția datelor cu caracter personal nu este un drept absolut înseamnă că acesta poate comporta, în anumite condiții, derogări prin intermediul legislației naționale sau legislației Uniunii, în special pentru atingerea unor obiective importante sau pentru a nu intra în conflict cu alte drepturi și libertăți fundamentale. Art. 23 din RGPD prevede condițiile pe care trebuie să le respecte măsurile legislative europene și naționale care restrâng dreptul la protecția datelor. Din economia art. 23 RGPD și ale considerentului (73) se desprind cel puțin patru condiții pe care trebuie să le respecte cumulativ o măsură legislativă pentru a putea restricționa dreptul la protecția datelor, respectiv:

i) respectarea esenței drepturilor și libertăților fundamentale;

ii) măsura trebuie să fie necesară și proporțională într-o societate democratică;

iii) existența unui obiectiv important;

iv) includerea unui minim de dispoziții specifice.

În continuare vom explica noțiunea de „esență” a dreptului la protecția datelor.

 


Esența sau inima unui drept fundamental a fost definită în doctrină drept nucleul intangibil al unui drept care nu poate fi diminuat, restricționat sau perturbat[1]. Art. 52 alin. (1) din Cartă prevede că „orice restrângere a exercițiului drepturilor și libertăților recunoscute prin prezenta cartă trebuie să fie prevăzută de lege și să respecte substanța acestor drepturi și libertăți”. Până în prezent, CJUE nu a oferit un test clar pentru a determina unde începe și unde se termină nucleul unui drept fundamental, însă anumite hotărâri au oferit indicii importante cu privire la înțelegerea conceptului de „esență” a unui drept fundamental. În Avizul 1/15, CJUE arată că substanța dreptului la protecția datelor este reprezentantă de securitatea, confidențialitatea și integritatea datelor cu caracter personal, precum și de legalitatea prelucrării[2]. Cu alte cuvinte, dacă securitatea datelor a fost compromisă sau principiul legalității nu a fost respectat, dreptul la protecția datelor și-a pierdut esența. Orice măsură legislativă care restrânge dreptul la protecția datelor trebuie să nu pună în primejdie securitatea, confidențialitatea și integritatea datelor cu caracter personal sau principiul legalității. Principiul legalității și principiul integrității și confidențialității sunt, în viziunea CJUE, elemente indispensabile ale esenței dreptului la protecția datelor, însă, mergând pe același raționament apreciem faptul că și celelalte principii-cheie ale RGPD reprezintă parte din nucleul dreptului la protecția datelor (echitatea și transparența, limitarea scopului, limitarea duratei de stocare, reducerea la minimum a datelor, exactitatea).

***

Referințe:

[1] Maja Brkan, The concept of Essence of Fundamental Rights in the EU Legal Order: Peeling the Onion to its Core, disponibil la următoarea adresă , link accesat 05.01.2021.

[2] „În ceea ce privește substanța dreptului fundamental la respectarea vieții private, consacrat la articolul 7 din cartă, chiar dacă datele PNR pot să reveleze, dacă este cazul, informații foarte prețioase cu privire la viața privată a unei persoane, natura acestor informații este limitată la anumite aspecte ale acestei vieți private, referitoare în special la călătoriile pe calea aerului între Canada și Uniune. Cât privește substanța dreptului la protecția datelor cu caracter personal, consacrat la articolul 8 din cartă, acordul preconizat stabilește concret, la articolul 3, finalitățile prelucrării datelor PNR și prevede, la articolul 9, norme destinate să asigure, printre altele, securitatea, confidențialitatea și integritatea acestor date, precum și să le protejeze împotriva accesului și a prelucrărilor nelegale”, CJUE, Avizul 1/15 din 26 iulie 2017, ECLI:EU:C:2017:592, pct. 150.

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori.]



user-people-network-circuit-board-link-connection-technology_1379-882.jpg

La data de 20 octombrie 2020, Comitetul European pentru Protecția Datelor (în continuare „CEPD”) a adoptat Orientările 4/2019 asupra Articolul 25 din RGPD – Protecția datelor începând cu momentul conceperii (by design) și în mod implicit (by default).

Principiile privacy by design și privacy by default înseamnă că trebuie avută protecția datelor încă din faza de concept a sistemului informatic și pe întreaga sa viața. Acest articol este util companiilor care utilizează sisteme informatice, celor care dezvoltă sisteme informatice, consilierilor juridici și avocaților în domeniul dreptului tehnologiei, experților tehnici GDPR, experților în securitatea informației și responsabililor cu protecția datelor.

Prin intermediul acestui articol vom trece în revistă cele mai importante elemente ale ghidului CEPD cu privire la respectarea principiilor privacy by design și privacy by default,

1. Scopul

Ghidul este destinat operatorilor pentru a avea un set minim de elemente care să îi ajute în aplicarea art. 25 alin. (1) și (2) din RGPD, respectiv pentru respectarea principiilor privacy by design și privacy by default,

Art. 25 alin. 1 din RGPD prevede:

„Având în vedere stadiul actual al tehnologiei, costurile implementării, și natura, domeniul de aplicare, contextul și scopurile prelucrării, precum și riscurile cu grade diferite de probabilitate și gravitate pentru drepturile și libertățile persoanelor fizice pe care le prezintă prelucrarea, operatorul, atât în momentul stabilirii mijloacelor de prelucrare, cât și în cel al prelucrării în sine, pune în aplicare măsuri tehnice și organizatorice adecvate, cum ar fi pseudonimizarea, care sunt destinate să pună în aplicare în mod eficient principiile de protecție a datelor, precum reducerea la minimum a datelor, și să integreze garanțiile necesare în cadrul prelucrării, pentru a îndeplini cerințele prezentului regulament și a proteja drepturile persoanelor vizate.”

Art. 25 alin. 2 din RGPD prevede:

„Operatorul pune în aplicare măsuri tehnice și organizatorice adecvate pentru a asigura că, în mod implicit, sunt prelucrate numai date cu caracter personal care sunt necesare pentru fiecare scop specific al prelucrării. Respectiva obligație se aplică volumului de date colectate, gradului de prelucrare a acestora, perioadei lor de stocare și accesibilității lor. În special, astfel de măsuri asigură că, în mod implicit, datele cu caracter personal nu pot fi accesate, fără intervenția persoanei, de un număr nelimitat de persoane”

Ghidul poate fi util și persoanelor împuternicite sau dezvoltatorii de servicii digitale și aplicații pentru a ști cum să dezvolte astfel de produse și servicii astfel încât să protejeze datele cu caracter personal ale utilizatorilor.

2. Analiza art. 25 alin. (1) RGPD (Protecția datelor by design)

În conformitate cu articolul 25 alineatul (1), operatorul pune în aplicare măsuri tehnice și organizatorice adecvate, menite să pună în aplicare principiile de protecție a datelor și să integreze garanțiile necesare în cadrul prelucrării pentru a îndeplini cerințele și a proteja drepturile și libertățile persoanelor vizate. Atât măsurile adecvate, cât și garanțiile necesare sunt menite să servească aceluiași scop de a proteja drepturile persoanelor vizate și de a se asigura că protecția datelor lor cu caracter personal este integrată în prelucrare.

KIT GDPR Premium

 

Măsurile tehnice și organizatorice și garanțiile necesare pot fi înțelese în sens larg ca orice metodă sau mijloace pe care un operator le poate utiliza în prelucrare. A fi adecvat înseamnă că măsurile și garanțiile necesare ar trebui să fie adecvate pentru atingerea scopului propus, și anume acestea trebuie să pună în aplicare în mod eficace principiile de protecție a datelor. Cerința de adecvare este, prin urmare, strâns legată de cerința de eficacitate.

O măsură tehnică și organizatorică poate fi orice măsură care ajută la conformare și este necesară pentru atingerea scopului, ca de exemplu, training-ul personalului, soluții IT pentru securitate, contracte și alte proceduri scrise și implementate, proceduri privind facilitatea exercitării drepturilor persoanelor vizate, securitatea sistemelor informatice, contracte semnate cu persoanele împuternicite și alți colaboratori pentru a proteja în mod adecvat datele, coduri de conduită.

La punerea în aplicare a măsurilor tehnice și organizatorice adecvate trebuie luate în calcul principiile de protecție a datelor și respectarea tuturor drepturilor persoanelor vizate.

Deși RGPD nu indică în mod clar care sunt aceste măsuri tehnice și organizatorice, precizează totuși că acestea trebuie să aibă un caracter adecvat pentru a asigura protecția datelor și faptul că operatorul trebuie să documentele măsurile implementate și să fie apt să demonstreze că aceste măsuri au un caracter adecvat.

 

Te-ar putea interesa și:

 

2.1. Caracterul adecvat

În vederea stabilirii caracterului adecvat, art. 22 alin. 1 din RGPD oferă o listă de elemente care ar trebui luată în calcul, respectiv stadiul actual al tehnologiei, costurile implementării, natura, domeniul de aplicare, contextul și scopurile prelucrării, și riscurile cu grade diferite de probabilitate și gravitate pentru drepturile și libertățile persoanelor fizice.

Cu privire la „stadiul actual al tehnologiei”, CEPD recomandă, printre altele, operatorilor să țină seama de progresul actual al tehnologiilor disponibile pe piață și subliniază că „stadiul actual” este un concept dinamic care nu poate fi fixat la un anumit punct în timp, prin urmare operatorul trebuie să fie la curent în mod continuu cu noile dezvoltări tehnologice pentru a asigura protecția datelor la cele mai înalte standarde disponibile pe piață.

Cu privire la „costurile implementării, CEPD precizează că acest element nu impune operatorului să cheltuiască o cantitate disproporționată de resurse atunci când există măsuri alternative, mai puțin costisitoare, dar eficiente. Oricum, arată CEPD, costurile implementările sunt un factor care trebuie luat în considerare pentru a implementa principiile și nu un factor care să îi permită operatorului să nu implementeze principiile privacy by design.

Cu privire la „natura, domeniul de aplicare, contextul și scopurile prelucrării”, CEPD a arătat că noțiunea de natură înseamnă caracteristicile inerente ale prelucrării, domeniul de aplicare se referă la volumul și intervalul de prelucrare, contextul se referă la circumstanțele prelucrării, care pot influența așteptările persoanei vizate, în timp ce scopul se referă la obiectivele prelucrării.

Cu privire la „riscurile cu grade diferite de probabilitate și gravitate pentru drepturile și libertățile persoanelor fizice”, CEPD reamintește că RGPD are o abordare bazată pe risc. Prin urmare, atunci când realizează o analiză de risc pentru conformarea cu art. 25, operatorul trebuie să identifice riscurile la adresa drepturilor și libertăților persoanelor vizate, să determine probabilitatea acestor riscuri de a se produce pentru a ști ce măsuri trebuie puse în aplicare pentru a reduce la minimum riscurile.

CEPD arată „O evaluare sistematică și aprofundată a prelucrării este esențială atunci când se efectuează evaluări ale riscurilor. De exemplu, un operator evaluează riscurile specifice asociate lipsei consimțământului liber acordat, ceea ce constituie o încălcare a principiului legalității, în cursul prelucrării datelor cu caracter personal ale copiilor și tinerilor sub 18 ani ca grup vulnerabil, într-un caz în care nu există niciun alt temei juridic, și pune în aplicare măsuri adecvate pentru a aborda și a atenua în mod eficient riscurile identificate asociate cu acest grup de persoane vizate”

Prin urmare, ce dorește să spună CEPD este că o prelucrare cu un risc mai mare pentru persoanele vizate (de exemplu, un grup vulnerabil, copiii sau prelucrarea categoriilor speciale de date) are nevoie de măsuri mai ridicate de reducere a riscurilor în comparație cu o prelucrare obișnuită.

3. Analiza art. 25 alin. (2) RGPD (Protecția datelor by default)

CEPD explică faptul că termenul „by default” (în mod implicit) în contextul prelucrării de date cu caracter personal se referă la a face alegeri cu privire la valorile de configurare sau opțiunile de prelucrare care sunt stabilite sau prescrise într-un sistem de prelucrare, ar fi o aplicație software, serviciu sau dispozitiv, sau o procedură de prelucrare manuală care afectează cantitatea de date cu caracter personal colectate, amploarea prelucrării lor, perioada de stocare a acestora și accesibilitatea lor.

CEPD arată, printre altele, și următoarele (i) operatorul nu trebuie să prelucreze mai multe date decât sunt necesare pentru funcționarea sistemului; (2) datele nu trebuie stocate în sistem pe o perioadă mai lungă decât cea strict necesară; (3) operatorul trebuie să determine scopuri explicite, legitime și concrete (De ce are nevoie de date?); (4) în cazul în care operatorul utilizează software terț sau software de la terți, operatorul ar trebui să efectueze o evaluare a riscurilor produsului și să se asigure că funcțiile care nu au un temei juridic sau nu sunt compatibile cu scopurile prevăzute ale prelucrării sunt dezactivate.

3.1. Dimensiunea obligației de a reduce la minimum

Articolul 25 alineatul (2) enumeră dimensiunile obligației de reducere la minimum a datelor pentru respectarea principiilor privacy by design și privacy by default, precizând că obligația se aplică volumului de date colectate, gradului de prelucrare a acestora, perioadei lor de stocare și accesibilității lor.

Cu privire la volumul de date colectate, CEPD arată că dacă volumul de date colectate este mai mare, în consecință, riscurile vor fi mai mari și operatorul trebuie să implementeze măsuri tehnice și organizatorice mai ridicate.

Cu privire la gradul de prelucrare, CEPD arată că „operațiunile de prelucrare efectuate asupra datelor cu caracter personal trebuie să se limiteze la ceea ce este necesar. Multe operațiuni de prelucrare pot contribui la un scop de prelucrare. Cu toate acestea, faptul că anumite date cu caracter personal sunt necesare pentru îndeplinirea unui scop nu înseamnă că toate tipurile și frecvențele operațiunilor de prelucrare pot fi efectuate pe date. Operatorii ar trebui, de asemenea, să aibă grijă să nu extindă limitele “scopurilor compatibile” ale articolului 6 alineatul (4) și să aibă în vedere ce prelucrare se va încadra în așteptările rezonabile ale persoanelor vizate”. Cu alte cuvinte, CEPD arată că reducerea la minimum pentru respectarea principiilor privacy by design și privacy by default, trebuie realizată nu doar în raport cu volumul de date colectate, ci și în raport cu gradul de prelucrare.

În ceea ce privește perioada de stocare, CEPD arată că datele trebuie stocate pe perioada minimă pentru atingerea scopurilor și orice reținere a datelor trebuie justificată de operator în conformitate cu principiul responsabilității. După împlinirea perioadei, datele trebuie șterse sau anonimizate. În privința anonimizării, CEPD arată că trebuie evaluate în mod constant orice riscuri cu privire la inversarea procesului de anonimizare care poate conduce, fie și indirect, către identificarea persoanei.

În ceea ce privește accesibilitatea, CEPD precizează că operatorul trebuie să limiteze cine are acces la date deoarece datele nu pot fi disponibile unui număr nelimitat de persoane și la ce parte din sistem este nevoie de acces – printr-o analiză prealabilă a necesității. Operatorul trebuie să se asigure că datele personale sunt accesibile celor care au nevoie de ele, de exemplu, în situații critice. Controalele de acces, arată CEPD, trebuie setate pentru întregul flux de date în timpul prelucrării.

4. Privacy by design și privacy by default: implementarea principiilor-cheie ale RGPD

 4.1. Transparența

Operatorul trebuie să fie transparent față de persoana vizată cu privire la modalitatea în care colectează, utilizează și transferă datele.

Elemente-cheie care trebuie avute în vedere pentru transparență:

  • Claritate – Informațiile trebuie să fie într-un limbaj clar și simplu, concis și inteligibil.
  • Semantică – Comunicarea ar trebui să aibă un sens clar pentru publicul în cauză.
  • Accesibilitate – Informațiile trebuie să fie ușor accesibile pentru persoana vizată.
  • Contextualitate – Informațiile ar trebui furnizate la momentul relevant și în forma corespunzătoare.
  • Relevanță – Informațiile ar trebui să fie relevante și aplicabile persoanei vizate specifice.
  • Design universal – Informație accesibilă, limbă cunoscută, lizibilitate și claritate.
  • Inteligibilitate – Persoanele vizate ar trebui să aibă o înțelegere corectă a ceea ce se pot aștepta în ceea ce privește prelucrarea datelor lor cu caracter personal, în special atunci când persoanele vizate sunt copii sau alte grupuri vulnerabile.
  • Multi-canal – Informații ar trebui să fie furnizate în diferite canale și mass-media, nu numai textual, pentru a crește probabilitatea ca informațiile să ajungă în mod eficient la persoana vizată.
  • Stratificare – Informațiile ar trebui să fie stratificate într-un mod care să rezolve tensiunea dintre exhaustivitate și înțelegere, contabilizând în același timp așteptările rezonabile ale persoanelor vizate.
4.2. Legalitatea

Operatorul trebuie să identifice cel puțin o bază legală pentru prelucrare, în conformitate cu principiul legalității.

Elemente-cheie care trebuie avute în vedere pentru legalitate:

  • Relevanța – Temeiul juridic corect care se aplică prelucrării.
  • Diferențiere – Temeiul juridic utilizat pentru fiecare activitate de prelucrare se diferențiază.
  • Scop specificat – Temeiul juridic adecvat trebuie să fie clar legat de scopul specific al prelucrării.
  • Necesitate – Prelucrarea trebuie să fie necesară și necondiționată pentru ca scopul să fie legal.
  • Autonomie – Persoanei vizate ar trebui să i se acorde cel mai înalt grad de autonomie posibil în ceea ce privește controlul asupra datelor cu caracter personal în cadrul temeiului juridic respectiv.
  • Obținerea consimțământului – consimțământul trebuie dat în mod liber, specific, informat și lipsit de ambiguitate. Ar trebui să se acorde o atenție deosebită capacității copiilor și adolescenților de a oferi consimțământul în cunoștință de cauză.
  • Retragerea consimțământului – În cazul în care consimțământul este temeiul juridic, prelucrarea ar trebui să faciliteze retragerea consimțământului. Retragerea trebuie să fiela fel de ușoară ca și acordarea consimțământului. În caz contrar, mecanismul de consimțământ al operatorului nu respectă GDPR.
  • Echilibrarea intereselor – În cazul în care interesele legitime constituie temeiul juridic, operatorul trebuie să efectueze o analiză a interesul legitim, acordând o atenție deosebită dezechilibrului de putere, în special copiilor cu vârsta sub 18 ani și altor grupuri vulnerabile. Trebuie să existe măsuri și garanții pentru a atenua impactul negativ asupra persoanelor vizate.
  • Predeterminare – Temeiul juridic se stabilește înainte de începerea prelucrării.
  • Încetarea – În cazul în care temeiul juridic încetează să se mai aplice, prelucrarea încetează în consecință.
  • Ajustare – În cazul în care există o modificare valabilă a temeiului juridic pentru prelucrare, prelucrarea efectivă trebuie ajustată în conformitate cu noul temei juridic.
  • Repartizarea responsabilității – Ori de câte ori există o relație de operatori asociați, părțile trebuie să își repartizeze în mod clar și transparent responsabilitățile respective față de persoana vizată și să elaboreze măsurile prelucrării în conformitate cu această repartizare.
4.3. Echitatea

În general, echitatea presupune faptul că operatorul trebuie să prelucreze datele cu caracter personal doar în modalități la care persoanele vizate s-ar aștepta în mod rezonabil și nu ar trebui utilizate modalități care au efecte negative nejustificate asupra acestora.

Elemente-cheie care trebuie avute în vedere pentru echitate și pentru respectarea principiilor privacy by design și privacy by default,:

  • Autonomia – Persoanelor vizate ar trebui să li se acorde cel mai înalt grad de autonomie posibil pentru a determina utilizarea datelor lor cu caracter personal, precum și asupra domeniului de aplicare și condițiilor de utilizare sau prelucrare.
  • Interacțiunea – Persoanele vizate trebuie să fie în măsură să comunice și să își exercite drepturile cu privire la datele cu caracter personal prelucrate de operator.
  • Așteptarea rezonabilă – Prelucrarea ar trebui să corespundă așteptărilor rezonabile ale persoanelor vizate.
  • Nediscriminarea – Operatorul nu trebuie să discrimineze în mod nedrept persoanele vizate.
  • Neexploatarea – Operatorul nu ar trebui să exploateze nevoile sau vulnerabilitățile persoanelor vizate.
  • Alegerea consumatorului – Operatorul nu ar trebui să „blocheze” utilizatorii lor într-un mod nedrept.
  • Echilibrul de putere – Echilibrul de putere ar trebui să fie un obiectiv cheie al relației operator-subiect vizat. Trebuie evitate dezechilibrele de putere. În cazul în care acest lucru nu este posibil, acestea ar trebui recunoscute și contabilizate cu măsuri adecvate.
  • Niciun transfer de risc – Operatorii nu ar trebui să transfere riscurile prelucrării către persoanele vizate.
  • Fără înșelăciune – Informațiile și opțiunile de prelucrare a datelor ar trebui furnizate într-un mod obiectiv și neutru, evitând orice limbaj sau design înșelător sau manipulator.
  • Respectarea drepturilor – Operatorul trebuie să respecte drepturile fundamentale ale persoanelor vizate și să pună în aplicare măsuri și garanții adecvate
  • Abordare etică – Operatorul ar trebui să vadă impactul mai larg al prelucrării asupra drepturilor și demnității persoanelor.
  • Veridicitate – Operatorul trebuie să prelucreze datele așa cum declară în fața persoanei vizate.
  • Intervenție umană – Operatorul trebuie să includă o intervenție umană calificată, capabilă să descopere deciziile eronate pe care mașinile le pot lua cu privire la oameni
  • Algoritmi corecți – să evalueze în mod regulat dacă algoritmii funcționează în conformitate cu scopurile și să ajusteze algoritmii pentru a atenua riscurile descoperite și pentru a asigura corectitudinea prelucrării. Persoanele vizate ar trebui să fie informate cu privire la funcționarea prelucrării datelor cu caracter personal pe baza algoritmilor care analizează sau fac previziuni despre acestea, ar fi performanța la locul de muncă, situația economică, sănătatea, preferințele personale, fiabilitatea sau comportamentul, locația sau mișcările.
4.4. Privacy by design și privacy by default. Limitarea scopului

Elemente-cheie care trebuie avute în vedere pentru limitarea scopului:

  • Predeterminare – Scopurile legitime se stabilesc înainte de proiectarea prelucrării.
  • Specificitate – Scopurile sunt specificate și explicite cu privire la rațiunea din spatele activității de prelucrare.
  • Orientarea scopului – Scopul prelucrării ar trebui să ghideze proiectarea prelucrării și stabilirea limitelor de prelucrare.
  • Necesitatea – Scopul determină ce date cu caracter personal sunt necesare pentru prelucrare.
  • Compatibilitatea – Orice nou scop trebuie să fie compatibil cu scopul inițial pentru care au fost colectate datele.
  • Limitarea prelucrării ulterioare – Operatorul nu ar trebui să conecteze seturi de date și să efectueze nicio prelucrare ulterioară în scopuri noi incompatibile.
  • Limitări ale reutilizării – Operatorul ar trebui să utilizeze măsuri tehnice, inclusiv hashing și criptare, pentru a limita posibilitatea de utiliza în alte scopuri datele cu caracter personal. Operatorul ar trebui, de asemenea, să dispună de măsuri organizatorice, ar fi politici și obligații contractuale, care limitează reutilizarea datelor cu caracter personal.
  • Revizuirea – Operatorul ar trebui să verifice periodic dacă prelucrarea este necesară în scopurile pentru care au fost colectate datele și să testeze sistemul în raport cu limitarea scopului.
4.5. Reducerea la minimum a datelor

Elemente-cheie care trebuie avute în vedere pentru reducerea la minimum a datelor:

  • Evitarea datelor – Evitați prelucrarea împreună a datelor cu caracter personal atunci când acest lucru este posibil. Încercați să delimitați seturile de date și să prelucrați doar ceea ce este necesar.
  • Limitarea – Limitarea cantității de date cu caracter personal colectate la ceea ce este necesar în scopul limitării accesului.
  • Limitarea accesului doar la persoanele care au nevoie de date.
  • Relevanță – Datele cu caracter personal ar trebui să fie relevante pentru prelucrarea în cauză, iar operatorul ar trebui să poată demonstra această relevanță.
  • Necesitate – Fiecare categorie de date cu caracter personal este necesară în scopurile specificate și ar trebui prelucrată numai dacă nu este posibilă îndeplinirea scopului prin alte mijloace mai puțin intruzive.
  • Agregare – Utilizați date agregate atunci când este posibil.
  • Pseudonimizarea – Pseudonimizează datele cu caracter personal de îndată ce nu mai este necesar să aveți nevoie de el și stocați-le separat cu chei de criptare.
  • Anonimizarea și ștergerea – În cazul în care datele cu caracter personal nu sunt sau nu mai sunt necesare în acest scop, datele cu caracter personal vor fi anonimizate sau șterse.
  • Fluxul de date – Fluxul de date ar trebui să fie suficient de eficient pentru a nu crea mai multe copii decât este necesar.
  • “Stadiul actual al tehnologiei” – Operatorul ar trebui să aplice tehnologii actualizate și adecvate pentru evitarea și reducerea la minimum a datelor.
4.6. Exactitatea

Elemente-cheie care trebuie avute în vedere pentru respectarea exactității:

  • Sursa datelor – Sursele de date cu caracter personal ar trebui să fie de încredere pentru acuratețea datelor.
  • Gradul de acuratețe – Fiecare element de date cu caracter personal ar trebui să fie cât mai precis pentru scopurile specificate.
  • Foarte precis – Reduceți numărul de rezultate fals pozitive/negative, de exemplu prejudecăți în deciziile automatizate și inteligența artificială.
  • Verificare – În funcție de natura datelor, în funcție de cât de des se pot modifica, operatorul ar trebui să verifice corectitudinea datelor cu caracter personal cu persoana vizată înainte și în diferite etape ale prelucrării (de exemplu, în funcție de cerințele privind vârsta).
  • Ștergere/rectificare – Operatorul șterge sau rectifică datele inexacte fără întârziere. Operatorul facilitează în special acest lucru în cazul în care persoanele vizate sunt sau au fost copii și doresc ulterior să elimine astfel de date cu caracter personal.
  • Evitarea propagării erorilor – Operatorii ar trebui să atenueze efectul unei erori acumulate în lanțul de prelucrare.
  • Acces – Persoanele vizate ar trebui să primească informații despre datele cu caracter personal și accesul efectiv la acestea, în conformitate cu articolele 12-15 din RGPD, pentru a controla acuratețea și a le rectifica, după caz.
  • Acuratețe continuă – Datele cu caracter personal ar trebui să fie exacte în toate etapele prelucrării, testele de acuratețe ar trebui efectuate în etape critice.
  • Actualizare – Datele cu caracter personal se actualizează, dacă este necesar.
  • Proiectarea datelor – Utilizarea caracteristicilor de proiectare tehnologică și organizațională pentru a reduce inexactitatea, de exemplu, să prezinte opțiuni concise prestabilite în locul câmpurilor de text liber.
 4.7. Limitarea duratei de stocare

Elemente-cheie care trebuie luate în calcul pentru respectarea principiului limitării legate de stocate și a principiilor privacy by design și privacy by default:

  • Ștergere și anonimizare – Operatorul ar trebui să aibă proceduri interne clare și funcționalități pentru ștergere și/sau anonimizare.
  • Eficacitatea anonimizării/ștergerii – Operatorul se asigură că nu este posibilă reidentificarea persoanelor din datelor anonimizate sau recuperarea datelor șterse și trebuie să testeze dacă acest lucru este posibil.
  • Automatizare – Ștergerea anumitor date cu caracter personal ar trebui să fie automatizată.
  • Criterii de stocare – Operatorul stabilește ce date și durata stocării pentru fiecare categorie de date.
  • Justificare – Operatorul trebuie să fie în măsură să justifice de ce perioada de stocare este necesară.
  • Punerea în aplicare a politicilor de retenție – Operatorul ar trebui să aplice politicile interne de retenție și să efectueze teste pentru a stabili dacă organizația implementează politicile.
  • Copii de rezervă/jurnale – Operatorii stabilesc ce date cu caracter personal și durata stocării sunt necesare pentru copii de rezervă și jurnale.

4.8. Integritate și confidențialitate

Elemente cheie pentru respectarea principiului integrității și confidențialității și a principiilor privacy by design și privacy by default:

  • Sistemul de management al securității informației– Dispuneți de un mijloc operativ de gestionare a politicilor și procedurilor de securitate a informațiilor.
  • Analiza riscurilor – Evaluarea riscurilor împotriva securității datelor cu caracter personal prin luarea în considerare a impactului asupra drepturilor persoanelor și prin contracararea riscurilor identificate.
  • Securitate prin proiectare – Luați în considerare cerințele de securitate cât mai curând posibil în proiectarea și dezvoltarea sistemului și integrați și efectuați în permanență teste relevante.
  • Întreținere – Revizuirea și testarea regulată a software-ului, hardware-ului, sistemelor și serviciilor etc. pentru a descoperi vulnerabilitățile sistemelor care susțin prelucrarea.
  • Managementul controlului accesului – Operatorii trebuie să se asigure că numai personalul autorizat care are acces la datele cu caracter personal necesare pentru sarcinile lor de prelucrare, iar operatorul ar trebui să facă diferențe între privilegiile de acces ale personalului autorizat.
  • Limitarea accesului– Modelați prelucrarea datelor într-un mod în care un număr minim de persoane au nevoie de acces la datele cu caracter personal pentru a-și îndeplini sarcinile și limitați accesul în consecință.
  • Segregarea accesului – Modelarea prelucrării datelor într-un mod în care nicio persoană nu are nevoie de acces cuprinzător la toate datele colectate despre o persoană vizată, cu atât mai puțin la toate datele cu caracter personal ale unei anumite categorii de persoane vizate.
  • Transferuri securizate – Transferurile vor fi asigurate împotriva accesului și modificărilor neautorizate și accidentale.
  • Stocare securizată – Stocarea datelor trebuie să fie sigură împotriva accesului și modificărilor neautorizate. Ar trebui să existe proceduri pentru a evalua riscul stocării centralizate sau descentralizate și la ce categorii de date cu caracter personal se aplică. Unele date pot avea nevoie de măsuri de securitate suplimentare decât altele, de exemplu categoriile speciale de date.
  • Pseudonimizare – Datele cu caracter personal și back-up-urile/jurnalele ar trebui să fie pseudonimizate ca măsură de securitate pentru a reduce la minimum riscurile de potențiale încălcări ale securității datelor, de exemplu prin utilizarea hashing-ului sau a criptării.
  • Copii de rezervă/jurnale – Păstrați copiile de rezervă și jurnalele în măsura necesară pentru securitatea informațiilor, utilizați pistele de audit și monitorizarea evenimentelor ca un control de securitate de rutină. Acestea trebuie protejate împotriva accesului neautorizat și accidental, precum și a modificărilor și trebuie evizuite periodic, iar incidentele ar trebui tratate cu promptitudine.
  • Recuperarea în caz de dezastru/ continuitatea activității – Abordarea cerințelor privind recuperarea în caz de dezastru a sistemului informatic și continuitatea activității pentru a restabili disponibilitatea datelor cu caracter personal în urma incidentelor majore.
  • Protecția în funcție de risc – Toate categoriile de date cu caracter personal ar trebui protejate prin măsuri adecvate în ceea ce privește riscul unei încălcări a securității. Datele care prezintă riscuri speciale ar trebui, atunci când este posibil, să fie separate de restul datelor cu caracter personal.
  • Gestionarea răspunsului la incidente de securitate – dispuneți de proceduri pentru a detecta, a conține, a gestiona, a raporta și a învăța din încălcările securității datelor.
  • Gestionarea incidentelor – Operatorul ar trebui să dispună de procese pentru a gestiona încălcările și incidentele, pentru a face sistemul de procesare mai robust. Aceasta include proceduri de notificare, ar fi gestionarea notificării (către autoritatea de supraveghere) și informații (către persoanele vizate). Astfel de proceduri se regăsesc în KIT GDPR Premium.

5. Recomandări suplimentare ale CEPD

Pentru respectarea principiilor privacy by design și privacy by default, CEPD recomandă, printre altele, și următoarele:

  1. Operatorii ar trebui să se gândească la protecția datelor din etapele inițiale ale planificării unui sistem informatic (privacy by design), chiar înainte de momentul determinării mijloacelor de prelucrare.
  2. Atunci când s-a desemnat un responsabil cu protecția datelor, acesta trebuie să fie implicat în crearea și implementarea procedurilor și politicilor necesare.
  3. Operatorii trebuie să aibă politici suplimentare pentru prelucrarea datelor copiilor și a altor grupuri vulnerabile.
  4. Dezvoltatorii de sisteme informatice trebuie să aibă un rol activ în a ține sisteme la cele mai noi dezvoltări ale tehnologiei în materie de protecție a datelor.
  5. CEPD recomandă ca operatorii să ceară dezvoltatorilor și persoanelor împuternicite să demonstreze cum hardware-ul, software-ul, serviciul sau sistemul respectă cerințele GDPR și ce măsuri și garanții prezintă acestea.
  6. Operatorii trebuie să fie transparenți față de persoana vizată despre standardele de conformitate a sistemelor IT pe care le utilizează.

Documentul integral în limba engleză poate fi accesat aici.

 

Vrei să te aliniezi la GPPR? Cum te putem ajuta:

  • Consultanță și implementare GDPR. Află mai multe aici. 
  • KIT complet de documente prin care îți faci singur implementarea, cu suportul nostru juridic. Află mai multe aici

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori.]



big-data-protection-cyber-security-concept-with-shield-icon-cyber-space_34629-736.jpg

Criptarea este una dintre măsurile pe care trebuie să le pună în aplicare orice organizație care prelucrează date cu caracter personal, iar acest articol îți va explica ce este criptarea, tipurile de criptare și cum trebuie implementată criptarea.

Când spun că relația dintre criptare și GDPR este una deschisă, am în vedere faptul că deși introducerea criptării este necesară, ea nu este suficientă pentru a asigura conformitatea la GDPR, deoarece organizația trebuie să pună în practică și alte măsuri tehnice și organizatorice adecvate.  De exemplu, organizația ar trebui să introducă și pseudonimizarea datelor. Când spun că relația dintre criptare și GDPR este una complicată am în vedere faptul că introducerea criptării trebuie realizată în urma unei evaluări de risc adecvate pentru a descoperi care categori de date cu caracter personal necesită o criptare mai puternică și care este cea mai bună soluție de criptare pe care și-o poate permite o organizație la momentul T. Totodată, între criptare și GDPR este o relație pe termen lung, așadar măsurile implementate ar trebui reevaluate și îmbunătățite constant.

Prin urmare, ce vreau să spun, pe scurt, este că dacă ai criptat datele nu înseamnă că respecți automat GDPR, dar dacă nu ai criptat deloc datele există un risc mare să încalci GDPR.

În concluzie, trebuie să criptăm. 

Și totuși… ce este criptarea? 

  • Criptarea este o funcție matematică care codifică datele astfel încât numai utilizatorii autorizați să le poată accesa.
  • Este o modalitate de a proteja datele cu caracter personal împotriva prelucrării neautorizate sau ilegale ale acestora, precum și o modalitate prin care puteți demonstra conformitatea cu principiul securității.
  • Criptarea protejează informațiile stocate pe dispozitivele mobile și statice și în transmisie și există o serie de opțiuni diferite de criptare disponibile.
  • Ar trebui să luați în considerare criptarea împreună cu alte măsuri tehnice și organizatorice, ținând seama de beneficiile și riscurile pe care le poate oferi.
  • Ar trebui să aveți o politică care să guverneze utilizarea criptării, inclusiv formarea corespunzătoare a personalului.
  • De asemenea, trebuie să fiți la curent cu orice orientări specifice sectorului care vi se aplică, deoarece acestea pot prevedea obligativitatea utilizării criptării.

Criptarea și stocarea datelor

  • Criptarea datelor în timpul stocării asigură o protecție eficientă împotriva prelucrării neautorizate sau ilegale.
  • Cele mai moderne sisteme de operare au încorporată o criptare completă a discului. De asemenea, puteți cripta fișiere individuale sau crea containere criptate.
  • Unele aplicații și baze de date pot fi configurate pentru a stoca date în formă criptată.
  • Stocarea datelor criptate prezintă în continuare riscuri reziduale. Va trebui să le abordați în funcție de context, de exemplu prin intermediul unei politici de securitate. 

Criptarea și transferul de date

  • Criptarea datelor cu caracter personal în timpul transferului asigură o protecție eficientă împotriva interceptării de către un terț.
  • Trebuie să utilizați canale de comunicații criptate atunci când se transmit date cu caracter personal printr-o rețea nesigură.
  • Puteți cripta datele înainte de a le transmite pe un canal nesigur și asigurați-vă că acestea sunt în continuare protejate. Cu toate acestea, un canal securizat oferă garanția că conținutul nu poate fi înțeles dacă este interceptat. Fără metode de criptare suplimentare, cum ar fi criptarea datelor în sine înainte de transmitere, datele vor fi criptate numai în timpul tranzitului.
  • Transferul de date criptate încă prezintă riscuri reziduale. Va trebui să le abordați în funcție de context, cum ar fi prin intermediul unor politici organizatorice. 

Câte tipuri de criptare există?

  • Cele două tipuri de criptare utilizate în prezent la scară largă sunt criptarea simetrică și asimetrică.
  • În cazul criptării simetrice, aceeași cheie este folosită pentru criptare și decriptare. În schimb, în cazul criptării asimetrice, sunt utilizate chei diferite pentru criptare și decriptare.
  • Când se utilizează criptarea simetrică, este esențial să vă asigurați că cheia este transferată în siguranță, de exemplu prin intermediul unui canal de comunicare diferit. 
  • Tehnica hashing-ului criptografic este uneori asimilată cu criptarea, dar este important să se înțeleagă că criptarea și hashing-ul nu sunt concepte identice și sunt utilizate în scopuri diferite.

Cum ar trebui să implementăm criptarea?

  • Când implementați criptarea, este important să luați în considerare patru lucruri: alegerea algoritmului corect, alegerea dimensiunii corecte a cheii, alegerea software-ului corect și păstrarea cheii în siguranță.
  • În timp, se pot descoperi vulnerabilități în algoritmii de criptare care îi pot face în cele din urmă nesiguri. Ar trebui să evaluați periodic dacă metoda dumneavoastră de criptare rămâne adecvată.
  • Este important să se asigure că dimensiunea cheii este suficient de mare pentru a proteja împotriva unui atac de-a lungul duratei de viață a datelor. Prin urmare, ar trebui să evaluați dacă dimensiunile cheii dumneavoastră rămân adecvate.
  • Software-ul de criptare pe care îl utilizați este, de asemenea, esențial. Trebuie să vă asigurați că orice soluție pe care o implementați respectă standardele actuale, cum ar fi FIPS 140-2 și FIPS 197.
  • De asemenea, trebuie să vă asigurați că păstrați cheile în siguranță și că aveți procese în funcțiune pentru a genera chei noi atunci când este necesar.

Sursa: ICO


yellow-padlock-key-blue-keyboard_72402-2643.jpg

În Cauza T‑48/05 (Yves Franchet, Daniel Byk împotriva Comisiei Comunităților Europene) prin Hotărârea[1] din 8 iulie 2008, Tribunalul de Primă Instanță a acordat daune morale de 56.000 euro către două persoane fizice pentru scurgeri de date personale dintr-un dosar de urmărire penală.

În concret, Tribunalul de Primă Instanță[2] a obligat Comisia Comunităților Europene la plata către domnii Yves Franchet și Daniel Byk a sumei de 56 000 de euro reprezentând daune morale[3] pentru că acesta nu a asigurat securitatea și confidențialitatea datelor personale privitoare la un dosar penal în curs de soluționare. Neglijența în a asigura confidențialitatea datelor a condus către scurgerea de informații în presă și încălcarea prezumției de nevinovăție. Tribunalul a constat că „(…) reclamanții au trebuit să facă față unor sentimente de nedreptate și de frustrare și că s‑a adus atingere onoarei și reputației lor profesionale din cauza conduitei ilegale a OLAF și a Comisiei.Ținând cont de circumstanțele particulare din prezenta cauză și de faptul că reputația reclamanților a fost foarte serios afectată, trebuie să se evalueze cuantumul acestui prejudiciu ex aequo et bono la 56 000 de euro.” [4].

Totodată, potrivit GDPR, datele privind condamnările penale și infracțiunile sunt categorii speciale de date care necesită o protecție sporită.[5].

Te-ar putea interesa și:

[1]Cauza T‑48/05, Yves Franchet, Daniel Byk împotriva Comisiei Comunităților Europene, Hotărârea din 8 iulie 2018, ECLI:EU:T:2008:257, disponibilă aici, link accesat 26.07.2020.

[2] Conform portalului legeaz.net, Tribunalul de Primă Instanţă este un organ comunitar înfiinţat pe lângă Curtea Europeană de Justiţie, care judecă în primă instanţă litigiile în care reclamanţi sunt persoanele fizice şi funcţionarii comunitari.

[3] Cauza T‑48/05, Yves Franchet, Daniel Byk împotriva Comisiei Comunităților Europene, Hotărârea din 8 iulie 2018, ECLI:EU:T:2008:257, par. 411.

[4] Cauza T‑48/05, Yves Franchet, Daniel Byk împotriva Comisiei Comunităților Europene, Hotărârea din 8 iulie 2018, ECLI:EU:T:2008:257, par. 411.

[5] A se vedea art. 10 din RGPD.

KIT GDPR Premium


young-female-chemist-chemistry-tubes_23-2148485920.jpg

Acest articol își propune să răspundă la cele mai frecvente întrebări despre testarea COVID-19 a angajaților astfel încât să nu se încalce Regulamentul General privind Protecția Datelor, cunoscut drept GDPR.

1. Doresc să îmi testez angajații de COVID-19. Trebuie să iau în considerare legislația privind protecția datelor?

Da. Întrucât vei prelucra informații cu privire la persoane fizice, trebuie să respecți GDPR. Acest lucru înseamnă că trebuie să prelucrezi datele într-o manieră legală, echitabilă și transparentă.  Datele cu caracter personal care se referă la sănătate sunt mai sensibile și sunt incluse în categoria datelor cu caracter special și au un regim mai strict de prelucrare.

GDPR nu îți interzice să iei măsurile necsare pentru siguranța și sănătatea personalului și a celorlalți, inclusiv testarea COVID-19, însă trebuie să iei aceste măsuri cu responsabilitate față de protecția datelor și să le prelucrezi cu grijă.

2. Cum pot să demonstrez că abordarea companiei mele vis-a-vis de testarea COVID-19 este conformă cu GDPR?

Pentru a demonstra că testarea COVID-19 este conformă cu GDPR, trebuie să respecți principiul responsabilității. Acest principiu al GDPR te face responsabil să te conformezi la GDPR și să demonstrezi, în eventualitatea unei investigații, faptul că ai depus suficiente diligențe pentru a respecta GDPR, mai ales în situația în care prelucrezi categorii speciale de date. Prin urmare, ar trebui să efectuezi, înainte de testarea COVID-19 o evaluare de impact. 

Te-ar putea interesa și:

3. Cum pot să apreciez că testarea COVID-19 a angajaților este necesară?

Pe măsură ce oamenii se întorc la locul de muncă, angajatorii și organizațiile vor trebui să implementeze măsuri adecvate pentru a proteja sănătatea oamenilor.

Pentru a aprecia dacă testarea COVID-19 este necesară, va trebui să iei în calcul circumstanțele specifice ale locului de muncă, printre care:

  • tipul de muncă;
  • locațiile;
  • dacă munca de acasă este sau nu posibilă.

Pentru a stabili dacă testarea COVID-19 este necesară, ar trebui să îți răspunzi la următoarele întrebări:

  • Am nevoie de aceste informații?
  • Mă va ajuta testarea COVID-19 să am un mediu de lucru sigur?
  • Pot atinge același scop și fără testarea COVID-19?

Dacă poți demonstra că abordarea este rezonabilă, corectă și proporțională cu circumstanțele, atunci este foarte puțin probabil ca protecția datelor să fie o barieră. Dacă personalul îți solicită în mod proactiv să efectuezi testarea COVID-19, acest lucru ar putea fi utilizat pentru a demonstra că măsurile sunt proporționale, echitabile și corecte pentru acești angajați.

4. Ce temei de prelucrare pot utiliza pentru testarea COVID-19?

Deoarece datele privind sănătatea sunt categorii speciale de date, pot fi utilizate unul sau mai multe temeiuri de la art. 9 RGPD.

Cel mai bun temei pentru testarea COVID-19 este art. 9 alin. 2 lit h):

„prelucrarea este necesară în scopuri legate de medicina preventivă sau a muncii, de evaluarea capacității de muncă a
angajatului, de stabilirea unui diagnostic medical, de furnizarea de asistență medicală sau socială sau a unui
tratament medical sau de gestionarea sistemelor și serviciilor de sănătate sau de asistență socială, în temeiul dreptului
Uniunii sau al dreptului intern sau în temeiul unui contract încheiat cu un cadru medical și sub rezerva respectării
condițiilor și garanțiilor prevăzute la alineatul (3);”

După ce ai identificat temeiul trebuie să:

5. Ce ar trebui să comunic angajaților?

Principiul transparenței este foarte important. Ca angajator, este important să fii clar, deschis și onest cu angajații cu privire la modalitatea în care le prelucrezi datele, mai ales când vorbim de date privind sănătatea. Dacă testezi angajații de COVID-19, trebuie să explici angajaților ce vei face cu acele informații și ce decizii vei lua.

Dacă optezi pentru testarea COVID-19, ar trebui să comunici angajaților o notă de informare cu privire la datele pe care le prelucrezi, ce faci cu ele, cui le transmiți, cât le stochezi, ce decizii iei în baza lor și celelalte elemente de la art. 13 GDPR.

6. Pot să fac testarea COVID-19 obligatorie?

Aceasta nu este o întrebare ce ține doar de protecția datelor. Poți încuraja angajații să participe la testarea COVID-19, dar nu îi poți obliga, cu excepția situației puțin probabile în care vor apărea noi norme care vor permite testarea obligatorie.

Nu uită însă: Înainte de testarea COVID-19, trebuie să efectuezi o evaluare de impact. 

7. Ce trebuie să comunic mai exact angajaților înainte de testarea COVID-19?

Angajatul are, ca orice persoană fizică, dreptul la informare prevăzut de GDPR.

Înainte de a introduce testarea COVID-19, trebuie să comunici angajaților prin intermediul unei note de informare următoarele:

  • ce date personale colectezi cu ocazia testării;
  • pentru ce vor fi folosite rezultatele testării;
  • cui vei transmite rezultatele testării;
  • pe ce perioadă vei păstra datele;
  • ce drepturi au angajații cu privire la datele lor.

Nu uita să păstrezi dovada că ai informat angajații pentru a te putea apăra în eventualitatea unei investigații sau a unui litigiu.

8. Dacă un angajat îmi comunică rezultatul unui test efectuat pe cont propriu sau în afara locului de muncă ce am de făcut? 

Pentru orice rezultate ale unei testări care îți sunt dezvăluite, ai o obligație de a asigurara securitatea, confidențialitatea și anonimatul persoanei. Prin urmare, nu poți dezvălui numele persoanei sau alte elemente care o pot identifica direct sau indirect.

9. Pot păstra o listă a persoanelor care au fost testate pozitiv?

Da, însă trebuie să te asiguri că lista este păstrată în condiții maxime de securitate și confidențialitate și că orice angajați care au acces la ea sunt obligați să respecte clauze de confidențialitate.

Ca angajator, trebuie să te asiguri că acea listă nu va conduce către un tratament nedrept față de angajați. Totodată, nu ar trebui să păstrezi lista mai mult decât este necesar și să o ștergi definitiv după ce scopurile au fost atinse, de exemplu persoana a fost vindecată.

10. Pot să comunic celorlalți angajați dacă am avut un caz COVID-19?

Ar trebui să ții la curent persoanele interesate cu privire la existența (sperăm să nu) a oricăror cazuri, însă nu trebuie să numele persoanei sau alte elemente care pot identifica persoana.

Sursa: ICO


86237011_slide-6ba210eaa472dc8ff7a7a90efb6c7cecf2394b99-s800-c85.jpg

Cu ocazia celebrării a 2 ani de la aplicarea directă a RGPD în România, Silvia Uscov (Avocat) și Ruxandra Sava (Avocat) au transmis către ANSPDCP, în temeiul art. 51 din Constituția României, o petiție către ANSPDCP prin care solicită a se răspunde la 23 de întrebări pentru interpretarea și aplicarea unitară a GDPR cu privire la subiectul termoscanării.  Cele două avocate sunt de părere că ar trebui găsit un echilibru între protecția sănătății și protecția datelor cu caracter personal și consideră necesară intervenția ANSPDCP deoarece, în prezent, este autoritatea publică al cărei punct de vedere contează în privința termoscanării.

ANSPDCP a răspuns în termenul legal petiției, spunând faptul că dacă datele cu caracter personal prelucrate (temperatura corpului) se înregistrează, GDPR devine aplicabil, iar pentru nerespectarea obligațiilor în temeiul GDPR, operatorii publici și privați riscă sancțiuni corective sau amenzi care pot ajunge până la 4% din cifra de afaceri. Dacă datele privind temperatura nu se înregistrează, GDPR nu se aplică.

 

Răspunsul ANSPDCP integral poate fi descărcat aici. 

 

Extras din răspunsul ANSPDCP:

„(…) Prin urmare, numai în măsura în care informațiile privind temperatura corporală a unei persoane fizice identificate sau identificabile se colectează, înregistrează, stochează, etc. într-un sistem de evidență, potrivit diferitelor mijloace de prelucrare, dispozițiile Regulamentului (UE) 2016/679 devin aplicabile.”

Opinia comună a specialistelor (Ruxandra Sava și Silvia Uscov): „Deși putem cădea ușor în capcana de a afirma că termoscanarea nu înregistrează datele, trebuie să avem în vedere că unele dispozitive (de exemplu camere termografice cu soft integrat sau dispozitive de tip wearable) înregistrează datele personale by default. Totodată, chiar și în situația în care se utilizează un termometru digital non-contact (fără soft integrat) putem vorbi de un proces de înregistrare a datelor, dacă aceste date se coroborează cu alte date (de exemplul imaginile colectate prin CCTV)”

 

Extras din răspunsul ANSPDCP:

 

„(…) Totodată, subliniem faptul că oricare ar fi temeiul de prelucrare a datelor, operatorii trebuie să ia măsuri adecvate pentru a furniza persoanei vizate informaţiile menţionate la articolele 13 şi 14, într-o formă concisă, transparentă, inteligibilă şi uşor accesibilă, utilizând un limbaj clar şi simplu. Aceasta informare se poate realiza și pe site-ul operatorului sau în locurile accesibile publicului. De asemenea, operatorii sunt obligați să respecte, în orice activitate de prelucrare a datelor personale, toate principiile de bază statuate de art. 5 din
RGPD.

Totodată, art. 24 alin. (1) din Regulamentul (UE) 2016/679 prevede faptul că operatorii pun în aplicare măsuri tehnice și organizatorice adecvate pentru a garanta și a fi în măsură să demonstreze că prelucrarea se efectuează în conformitate cu acest regulament. Ca atare, operatorului îi revine obligația de a pune în aplicare măsurile tehnice şi organizatorice adecvate care, dacă este necesar, se revizuiesc şi se actualizează, pentru a garanta şi a fi în măsură să demonstreze că prelucrarea se efectuează în conformitate cu RGPD. (…)

Art. 4 pct. 12 din RGPD definește „încălcarea securității datelor cu caracter personal” ca fiind o încălcare a securității care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate într-un alt mod, sau la accesul neautorizat la acestea;”.

În situația înregistrării în activitatea de prelucrare a datelor a unui incident de securitate sau a unei breșe de securitate, acest eveniment se notifică Autorității de Supraveghere, iar operatorul informează persoana vizată potrivit dispozițiilor art. 33 și 34 din RGPD sau ale art.
3 din Legea nr. 506/2004. (…)

Raportat la realizarea unei evaluări de impact, operatorul este obligat să procedeze la o asemenea evaluare în condițiile art. 35 din RGPD coroborate cu prevederile Deciziei nr. 171/2018 privind lista operaţiunilor pentru care este obligatorie realizarea evaluării impactului asupra protecţiei datelor cu caracter personal. În acest context, în măsura în care operatorul apreciază că prelucrarea ar genera un risc ridicat pentru drepturile şi libertăţile persoanelor fizice, poate efectua o evaluare de impact și în alte situații decât cele stabilite de dispozițiile legale mai sus menționate.

Referitor la consultarea prealabilă a Autorității de Supraveghere, aceasta are loc în condițiile art. 36 din RGPD, respectiv ”înainte de prelucrare atunci când evaluarea impactului asupra protecţiei datelor prevăzută la articolul 35 indică faptul că prelucrarea ar genera un risc ridicat în absenţa unor măsuri luate de operator pentru atenuarea riscului.” și este condiționată de furnizarea, de către operatorul în cauză, a unor informații detaliate asupra prelucrării în cauză, precum și orice alte informații apreciate de către Autoritatea de Supraveghere ca fiid necesare.

În ceea ce privește calitatea de operatori asociați sau împuterniciți, raportat la art. 4 pct. 7 din RGPD care definește „operatorul”, coroborat cu art. 26 și 28 din regulament, Autoritatea de Supraveghere apreciază faptul că entitățile în cauză sunt în măsură să își stabilească calitatea, având în vedere cunoașterea în detaliu a activității de prelucrare a datelor în anumite scopuri și folosind anumite mijloace, precum și a drepturilor și obligațiilor fiecărei părți, fără ca aceasta să aducă atingere adoptării măsurilor legale necesare de către Autoritatea Națională de Supraveghere în îndeplinirea atribuțiilor sale raportat la situații concrete ivite în practică.

Raportat la evidențele activităţilor de prelucrare, acestea se întocmesc și se țin de către operatori potrivit art. 30 din RGPD, și trebuie să conțină, printre altele, informații precum ”scopurile prelucrării” și ”o descriere a categoriilor de persoane vizate şi a
categoriilor de date cu caracter personal”.

Cât privește respectarea normelor de protecție a datelor în contextul stării de alertă declarate potrivit legii, în măsura în care persoana vizată apreciază că drepturile sale privind protecția datelor nu sunt respectate în conformitate cu dispozițiile legale în vigoare, are posibilitatea să își exercite drepturile față de operatorul respectiv și să se adreseze cu plângere sau sesizare ANSPSCP.

În acest context, drepturile persoanelor vizate sunt garantate de art. 15-22 raportate la art. 12 coroborat cu art. 13 și 14 din RGPD și se exercită în condițiile prevăzute de aceste dispoziții legale.

Referitor la un proces decizional automatizat, acesta se subsumează tuturor condițiilor stabilite de art. 22 din RGPD coroborat cu art. 3 din Legea nr. 190/2018.

În ceea ce privește consimțământul persoanei vizate pentru prelucrarea datelor sale, atunci când constituie condiție de legalitate a prelucrării, acesta trebuie să îndeplinească condițiile prevăzute de art. 4 pct. 11 coroborat cu art. 7 din RGPD, în măsura în care acest
regulament este aplicabil.

Sancțiunile pentru nerespectarea dispozițiilor RGPD, inclusiv a principiilor, a drepturilor garantate persoanei vizate și a condițiilor privind transferul datelor către o țară terță sau o organizație internațională, sunt stabilite în art. 58 alin. (2) coroborat cu art. 83
din Regulament și art. 15 din Legea nr. 102/2005, republicată, sub forma măsurilor corective, a avertismentului și amenzilor (de maxim 10 mil. sau 20 mil. de euro), care se aplică în funcție de circumstanțele fiecărui caz și gravitatea încălcării.

În ceea ce privește regimul sancționator pentru autoritățile și organismele publice, acesta este stabilit de Legea nr. 190/2018.  (…)”

 

Răspunsul ANSPDCP integral poate fi descărcat aici. 

 

Te-ar putea interesa și:



girl-playing-tablet-game-evening_23-2147833833.jpg

Protecția datelor cu caracter personal ale copiilor este un subiect important, iar părinții, educatorii și profesorii ar trebui să îi instruiască cu privire la siguranța lor pe internet. Procesul de instruire ar trebui să fie continuu. Rezumăm mai jos câteva informații și reguli elementare care ar trebui cunoscute de toți copiii care utilizează internetul.

Siguranța online a copiilor. Ce ar trebuie să știe copiii despre datele cu caracter personal? 

Datele personale sunt informații precum numele și prenumele, numărul de telefon, adresa de acasă, fotografie, interese și multe alte informații cu privire la o persoană.

Datele sensibile includ, de exemplu, religia, opiniile politice, informațiile despre sănătate și rasa.

Siguranța online a copiilor. Reguli și lucruri de ținut minte pentru copii: 

1. Nu dau datele mele personale sau datele familiei mele decât dacă părinții sau tutorii mei își dau acordul.

2. La școală cer să fiu informat despre colectarea datelor mele.

3. Școala trebuie să aibă grijă de securitatea datelor mele.

4. Nu încărc nimic online fără permisiunea părinților mei.

5. Cunosc faptul că orice urc pe internet rămâne acolo.

6. Nu apăs butonul de trimitere, notificare sau postare decât dacă am permisiunea părinților mei.

7. Comentez și încărc postări care nu dezvăluie date personale ale mele, ale familiei sau ale prietenilor mei.

8. Am citit cu atenție politica aplicațiilor / termenilor de utilizare a datelor înainte să accept.

9. Cer să fiu informat într-un limbaj pe înțelesul meu despre utilizarea datelor.

10. Nu răspund străinilor pe internet și nu comunic cu aceștia.

11. Mă gândesc de două ori înainte să trimit cuiva o fotografie cu mine.

12. Mă gândesc de trei ori înainte să urc pe internet o fotografie cu mine.

13. Aleg parole puternice care includ cel puțin 9 cifre constând din litere mari și minuscule, numere și simboluri, de exemplu Wfhg56818934Ns&*%!?

14. Nu spun parola nimănui.

15. Schimb parola des.

16. Nu folosesc calculatoare partajate.

17. Verific dacă dispozitivul are antivirus înainte să îl folosesc.


building-1839464_1280-1200x800.jpg

Amplasarea de camere de supraveghere la bloc (de către Asociațiile de proprietari) sau acasă de către persoanele fizice trebuie să respecte GDPR. Pentru montarea nelegală, persoanele fizice și Asociațiile de proprietari pot fi amendate de Autoritatea de supraveghere din România (ANSPDCP).

În Austria, o persoană fizică a fost amendată în 2018 cu 2000 de euro pentru amplasarea nelegală de camere de supraveghere acasă. Potrivit răspunsului oficial al ANSPDCP și în România persoanele fizice pot fi amendate pentru nerespectarea GDPR. 

În România în cursul anului 2019, o Asociație de proprietari a fost amendată pentru amplasarea nelegală de camere de supraveghere la bloc.

Potrivit informațiilor oferite de Autoritatea de supraveghere din Austria, persoana fizică a fost amendată deoarece a amplasat camere de supraveghere acasă care supravegheau domenii din afara proprietății: aleea centrului rezidențial, străzi, clădiri și grădini din apropiere. Amenda a fost dată deoarece zona monitorizată nu se afla în proprietatea și în controlul persoanei fizice și era frecventată de către alte persoane.

Dacă dorești să amplasezi camere de supraveghere la bloc sau acasă, trebuie să cunoști faptul că GDPR îți interzice să monitorizezi mai mult decât este necesar. Prin urmare, dacă locuiești la casă, poți supraveghea curtea și gardul, însă nu poți supraveghea și aleea frecventată de alte persoane sau curtea vecinului. Dacă locuiești la bloc, nu poți monta camere de supraveghere care să surprindă vizitatorii atunci când sună la interfon sau camere care să surprindă holurile și alte locuri comune din bloc și nici camere de supraveghere care să surprindă priveliștea de pe balcon. Cu Asociațiile de proprietari, lucrurile stau puțin diferit și vom discuta despre modalitatea în care acestea pot monta camere de supraveghere la bloc în cele ce urmează.

 


Având în vedere că GDPR nu face diferențe între proprietari, chiriași sau vizitatori ai unui bloc, Asociațiile de proprietari nu pot monta camere de supraveghere la bloc chiar dacă au acordul tuturor proprietarilor. În acest sens, dacă se dorește unor astfel de camere de supraveghere la bloc, se poate folosi temeiul juridic al interesului legitim doar dacă s-a realizat o analiză juridică documentată a tuturor aspectelor. Analiza trebuie să fie reală, concretă, iar părerea proprietarilor și a chiriașilor ar trebui cerută.

Atunci când faci o astfel de analiză trebuie să ai în vedere următoarele:

1. Analiza trebuie documentată în scris și păstrată pentru un eventual control de la Autoritatea de Supraveghere.

2. Locația echipamentului. Locația echipamentului trebuie determinată cu atenție pentru a asigura conformitatea imaginilor capturate cu GDPR (a nu se supraveghea mai mult decât este necesar). Trebuie depuse toate diligențele pentru a poziționa camerele astfel încât acestea să asigure o acoperire limitată. Sistemul CCTV nu va fi utilizat în lifturi sau în alte locuri unde persoanele au o așteptare ridicată cu privire la confidențialitate. Camerele amplasate astfel încât să înregistreze spațiile exterioare sunt poziționate în așa fel încât să prevină sau să minimizeze înregistrarea proprietății private a trecătorilor sau a oricărei alte persoane.

3. Informarea. Locația camerelor CCTV va fi indicată și se vor lua măsuri pentru semnalizarea corespunzătoare a fiecărui loc unde se află o cameră CCTV în funcțiune. Semnalizarea corespunzătoare va fi de asemenea afișată în mod proeminent la intrare. Semnalizarea va include numele și detaiile de contact ale operatorului de date (Asociația de proprietari), precum și scopurile specifice pentru care camera CCTV este plasată în fiecare locație și indicații unde se pot obține informații mai multe (de exemplu: link și/sau cod QR către nota de informare de pe site).

4. Depozitarea și stocarea

  • Înregistrările și echipamentul de monitorizare vor fi depozitate într-o manieră securizată într-o zonă cu acces restricționat. Accesul neautorizat în acea zonă nu va fi permis în nicio împrejurare. Zona va fi încuiată atunci când nu este ocupată de către personalul autorizat. Se va ține o evidență a accesului la înregistrări. Accesul la sistemul CCTV și la imaginile stocate va fi permis doar personalului autorizat. La momentul accesării imaginilor, doi membri ai personalului autorizat trebuie să fie prezenți. Se va întocmi un raport scris al accesului. Aceste rapoarte vor fi păstrate.
  • Se va ține o evidență a datei oricărei divulgări, împreună cu detalii despre persoana căreia i-au fost furnizate acele informații (numele acelei persoane și întreprinderea pe care o reprezintă), motivul cererii, precum și modalitatea în care cererea a fost rezolvată, în cazul unei contestații.
  • Datele vor fi furnizate ca răspuns al unor cereri autorizate într-un format permament, atunci când acest lucru este posibil. Dacă acest lucru nu este posibil, persoanei vizate i se va oferi posibilitatea să vizualizeze înregistrarea.
  • În circumstanțe relevante, înregistrările CCTV vor putea fi accesate de către organele de poliție sau vor putea fi furnizate instanțelor de judecată sau altor autorități publice atunci când legea impune.

5. Cererile persoanelor vizate 

  • Persoanelor fizice li se acordă dreptul de accesa înregistrările CCTV cu privire la ele însele, potrivit GDPR.
  • Persoanele fizice care trimit astfel de cereri vor trebui să furnizeze suficiente informații pentru a se putea asigura identificarea întregistrării cu privire la acestea. De exemplu, data, ora și locația.
  • Asociația de proprietari va răspunde acestor cereri într-un termen de o lună de la primirea cererii.
  • Asociația de proprietari își rezervă dreptul de a refuza accesul la înregistrările CCTV atunci când acest lucru ar duce atingere drepturilor prevăzute de lege ale unor persoanelor fizice sau ar putea prejudicia o investigație în curs de desfășurare.
  • Se va ține o evidență a datei când divulgarea a avut loc, împreună cu detaliile persoanei către care aceste informații au fost furnizate (numele persoanei și întreprinderea pe care o reprezintă), precum și cu motivele acestei cereri.
  • În activitatea de furnizare către o persoană a unei copii a datelor sale, se vor pune la dispoziție o fotografie/o serie de fotografii, o casetă sau un disc magnetic cu imaginile relevante. Totuși, imaginile altor persoane vor fi ascunse înainte ca aceste date să îi fie înmânate.
  • Atunci când înregistrarea conține imagini referitoare la terți, se vor lua măsurile necesare pentru a masca și a proteja identitatea acelor indivizi.




6. Durata minimă. Înregistrările vor fi stocate pe o durată minimă, dar nu mai mult de 30 de zile

Dacă ai nevoie de consultanță juridică și întocmirea documentației pentru montarea camerelor de supraveghere la bloc imi poti scrie la adresa ruxandra.sava@legalup.ro.

Ce pot face dacă au fost montate camere de supraveghere la bloc nelegal?

Dacă s-au montat camere de supraveghere în mod nelegal și există riscul ca imaginile captate să fie dezvăluite către destinații neautorizate, ar trebui să comunici îngrijorările tale Asociației și să o îndrumi spre conformarea supravegherii CCTV cu GDPR astfel încât dreptul la viață privată să fie respectat. În situația în care nu se iau măsuri pentru a limita accesul la înregistrări, în situațiile în care imaginile captate sunt dezvăluite fără acordul tău sau fără a exista unui temei legal sau în alte situații (camere de supraveghere în lift, absența informării, nerepectarea drepturilor GDPR), te poți adresa cu o plângere la ANSPDCP.


hands-holding-heart_23-2148172201.jpg

Într-o societate aflată în plină expansiune tehnologică și digitală, aplicațiile de sănătate precum Apple Health, Google Fit, Fitbit, Strava, SymTrac și multe altele au crescut exponențial, având un număr crescând de utilizatori de toate vârstele. Evident, obiectivul declarat al acestor aplicații este îmbunătățirea calității vieții prin monitorizarea constantă a sănătății, prin depistarea timpurie a unor simptome care ar putea indica o maladie, sprijinirea actului medical, și, nu în ultimul rând, promovarea unui stil de viață activ și sănătos, toate acestea prin simpla descărcare gratuită a aplicației și conferirea acordului cu privire la prelucrarea datelor cu caracter personal de către aceasta.

Este predictibil faptul că multiplele avantaje sunt, într-o formă sau alta, contrabalansate prin anumite aspecte mai puțin transparente.  Dacă în 2014, un articol publicat de către BBC News concluziona că aplicațiile de sănătate reprezintă ”vești bune”[1], prin numeroasele facilități puse la dispoziția utilizatorilor printr-un simplu click, tot BBC News, 5 ani mai târziu, trage un semnal de alarmă cu privire la aceste aplicații, afirmând că reprezintă un ”risc fără precedent pentru viața privată”.[2] Această schimbare de abordare se fundamentează, bineînțeles, pe sporirea preocupării legiuitorului, a celorlalte autorități relevante, precum și a utilizatorilor pentru protecția vieții private și a prelucrării legale a datelor cu caracter personal, având în vedere că aceste aplicații colectează o cantitate îngrijorătoare de date personale considerate ”date cu caracter special” în temeiul art. 9 RGPD (date privind sănătatea) și că acest tip de date merită o protecție suplimentară.

Te-ar putea interesa și:

1.Aplicațiile de sănătate – motive de îngrijorare

După cum am menționat deja, un prim motiv de îngrijorare este cantitatea vastă de date personale care sunt colectate. Aplicațiile de sănătate colectează date precum: numele utilizatorilor, detalii despre locație, despre dispozitiv, despre sistemul de operare, istoricul căutărilor de pe Internet, cookie-uri, adrese de e-mail[3], precum și, evident, informații legate de sănătatea fizică sau mentală a utilizatorilor. Cu privire la ultima categorie, aceste aplicații colectează date referitoare la: numărul de pași efectuați, activitatea fizică, calendarul menstrual, sarcina, dieta, alimentația, greutatea corporală, înălțimea, ritmul cardiac[4], nivelul glicemiei[5], simptome ale diverselor boli, progresul efectuat în tratarea anumitor boli și multe altele. De asemenea, aplicațiile mai recente oferă posibilitatea completării unui chestionar de către utilizatori în vederea atribuirii unui diagnostic și a unui eventual tratament în privința stării psihice a utilizatorului. De exemplu, în viitorul apropiat se apreciază că prin aceste aplicații se poate ajunge la concluzia că utilizatorul suferă de depresie, are anumite fobii sau că necesită anumite terapii comportamentale cognitive.[6]

Desigur, toate aceste date sunt colectate și prelucrate, în principiu, cu scopul prestării serviciului oferit prin aplicația respectivă sau având consimțământul expres al utilizatorului, având în vedere că acesta, în cazul celor mai multe aplicații de sănătate, este nevoit să introducă el însuși datele referitoare la propria sănătate (de exemplu, nivelul glicemiei măsurat în ziua respectivă, greutatea corporală, calendarul menstrual). Se poate afirma că introducerea manuală a acestor date echivalează cu un consimțământ expres al utilizatorului. Așadar, cerințele art. 6 și 9 ale RGPD ar fi satisfăcute. De asemenea, nu este prea dificil pentru aceste aplicații să obțină încrederea utilizatorilor, în virtutea așteptărilor acestora că datele lor privind sănătatea sunt manipulate într-o manieră similară modului în care instituțiile sanitare (spitale, clinici, cabinetele medicilor de familie etc.) manipulează datele pacienților. În realitate însă, s-a apreciat că aplicațiile de sănătate nu oferă un nivel de protecție a vieții private nici măcar comparabil cu cel oferit de instituțiile sanitare.[7]

Un al doilea motiv de îngrijorare este utilizarea abuzivă a datelor cu caracter special ale utilizatorilor colectate de către furnizorii aplicațiilor de sănătate. Concret, riscul rezidă în partajarea acestor date cu companii terțe. Așadar, scopul prelucrării acestor date excede semnificativ sfera prestării serviciului. S-a arătat printr-un studiu că, dintr-un eșantion de 24 de aplicații de sănătate, 19 dintre acestea partajează datele utilizatorilor cu companii terțe, fără acordul sau înștiințarea utilizatorului.[8]

2. Aplicațiile de sănătate și transferurile de date. Unde pot ajunge datele tale?

2.1.Facebook, Alphabet, Oracle și alte companii

Aceste companii primesc datele utilizatorilor aplicațiilor de sănătate, le analizează și le utilizează pentru crearea de profiluri ale acelor utilizatori și pentru efectuarea de publicitate direcționată către aceștia. La prima vedere, nu ar fi nimic eronat ca o persoană care suferă de diabet și care utilizează o aplicație de monitorizare a nivelului glicemiei să vizualizeze în cronologia profilului său de Facebook oferte de produse alimentare adaptate dietei diabeticilor. Dimpotrivă, acest lucru ar putea veni chiar în sprijinul persoanelor vizate. Totuși, există și anumite riscuri care ar trebui luate în considerare.

Evident, simplul fapt al primirii în mod constant al unui număr nelimitat de mesaje comerciale nesolicitate de către un utilizator al unei aplicații de sănătate poate fi deranjant pentru acesta. Mai mult decât atât, toate aceste date, odată ajunse la anumite companii care le analizează, pot contribui la formarea unor profiluri extrem de detaliate despre fiecare dintre noi, utilizatorii de aplicații de sănătate. În ciuda faptului că majoritatea furnizorilor de astfel de aplicații declară că nu se partajează niciodată date precum numele utilizatorului[9] (deci identificarea acestuia nu este directă), prin combinarea acestor date medicale cu toate celelalte date deținute de Facebook, de exemplu, se poate identifica în mod facil utilizatorul (deci, avem de-a face cu o persoana fizică identificabilă, conform art. 4 RGDP) și i se poate crea un profil detaliat care se află acum la dispoziția gigantului de tehnologie, profil care poate fi ”vândut” mai departe către alte companii.

2.2.Companii de asigurări de viață sau de sănătate

Principalul motiv pentru care aceste companii ar fi interesate de datele privind sănătatea este posibilitatea de a analiza, înainte de încheierea unui contract de asigurare, gradul de risc al viitorului client, risc care s-ar putea concretiza în accesarea unui sume asigurate mai mari sau mai rapid.[10] Aplicațiile de sănătate ale unei persoane pot indica anumite obiceiuri sau boli care i-ar putea reduce semnificativ speranța de viață. Totuși, chiar dacă aceste companii de asigurări declară că nu iau decizii exclusiv pe baza datelor medicale ale clienților, se apreciază că se lasă cu siguranță influențate de acestea.[11] De exemplu, o persoană care este supraponderală, manifestă anumite probleme legate de ritmul cardiac, este sedentară și diabetică (toate aceste date fiind colectate de către aplicațiile de sănătate pe care această persoană le utilizează și partajate cu companiile de asigurări) ar putea ridica anumite semne de întrebare și ar putea fi privită cu scepticism de către compania de asigurări.

2.3.Bănci și alte instituții de credit

Similar principiului descris mai sus, și instituțiile de credit ar putea fi semnificativ influențate de istoricul medical al unui potențial client. Mai mult decât atât, acestea ar putea chiar refuza acordarea unui credit bancar[12] unei persoane care se constată că are probleme de sănătate și ar putea ca, în viitor, din cauza acestor probleme, să se afle în imposibilitatea de a-și îndeplini obligațiile contractuale (fie din cauză că a decedat sau din cauza unei incapacități de muncă).

 2.4.Companiile de recrutare și angajatorii

Același raționament este aplicabil. În general, angajatorii încearcă să evite angajații predispuși la a beneficia de concedii medicale prelungite, de indemnizații sau de concedii de maternitate[13]. Evident, acest lucru ar putea duce la discriminare, consecință valabilă și în cazul instituțiilor de credit sau al companiilor de asigurări. Acest lucru contravine în mod evident prevederilor RGPD, care prevede în art. 22 că ”Persoana vizată are dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automată, inclusiv crearea de profiluri, care produce efecte juridice care privesc persoana vizată sau care o afectează în mod similar într-o măsură semnificativă”.

2.5.Instituții sanitare

În vreme ce unii medici recomandă ei înșiși pacienților utilizarea unor aplicații de sănătate (cu scopul efectuării programărilor și trimiterii rezultatului unor analize către medic)[14], s-a afirmat că datele privind sănătatea, odată ajunse la instituțiile sanitare, ar putea conduce la o discriminare între pacienți în materia acordării de servicii medicale avansate.[15].

3.Aplicațiile de sănătate. Ce putem face pentru a ne proteja confidențialitatea datelor privind sănătatea?

1. Să citim cu atenție sporită politicile de confidențialitate ale aplicațiilor de sănătate pe care le descărcăm;

2. Să configurăm setările de confidențialitate (ale aplicației, dar și ale telefonului)[16] astfel încât să putem beneficia de un nivel maxim de confidențialitate. De exemplu, în cazul Google Fit: să deconectăm toate aplicațiile terțe cu care această aplicație interacționează (Manage connected apps – Disconnect)[17]. În cazul Apple Health, putem să oprim accesul aplicației la senzorii de mișcare ai telefonului (Privacy – Motion&Fitness – oprirea opțiunii Fitness Tracking)[18] ;

3. Să urmărim cu atenție orice posibilitate de a bloca sau de a limita partajarea datelor noastre de către aplicația de sănătate cu aplicații/companii terțe, indicate prin butoane de tipul ”disagree” sau ”opt-out”[19];

4. Să utilizăm dispozitive la fel de eficiente pentru monitorizarea sănătății, dar care implică o tehnologie mai ”rudimentară” și, deci, mai puțin invazivă pentru viața privată. De exemplu, în locul unei aplicații care măsoară distanța parcursă și intensitatea unui antrenament, se recomandă utilizarea unui dispozitiv de măsurare a pulsului aplicat pe braț (care stochează aceste date doar pe dispozitiv, și nu le trimite către un server), iar apoi accesarea unei diagrame cardiace online (www.heart.org) pentru interpretarea rezultatelor obținute[20];

5. Să alegem cu grijă aplicațiile de sănătate pe care le folosim. De exemplu, aplicațiile recomandate de către un medic sunt mai susceptibile de a intra sub incidența legilor care guvernează protecția vieții private și a datelor cu caracter personal. De asemenea, se recomandă utilizarea unor aplicații de sănătate cu plată, deoarece, în cazul celor ”gratuite”, plătim de fapt cu datele noastre personale[21] (evident, nu este exclus ca și cele cu plată să prelucreze în mod abuziv datele noastre, însă incidența este mai scăzută).