EVOLUȚII ALE REGLEMENTĂRILOR de protecția datelor la nivel european

De Mugurel Olariu, RPD protectie date

COMITETUL EUROPEAN PENTRU PROTECȚIA DATELOR (CEPD) a desfășurat în contextul pandemiei COVID -19 o serie de cinci ședințe plenare online în luna Aprilie la datele de 3, 7, 14, 21 și 241, având ca rezultat și adoptarea a două Ghiduri, respectiv:
Ghidul nr. 3/2020 privind prelucrarea datelor de sănătate în scop de cercetare științifică în contextul pandemiei Covid-19
Prin acest Ghid, CEPD a urmărit clarificarea aspectelor privind utilizarea datelor de sănătate, în special asigurarea drepturilor persoanelor vizate, temeiul legal al prelucrării, utilizarea ulterioară a datelor în scop de cercetare științifică, precum și sub aspectul transferului de date în state terțe sau organizații internaționale.

În rezumat, prezentăm principalele constatări ale acestor orientări:
1. RGPD oferă reguli speciale pentru prelucrarea datelor de sănătate în scopul cercetării științifice care sunt aplicabile și în contextul pandemiei COVID-19.
2. Legiuitorul național al fiecărui Stat Membru poate adopta legi specifice în temeiul articolului (9) (2) (i) și (j) RGPD pentru a permite prelucrarea datelor de sănătate în scopuri de cercetare științifică. Prelucrarea datelor de sănătate în scopul cercetării științifice trebuie să fie, de asemenea, acoperită de una dintre bazele legale din articolul 6 alineatul (1) RGPD. Prin urmare, condițiile și întinderea pentru astfel de prelucrări variază în funcție de legile adoptate de Statul Membru.
3. Toate legile adoptate în temeiul articolului 9 alineatul (2) literele (i) și (j) RGPD trebuie interpretate în funcție de principii în conformitate cu articolul 5 RGPD și ținând cont de jurisprudența CEJ. În special, derogări și limitări în ceea ce privește protecția datelor prevăzute la art 9 alineatul (2) litera (j) și articolul 89 alineatul (2) RGPD trebuie să se aplice numai în măsura în care este strict necesar.
4. Având în vedere riscurile de prelucrare în contextul focarului de COVID-19, trebuie evidențiat să fie respectat cu articolul 5 alineatul (1) litera (f), articolul 32 alineatul (1) și articolul 89 alineatul (1) RGPD. Trebuie să fie evaluat dacă trebuie efectuată o Evaluare de Impact asupra Protecției Datelor în conformitate cu articolul 35 RGPD.
5. Perioadele de stocare (termene) trebuie să fie stabilite și trebuie să fie proporționale. Pentru a defini astfel de perioade de stocare ar trebui luate în considerare, criterii precum durata și scopul cercetării. Dispozițiile naționale pot stabili reguli cu privire la perioada de stocare și prin urmare, trebuie luate în considerare.
6. În principiu, situațiile curente ca focarul COVID-19 nu suspendă sau restricționează posibilitatea persoanelor vizate de a-și exercita drepturile în conformitate cu articolele 12-22 RGPD. În orice caz, articolul 89 alineatul (2) RGPD permite legiuitorului național să restricționeze (o parte) din drepturile persoanei vizate așa cum este stability în Capitolul 3 din RGPD. Din această cauză, restricțiile drepturilor persoanelor vizate pot varia în funcție de legile adoptate în Statul Membru.
7. În ceea ce privește transferurile internaționale, în absența unei decizii de adecvare în conformitate cu articolul 45 (3) RGPD sau garanțiile corespunzătoare în conformitate cu articolul 46 RGPD, autoritățile publice și entitățile private se pot baza pe derogările aplicabile în conformitate cu articolul 49 RGPD. Cu toate acestea, derogările de la articolul 49 RGPD au doar caracter excepțional 2.

Ghidul nr. 4/2020 privind utilizarea datelor de localizare și a instrumentelor de depistare în contextul pandemiei Covid-19
CEPD urmărește evidențierea condițiilor și principiilor de utilizare proporțională a datelor de localizare în scopul monitorizării răspândirii virusului și a instrumentelor de depistare pentru a anunța persoanele aflate în apropierea altor persoane depistate ca infectate. De asemenea, se subliniază că utilizarea acestor date trebuie să se facă voluntar de fiecare persoană și să nu se ajungă la monitorizarea deplasărilor persoanei respective, iar principiile necesității și proporționalității trebuie să fie respectate în stabilirea măsurilor din această perioadă.
În anexă este furnizat un GHID DE ANALIZĂ A APLICAȚIILOR DE DEPISTARE A CONTACTELOR, care după o secțiune de declinare și un rezumat, definește termenii importanți, respectiv contact, date de localizare, interacțiune, purtător de virus și depistarea contactelor.
În continuare sunt precizate în secțiuni distincte caracteristicile generale, scopurile, caracteristicile funcționale, condiționările privind datele, proprietățile tehnice ale aplicațiilor, cerințele de securitate și respectiv, protecția datelor cu character personal și confidențialitatea persoanelor fizice. În această ultimă secțiune sunt tratate în subsecțiuni separate 17 orientări care privesc o aplicație al cărei unic scop este urmărirea contactelor, 7 principii care se aplică numai atunci când aplicația trimite către server o listă de contacte și 5 principii care se aplică numai atunci când aplicația trimite către un server o listă cu identificatorii proprii. Lumea se confruntă cu o criză importantă de sănătate publică care necesită răspunsuri puternice, ceea ce va avea un impact dincolo de această urgență. Prelucrarea automată a datelor și tehnologiile digitale pot fi componente cheie în lupta împotriva COVID-19. Cu toate acestea, ar trebui să avem în vedere „Efectul clinchet”. Este responsabilitatea noastră să ne asigurăm că fiecare măsură luată în aceste circumstanțe extraordinare este necesară, limitată în timp, de o durată minimă și supusă unei revizuiri periodice și autentică, precum și unei evaluări științifice.
CEPD subliniază că nu trebuie să se aleagă între un răspuns efficient la adresa crizei actuale și protecția drepturilor noastre fundamentale: pot fi realizate ambele, și mai mult principiile de protecție a datelor pot juca un rol foarte important în lupta împotriva virusului. Legea europeană privind protecția datelor – RGPD permite utilizarea responsabilă a datelor cu caracter personal pentru scopuri de gestionare a sănătății, asigurând în același timp că drepturile și libertățile individuale nu sunt erodate în acest proces 3.
Concluzionăm prin aceea că, în perioada pandemiei COVID-19, atât la nivelul organismului European supranațional – CEPD, cât și al autorităților naționale de supraveghere din UE se derulează activități de specialitate pentru clarificarea aspectelor legate de noile forme de manifestare a protecției datelor, respectiv de monitorizare a respectării Regulamentului General privind Protecția Datelor.

———————————————————————————————————-
1 https://edpb.europa.eu/edpb_ro
2 https://edpb.europa.eu/our-worktools/our-documents/guidelines/guidelines-032020-processing-data- concerning-health-purpose_en, paginile 12 – 13.
3 https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-042020-use-location-data-and-contact-tracing_en, paginile 10 – 19.