Aceste cerințe se aplică operatorilor de distribuție concesionari, furnizorilor de energie electrică și utilizatorilor racordați la rețelele electrice de joasă tensiune, în calitatea acestora de beneficiari ai sistemelor de măsurare inteligentă a energiei electrice.
Potrivit reglementărilor, în cadrul planurilor de implementare a sistemelor de măsurare inteligentă se vor integra numai contoare sau alte echipamente/ dispozitive similare care facilitează furnizarea unor informații detaliate privind consumul de energie, citirea la distanță, dezvoltarea de noi tarife, servicii bazate pe profiluri energetice și capacitatea de a dezactiva de la distanță alimentarea cu energie electrică.
Necesitatea asigurării conformării cu legislația aplicabilă în materia protecției datelor, dar și de a continua activitatea și de asigura funcționalitatea rețelei de distribuție (având în vedere uriașul impact pentru utilizatori) au reprezentat preocupări pentru Grupul de Lucru la nivel european (fostul Art. 29, actualul EDPD), precum si grupul operativ de experți privind rețelele inteligente din cadrul Comisiei Europene.
Odată cu intrarea în vigoare a GDPR, operatorii de distribuție trebuie să ia în calcul și aspecte precum:
- respectarea principiilor de prelucrare (în special minimizarea datelor și limitarea datelor în funcție de scopul utilizării acestora),
- asigurarea protecției datelor începând cu momentul conceperii și în mod implicit (principiile privind privacy by design și privacy by default),
- evaluarea impactului asupra protecției datelor (data protection impact assessment – DPIA), sau
- implementarea și evaluarea periodică a măsurilor de securitate implementate pentru protecția datelor cu caracter personal (prin audituri specializate, teste de penetrare, etc.)
Revenind la cadrul legislativ aplicabil în România, Ordinul 177/2018 reiterează necesitatea îndeplinirii condițiilor privind securitatea și protecția datelor. Mai precis, se menționează că sistemele de măsurare inteligentă implementate trebuie să îndeplinească condițiile pentru asigurarea securității și protecției confidențialității datelor tranzitate cel puțin pentru următoarele aspecte:
- Prevenirea divulgărilor neautorizate;
- Păstrarea integrității datelor;
- Autentificarea eficientă a identității destinatarilor de date cu caracter personal;
- Evitarea întreruperii serviciilor importante din cauza atacurilor la adresa securității datelor cu caracter personal;
- Facilitarea desfășurării de controale corespunzătoare privind păstrarea datelor cu caracter personal stocate sau transmise dintr-un contor;
- Controale corespunzătoare referitoare la acces și perioadele de păstrare;
- Agregarea datelor ori de câte ori nu se solicită date la nivel individual.
În ceea ce privește temeiul legal pentru prelucrare, Ordinul 177/2018 menționează obținerea consimțământului utilizatorului. Deși Ordinul 177/2018 conține prevederi care presupun alinierea cu cerințele GDPR, impunerea preluării acordului utilizatorului pentru prelucrarea datelor de măsurare colectate prin subsistemele de măsurare este discutabilă, nefiind considerat singurul temei de prelucrare, așa cum rezultă din opinia Grupului de Lucru 29 nr. 4/2013 cu privire la analizele de impact aferente contoarelor inteligente.
Astfel, în opinia Grupului de Lucru 29, acordul utilizatorilor va fi necesar în cazul în care datele colectate excedă scopurilor de facturare, detectare a furtului de energie sau pregătire a datelor agregate pentru eficientizarea rețelelor de energie electrică.
În orice caz, impunerea obținerii consimțământului pe plan local va aduce noi provocări în practică pentru asigurarea implementării corecte din perspectiva cerințelor de validitate prevăzute de GDPR.
Articol semnat de Silvia Axinescu, avocat Reff și Asociații și Valentin Bălan