Decizia nr. 174/2018 a fost emisă de ANSPDCP în aplicarea art. 35 alin. (4) din Regulamentul nr. 679/2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE ("GDPR"), potrivit căruia autoritățile de supraveghere trebuie să publice o listă a tipurilor de operațiuni de prelucrare care fac obiectul cerinței de efectuare a unei evaluări a impactului asupra protecției datelor (evaluare cunoscută și sub acronimul DPIA).
GDPR a introdus o nouă regulă în ceea ce privește obligațiile operatorilor, în virtutea principiului responsabilității. Mai exact, ori de câte ori, o anumită activitate de prelucrare a datelor este susceptibilă să genereze un risc ridicat cu privire la drepturile și libertățile persoanelor vizate operatorii de date cu caracter personal trebuie să efectueze o evaluare a respectivelor riscuri.
GDPR nu definește clar ce înseamnă operațiuni / tipuri de prelucrări cu risc ridicat pentru drepturile și libertățile persoanelor vizate, ci furnizează doar niște exemple de activități de prelucrare cu risc ridicat. De altfel, o definiție care să acopere în mod exhaustiv tipurile de activități de prelucrare cu risc ridicat ar fi mai degrabă inoportună, având în vedere complexul peisaj al activităților de prelucrare a datelor cu caracter personal care, în plus, cunoaște o evoluție continuă cu pași foarte alerți.
Cazurile pentru care DPIA este obligatorie
Decizia nr. 174/2018 stabilește 7 cazuri în care DPIA este obligatorie:
a) prelucrarea datelor cu caracter personal în vederea realizării unei evaluări sistematice și cuprinzătoare a aspectelor personale referitoare la persoane fizice, care se bazează pe prelucrarea automată, inclusiv crearea de profiluri, și care stă la baza unor decizii care produc efecte juridice privind persoana fizică sau care o afectează în mod similar într-o măsură semnificativă;
c) prelucrarea datelor cu caracter personal având ca scop monitorizarea sistematică pe scară largă a unei zone accesibile publicului, cum ar fi supravegherea video în centre comerciale, stadioane, piețe, parcuri sau alte asemenea spații;
e) prelucrarea pe scară largă a datelor cu caracter personal prin utilizarea inovatoare sau implementarea unor tehnologii noi, în special în cazul în care operațiunile respective limitează capacitatea persoanelor vizate de a-și exercita drepturile, cum ar fi utilizarea tehnicilor de recunoaștere facială în vederea facilitării accesului în diferite spații;
g) prelucrarea pe scară largă și/sau sistematică a datelor de trafic și/sau de localizare a persoanelor fizice (cum ar fi monitorizarea prin Wi-Fi, prelucrarea datelor de localizare geografică a pasagerilor în transportul public sau alte asemenea situații) atunci când prelucrarea nu este necesară pentru prestarea unui serviciu solicitat de persoana vizată.
- Lista activităților de prelucrare propusă de autoritate nu este exhaustivă; astfel, chiar dacă anumite activități de prelucrare nu se vor regăsi pe lista inclusă în Decizia nr. 174/2018, operatorii trebuie, în continuare, să facă o analiză, de la caz la caz, pentru a stabili dacă pentru operațiunile lor de prelucrare sunt necesare evaluările de tip DPIA. Pentru a facilita acest demers, operatorii trebuie să țină, în continuare, cont de orientările / recomandările incluse în "Ghidul privind evaluarea impactului asupra protecției datelor (DPIA) și stabilirea dacă o prelucrare este 'susceptibilă să genereze un risc ridicat' în sensul Regulamentului 2016/679 (WP 248, revizuit)", adoptat de Grupul de lucru Articolul 29 în data de 4 octombrie 2017 și aprobat de Comitetul European pentru Protecția Datelor (CEPD), cel puțin până la momentul la care un ghid nou/un ghid revizuit nu va fi emis de CEPD;
Art. 1 alin. (1) lit. f) din Decizia nr. 174/2018 impune obligația de efectuare a DPIA pentru orice tip de "prelucrare pe scară largă a datelor generate prin intermediul dispozitivelor cu senzori care transmit date prin Internet sau alte mijloace [...]" (subl. ns.). Termenul alte mijloace lipsește această prevedere din decizie de predictibilitatea care ar trebui să caracterizeze orice act normativ. Ca atare, aici pot fi anticipate în continuare dezbateri în ceea ce privește modul de aplicare a acestui caz prevăzut de deciziei;
- Decizia nr. 174/2018 prevede și o excepție de la obligația efectuării DPIA, respectiv: atunci când prelucrarea este efectuată în temeiul art. 6 alin. (1) lit. (c) sau (e) din GDPR (i.e.(obligație legală sau interes public sau exercitarea autorității publice) ce are la bază legislația UE sau românească pentru care deja s-a efectuat o evaluare a impactului asupra protecției datelor ca parte a unei evaluări generale a impactului în contextul adoptării actelor normative respective (regulă statuată, de altfel, și de GDPR).
Ca atare, operatorii trebuie să fie atenți că, deși există o obligație legală care le impune prelucrarea datelor, aceștia ar putea fi totuși nevoiți să facă o DPIA, dacă o astfel de analiză nu a fost efectuată în procesul de legiferare.