Proba respectării principiilor prelucrării datelor cu caracter personal, cu o privire specială asupra principiului echității
Rezumat
Modificările legislației privind protecția datelor cu caracter personal, în special Regulamentul general privind protecția datelor, au impus operatorului să dovedească respectarea principiilor de prelucrare a datelor cu caracter personal. În cazul unor principii, ușor procedurabile, cum ar fi principul exactității sau principiul reducerii la minim a prelucrării, probele sunt eficiente. În cazul altor principii, printre care și principiul echității, atât respectarea legislației europene, cât și eventuala susținere în instanță a unor probatorii privind acest principiu întâmpină dificultăți. Principiile, în special principiul echității, vor fi analizate din perspectiva practicii administrative și judecătorești.
Studiu publicat în volumul In honorem Corneliu Bîrsan, tomul III, Ed. Hamangiu, 2023, p. 616-624.
§1. Principiul responsabilității – reguli în materia probelor
Regulamentul general privind protecția datelor[1] (în continuare „RGPD” sau „regulamentul”) protejează juridic un drept fundamental printr-o detaliere a procedurilor, dar nu toate principiile de prelucrare a datelor au corelații directe cu anumite proceduri, drepturi și obligații. Acestei reglementări cadru i se adaugă un corpus legislativ format din directive, din documente fără forță juridică obligatorie – (cum ar fi ghidurile și orientările Comitetului European pentru Protecția Datelor), principii de drept și hotărâri ale Curții de Justiție a Uniunii Europene[2]. Legislația Uniunii Europene este pusă în aplicare de instanțele statelor membre, prin proceduri prevăzute de legi naționale. Regula privind sarcina probei este prevăzută în legile naționale, dar Regulamentul general privind protecția datelor (RGPD) are o dispoziție cheie, care constă în reglementarea principiului responsabilității.
Principiul responsabilității prevede că „operatorul [datelor] este responsabil de respectarea [principiilor] și poate demonstra această respectare („responsabilitate”)” [art. 5 alin. (2)]. Considerentul 74 din preambul subliniază răspunderea generală pe care o are operatorul: „ar trebui să se stabilească responsabilitatea și răspunderea operatorului pentru orice prelucrare a datelor cu caracter personal efectuată de către acesta sau în numele său. În special, operatorul ar trebui să fie obligat să implementeze măsuri adecvate și eficace și să fie în măsură să demonstreze conformitatea activităților de prelucrare cu […] regulament[ul], inclusiv eficacitatea măsurilor. Aceste măsuri ar trebui să țină seama de natura, domeniul de aplicare, contextul și scopurile prelucrării, precum și de riscul pentru drepturile și libertățile persoanelor fizice” (s.n.).
Disensiunile de natură juridică și litigiile în care este implicat operatorul, atât în relația cu autoritatea de supraveghere, cât și cu persoanele vizate ori chiar cu persoana împuternicită de operator sunt factori care trebuie să contureze un comportament juridic responsabil.
Principiul echității (fairly/loyale)[3] protecției datelor nu se bucură de o literatură bogată, spre deosebire de principiul legalității, de exemplu, poate și pentru că deciziile autorităților nu se întemeiază pe echitate în mod direct. În acest context, este cu atât mai importantă decizia pe care o avem în vedere în cadrul articolului de față. Este adevărat că temeiul prelucrării datelor este fundamental pentru orice relație dintre operator și persoana vizată și că în unele situații, mai simple de prelucrare a datelor, nu se impune scrutarea respectării principiului echității. De exemplu, în situația unui operator de date cu puțini salariați, cu un număr mic de clienți persoane vizate și fără o activitate pe internet, în special fără utilizarea rețelelor sociale. Așa cum am arătat, există o legătură directă între principiul echității prelucrării datelor și alte principii, în special principiul legalității, transparenței, proporționalității, limitării de scop și exactității[4].
Prezentul articol nu se referă la domeniul dreptului civil, pentru acțiuni în daune[5], ori al dreptului comercial, cum ar fi contractele încheiate între operatori și persoanele împuternicite de aceștia[6].
Respectarea principiului echității de către operatori care sunt instituții sau organisme publice este un subiect distinct ca urmare a naturii prelucrării de date și a obligațiilor operatorului, dar nu se poate îndepărta de la concluziile acestui articol; chiar și cu unele excepții[7], entitățile publice trebuie să respecte principiul echității prelucrării datelor, considerând chiar că acest principiu trebuie analizat cu acribie având în vedere poziția de forță a acestei categorii de operatori. De asemenea, în anumite domenii de activitate, indiferent dacă operatorul este privat sau public, principiul echității trebuie considerat și documentat de către operator; ne referim în acest context la domeniul medical sau bancar în care persoanele vizate au o marjă îngustă de a refuza sau de a-și adapta consimțământul.
Operatorul trebuie să „demonstreze” respectarea principiilor și cu aceasta a întregii legislații privind protecția datelor. Se poate considera că operatorul trebuie să probeze respectarea drepturilor persoanelor vizate, eficacitatea măsurilor tehnice și organizatorice adoptate, inclusiv în situația încălcării securității datelor[8]. Un element important în conturarea asigurării respectării eficacității măsurilor tehnice și organizatorice îl reprezintă Orientările privind art. 25 asigurarea protecției datelor începând cu momentul conceperii și în mod implicit. Orientările consideră că „echitatea este un principiu general, care impune ca datele cu caracter personal să nu fie prelucrate într-un mod dăunător fără justificare, discriminator fără bază legală, neașteptat sau înșelător pentru persoana vizată. Măsurile și garanțiile prin care se pune în aplicare principiul echității sprijină totodată drepturile și libertățile persoanelor vizate, în special dreptul la informare (transparență), dreptul de a interveni (acces, ștergere, portabilitatea datelor, rectificare) și dreptul de a limita prelucrarea (dreptul de a nu face obiectul unor procese decizionale automatizate și nediscriminarea persoanelor vizate în aceste procese)”. Exemple de elemente principale legate de concepere și de protecția implicită menite să asigure echitatea: autonomia, interacțiunea, așteptarea rezonabilă, neexploatarea vulnerabilităților, nediscriminarea, posibilitățile de alegere ale consumatorilor, echilibrul puterii, fără transferul riscurilor de la operator la persoana vizată, eliminarea înșelătoriilor, respectarea drepturilor, caracterul etic, corectitudinea, intervenția umană, algoritmi echitabili. În afara acestora trebuie respectate și dispozițiile art. 32 RGPD care impun un proces pentru testarea, evaluarea și aprecierea periodică a eficacității măsurilor tehnice și organizatorice pentru a garanta securitatea prelucrării. Toate aceste elemente se pot preconstitui probe, pot demonstra conformarea cu RGPD, în situația unui control al autorității de supraveghere.
§2. Trăsăturile principiului echității – eficiența probelor. Distincția față de principiul transparenței
O sancțiune din Franța ne pune în situația de a analiza prin comparație principiul echității față de principiul transparenței, față de care este tributar, poate și datorită unor interpretări ale Comitetului European pentru Protecția Datelor (în formațiunea anterioară, respectiv Grupul de Lucru pentru Art. 29, pe scurt, în continuare, GL29). În orientările sale, GL29 apropie foarte mult echitatea de transparență și chiar o consideră o specie, un element al transparenței.
Analiza unei sancțiuni privind încălcarea art. 5 alin. (1) lit. a), mai precis doar a principiului echității, al cărei emitent este autoritatea de supraveghere a prelucrării datelor din Franța (Commission Nationale de l’Informatique et des Libertés – CNIL), ne poate indica modul de gândire și extragerea unor trăsături pentru realizarea probelor în materia principiului echității[9].
În esență, operatorul prelucra anumite date cu caracter personal și se obliga ca doar o parte dintre acestea (nume, prenume și adresa de email) să fie transferate în cadrul grupului. În realitate, operatorul transmitea mai multe date (adresa poștală, numărul de telefon și numărul copiilor). Autoritatea a făcut o inspecție a site-ului și a modului în care erau prelucrate datele pe site și la sediul operatorului. Una dintre probele menționate în decizie este site-ul, unde operatorul se obliga să nu transfere decât anumite date în cadrul grupului de societăți. Operatorul s-a apărat că principiul echității nu este definit în regulament. A mai susținut că principiul echității poate fi cel mult legat de obligația de transparență, prevăzută la articolul 12 din regulament, pe care, de altfel, consideră că l-a respectat. Abordarea CNIL a fost aceea că principiul echității este un principiu independent și nu poate fi confundat cu principiul transparenței. Autoritatea citează considerentul 60 din preambulul RGPD: „Conform principiilor prelucrării echitabile și transparente, persoana vizată este informată cu privire la existența unei operațiuni de prelucrare și la scopurile acesteia. Operatorul ar trebui să furnizeze persoanei vizate orice informații suplimentare necesare pentru a asigura o prelucrare echitabilă și transparentă, ținând seama de circumstanțele specifice și de contextul în care sunt prelucrate datele cu caracter personal”. Autoritatea de date a considerat că informațiile erau atât imprecise, cât și înșelătoare. Caracterizarea comportamentului operatorului ca fiind inechitabil (neloial) se bazează și pe faptul că persoanele fizice erau informate expres că nicio altă dată cu caracter personal nu va fi transmisă terților. În plan procedural, autoritatea a reținut încălcarea art. 13 și 14 din Regulamentul general privind protecția datelor. Autoritatea a considerat că trimiterea persoanelor vizate să deschidă mai multe linkuri spre avize juridice sau mențiuni privind confidențialitatea nu este de natură să respecte regulamentul, accesul la informație trebuind să fie disponibil imediat, iar persoana vizată să nu fie obligată să caute informațiile[10]. În concret, caracterul imprecis rezultă și din faptul că titlul paginii web, „Protecția datelor bancare”, care apare la subsolul site-ului, evocă date bancare, și nu date cu caracter personal. Cele mai multe dintre persoane nu vor înțelege cu ușurință că făcând clic „pe acest link vor fi redirecționate către politica de confidențialitate a site-ului, care conține informații referitoare la prelucrarea datelor lor personale” ar putea fi informate cu privire la datele personale, pentru că „pentru publicul larg, o parte semnificativă a datelor prelucrate (adresă, număr de copii etc.) nu se încadrează în «date bancare»” (pct. 48 al deciziei).
Faptul că o autoritate de supraveghere a prelucrării datelor cu caracter personal cu reputație pentru sancțiunile sale și motivarea deciziilor (CNIL) alege principiul echității ca temei al sancțiunii trebuie să ne ofere un indiciu cu privire la importanța acestuia. Dar este destul de clară diferența dintre principiul transparenței, mult mai cunoscut, și principiul echității? Îndeobște, trimiterea la art. 12-14 RGPD se face ca la un aspect procedural al principiului transparenței. Așa indică și Orientările privind aplicarea principiului transparenței revizuite în 2018, după punerea în aplicare a RGPD. Cu toate acestea, CNIL se angajează în demonstrarea nerespectării principiului echității cu instrumentele principiului transparenței: orientările menționate, trimiterile la preambul și, în mod concret, nerespectarea art. 12 și a art. 13 RGPD prin felul în care puteau fi consultate informațiile, prin amplasarea linkurilor și prin conținutul acestora[11].
O primă concluzie cu caracter practic pe care o putem extrage din decizia autorității de supraveghere din Franța este că suntem încă la începutul delimitării obiectului, conținutului principiilor RGPD. Nimeni nu contestă că fiecare principiu își are propria individualitate, însă conținutul propriu-zis rămâne să fie delimitat. În al doilea rând, apropierea celor două principii – transparența și echitatea – își face simțită prezența în această decizie. Autoritatea însăși ar fi putut beneficia de un echivoc al enumerării unor principii încălcate și ar fi putut să-și întemeieze decizia atât pe încălcarea principiului echității, cât și pe încălcarea principiului transparenței. Alegerea doar a principiului echității trebuie decelată prin efectele sale, mai ales că, așa cum am amintit, multe dintre argumente fac parte din domeniul principiului transparenței. Autoritatea franceză a încercat prin această decizie să individualizeze principiul echității. Am analizat într-un articol din 2018 unul dintre pilonii principiului transparenței: „modalitatea în care operatorii de date comunică cu persoanele vizate și cum acestea își pot exercita drepturile”[12]. Elemente esențiale din decizia CNIL au de-a face cu această parte a principiului transparenței[13]. În cazul echității, autoritatea subliniază indirect ceea ce este diferit față de transparență: înșelăciunea, faptul că persoanele vizate sunt induse în eroare de anunțul inițial, că vor fi transferate doar anumite date către terți. Totuși, pentru partea de accesibilitate s-ar putea susține opinia că acesta este un argument puternic pentru încălcarea distinctă a principiului transparenței. Deși autoritatea de supraveghere face trimitere la Orientările privind transparența, nici în acest punct nu indică drept temei juridic al răspunderii transparența. Autoritatea a gândit situația global și a constatat că, deși unele elemente de transparență au fost încălcate, această încălcare s-a făcut pentru a ascunde, așadar, pentru a configura răspunderea în baza temeiului încălcării principiului echității. Autoritatea a analizat scopul modului de comunicare al operatorului și a nu a disecat principiile în mod scolastic. În definitiv pentru a reuși înșelăciunea sunt necesare ajustări ale comunicării, accesului la informație și chiar a modulelor cookies.
Deși nu este menționat în decizia analizată, totuși trebuie să considerăm că un element esențial al echității în prelucrarea datelor este caracterul rezonabil al datelor cu caracter personal pe care operatorul le prelucrează și față de care persoana vizată are așteptări legitime. Acest caracter rezonabil va trebui să fie demonstrat de operator, indiferent de temeiul juridic de prelucrare, consimțământ, interes legitim, contract. În acest punct, al caracterului rezonabil, principiul echității se aproprie de principiul proporționalității[14]. Distincția față de proporționalitate provine din faptul că în cazul echității trebuie analizată relația dintre operator și persoana vizată. Operatorul trebuie să aibă în vedere nu doar bifarea unor obligații, trebuie ca în mod real persoanele vizate să-și poată exercita nestingherite drepturile de puterea operatorului, putere care poate fi exercitată și prin modalitățile de comunicare.
Concluzii
Principiul echității trebuie probat de către operatorul de date atât în fața autorității de supraveghere, dar și în cazul unor solicitări ale persoanelor vizate. Metoda de lucru a operatorului, procedurile instituite în cadrul activității acestuia, rolul responsabilului cu protecția datelor sunt elemente care ajută operatorul să probeze respectarea acestui principiu. Dar cel mai important element este relația pe care operatorul o are cu persoana vizată, echilibrul între interesele comerciale și drepturile fundamentale.
Note de subsol
[1] Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) a fost publicat în J.O. L 119 din 4 mai 2016, p. 1-88.
[2] Cu privire la tipologia legislativă în dreptul Uniunii Europene: D.-M. Șandru, Protecția datelor personale: surse legislative, jurisprudențiale și soft law, în P.R. nr. 2/2018, p. 80-90; D.-M. Șandru, Protecția drepturilor fundamentale în Uniunea Europeană în timpul crizei sanitare generate de Covid-19, în Studii și cercetări juridice nr. 2/2022, p. 267-271.
[3] Cu privire la traducerile conceptului, a se vedea D.-M. Șandru, Principiul echității în prelucrarea datelor cu caracter personal, în P.R. nr. 3/2018, p. 57-63 și bibliografia citată acolo (mai ales pentru comparația versiunii române cu cea engleză și franceză), precum și G. Malgieri, The concept of Fairness in the GDPR. A linguistic and contextual interpretation, Proceedings of FAT* ‘20, January 27–30, 2020. ACM, New York, NY, USA disponibil la adresa https://papers.ssrn.com/sol3/papers.cfm?abstract_id=3517264 (pentru comparație extinsă). D. Clifford, J. Ausloos, Data Protection and the Role of Fairness, în Yearbook of European Law, Volume 37, 2018, p. 130-187.
[4] Conceptul de prelucrare echitabilă apare în mai multe documente internaționale, OECD Guidelines Governing the Protection of Privacy and Transborder Flows of Personal Data (2013) și este protejat de reglementările europene de protecție a drepturilor fundamentale, respectiv Convenția pentru apărarea Drepturilor omului și a libertăților fundamentale și Carta drepturilor fundamentale a Uniunii Europene. Pentru comentariul privind Convenția europeană, a se vedea: C. Bîrsan, Convenția europeană a drepturilor omului. Comentariu pe articole, ed. a 2-a, Ed. C.H. Beck, București, 2010.
[5] D.-M. Șandru, Analiza jurisprudenței române privind acordarea de daune morale pentru nerespectarea protecției datelor cu caracter personal, în R.R.D.P. nr. 3/2020, p. 310-323. Pentru o interesantă analiză, în care principiul echității este corelat cu îmbogățirea fără justă cauză, ca un exemplu de inechitate, a se vedea: C. Păun, Caracterul „echitabil” al prelucrării datelor, în Revista Română pentru Protecția și Securitatea Datelor cu Caracter Personal (RRPSDCP) nr. 4/2020, p. 13 și urm.
[6] A se vedea: Regulamentul (UE) 2020/1783 al Parlamentului European și al Consiliului din 25 noiembrie 2020 privind cooperarea între instanțele statelor membre în domeniul obținerii de probe în materie civilă sau comercială (obținerea de probe) (reformare) J.O. L 405 din 2 decembrie 2020, p. 1-39. Portalul european e-justiție: „Obținerea probelor”, https://e-justice.europa.eu/76/RO/taking_of_evidence?init=true.
[7] Se pot identifica probleme în aplicarea principiilor, respectarea temeiurilor de prelucrare și a drepturilor persoanelor vizate: D.-M. Șandru, Protecția datelor în cadrul autorităților și organismelor publice în România, în P.R. nr. 2/2019, p. 30-37.
[8] Comitetul European pentru Protecția Datelor (CEPD), Orientările 4/2019 cu privire la aplicarea art. 25 asigurarea protecției datelor începând cu momentul conceperii și în mod implicit, vers. 2.0, adoptată la 20 octombrie 2020.
[9] Commission Nationale de l’Informatique et des Libertés (CNIL), Délibération SAN-2020-009 du 18 novembre 2020, decizia este disponibilă la adresa https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000042564657. Sancțiunea a fost de 800.000 euro. „Dacă o persoană care s-a abonat la cardul Pass (un card de credit care poate fi atașat unui cont de fidelitate) și dorea să participe la programul de fidelitate, trebuia să bifeze o căsuță în care accepta ca Carrefour Banque să trimită numele său de familie, prenumele și adresa de e-mail la «Carrefour fidélité». Carrefour Banque a indicat în mod expres că nu vor fi transmise alte date. Cu toate acestea, CNIL a reținut că au fost transmise și alte date precum adresa poștală, numărul de telefon și numărul copiilor, deși societatea s-a angajat să nu transmită alte date”. Rezumatul este disponibil la adresa https://www.enforcementtracker.com/ETid-454. Sancțiunea s-a referit și la utilizarea cookies pe pagina web a operatorului, în conformitate cu legea franceză, însă acest aspect nu face obiectul analizei în acest articol.
[10] Grupul de lucru instituit în temeiul articolului 29, Orientări privind transparența în temeiul Regulamentului 2016/679, adoptate la 29 noiembrie 2017 (revizuite și adoptate la 11 aprilie 2018), 17/RO, GL260 rev.01: „În mediul online, utilizarea unei declarații/unui aviz de confidențialitate stratificat(e) va permite persoanei vizate să navigheze la secțiunea specifică din declarația/avizul de confidențialitate pe care dorește să o acceseze imediat, nu să fie nevoită să parcurgă un volum mare de text în căutarea unor aspecte specifice” (pct. 8).
[11] CNIL a sancționat utilizarea unor „formule vagi și nedefinite precum «termenele legale de prescripție aplicabile» sau «conservarea datelor dumneavoastră până la […] variază în funcție de reglementările și legile aplicabile» sau chiar expresiile «cu titlu de exemplu» sau adverbul «în special» pot avea un caracter confuz pentru persoanele în cauză pentru a înțelege amploarea și natura datelor stocate, precum și perioadele de păstrare aplicate acestor date” (pct. 65 din decizie).
[12] D.-M. Șandru, Principiul transparenței în protecția datelor cu caracter personal, în P.R. nr. 4/2018, p. 62 și urm. A se vedea și: D.-M. Șandru, Transparența justiției și protecția datelor cu caracter personal, în R.R.D.E. nr. 2/2022, p. 73-78.
[13] Și Information Commissioner’s Office (ICO), autoritatea de supraveghere din Marea Britanie, are o viziune apropiată, respectiv trăsăturile echității sunt partajate cu transparența. A se vedea: ICO, „Principle (a): Lawfulness, fairness and transparency”, disponibil la adresa https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/data-protection-principles/a-guide-to-the-data-protection-principles/lawfulness-fairness-and-transparency/. Pentru un comentariu, inclusiv prin comparație cu Statele Unite ale Americii (Federal Trade Commission), a se vedea: W.J. Maxwell, The notion of „fair processing” in data privacy law, în C. Castets-Renard (ed.), Quelle protection des données personnelles en Europe?, University of Toulouse, 2015. Și Gianclaudio Malgieri analizează echitatea ca transparență, G. Malgieri, The concept of Fairness in the GDPR…, op. cit.
[14] D.-M. Șandru, Principiul echității în prelucrarea datelor cu caracter personal, op. cit., p. 61.