Iulian MATACHE

Iulian MATACHE este advisor independent cu o experiență de peste 15 ani formată la granița dintre IT şi juridic. Certificărilor CIPP/E şi CIPM ale IAPP li se adaugă experiența în proiecte de audit şi implementare GDPR în companii din domeniul telecom, media, jocuri de noroc, energie și aviație.

 

 

Poate una dintre cele mai dinamice şi cu un înalt grad de digitalizare, industria telecom este confruntata cu provocări născute atât din GDPR, cât şi din interacțiunile Regulamentului cu legislația deja aplicabilă domeniului.

Astfel, dacă GDPR este aplicabil tuturor industriilor, în domeniul comunicațiilor electronice găsim ca lex specialis Directiva 2002/58/EC („ePrivacy Directive”) transpusă în legislația naționala prin Legea 506/2004 privind prelucrarea datelor cu caracter personal și protecția vieții private în sectorul comunicațiilor electronice (cu modificările şi completările ulterioare). De asemenea, se afla în curs de aprobare Regulamentul ePrivacy care va aduce o sporită uniformitate a aplicării reglementarilor europene privind protecția datelor cu caracter personal într-un cadru extins al comunicațiilor electronice incluzând şi operatori OTT (Whatsapp) sau VOIP (Skype).

Intrând în specificitatea provocărilor aduse companiilor de telecom este de menționat faptul că prin natura tehnologiei operatorul este în posesia multor date cu caracter personal cum ar fi: localizarea precisa a utilizatorului, conținutul comunicațiilor, respectiv metadate despre trafic. Aceste date sunt procesate pentru furnizarea serviciului contractat, respectiv pentru operațiuni de optimizare a traficului sau rezolvarea incidentelor semnalate de anumite elemente de rețea. Independent de întemeierea legală a procesării, operatorul este obligat sa minimizeze colectarea şi retenția acestor date atât cât îi permit obligațiile legale sau contractuale.

Este important să înțelegem că un operator de telefonie mobilă reprezintă un organism viu prin care permanent circulă volume impresionante de date. Art. 32 privind securitatea procesării obligă la depunerea unor diligente adecvate riscului asociat datelor procesate. De asemenea, controlul accesului angajaților operatorului la datele cu caracter personal ale clienților trebuie gestionat foarte atent. Nu o dată au fost tentați diverși angajați să utilizeze în scop personal accesul privilegiat la aceste date, acțiuni care au generat reclamații şi sancțiuni disciplinare. Serverele pe care sunt testate diverse aplicații folosind date productive reprezintă risc de scurgeri de date. În astfel de situații se recomandă tratarea datelor cu soluții de data masking, rezultatul fiind echivalentul pseudonimizării.

O zonă de procesare sensibilă o reprezintă calcularea automată a scorului de risc la activarea serviciului, respectiv interogarea sistemului Preventel. Este un fapt cunoscut ca în absența unui istoric privind comportamentul de plată al abonatului, companiile telecom alcătuiesc un profil de risc al acestuia, profil care poate produce efecte juridice precum solicitarea unei plăţi în avans sau constituirea unei garanții, respectiv întreruperea mai devreme sau mai târziu a accesului la servicii. De asemenea, în sistemul Preventel toți operatorii telecom introduc date despre persoanele fizice care nu şi-au îndeplinit obligațiile de plată sau au desfășurat acțiuni fraudulente.

Art. 14(2)g) stipulează obligația operatorului de a prezenta informații privind „existenţa unui proces decizional automatizat incluzând crearea de profiluri, menționat la articolul 22 alineatele (1) şi (4), precum şi, cel puțin în cazurile respective, informații pertinente privind logica utilizată şi privind importanţa şi consecințele preconizate ale unei astfel de prelucrări pentru persoana vizată.” Ceea ce implică transparentizarea algoritmilor de scoring în Nota de Informare, obligație dificil de transpus în practică.

În plus, va fi interesant de urmărit exercitarea drepturilor persoanelor vizate, în special dreptul la rectificare sau ștergere în legătura cu sistemul Preventel. Profilarea de risc şi implementarea chatbot-ilor / asistenților digitali riscă să dea naștere unor conflicte cu dreptul persoanelor vizate de a nu face obiectul unor decizii automate (Art. 22). Pe acest aspect Grupul de Lucru Art. 29 a luat o poziție şi mai rigidă interpretând dreptul ante menționat ca o obligație a operatorului de a nu desfășura o atare procesare în scopul unor decizii automate, atrăgând critici din partea profesioniștilor din domeniul protecției datelor.

Forma finală a Regulamentului ePrivacy (aflat în prezent în curs de aprobare) va aduce noi obligații pe umerii operatorilor telecom. Va fi în continuare interesant de urmărit modul în care aceștia reușesc să echilibreze cerințele de reglementare cu constrângerile tehnologice şi necesitățile de business.

Acest articol a fost publicat în ”Ghidul GDPR pe Verticale” din cea de-a treia ediție a Catalogului GDPR, Iunie 2018, pag. 61-62.