Portarea datelor în GDPR. Șah mat sau avantaj concurențial?

Andreea LISIEVICI

Andreea LISIEVICI

Andreea este partener la Privacy One, cabinetul specializat în asistenţă juridică în domeniul protecţiei datelor personale şi drept IT. Ea are peste 10 ani de experiență ca avocat în proiecte comerciale, de protecția datelor și de conformitate. A terminat un liceu de informatică și este la curent cu noile tehnologii, ceea ce îi conferă un avantaj deosebit în a înțelege chestiunile tehnice din domeniul protecției datelor. A acordat de-a lungul anilor consultanță unei game largi de clienți în domeniul IT și privacy, cum ar fi cloud computing, securitate cibernetică, publicitate comportamentală, reținerea datelor sau monitorizarea angajaților, și a fost implicată în arbitraje în domeniul IT. Scrie frecvent articole de specialitate și este un trainer și lector experimentat.

Ne-am obișnuit deja să ne portăm numerele de telefon, ne putem porta conturile bancare, iar din mai 2018 vom mai putea porta încă ceva: datele personale prelucrate de operatori.

Regulamentul general privind protecția datelor (Regulamentul 2016/679/UE, pe scurt GDPR) aduce o paletă largă de modificări în ce privește regimul prelucrării datelor personale ale persoanelor din Uniunea Europeană. Între acestea se numără introducerea dreptului la portabilitatea datelor, care, potrivit art. 20 GDPR, are următorul conținut:

(1) Persoana vizată are dreptul de a primi datele cu caracter personal care o privesc și pe care le-a furnizat operatorului într-un format structurat, utilizat în mod curent și care poate fi citit automat și are dreptul de a transmite aceste date altui operator, fără obstacole din partea operatorului căruia i-au fost furnizate datele cu caracter personal, în cazul în care:

        (a) prelucrarea se bazează pe consimțământ în temeiul articolului 6 alineatul (1) litera (a) sau al   

         articolului 9 alineatul (2) litera (a) sau pe un contract în temeiul articolului 6 alineatul (1) litera (b);

        (b) prelucrarea este efectuată prin mijloace automate.

(2) În exercitarea dreptului său la portabilitatea datelor în temeiul alineatului (1), persoana vizată are dreptul ca datele cu caracter personal să fie transmise direct de la un operator la altul acolo unde acest lucru este fezabil din punct de vedere tehnic.

(3) Exercitarea dreptului menționat la alineatul (1) din prezentul articol nu aduce atingere articolului 17. Respectivul drept nu se aplică prelucrării necesare pentru îndeplinirea unei sarcini executate în interes public sau în cadrul exercitării unei autorități oficiale cu care este învestit operatorul.

(4) Dreptul menționat la alineatul (1) nu aduce atingere drepturilor și libertăților altora.

Portabilitatea datelor a generat o preocupare ridicată în rândul companiilor a căror activitate este dependentă de gestiunea bazelor de date. Un raport din 2017 arată că portabilitatea datelor apare ca fiind cea mai dificilă obligație de conformitate din cadrul GDPR1. Același raport arată, de asemenea, că respectarea GDPR va fi luată în considerare atunci când o companie selectează un furnizor de servicii cloud, ceea ce înseamnă că această conformitate, și implicit susținerea portabilității datelor, pot deveni un avantaj competitiv.

Portabilitatea vs. dreptul de acces

Dreptul la portabilitatea datelor are ca scop prevenirea blocării persoanelor vizate la un anumit serviciu („lock-in”), și facilitarea mutării datelor de la un furnizor la altul fără restricții în funcție de formatul ales de furnizor. Portabilitatea datelor se aseamănă cu dreptul de acces, care era reglementat și anterior, în sensul că și în temeiul dreptului de acces persoana poate obține o copie a datelor prelucrate. Însă, în vreme ce dreptul de acces privește datele prelucrate indiferent de suport și indiferent de temei, portabilitatea privește numai datele prelucrate în temeiul consimțământului sau executării unui contract, și numai prin mijloace automate. În plus, daca în răspunsul la dreptul de acces operatorii pot da datele în orice format (de exemplu, fișiere .pdf pentru emailuri sau mesaje), portabilitatea este menită să asigure continuitatea serviciului, astfel că datele trebuie portate în formatul lor nativ, care să asigure posibilitatea continuării prelucrării de către operatorul destinatar sau persoana vizată în același mod precum cel anterior portării. În plus, operatorul expeditor trebuie să porteze cât mai multe metadate posibil, pentru a păstra sensul exact al informațiilor schimbate.

Mai merita precizat faptul că portarea datelor este o măsură unică, ea nefiind destinată să asigure interconectarea unor servicii sau fluxul continuu de date – de exemplu, portarea nu este soluția potrivită în cazul in care un utilizator dorește să își primească emailurile dintr-un cont prin intermediul altui cont de la alt furnizor sau daca vrea ca documentele salvate pe o platforma cloud sa fie automat salvate și într-o alta. Mai mult, portarea datelor nu duce in mod automat la încetarea serviciului din care se efectuează portarea. Portarea în GDPR nu este văzută similar cu portarea numerelor de telefon, adică o schimbare totală a furnizorului, ci pur și simplu ca o modalitatea de transfer de date, inclusiv între servicii neechivalente (de exemplu, de la un furnizor de cloud la o soluție de analiză a informaţiilor).

Alocarea rolurilor pentru portarea în cazul serviciilor cloud computing

GDPR lucrează cu câteva concepte principale, între care dualitatea operator-împuternicit. Mai exact, „operatorul” („controller” în engleză) este entitatea care, singură sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal, în vreme ce „împuternicitul” („processor” în engleză) înseamnă entitatea care prelucrează datele cu caracter personal pentru operator. În cazul particular al serviciilor cloud, pentru alocarea acestor roluri trebuie distins între serviciile cloud B2B și serviciile cloud B2C.

În scenariul B2B, unde clientul serviciului cloud este o companie, datele pe care aceasta le stochează în cloud nu sunt datele personale ale acesteia, ci ale utilizatorii finali ai companiei (fie că sunt angajaţi, clienţi, etc). Clientul va lua decizii privind modul de stocare și prelucrare a datelor, iar furnizorul de servicii cloud va urma doar instrucțiunile. Acest lucru face ca operatorul de date să fie clientul, iar furnizorul de servicii cloud să fie împuternicit.

Nu aceeași este situaţia în scenariul B2C. În cazul în care clientul unui serviciu cloud este o persoană fizică, datele personale ale acesteia sunt prelucrate direct de furnizorul de servicii cloud, care devine operator de date. Distincţia este una importantă, pentru că dreptul la portabilitatea datelor trebuie pus în aplicare numai de către operator. Cu alte cuvinte, acolo unde furnizorul de cloud este împuternicit, el trebuie să evite să intervină în vreun mod în catalogarea datelor, selecţia datelor supuse portării, a modalităţii de portare (dacă există alternative), a timpului, a destinatarului, etc, altfel riscând să fie calificat operator asociat.

În timp ce articolul 20 GDPR nu menționează în mod explicit nicio responsabilitate pentru împuterniciţi, articolul 28 GDPR prevede faptul că operatorii pot contracta numai împuterniciţi „care oferă garanții suficiente pentru punerea în aplicare a unor măsuri tehnice și organizatorice adecvate, astfel încât prelucrarea să respecte cerințele prevăzute în GDPR”. Astfel, furnizorii de cloud pentru firmele care prelucrează în mod direct datele cu caracter personal, vor trebui în mod similar să demonstreze conformarea la GDPR pentru a rămâne competitivi.

Datele care intră în obiectul portării

Art. 20 GDPR precizează faptul că portabilitatea se referă la „datele cu caracter personal care privesc” persoana vizată. Acest lucru a fost interpretat de Grupul de Lucru Art. 29 ca reunind atât datele furnizate cu bună știință și în mod activ de persoana vizată, cât și cele rezultate din observarea activității sale. Cu alte cuvinte, ceea ce nu intră în obiectul dreptului la portarea datelor sunt datele derivate de operator pe baza primelor două, deși și acestea pot fi obţinute de persoana vizată în temeiul dreptului de acces (dar nu pot fi transmise în mod direct altui operator).

În tot cazul, distincţia între aceste trei categorii de date (date furnizate explicit, date observate și date derivate) devina una importantă. Ea poate fi implementată atât prin etichete (tag-uri) care să susţină un proces automatizat de selecţie, dar poate fi inclusă și în registrul operaţiunilor de date întocmit de operator potrivit art. 30. Furnizorul de cloud trebuie însă să fie atent ca, în situaţia în care este împuternicit, să nu decidă el această etichetare, ci doar să pună la dispoziţia clientului său posibilitatea efectuării ei. Furnizorul de cloud împuternicit trebuie să păstreze o abordare neutră, în care el să cunoască cât mai puțin (spre deloc) din datele clienţilor. De altfel, acesta e motivul pentru care registrul operațiunilor ținut de împuterniciți nu trebuie sa includă categoriile de date, ci doar o descriere generala a acestora (art. 30.2.b GDPR).

Metode de a efectua portarea datelor în cazul serviciilor cloud

Articolul 20 GDPR nu impune o formă sau o metodă pentru portarea datelor, singurele cerinţe fiind ca transferul să se facă într-o formă „structurată, utilizată în mod curent și care poate fi citită automat”. Preambulul 68 dezvoltă și prevede că „operatorii de date ar trebui să fie încurajați să dezvolte formate interoperabile care să permită portabilitatea datelor”. Cu alte cuvinte, operatorii nu sunt obligați să asigure compatibilitatea sistemelor lor, ci doar interoperabilitatea. În acest context, pot fi identificate trei metode de portare a datelor:

Interfețele de programare a aplicațiilor (API-uri) sunt de obicei dezvoltate de furnizorul de servicii cloud, ceea ce înseamnă că ele diferă de API-urile altor furnizori. Astfel, clienții care doresc să utilizeze API-uri pentru a extrage date personale din serviciile cloud trebuie să se adapteze API-ului pus la dispoziţie. API-urile sunt avantajoase, deoarece clienții pot extrage date direct de la furnizorii de cloud și nu au nevoie să stocheze temporar datele pe infrastructura proprie. Totuși, API-urile ar putea să nu fie cea mai bună soluţie atunci când portarea se face în mod direct către un furnizor de alt fel de serviciu.

Protocoalele sunt de obicei concepute de o organizație de standardizare în industrie și, prin urmare, sunt acceptate pe scară largă de multe platforme, de cloud și nu numai (de exemplu SMTP, SFTP, IMAP, etc). În acest caz dispare nevoia de adaptare la platforme specifice, ceea ce ar sprijini interoperabilitatea. În mod similar API-urilor, clienții nu au nevoie să stocheze temporar datele pe infrastructura proprie.

O a treia metodă este descărcarea datelor ca un fișier de format utilizat în mod curent (de exemplu .csv, .xml). Această metodă facilitează importarea datelor în alte platforme, însă numai ca acţiune directă a utilizatorului, fără să fie o modalitate de portare direct operator-operator. Ea necesită deci stocarea datelor temporar pe infrastructura proprie a utilizatorului, și în plus se poate dovedi nepractică acolo unde volumul datelor este mare.

Toate cele trei metode sunt deja utilizate pe scară largă pe piață astăzi, fără însă ca acest lucru să însemne că nu pot apărea metode noi. Cert este că portabilitatea datelor necesită un proces automatizat sau semi-automatizat pus la dispoziţie de operator (sau de împuternicit pe seama operatorului), întrucât o operare manuală ar risca să blocheze activitatea operatorului.

Mai merită menţionat că în decembrie 2017 a fost publicat un standard ISO pentru interoperabilitate și portare în serviciile cloud: ISO/IEC 19941:20172, care deși nu este destinat să răspundă cerinţelor GDPR (fiind un standard global), poate fi adaptat pentru a acoperi cerinţele art. 20 GDPR.

Concluzii

Pentru a putea răspunde solicitărilor de portare, furnizorii de cloud trebuie să ia o serie de măsuri importante și posibil costisitoare. Între acestea se numără:

  • să pună la punct mecanisme de selecţie a datelor care intră în domeniul portabilității;
  • să decidă cine și cum face trierea datelor portate pentru a elimina tot ce este excesiv, precum și să decidă cum implică sau anunță persoana vizată referitor la datele excluse;
  • să adopte proceduri prin care să standardizeze procesul de răspuns la cererile de portare;
  • să implementeze mecanisme cât mai automate de efectuare a portării (API, protocol, download direct), preferabil care dau persoanei vizate posibilitatea selectării datelor portate;
  • să implementeze proceduri de identificare corespunzătoare a persoanei vizate și a operatorului destinatar;
  • să implementeze măsuri de securitate a datelor portate, inclusiv izolarea acestora de alte date prelucrate și asigurarea unui canal sigur de transfer;
  • nu în ultimul rând, să poată face distincţia între serviciile puse la dispoziţie clienţilor corporate (aceștia fiind operatori) și cele puse la dispoziţia clienţilor persoane fizice (caz în care furnizorul de cloud este operator).

Trebuie menționat că încălcarea dreptului la portabilitatea datelor se încadrează în palierul cel mai sever de sancțiuni, astfel că potrivit articolului 83 alineatul 5(b) GDPR operatorilor le pot fi impuse amenzi administrative de până la 20.000.000 EUR sau până la 4 % din cifra de afaceri globală în exercițiul financiar anterior, oricare este mai mare. Concomitent, persoana fizică vătămată prin neefectuarea portării poate angaja răspunderea solidară a operatorului şi împuternicitului (furnizorul de cloud), solicitând acoperirea prejudiciului dovedit. Aceste riscuri, precum şi prejudiciul reputaţional aferent, ar trebui să fie motive clare pentru a implementa măsuri tehnice de efectuare a portării, chiar dacă sunt costisitoare.

Referințe:

1 –  IAPP-EY AnnualPrivacyGovernance Report 2017, pag. 19, disponibil la https://iapp.org/media/pdf/resource_center/IAPP-EY-Governance-Report-2017.pdf  

(accesat ianuarie 2018).

2 – Disponibil la https://www.iso.org/standard/66639.htm

Acest articol a fost publicat în ”Ghidul Practic GDPR” din cadrul Catalogului Cloud Computing, ed. A 8-a, București, martie 2018, pag. 56-60. 

Advertisements
%d bloggers like this: