Fluxul liber al datelor fără caracter personal – întrebări și răspunsuri

Pe 29 mai 2019, Comisia Europeană a publicat noi orientări referitoare la interacțiunea dintre fluxul liber al datelor fără caracter personal și normele UE privind protecția datelor.

1.   Care este scopul acestor orientări?

Prin publicarea acestor orientări, Comisia își îndeplinește obligația prevăzută în Regulamentul privind fluxul liber al datelor fără caracter personal (RFLD), și anume de a publica orientări privind interacțiunea dintre acest regulament și Regulamentul general privind protecția datelor (RGPD), în special în ceea ce privește seturile formate atât din date cu caracter personal, cât și din date fără caracter personal. Scopul orientărilor este de a ajuta utilizatorii, în special întreprinderile mici și mijlocii, să înțeleagă interacțiunea dintre cele două regulamente.

În concordanță cu documentele existente referitoare la RGPD elaborate de Comitetul european pentru protecția datelor, aceste orientări vizează să clarifice ce norme se aplică în cazul prelucrării datelor cu caracter personal și ce norme – în cazul datelor fără caracter personal. Orientările oferă o imagine de ansamblu utilă asupra conceptelor centrale de „flux liber de date cu caracter personal” și de „flux liber de date fără caracter personal în cadrul UE”, explicând totodată în termeni practici și cu exemple concrete relația dintre cele două regulamente.

2.   Cui se adresează aceste orientări?

Orientările au o relevanță deosebită pentru întreprinderile private, în special pentru întreprinderile mici și mijlocii, precum și pentru organizațiile și alte entități care prelucrează date în cadrul activităților lor profesionale. Sunt abordate operațiunile de producere, colectare, stocare și transmitere de date sau alte operațiuni de prelucrare a datelor cu și fără caracter personal. Orientările pot fi utile chiar și pentru întreprinderile care prelucrează doar date fără caracter personal, deoarece acestea se referă la situații în care datele ar putea face obiectul cerințelor de localizare sau, în anumite condiții, al normelor de protecție a datelor.

Orientările oferă, de asemenea, asigurări că drepturile cetățenilor la protecția datelor cu caracter personal le sunt întotdeauna respectate, inclusiv atunci când datele lor se regăsesc printre alte tipuri de date, sau că datele lor sunt anonimizate în mod adecvat.

În plus, orientările au o valoare informativă și pentru autoritățile publice, care prelucrează în mod constant date și sunt direct implicate în elaborarea normelor legislative și administrative privind prelucrarea datelor.

3.   Ce teme sunt vizate în orientări?

Pe lângă faptul că ilustrează domeniile de aplicare ale RFLD și RGPD, orientările identifică interacțiunea dintre aceste două seturi importante de norme ale UE, explicându-se interferențele în ceea ce privește fluxul liber de date. În plus, se prezintă conceptele de „date cu caracter personal” și „date fără caracter personal” și se clarifică normele care trebuie aplicate atunci când se prelucrează seturi de date mixte, și anume seturi de date compuse atât din date cu caracter personal, cât și din date fără caracter personal. Documentul explică, de asemenea, noțiunea de portabilitate a datelor și modul în care se aplică aceasta în temeiul celor două regulamentule. În plus, orientările oferă întreprinderilor o imagine de ansamblu asupra codurilor de conduită aplicabile în cazul portării datelor și al schimbării furnizorilor de servicii de prelucrare a datelor și subliniază rolul eforturilor de autoreglementare, cum ar fi codurile de conduită și mecanismele de certificare, în demonstrarea respectării RGPD. Pentru a avea o imagine a modului în care cele două regulamente contribuie la libera circulație a datelor în cadrul UE, orientările explică conceptul de „cerințe de localizare a datelor” în temeiul RFLD, precum și principiul liberei circulații a datelor în temeiul RGPD.

4.   Ce sunt datele fără caracter personal?

Datele fără caracter personal sunt diferite de datele cu caracter personal, astfel cum se prevede în RGPD. Datele fără caracter personal pot fi clasificate în funcție de origine, și anume:

• date care, inițial, nu erau legate de o persoană fizică identificată sau identificabilă, cum ar fi datele privind condițiile meteorologice generate de senzori instalați pe turbine eoliene sau date privind nevoile de întreținere ale echipamentelor industriale sau
• date care au avut inițial caracter personal, dar care au devenit ulterior anonime.

Deși în orientări se oferă mai multe exemple de date fără caracter personal, pentru o mai bună înțelegere se explică și conceptele de „date cu caracter personal”, „date anonimizate” și „date pseudonimizate” și se arată prin ce se deosebesc datele cu caracter personal de cele fără caracter personal.

5.   Ce sunt seturile de date mixte?

În majoritatea situațiilor reale, este foarte probabil ca un set de date să fie compus atât din date cu caracter personal, cât și din date fără caracter personal. Acestea sunt adesea denumite „seturi de date mixte”. Seturile de date mixte reprezintă majoritatea seturilor de date utilizate în economia datelor; acestea sunt colectate de obicei datorită evoluțiilor tehnologice, cum ar fi internetul obiectelor (obiecte conectate la internet), inteligența artificială și tehnologiile care permit analizarea megadatelor.

Exemple de astfel de seturi de date mixte sunt: înregistrările fiscale ale unei societăți comerciale, în care se menționează numele directorului general și numărul său de telefon; datele unei societăți referitoare la problemele informatice care i-au fost semnalate și soluțiile furnizate, compilate pe baza rapoartelor privind incidentele tehnice, datele statistice anonimizate ale unei instituții de cercetare ori datele brute colectate inițial de către aceasta, cum ar fi răspunsurile diferiților respondenți la un chestionar statistic.

6.   Datele cu caracter personal și datele fără caracter personal trebuie prelucrate separat?

Nu, nici RFLD, nici RGPD nu impun obligația de a diviza seturile de date mixte sau de a prelucra separat datele cu caracter personal și datele fără caracter personal. În majoritatea cazurilor, acest lucru ar fi dificil și nepractic, dacă nu chiar imposibil. Prin urmare, orientările explică normele aplicabile, și anume articolul 2 alineatul (2) din RFLD, iar pentru seturile de date mixte:

• RFLD se aplică datelor fără caracter personal din setul de date;
• RGPD se aplică datelor cu caracter personal din setul de date.

În cazul în care partea care cuprinde date fără caracter personal și cea care cuprinde date cu caracter personal sunt indisolubil legate, toate drepturile și obligațiile în materie de protecție a datelor care decurg din RGPD se aplică întregului set de date mixte, inclusiv în cazurile în care datele cu caracter personal reprezintă doar o mică parte din setul de date.

Orientările explică, de asemenea, conceptul de „date indisolubil legate” și oferă exemple practice privind aplicarea normelor menționate anterior.

7.   Există un conflict între cele două regulamente?

Nu există obligații contradictorii impuse de cele două regulamente. În timp ce RGPD prevede norme cu un nivel ridicat de protecție a datelor și prevede libera circulație a datelor cu caracter personal, RFLD prevede fluxul liber al datelor fără caracter personal. Ambele regulamente permit libera circulație a tuturor datelor în cadrul UE.

În plus, RFLD nu conține nicio obligație pentru întreprinderi, iar aspectele practice ale prelucrării datelor fără caracter personal reprezintă o chestiune de alegere pentru fiecare întreprindere în parte. RFLD nu limitează libertatea contractuală a întreprinderilor, permițându-le acestora să își aleagă locul de prelucrare a datelor.

8.   De ce orientările se referă și la activitatea de autoreglementare?

Scopul RFLD este de a permite fluxul liber al datelor fără caracter personal în UE. Diferite grupuri de părți interesate elaborează în prezent coduri de conduită pentru transferul de date și schimbarea furnizorilor de servicii în cadrul relațiilor între întreprinderi, precum și a unor coduri de conduită privind protecția datelor în temeiul RGPD. De asemenea, se desfășoară activități în domeniul certificării de securitate cibernetică a serviciilor de cloud. Astfel, autoreglementarea va permite actorilor de pe piață să fie mai inovativi, să sporească încrederea în domeniile lor și, eventual, să reacționeze mai prompt la schimbările de pe piață.

Sursa: Comunicat de presă al CE  Piața unică digitală: Comisia publică orientări privind fluxul liber al datelor fără caracter personal