A. CONCEPT

Ciprian TimofteFoto: Tuca Zbarcea & Asociatii

Organizațiile pot prelucra date cu caracter personal numai dacă identifică un temei legal valid pentru respectiva prelucrare. GDPR enumeră limitativ temeiurile care pot sta la baza prelucrărilor de date cu caracter personal. Interesul legitim este unul dintre acestea.

Întrucât în "era GDPR" consimțământul și-a pierdut mult din aura de ”silver bullet”, organizațiile au devenit tot mai interesate în a utiliza interesul legitim ca temei legal pentru prelucrarea datelor cu caracter personal. Pe bună dreptate, de cele mai multe ori.

Totuși, simpla existență a unui interes legitim nu poate justifica prelucrarea datelor cu caracter personal. Pentru aceasta, este necesar ca interesul legitim să nu fie depășit de interesele sau drepturile și libertățile fundamentale ale persoanelor vizate (art. 6 (1) lit. f) din GDPR).

Prin urmare, organizațiile vor trebui să pună în balanță interesul lor legitim de a efectua prelucrarea, pe de o parte, și dreptul la viață privată al persoanelor vizate, pe de altă parte. Prelucrarea va putea fi realizată doar dacă "balanța" înclină pentru interesul legitim al organizației. Altfel spus, organizațiile vor trebui să efectueze o evaluare a interesului legitim (legitimate interest assesment – LIA).

B. CÂND TREBUIE EFECTUATĂ ȘI DOCUMENTATĂ LIA?

Articolul 6 (1) lit. f) din GDPR impune organizațiilor să se asigure că interesul lor legitim nu este depășit de interesele sau drepturile și libertățile fundamentale ale persoanelor vizate. Prin urmare, o analiză de tipul LIA (în sensul de a pune în balanță interesul legitim cu drepturile persoanelor vizate) va trebui efectuată în toate cazurile.

Se ridică totuși o întrebare: va trebui fiecare LIA documentată sau formalizată în vreun fel? Autoritatea din UK (Information Commissioner’s Office – ICO) consideră că principiul responsabilității prevăzut de GDPR ar impune ca LIA să fie documentată în toate cazurile.

Pe de altă parte, GDPR nu prevede vreo obligație de a documenta LIA. Dacă ar fi dorit-o, GDPR ar fi spus-o expres, așa cum a făcut, de pildă, pentru obligația de a documenta evaluarea impactului asupra protecției datelor (data protection impact assessment – art. 35 din GDPR).

De aceea, cred că problema trebuie nuanțată. Fără îndoială, documentarea LIA reprezintă o bună- practică pentru organizații. Mai mult, pentru prelucrările complexe sau intruzive, aș zice că documentarea LIA devine stringentă și necesară. Nu cred însă că se impune documentarea LIA și pentru prelucrările total nesofisticate, pentru care balansul dintre interesul legitim și drepturile persoanelor vizate transpare în mod facil, intuitiv.

Spre pildă, dacă o organizație decide implementarea unui sistem de monitorizare prin GPS a flotei de autovehicule, documentarea LIA va fi cel mai probabil necesară. Aceasta întrucât vorbim de prelucrarea unui volum relativ mare de date, date intruzive (date de geo-localizare, date privind conduita în trafic etc.), persoane vulnerabile (salariații organizației), precum și consecințe potențial negative pentru persoanele vizate (e.g. inițierea unei proceduri disciplinare).

La polul opus, documentarea LIA nu ar trebui să fie necesară pentru situația în care, spre pildă, organizația utilizează datele de contact ale reprezentantului partenerului comercial pentru diverse corespondențe legate de executarea contractului. În acest caz, întrucât vorbim despre o intruziune minimă în viața privată a persoanelor vizate (volum redus de date, date neintruzive, așteptarea rezonabilă a reprezentantului de a fi contactat etc.), îndeplinirea cerințelor privind testul balanței transpare în mod natural și intuitiv din caracteristicile prelucrării.

C. CARE ESTE STRUCTURA UNEI LIA?

În mod tipic, LIA are trei părți: 1. Descrierea interesului legitim, 2. Fundamentarea necesității, și 3. Fundamentarea proporționalității (care include și măsurile de salvgardare).

C.1. Descrierea interesului legitim

Această secțiune va descrie sintetic interesul legitim urmărit de organizație.

De cele mai multe ori, interesul legitim aparține operatorului (organizației care va prelucra datele). Se poate însă ca interesul legitim să aparțină și unei terțe persoane (e.g. companiei-mamă din grupul operatorului) sau chiar unei comunități sau industrii (e.g. constituirea unor baze de date comune – de tipul birourilor de credit, ce profită industriei bancare).

Interesul legitim trebuie să fie întotdeauna legal; nu vorbim de interes legitim atunci când scopul prelucrării este contrar legii sau bunelor moravuri (e.g. monitorizarea unui angajat cu scopul de a-l șantaja ulterior).

De asemenea, interesul legitim trebuie să fie specific (caracterizat); colectarea de date cu scopul (generic) de a le prelucra pentru asigurarea bunăstării organizației nu reprezintă un interes legitim suficient de caracterizat.

C.2. Fundamentarea necesității

Această secțiune va releva motivele pentru care prelucrarea datelor cu caracter personal servește scopului/ scopurilor urmărit(e).

Legat de fundamentarea necesității, trebuie reținute următoarele:

  • Prelucrarea nu trebuie să fie absolut indispensabilă pentru realizarea scopului, dar nici nu poate fi doar utilă sau convenabilă.
  • Dacă scopul urmărit poate fi atins prin mijloace de prelucrare mai puțin intruzive, de regulă se vor utiliza respectivele mijloace. Prin excepție, deși organizația a identificat mijloace mai puțin intruzive, acestea nu vor fi utilizate dacă ar implica eforturi disproporționate pentru organizație.

C.3. Fundamentarea proporționalității

C.3.1. Criterii pentru fundamentare

Reprezintă partea cea mai complexă și sensibilă a unei LIA. În esență, secțiunea va trebui să fundamenteze echilibrul dintre interesul legitim al organizației și drepturile persoanelor vizate.

Pentru evaluarea unui atare echilibru, se vor avea în vedere diverse criterii, cum ar fi:

(i). Natura și volumul datelor prelucrate

Organizațiile vor trebui să se întrebe: Prelucrăm date sensibile/ intruzive (e.g. date speciale în sensul art. 9 din GDPR, date privind situația financiară/ fiscală, identificatori etc.)? Dar volume mari de date? Combinăm seturi de date?

În cazul unor răspunsuri afirmative la aceste întrebări, cel mai probabil se va impune instituirea unor măsuri de salvgardare/ sporire a garanțiilor pentru viața privată a persoanelor vizate.

(ii). Așteptările persoanelor vizate cu privire la prelucrare

Pentru a determina dacă persoanele vizate se așteaptă la prelucrarea datelor acestora de maniera preconizată, printre altele, organizațiile vor putea lua în considerare tipul de date prelucrate, raportul organizației cu persoanele vizate, frecvența interacțiunii dintre organizație și persoanele vizate, natura serviciului/ prelucrării etc. Bunăoară, angajații tehnici din cadrul unui prestator de servicii pot anticipa în mod rezonabil că CV-urile lor vor fi transmise potențialilor clienți ai prestatorului cu prilejul unor oferte. Prin contrast, respectivii angajați nu ar putea previziona că datele din CV-uri vor fi transmise unor parteneri comerciali ai prestatorului pentru ca respectivii parteneri să transmită angajaților comunicări comerciale personalizate.

(iii). Potențialul impact asupra persoanelor vizate

De multe ori, prelucrările preconizate nu afectează persoanele vizate de o manieră semnificativă. Mai mult, în anumite cazuri prelucrările pot chiar produce consecințe pozitive pentru persoanele vizate. De exemplu, o monitorizare CCTV poate acționa nu doar în avantajul organizației, dar și al persoanelor vizate (e.g. permițând identificarea autorului unui furt).

Există însă și situații când prelucrarea este de natură să afecteze sau să prejudicieze persoanele vizate. Am în vedere, spre pildă, situația unei profilări în contextul unor campanii de marketing care ar avea ca efect excluderea din audiență sau, după caz, transmiterea unor oferte mai oneroase pentru anumite categorii de persoane (de exemplu, cazul profilărilor în funcție de locația reședinței, bazate pe predicția că locuitorii din anumite zone ale unei țări/ oraș au o situație financiară mai bună/ un risc de neplată a serviciului mai mic față de locuitorii altor zone).

În stabilirea potențialului impact al prelucrărilor asupra persoanelor vizate, vor putea fi avute în vedere, printre altele, și natura datelor prelucrate (risc crescut în cazul unor date sensibile), tipul de prelucrări realizate (risc crescut în cazul unor prelucrări complexe sau atipice, de tipul profilării descrise mai sus sau a prelucrărilor combinând seturi mari de date), tipul de persoane vizate (risc crescut în cazul minorilor sau a altor persoane vulnerabile), consecințele care ar putea fi incidente în cazul accesului neautorizat al terților la datele prelucrate etc.

(iv). Potențialul impact asupra organizației

Organizațiile vor trebui să aibă în vedere: care ar fi consecințele/ potențialul impact (prejudicii, riscuri semnificative etc.) dacă prelucrarea nu ar avea loc?

Relevante în acest sens ar putea fi și industriile în care activează organizațiile. Spre pildă, industriile reglementate (e.g. financiar-bancar, telecom) ar putea justifica o intruziune mai mare în viața privată a persoanelor vizate, în special pentru a evita riscurile sistemice și de contaminare. De multe ori în aceste situații chiar legislația specială poate impune organizațiilor implementarea unor politici/ proceduri adecvate pentru prevenirea fraudelor și incidentelor de neplată.

C.3.2. Măsuri de salvgardare

Ca urmare a aplicării criteriilor sus-enunțate, organizațiile ar putea ajunge la concluzia că interesul lor legitim este întrucâtva debalansat de dreptul la viață privată al persoanelor vizate. În acest caz, se va impune implementarea unor măsuri de contra-balansare, așa-numitele „măsuri de salvgardare”.

Desigur, măsurile de salvgardare vor varia de la caz la caz, în funcție de criteriile care au determinat debalansarea interesului legitim. Printre altele, organizațiile ar putea lua în considerare implementarea următoarelor măsuri de salvgardare:

(i). Limitarea tipurilor de date prelucrate – de exemplu, în cazul raportării unor date negative într-o bază comună de risc constituită la nivelul unui grup de entități, alternativ raportării cuantumului/ vechimii datoriilor restante s-ar putea lua în considerare raportarea unor nivele de risc (de tipul, Scăzut/ Ridicat/ Mare/ Fraudă).

(ii). Limitarea și calibrarea cazurilor de prelucrare a datelor (în special când prelucrările produc efecte negative). În exemplul de la pct. (i) de mai sus, raportarea unor date negative (e.g. neplata unor datorii) ar putea avea loc doar în cazul în care cuantumul datoriei depășește un anumit prag.

(iii). Creșterea transparenței prelucrărilor – În exemplul de la pct. (i) de mai sus, raportarea unor date negative numai după notificarea persoanei vizate cu privire la intenția de raportare.

(iv). Limitarea perioadei de retenție a datelor.

(v). Sporirea mecanismelor de exercitare a drepturilor persoanelor vizate (cum ar fi implementarea unor mecanisme de exercitare facilă a drepturilor, de exemplu în format digital).

(vi). Restricționarea accesului la date (privilegii de acces limitate, chiar și în rândul personalului relevant).

(vii). Utilizarea tehnicilor de anonimizare, agregare a datelor, privacy by design etc.

D. RECOMANDĂRI

Indiferent de tipul de interes legitim pe care îl invocă, atunci când efectuează/ documentează o LIA, organizațiile ar trebui:

(i). Să fie obiective: LIA presupune înainte de toate o analiză tehnico-juridică privind posibilitatea invocării interesului legitim ca temei pentru prelucrare, deci un exercițiu obiectiv. O LIA pro-causa/ formală ar putea aduce un fals confort și ar putea expune organizația în cazul unei investigații sau a unor obiecții din partea persoanelor vizate.

(ii). Să sporească măsurile de salvgardare: în cazul unor măsuri de salvgardare multiple, vor spori și argumentele ce susțin atenția acordată vieții private și prelucrării datelor cu bună-credință, ceea ce ar putea constitui un factor decisiv pentru înclinarea balanței spre interesul legitim al organizației.

(iii). Dacă rezultatul LIA este negativ, organizațiile ar trebui să identifice un alt temei pentru prelucrarea datelor. Dacă prelucrarea a fost inițiată, organizațiile ar trebui să înceteze prelucrarea.

(iv). Dacă rezultatul LIA este neconcludent (în sensul identificării unui echilibru fragil interes legitim vs. drepturile persoanelor vizate), organizațiile ar putea lua în considerare efectuarea unei evaluări a impactului asupra protecției datelor (data protection impact assessment – art. 35 din GDPR).

(v). În orice caz, organizațiile ar trebui să revizuiască LIA periodic sau ori de câte ori se modifică condițiile de prelucrare avute inițial în vedere.

Un articol semnat de Ciprian TIMOFTE, Managing Associate al Țuca Zbârcea & Asociații