Dreptul la portabilitatea datelor
Călina Jugastru - decembrie 1, 2017Preliminarii
Abstract
The new data portability right, entered in the text of Regulation (EU) 2016/679, will be
available to the data subjects as of May 25, 2018. In several paragraphs (Article 20), the European
normative act establishes the scope, and the conditions for exercising the right to portability of
personal data.
The new prerogative recognized by individuals aims to strengthen control over their own data
and to be aware that at any time access to data is open under the law. The portability of the data will
raise some practical problems, particularly as regards the format that the responsible person must
respect and the guarantees of non-judgment of third parties (whose personal data are included in the
ported files). For this reason, the technical means and strategies that operators expect are of utmost
importance from the point of view of ensuring respect for the right to privacy and other fundamental
rights
Keywords: Regulation (EU) 2016/679, rights of data subject, right to data portability, notion,
scope, cases, conditions
Dacă drepturile aflate la dispoziţia persoanelor vizate sunt reglementate, la momentul actual, în Directiva 1995/46/CE, dreptul la portabilitatea datelor este inedit, în cuprinsul Regulamentului (UE) 2016/679[1]. Semnificaţia noului drept la portabilitatea datelor este majoră. În condiţiile în care Regulamentul afirmă că evoluţiile tehnologice şi globalizarea au generat provocări noi la adresa datelor cu caracter personal, controlul cetăţeanului asupra datelor care îl privesc se impune a fi consolidat. Climatul de încredere pe care îl presupune economia digitală (marché unique numérique) este indisolubil legat de securitatea datelor şi de accesul/rectificarea/anonimizarea/ştergerea datelor, în condiţiile legii.
Practic, dreptul la portarea datelor cu caracter personal este un aspect al dreptului de acces la date[2]. Poate fi şi un nivel superior la care este conceput controlul persoanei fizice asupra identităţii sale digitale. În acelaşi tip, portarea datelor este o modalitate de realizare a circulaţiei datelor cu caracter personal, întrucât datele pot fi transferate de la un operator la altul [Regulamentul (UE) 2016/679 are ca obiect atât prelucrarea datelor personale, cât şi libera circulaţie a acestora].
Recomandările elaborate de Grupul 29 (în aprilie 2017) se adresează responsabililor prelucrărilor, în ideea de a demara metodele/mijloacele pentru a veni în întâmpinarea solicitărilor de portare a datelor (de pildă, instrumente necesare descărcării datelor şi interfeţe ale programelor de aplicare)[3]. Regulamentul se va aplica începând cu 25 mai 2018, aşa încât statele membre beneficiază de un interval de timp rezonabil pentru implementarea măsurilor pe care le reclamă noile standarde de protecţie a datelor personale[4].
Noţiune, cazuri, condiţii
„Persoana vizată are dreptul de a primi datele cu caracter personal care o privesc și pe care le-a furnizat operatorului într-un format structurat, utilizat în mod curent și care poate fi citit automat și are dreptul de a transmite aceste date altui operator, fără obstacole din partea operatorului căruia i-au fost furnizate datele cu caracter personal”, în cazurile expres prevăzute de art. 20 alin. (1), lit. a)-b) din Regulament.
Dreptul la portabilitatea datelor este prerogativa persoanei vizate de prelucrare, de a recupera informaţiile cu caracter personal (pe care le-a furnizat unui operator), într-o formă structurată, utilizată curent, lizibilă automat, cu posibilitatea ca datele respective să fie transferate unui alt operator. Acest drept are caracter de noutate în contextul utilizării datelor personale şi prezintă elemente de analogie cu materia comunicării prin intermediul telefoniei mobile[5]. Operatorul căruia i-au fost furnizate datele este ţinut să nu obstaculeze transferul informaţiilor. Portarea datelor constă în deplasarea, copierea sau, după caz, transmiterea acestora, dintr-un sistem informatic în altul.
Conform direcţiilor trasate de Grupul 29, dreptul la portabilitate se descompune în câteva prerogative. Dreptul de a primi datele aparţine titularului, care poate păstra informaţiile pentru uz personal ori le poate transmite unui alt operator. Dreptul de a transmite datele unui alt responsabil se exercită fără ca vechiul responsabil să facă opoziţie. În acest mod, persoana vizată păstrează controlul asupra propriilor date, iar responsabilitatea operatorilor este consolidată. Aceleaşi date pot servi unor scopuri diferite, în cazul unor servicii distincte, astfel că dreptul la portabilitate încurajează subiecţii să îşi recupereze datele şi să le reutilizeze.
Domeniul de aplicare este dublu limitat: portabilitatea priveşte datele cu caracter personal ce aparţin persoanei vizate; pot fi portate datele furnizate de către persoana vizată operatorului. Responsabilul prelucrării are obligaţia de a se conforma şi de a transmite datele solicitate.
Noţiunea de date cu caracter personal include orice informaţie referitoare la o persoană fizică identificată sau identificabilă. Alături de informaţiile care, în mod obişnuit, identifică persoana fizică (adresa poştală, numărul contului bancar, numărul cardului bancar, numărul de telefon), sunt prezente în definiţie, datele care fac persoana identificabilă. „Este considerată identificabilă persoana fizică ce poate fi identificată, direct sau indirect, mai ales prin referire la un element de identificare, ca de exemplu, numele, numărul personal de identificare, datele de localizare, un element de identificare online, unul sau mai multe elemente specifice, proprii identităţii sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale” (art. 4 pct. 1).
Datele care fac obiectul portabilităţii au fost furnizate operatorului de către persoana vizată. Terminologia „date furnizate” necesită unele precizări. Cu prilejul navigării în internet, utilizatorul recurge la aplicaţii sau servicii condiţionate de completarea unor formulare online, ce cuprind date cu caracter personal: nume, prenume, cod numeric personal, adresă poştală, email, număr de telefon (achiziţie de cărţi, accesul la o bază de legislaţie etc.). De asemenea, activitatea în cadrul reţelelor de socializare de tip Facebook, Twitter, Instagram, presupune un istoric al căutărilor, postărilor, comentariilor ş.a.[6].
Ghidul Grupului 29 menţionează că, în contextul datelor furnizate ar trebui incluse două categorii: date pe care persoana vizată le-a transmis, în mod activ şi conştient, operatorului (date de identificare cuprinse în formularele online), precum şi date ce rezultă din activităţile subiectului, ca urmare a utilizării unor anumite dispozitive sau servicii (istoricul navigării pe un site web, jurnale de activităţi, date de trafic, date de localizare). În schimb, nu intră în aria de aplicare a portabilităţii datele generate de către responsabilul prelucrării pe baza informaţiilor cu caracter personal furnizate de către cel vizat (este cazul profilului de utilizator creat pe baza datelor „brute” colectate prin intermediul dispozitivului folosit pentru navigare)[7]. Datele derivate (datele deduse) nu intră în sfera dreptului la portabilitate, dar nimic nu opreşte utilizatorul să solicite responsabilului să îi comunice dacă datele sale au făcut sau nu obiectul prelucrării, iar în caz afirmativ, scopurile prelucrării. Nu fac obiectul portabilităţii datele care sunt prelucrate pe alte temeiuri decât cele menţionate de art. 20 alin. (1), lit. a) (adică pe alte temeiuri decât consimţământul ori contractul). Potrivit Regulamentului, prin excepţie de la regula consimţământului, datele personale ar putea fi prelucrate în virtutea interesului legitim al responsabilului sau pentru îndeplinirea de către acesta a unei obligaţii legale.
Cazurile în care operează portabilitatea sunt reglementate expres în Regulamentul general privind protecţia datelor:
a. prelucrarea se bazează pe consimțământ, în temeiul art. 6 alin. (1), lit. a) sau al art. 9 alin. (2), lit. a) ori pe un contract în temeiul art. 6 alin. (1), lit. b). Distingem situaţiile ce urmează:
– operaţiunile de prelucrare s-au desfăşurat în temeiul consimţământului celui vizat. Prelucrarea este legală numai dacă se derulează cu acordul persoanei vizate, cu excepţia ipotezelor expres menţionate, care legitimează prelucrarea în absenţa consimţământului. Persoana ale cărei date personale sunt prelucrate consimte având în vedere finalitatea prelucrării, adică având reprezentarea unuia sau mai multor scopuri determinate[8] [art. 6 alin. (1), lit. a)];
– atunci când vorba de categorii speciale de date cu caracter personal[9], cel vizat şi-a dat consimţământul la prelucrare. Regulamentul (UE) 2016/679 (ca, de altfel şi Directiva 1995/46) interzice prelucrarea datelor, care, prin natura lor, au atras denumirea de „date sensibile”. Datele care se referă la originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice, apartenența la sindicate, datele genetice, datele biometrice pentru identificarea unică a unei persoane fizice, datele privind sănătatea, viața sexuală sau orientarea sexuală ale unei persoane fizice nu pot face obiectul prelucrării. Se exceptează situaţiile în care persoana vizată şi-a exprimat acordul la prelucrare, pentru unul sau mai multe finalităţi specifice. Consimţământul trebuie să fie explicit (exprimat în mod clar, neechivoc), întrucât categoriile speciale includ date a căror prelucrare prezintă risc ridicat, în raport cu drepturile şi libertăţile, mai ales cu viaţa privată a persoanelor fizice.
Excepţia prelucrării cu consimţământul celui vizat nu este aplicabilă dacă dreptul european sau legislaţia internă nu permit prelucrarea, nici în prezenţa acordului [art. 9 alin. (2), lit. a)];
– prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte sau pentru a face demersuri, la cererea persoanei vizate, înainte de încheierea unui contract (de exemplu, pentru obţinerea titlurilor cărţilor achiziţionate dintr-o librărie online sau a denumirii pieselor audiate prin intermediul unui serviciu de difuzare a pieselor muzicale), conform art. 6 alin. (1), lit. b);
b. prelucrarea se desfăşoară prin mijloace automate. Datele trebuie obţinute „într-un format structurat, utilizat în mod curent şi care poate fi citit automat”, ceea ce implică, în mod necesar, faptul că prelucrarea datelor a avut loc prin procedee automate.
Condiţiile de exercitare a dreptului la portabilitatea datelor se deduc din formularea alin. (2)-(4) ale art. 20 din Regulament:
a. dreptul la portabilitate să nu aducă atingere dreptului la ştergerea datelor. Cele două prerogative sunt complet diferite. Portarea datelor presupune transferul informaţiilor de la sursă (operator) la destinatar (persoana vizată) sau, după caz, direct la un alt operator desemnat de titularul dreptului. Dreptul la ştergerea datelor (dreptul la uitare)[10] semnifică radierea datelor cu caracter personal, din anumite baze de date/indexuri, pentru motivele arătate de lege [art. 17 alin. (1), cu excepţiile de la alin. (2)]. În niciun caz, portabilitatea nu presupune ştergerea datelor (de exemplu, nu presupune ştergerea datelor furnizate de persoana vizată în vederea executării unui contract, în măsura în care și atâta timp cât datele respective sunt utile pentru executarea contractului. De asemenea, portarea nu creează obligaţia responsabilului de a conserva datele pe o perioadă mai îndelungată decât cea prevăzută de lege. Dreptul la portabilitate nu se aplică prelucrării necesare pentru îndeplinirea unei sarcini executate în interes public sau în cadrul exercitării unei autorități oficiale cu care este învestit operatorul.
[1] Regulamentul (UE) 2016/679 din 27 aprilie 2016 privind protecția persoanelor fizice cu privire la prelucrarea datelor cu caracter personal și libera circulație a acestor date și de abrogare a Directivei 95/46/CE a fost publicat în JO L119/1 din 4 mai 2016. Directiva 95/46/CE din 24 octombrie 1995 privind protecția persoanelor fizice cu privire la prelucrarea datelor cu caracter personal și libera circulație a acestor date a fost publicată în JO L281/31.
[2] Doctrina priveşte dreptul de acces şi dreptul de rectificare ca modalităţi de control asupra integrităţii datelor personale şi de verificare a legitimităţii şi conformităţii utilizării/prelucrării datelor [v. J.-C. Saint-Pau (sous la dir. de), Droits de la personnalité, LexisNexis, Paris, 2013, p. 598-599]. Diferenţa între cele două drepturi recunoscute persoanei vizate este clară: dreptul de acces are ca obiect totalitatea datelor cu caracter personal, pe când portabilitatea priveşte numai datele personale furnizate în condiţiile menţionate de lege.
[3] Versiunea revizuită, adoptată în data de 5 aprilie 2017 (Liniile directoare cu privire la dreptul la portabilitatea datelor) poate fi consultat pe pagina CNIL (Comisia franceză „Informatică şi Libertăţi”, accesată la 3 noiembrie 2017).
[4] Cu privire la dezbaterile actuale referitoare la noul cadru legislativ european, v. D.-M. Şandru, Regimul juridic al protecţiei datelor cu caracter personal este în proces de regândire, în I. Alexe, D.-N. Ploeşteanu, D.-M. Şandru, Protecţia datelor cu caracter personal. Impactul protecţiei datelor personale asupra mediului de afaceri. Evaluări ale experienţelor româneşti şi noile provocări ale Regulamentului (UE) 2016/679, Ed. Universitară, Bucureşti, 2017, p. 272-273; I. Alexe, C.-M. Banu, De la directivă la regulament în reglementarea protecției datelor cu caracter personal la nivelul Uniunii Europene, în I. Alexe, D.-N. Ploeşteanu, D.-M. Şandru, Protecţia datelor cu caracter personal. Impactul protecţiei datelor personale asupra mediului de afaceri. Evaluări ale experienţelor româneşti şi noile provocări ale Regulamentului (UE) 2016/679, op. cit., p. 14-40.
[5] Pentru unele precizări, cu privire la portabilitate în cadrul voice over IP, v. Th. Verbiest, Voix sur IP: régulation traditionnelle pour une nouvelle technologie ou nouvelle approche pour la téléphonie haut débit?, în Acta Universitatis Lucian Blaga, Seria Iurisprudentia, nr. 1-2/2007, p. 230-231.
[6] Noul Regulament cu privire la prelucrarea datelor personale este unul complex. Nu avem în vedere numai întinderea lui (173 de considerente şi 99 de articole), dar şi conţinutul, care comprimă – uneori, în exprimări lapidare, chestiuni complexe. Desigur, stilul legislativ este, cum s-a arătat, în principiu neutru (C. Munteanu, Reflecţii asupra vocabularului juridic, în Acta Universitatis Lucian Blaga, Seria Iurisprudentia, nr. 1-2/2007, p. 73); legiuitorul trebuie să se exprime în aşa fel încât să fie înţeles de toată lumea, lizibilitatea legii este o datorie faţă de destinatarii ei; de fiecare dată când este necesar, legiuitorul trebuie să utilizeze precizia limbajului său tehnic, aceasta fiind şi o „garanţie de claritate, securitate şi libertate” (R. Dimiu, Stilul judiciar, Ed. Rosetti, Bucureşti, 2004, p. 94, apud C. Munteanu, Reflecţii asupra vocabularului juridic, op. şi loc.). În contextul mai bunei şi corectei înţelegeri a textului Regulamentului, sunt binevenite analizele ghidurilor elaborate de Grupul 29, pe diferite aspecte ce necesită lămuriri şi exemplificări.
[7] A se vedea Ghidul privind liniile directoare cu privire la dreptul la portabilitatea datelor, op. cit., p. 12. Cu privire la datele personale care pot fi colectate cu prilejul conectării la reţeaua internet, a se vedea B. Ravaz, S. Retterer, Droit de l’information et de la communication, Ellipses, Paris, 2006, p. 128.
[8] Regulamentul (UE) 2016/679 instituie câteva principii care guvernează prelucrarea datelor cu caracter personal. Între acestea, principiul scopului prelucrării presupune ca datele să fie colectate în scopuri determinate, explicite și legitime și să nu fie prelucrate ulterior într-un mod incompatibil cu aceste scopuri; prelucrarea ulterioară în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice nu este considerată incompatibilă cu scopurile inițiale [art. 5 alin. (1), lit. b)].
[9] În ce priveşte protecţia datelor sensibile în alte sisteme de drept, v.: A. Lepage, Libertés et droits fondamentaux à l’épreuve de l’internet, Litec, Paris, 2002, p. 28-29 (dreptul francez); F. Dehousse, Th. Verbiest, T. Zgajewski, Introduction au droit de la société de l’information, Larcier, Bruxelles, 2007, p. 295-297 (dreptul belgian).
[10] Pentru consideraţii privind dreptul la ştergerea datelor, conform Regulamentului (UE) 2016/679, v. S.-D. Şchiopu, Efectivitatea dreptului de a fi uitat, în I. Alexe, D.-N. Ploeşteanu, D.-M. Şandru, Protecţia datelor cu caracter personal. Impactul protecţiei datelor personale asupra mediului de afaceri. Evaluări ale experienţelor româneşti şi noile provocări ale Regulamentului (UE) 2016/679, op. cit., p. 188-203.
Arhive
- ianuarie 2024
- decembrie 2023
- noiembrie 2023
- octombrie 2023
- septembrie 2023
- august 2023
- iulie 2023
- iunie 2023
- mai 2023
- aprilie 2023
- martie 2023
- februarie 2023
- ianuarie 2023
- decembrie 2022
- noiembrie 2022
- octombrie 2022
- septembrie 2022
- august 2022
- iulie 2022
- iunie 2022
- mai 2022
- aprilie 2022
- martie 2022
- februarie 2022
- ianuarie 2022
- decembrie 2021
- noiembrie 2021
- octombrie 2021
- septembrie 2021
- august 2021
- iulie 2021
- iunie 2021
- mai 2021
- aprilie 2021
- martie 2021
- februarie 2021
- ianuarie 2021
- decembrie 2020
- noiembrie 2020
- octombrie 2020
- septembrie 2020
- august 2020
- iulie 2020
- iunie 2020
- mai 2020
- aprilie 2020
- martie 2020
- februarie 2020
- ianuarie 2020
- decembrie 2019
- noiembrie 2019
- octombrie 2019
- septembrie 2019
- august 2019
- iulie 2019
- iunie 2019
- mai 2019
- aprilie 2019
- martie 2019
- februarie 2019
- ianuarie 2019
- decembrie 2018
- noiembrie 2018
- octombrie 2018
- septembrie 2018
- august 2018
- iulie 2018
- iunie 2018
- mai 2018
- aprilie 2018
- martie 2018
- februarie 2018
- ianuarie 2018
- decembrie 2017
- noiembrie 2017
- octombrie 2017
- septembrie 2017
- august 2017
- iulie 2017
- iunie 2017
- mai 2017
- aprilie 2017
- martie 2017
- februarie 2017
- ianuarie 2017
- decembrie 2016
- noiembrie 2016
- octombrie 2016
- septembrie 2016
- august 2016
- iulie 2016
- iunie 2016
- mai 2016
- aprilie 2016
- martie 2016
- februarie 2016
- ianuarie 2016
- decembrie 2015
- noiembrie 2015
- octombrie 2015
- septembrie 2015
- august 2015
- iulie 2015
- iunie 2015
- mai 2015
- aprilie 2015
- martie 2015
- februarie 2015
- ianuarie 2015
Calendar
L | Ma | Mi | J | V | S | D |
---|---|---|---|---|---|---|
1 | 2 | 3 | ||||
4 | 5 | 6 | 7 | 8 | 9 | 10 |
11 | 12 | 13 | 14 | 15 | 16 | 17 |
18 | 19 | 20 | 21 | 22 | 23 | 24 |
25 | 26 | 27 | 28 | 29 | 30 | 31 |
Lasă un răspuns
Trebuie să fii autentificat pentru a publica un comentariu.