Dreptul la portabilitatea datelor

Preliminarii

Abstract

  Abstract
The new data portability right, entered in the text of Regulation (EU) 2016/679, will be
available to the data subjects as of May 25, 2018. In several paragraphs (Article 20), the European
normative act establishes the scope, and the conditions for exercising the right to portability of
personal data.
The new prerogative recognized by individuals aims to strengthen control over their own data
and to be aware that at any time access to data is open under the law. The portability of the data will
raise some practical problems, particularly as regards the format that the responsible person must
respect and the guarantees of non-judgment of third parties (whose personal data are included in the
ported files). For this reason, the technical means and strategies that operators expect are of utmost
importance from the point of view of ensuring respect for the right to privacy and other fundamental
rights
Keywords: Regulation (EU) 2016/679, rights of data subject, right to data portability, notion,
scope, cases, conditions 

 

Dacă drepturile aflate la dispoziția persoanelor vizate sunt reglementate, la momentul actual, în Directiva 1995/46/CE, dreptul la portabilitatea datelor este inedit, în cuprinsul Regulamentului (UE) 2016/679[1]. Semnificația noului drept la portabilitatea datelor este majoră. În condițiile în care Regulamentul afirmă că evoluțiile tehnologice și globalizarea au generat provocări noi la adresa datelor cu caracter personal, controlul cetățeanului asupra datelor care îl privesc se impune a fi consolidat. Climatul de încredere pe care îl presupune economia digitală (marché unique numérique) este indisolubil legat de securitatea datelor și de accesul/rectificarea/anonimizarea/ștergerea datelor, în condițiile legii.

Practic, dreptul la portarea datelor cu caracter personal este un aspect al dreptului de acces la date[2]. Poate fi și un nivel superior la care este conceput controlul persoanei fizice asupra identității sale digitale. În același tip, portarea datelor este o modalitate de realizare a circulației datelor cu caracter personal, întrucât datele pot fi transferate de la un operator la altul [Regulamentul (UE) 2016/679 are ca obiect atât prelucrarea datelor personale, cât și libera circulație a acestora].

Recomandările elaborate de Grupul 29 (în aprilie 2017) se adresează responsabililor prelucrărilor, în ideea de a demara metodele/mijloacele pentru a veni în întâmpinarea solicitărilor de portare a datelor (de pildă, instrumente necesare descărcării datelor și interfețe ale programelor de aplicare)[3]. Regulamentul se va aplica începând cu 25 mai 2018, așa încât statele membre beneficiază de un interval de timp rezonabil pentru implementarea măsurilor pe care le reclamă noile standarde de protecție a datelor personale[4].

Noțiune, cazuri, condiții

„Persoana vizată are dreptul de a primi datele cu caracter personal care o privesc și pe care le-a furnizat operatorului într-un format structurat, utilizat în mod curent și care poate fi citit automat și are dreptul de a transmite aceste date altui operator, fără obstacole din partea operatorului căruia i-au fost furnizate datele cu caracter personal”, în cazurile expres prevăzute de art. 20 alin. (1), lit. a)-b) din Regulament.

Dreptul la portabilitatea datelor este prerogativa persoanei vizate de prelucrare, de a recupera informațiile cu caracter personal (pe care le-a furnizat unui operator), într-o formă structurată, utilizată curent, lizibilă automat, cu posibilitatea ca datele respective să fie transferate unui alt operator. Acest drept are caracter de noutate în contextul utilizării datelor personale și prezintă elemente de analogie cu materia comunicării prin intermediul telefoniei mobile[5]. Operatorul căruia i-au fost furnizate datele este ținut să nu obstaculeze transferul informațiilor. Portarea datelor constă în deplasarea, copierea sau, după caz, transmiterea acestora, dintr-un sistem informatic în altul.

Conform direcțiilor trasate de Grupul 29, dreptul la portabilitate se descompune în câteva prerogative. Dreptul de a primi datele aparține titularului, care poate păstra informațiile pentru uz personal ori le poate transmite unui alt operator. Dreptul de a transmite datele unui alt responsabil se exercită fără ca vechiul responsabil să facă opoziție. În acest mod, persoana vizată păstrează controlul asupra propriilor date, iar responsabilitatea operatorilor este consolidată. Aceleași date pot servi unor scopuri diferite, în cazul unor servicii distincte, astfel că dreptul la portabilitate încurajează subiecții să își recupereze datele și să le reutilizeze.

Domeniul de aplicare este dublu limitat: portabilitatea privește datele cu caracter personal ce aparțin persoanei vizate; pot fi portate datele furnizate de către persoana vizată operatorului. Responsabilul prelucrării are obligația de a se conforma și de a transmite datele solicitate.

Noțiunea de date cu caracter personal include orice informație referitoare la o persoană fizică identificată sau identificabilă. Alături de informațiile care, în mod obișnuit, identifică persoana fizică (adresa poștală, numărul contului bancar, numărul cardului bancar, numărul de telefon), sunt prezente în definiție, datele care fac persoana identificabilă. „Este considerată identificabilă persoana fizică ce poate fi identificată, direct sau indirect, mai ales prin referire la un element de identificare, ca de exemplu, numele, numărul personal de identificare, datele de localizare, un element de identificare online, unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale” (art. 4 pct. 1).

Datele care fac obiectul portabilității au fost furnizate operatorului de către persoana vizată. Terminologia „date furnizate” necesită unele precizări. Cu prilejul navigării în internet, utilizatorul recurge la aplicații sau servicii condiționate de completarea unor formulare online, ce cuprind date cu caracter personal: nume, prenume, cod numeric personal, adresă poștală, email, număr de telefon (achiziție de cărți, accesul la o bază de legislație etc.). De asemenea, activitatea în cadrul rețelelor de socializare de tip Facebook, Twitter, Instagram, presupune un istoric al căutărilor, postărilor, comentariilor ș.a.[6].

Ghidul Grupului 29 menționează că, în contextul datelor furnizate ar trebui incluse două categorii: date pe care persoana vizată le-a transmis, în mod activ și conștient, operatorului (date de identificare cuprinse în formularele online), precum și date ce rezultă din activitățile subiectului, ca urmare a utilizării unor anumite dispozitive sau servicii (istoricul navigării pe un site web, jurnale de activități, date de trafic, date de localizare). În schimb, nu intră în aria de aplicare a portabilității datele generate de către responsabilul prelucrării pe baza informațiilor cu caracter personal furnizate de către cel vizat (este cazul profilului de utilizator creat pe baza datelor „brute” colectate prin intermediul dispozitivului folosit pentru navigare)[7]. Datele derivate (datele deduse) nu intră în sfera dreptului la portabilitate, dar nimic nu oprește utilizatorul să solicite responsabilului să îi comunice dacă datele sale au făcut sau nu obiectul prelucrării, iar în caz afirmativ, scopurile prelucrării. Nu fac obiectul portabilității datele care sunt prelucrate pe alte temeiuri decât cele menționate de art. 20 alin. (1), lit. a) (adică pe alte temeiuri decât consimțământul ori contractul). Potrivit Regulamentului, prin excepție de la regula consimțământului, datele personale ar putea fi prelucrate în virtutea interesului legitim al responsabilului sau pentru îndeplinirea de către acesta a unei obligații legale.

Cazurile în care operează portabilitatea sunt reglementate expres în Regulamentul general privind protecția datelor:

a. prelucrarea se bazează pe consimțământ, în temeiul art. 6 alin. (1), lit. a) sau al art. 9 alin. (2), lit. a) ori pe un contract în temeiul art. 6 alin. (1), lit. b). Distingem situațiile ce urmează:

– operațiunile de prelucrare s-au desfășurat în temeiul consimțământului celui vizat. Prelucrarea este legală numai dacă se derulează cu acordul persoanei vizate, cu excepția ipotezelor expres menționate, care legitimează prelucrarea în absența consimțământului. Persoana ale cărei date personale sunt prelucrate consimte având în vedere finalitatea prelucrării, adică având reprezentarea unuia sau mai multor scopuri determinate[8] [art. 6 alin. (1), lit. a)];

– atunci când vorba de categorii speciale de date cu caracter personal[9], cel vizat și-a dat consimțământul la prelucrare. Regulamentul (UE) 2016/679 (ca, de altfel și Directiva 1995/46) interzice prelucrarea datelor, care, prin natura lor, au atras denumirea de „date sensibile”. Datele care se referă la originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice, apartenența la sindicate, datele genetice, datele biometrice pentru identificarea unică a unei persoane fizice, datele privind sănătatea, viața sexuală sau orientarea sexuală ale unei persoane fizice nu pot face obiectul prelucrării. Se exceptează situațiile în care persoana vizată și-a exprimat acordul la prelucrare, pentru unul sau mai multe finalități specifice. Consimțământul trebuie să fie explicit (exprimat în mod clar, neechivoc), întrucât categoriile speciale includ date a căror prelucrare prezintă risc ridicat, în raport cu drepturile și libertățile, mai ales cu viața privată a persoanelor fizice.

Excepția prelucrării cu consimțământul celui vizat nu este aplicabilă dacă dreptul european sau legislația internă nu permit prelucrarea, nici în prezența acordului [art. 9 alin. (2), lit. a)];

– prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte sau pentru a face demersuri, la cererea persoanei vizate, înainte de încheierea unui contract (de exemplu, pentru obținerea titlurilor cărților achiziționate dintr-o librărie online sau a denumirii pieselor audiate prin intermediul unui serviciu de difuzare a pieselor muzicale), conform art. 6 alin. (1), lit. b);

b. prelucrarea se desfășoară prin mijloace automate. Datele trebuie obținute „într-un format structurat, utilizat în mod curent și care poate fi citit automat”, ceea ce implică, în mod necesar, faptul că prelucrarea datelor a avut loc prin procedee automate.

Condițiile de exercitare a dreptului la portabilitatea datelor se deduc din formularea alin. (2)-(4) ale art. 20 din Regulament:

a. dreptul la portabilitate să nu aducă atingere dreptului la ștergerea datelor. Cele două prerogative sunt complet diferite. Portarea datelor presupune transferul informațiilor de la sursă (operator) la destinatar (persoana vizată) sau, după caz, direct la un alt operator desemnat de titularul dreptului. Dreptul la ștergerea datelor (dreptul la uitare)[10] semnifică radierea datelor cu caracter personal, din anumite baze de date/indexuri, pentru motivele arătate de lege [art. 17 alin. (1), cu excepțiile de la alin. (2)]. În niciun caz, portabilitatea nu presupune ștergerea datelor (de exemplu, nu presupune ștergerea datelor furnizate de persoana vizată în vederea executării unui contract, în măsura în care și atâta timp cât datele respective sunt utile pentru executarea contractului. De asemenea, portarea nu creează obligația responsabilului de a conserva datele pe o perioadă mai îndelungată decât cea prevăzută de lege. Dreptul la portabilitate nu se aplică prelucrării necesare pentru îndeplinirea unei sarcini executate în interes public sau în cadrul exercitării unei autorități oficiale cu care este învestit operatorul.


[1] Regulamentul (UE) 2016/679 din 27 aprilie 2016 privind protecția persoanelor fizice cu privire la prelucrarea datelor cu caracter personal și libera circulație a acestor date și de abrogare a Directivei 95/46/CE a fost publicat în JO L119/1 din 4 mai 2016. Directiva 95/46/CE din 24 octombrie 1995 privind protecția persoanelor fizice cu privire la prelucrarea datelor cu caracter personal și libera circulație a acestor date a fost publicată în JO L281/31.

[2] Doctrina privește dreptul de acces și dreptul de rectificare ca modalități de control asupra integrității datelor personale și de verificare a legitimității și conformității utilizării/prelucrării datelor [v. J.-C. Saint-Pau (sous la dir. de), Droits de la personnalité, LexisNexis, Paris, 2013, p. 598-599]. Diferența între cele două drepturi recunoscute persoanei vizate este clară: dreptul de acces are ca obiect totalitatea datelor cu caracter personal, pe când portabilitatea privește numai datele personale furnizate în condițiile menționate de lege.

[3] Versiunea revizuită, adoptată în data de 5 aprilie 2017 (Liniile directoare cu privire la dreptul la portabilitatea datelor) poate fi consultat pe pagina CNIL (Comisia franceză „Informatică și Libertăți”, accesată la 3 noiembrie 2017).

[4] Cu privire la dezbaterile actuale referitoare la noul cadru legislativ european, v. D.-M. Șandru, Regimul juridic al protecției datelor cu caracter personal este în proces de regândire, în I. Alexe, D.-N. Ploeșteanu, D.-M. Șandru, Protecția datelor cu caracter personal. Impactul protecției datelor personale asupra mediului de afaceri. Evaluări ale experiențelor românești și noile provocări ale Regulamentului (UE) 2016/679, Ed. Universitară, București, 2017, p. 272-273; I. Alexe, C.-M. Banu, De la directivă la regulament în reglementarea protecției datelor cu caracter personal la nivelul Uniunii Europene, în I. Alexe, D.-N. Ploeșteanu, D.-M. Șandru, Protecția datelor cu caracter personal. Impactul protecției datelor personale asupra mediului de afaceri. Evaluări ale experiențelor românești și noile provocări ale Regulamentului (UE) 2016/679, op. cit., p. 14-40.

[5] Pentru unele precizări, cu privire la portabilitate în cadrul voice over IP, v. Th. Verbiest, Voix sur IP: régulation traditionnelle pour une nouvelle technologie ou nouvelle approche pour la téléphonie haut débit?, în Acta Universitatis Lucian Blaga, Seria Iurisprudentia, nr. 1-2/2007, p. 230-231.

[6] Noul Regulament cu privire la prelucrarea datelor personale este unul complex. Nu avem în vedere numai întinderea lui (173 de considerente și 99 de articole), dar și conținutul, care comprimă – uneori, în exprimări lapidare, chestiuni complexe. Desigur, stilul legislativ este, cum s-a arătat, în principiu neutru (C. Munteanu, Reflecții asupra vocabularului juridic, în Acta Universitatis Lucian Blaga, Seria Iurisprudentia, nr. 1-2/2007, p. 73); legiuitorul trebuie să se exprime în așa fel încât să fie înțeles de toată lumea, lizibilitatea legii este o datorie față de destinatarii ei; de fiecare dată când este necesar, legiuitorul trebuie să utilizeze precizia limbajului său tehnic, aceasta fiind și o „garanție de claritate, securitate și libertate” (R. Dimiu, Stilul judiciar, Ed. Rosetti, București, 2004, p. 94, apud C. Munteanu, Reflecții asupra vocabularului juridic, op. și loc.). În contextul mai bunei și corectei înțelegeri a textului Regulamentului, sunt binevenite analizele ghidurilor elaborate de Grupul 29, pe diferite aspecte ce necesită lămuriri și exemplificări.

[7] A se vedea Ghidul privind liniile directoare cu privire la dreptul la portabilitatea datelor, op. cit., p. 12. Cu privire la datele personale care pot fi colectate cu prilejul conectării la rețeaua internet, a se vedea B. Ravaz, S. Retterer, Droit de l’information et de la communication, Ellipses, Paris, 2006, p. 128.

[8] Regulamentul (UE) 2016/679 instituie câteva principii care guvernează prelucrarea datelor cu caracter personal. Între acestea, principiul scopului prelucrării presupune ca datele să fie colectate în scopuri determinate, explicite și legitime și să nu fie prelucrate ulterior într-un mod incompatibil cu aceste scopuri; prelucrarea ulterioară în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice nu este considerată incompatibilă cu scopurile inițiale [art. 5 alin. (1), lit. b)].

[9] În ce privește protecția datelor sensibile în alte sisteme de drept, v.: A. Lepage, Libertés et droits fondamentaux à l’épreuve de l’internet, Litec, Paris, 2002, p. 28-29 (dreptul francez); F. Dehousse, Th. Verbiest, T. Zgajewski, Introduction au droit de la société de l’information, Larcier, Bruxelles, 2007, p. 295-297 (dreptul belgian).

[10] Pentru considerații privind dreptul la ștergerea datelor, conform Regulamentului (UE) 2016/679, v. S.-D. Șchiopu, Efectivitatea dreptului de a fi uitat, în I. Alexe, D.-N. Ploeșteanu, D.-M. Șandru, Protecția datelor cu caracter personal. Impactul protecției datelor personale asupra mediului de afaceri. Evaluări ale experiențelor românești și noile provocări ale Regulamentului (UE) 2016/679, op. cit., p. 188-203.

DOWNLOAD FULL ARTICLE

 

Dreptul la portabilitatea datelor was last modified: ianuarie 17th, 2018 by Călina Jugastru

Numai utilizatorii autentificați pot scrie comentarii