În cadrul Plenarei Comitetului European pentru Protecția Datelor, desfășurată online în data de 21 aprilie 2020 s-au adoptat, în principal, următoarele documente:
I. Ghidul nr. 3/2020 privind prelucrarea datelor de sănătate în scop de cercetare științifică în contextul pandemiei Covid-19
Prin acest Ghid s-au urmărit mai multe deziderate, printre care: lămurirea aspectelor privind utilizarea datelor legate de sănătatea persoanelor vizate; temeiul legal al prelucrărilor de date personale; utilizarea ulterioară a datelor în scop de cercetare științifică, inclusiv sub aspect transfrontalier; asigurarea protecției drepturilor persoanelor vizate.
GDPR oferă reguli speciale pentru prelucrarea datelor de sănătate în scopul cercetării științifice care sunt aplicabile și în contextul pandemiei COVID-19. Articolul 4 din GDPR nu implică o definiție explicită a „prelucrării în scopuri științifice cercetare„. Cu toate acestea, cunoaștem deja că orice prelucrare a datelor cu caracter personal privind sănătatea trebuie să respecte principiile referitoare la prelucrare prevăzute la articolul 5 GDPR și să se întemeieze pe unul dintre temeiurile legale și derogările specifice enumerate la articolul 6 și la articolul 9 GDPR pentru prelucrarea legală a acestei categorii speciale de date personale.
Ghidul reiterează faptul că consimțământul persoanei vizate, colectat în conformitate cu articolul 6 alineatul (1) litera (a) și articolul 9 alineatul (2) litera (a) din GDPR, poate furniza o bază legală pentru prelucrarea datelor referitoare la sănătate în contextul epidemiei COVID-19. Însă, trebuie menționat că toate condițiile pentru consimțământul explicit, în special cele care se regăsesc în articolul 4 alineatul (11), articolul 6 alineatul (1) litera (a), articolul 7 și articolul 9 alineatul (2) litera (a) din GDPR trebuie să fie îndeplinite. În mod special, consimțământul trebuie să fie dat în mod liber, specific, informat și lipsit de ambiguitate și trebuie făcut printr-o declarație sau „acțiune afirmativă clară”.
Așa cum se menționează în considerentul 43 din GDPR, consimțământul nu poate fi considerat dat în mod liber dacă există un dezechilibru clar între persoana vizată și operatorul de date personale. Prin urmare, este important ca o persoană vizată să nu fie presată/constrânsă în vreun mod și să nu sufere vreun dezavantaj dacă decide să nu își dea consimțământul. Îndrumări suplimentare, în special pe tema consimțământului explicit, pot fi găsite în liniile directoare ale consimțământului exprimate de Grupul de lucru ”Articolul 29”.
În privința momentului în care trebuie anunțată persoana vizată de prelucrarea datelor sale personale (atunci când datele personale nu au fost obținute direct de la persoana vizată), articolul 14 alineatul (3) litera (a) GDPR prevede că operatorul furnizează informațiile „într-o perioadă rezonabilă după obținerea datelor personale, dar cel târziu în termen de o lună, având în vedere circumstanțele specifice în care datele personale sunt prelucrate ”.
Referitor la excepțiile de la regula de mai sus, articolul 14 (5) din GDPR prevede patru excepții de la obligația de informare. În curent context, scutirea în temeiul articolului 14 (5) litera (b) („se dovedește imposibilă sau ar implica o efort disproporționat ”) și (c) („obținerea sau dezvăluirea este prevăzută în mod expres de legislația Uniunii sau a statelor membre ”).
Cele mai importante linii directoare furnizate de acest Ghid sunt:
1. Legiuitorul național al fiecărui stat membru poate adopta legi specifice în temeiul articolului 9 (2) (i) și (j) din GDPR pentru a permite prelucrarea datelor de sănătate în scopuri de cercetare științifică. Prelucrarea datelor de sănătate în scopul cercetării științifice trebuie să fie, de asemenea, întemeiată pe una dintre bazele legale din articolul 6 alineatul (1) GDPR. Prin urmare, condițiile și întinderea pentru astfel de operațiuni de prelucrare variază în funcție de legile adoptate ale statului membru.
2. Toate legile adoptate în temeiul articolului 9 alineatul (2) literele (i) și (j) din GDPR trebuie interpretate în funcție de principiile cuprinse în articolul 5 din GDPR și ținând cont de jurisprudența CJUE. În plus, derogări și limitări în ceea ce privește protecția datelor prevăzute la articolul 9 alineatul (2) litera (j) și articolul 89 alineatul (2) din GDPR trebuie să se aplice numai în măsura în care este strict necesar.
3. Având în vedere riscurile de prelucrare în contextul focarului de COVID-19, evidențiem faptul că trebuie să fie respectat articolul 5 alineatul (1) litera (f), articolul 32 alineatul (1) și articolul 89 alineatul (1) din GDPR. Mai mult, trebuie făcută o analiză dacă se impune realizarea unei evaluări DPIA în conformitate cu articolul 35 GDPR.
4. Termenele de stocare trebuie să fie stabilite și trebuie să fie proporționale. În acest scop ar trebui să fie luate luate în considerare perioade de stocare, durata și scopul cercetării, etc. Dispozițiile naționale pot stabili reguli cu privire la perioada de stocare.
5. În principiu, situațiile ca focarul curent COVID-19 nu suspendă sau restricționează posibilitatea persoanelor vizate de a-și exercita drepturile în conformitate cu articolele 12-22 GDPR. În orice caz, articolul 89 alineatul (2) din GDPR permite legiuitorului național să restricționeze (o parte) din drepturile persoanei vizate așa cum este stabilit în capitolul 3 din GDPR. Din această cauză, restricțiile drepturilor persoanelor vizate pot varia în funcție de legile adoptate în statul membru.
6. În ceea ce privește transferurile internaționale, în absența unei decizii de adecvare în conformitate cu articolul 45 (3) din GDPR sau garanțiile corespunzătoare în conformitate cu articolul 46 din GDPR, autoritățile publice și entitățile private se pot baza pe derogările aplicabile în conformitate cu articolul 49 din GDPR. Cu toate acestea, derogările de la articolul 49 din GDPR au un caracter excepțional.
II. Ghidul nr. 4/2020 privind utilizarea datelor de localizare și a instrumentelor de depistare în contextul pandemiei Covid-19
Ghidul reamintește că există două surse principale de date de localizare disponibile pentru modelarea răspândirii virusului și eficacitatea generală a măsurilor de izolare:
- date privind localizarea colectate de furnizorii de servicii de comunicații electronice (cum ar fi operatorii de telecomunicații) în timpul prestării serviciului lor; și
- date despre locație colectate de aplicațiile furnizorilor de servicii ale societății informaționale ale căror funcționalități necesită utilizarea acestor date (de exemplu, servicii de navigație, transport, etc).
Datele privind locația colectate de la furnizorii de comunicații electronice pot fi prelucrate în mod obligatoriu în temeiul articolelor 6 și 9 din Directiva e-Privacy (Directiva 2002/58/CE a Parlamentului European și a Consiliului din 12 iulie 2002 privind prelucrarea datelor cu caracter personal și protecția vieții private în sectorul comunicațiilor electronice). Înseamnă că aceste date pot fi transmise autorităților sau altor terți numai dacă au fost anonimizate de furnizor sau, pentru date care indică poziția geografică a echipamentului terminal al unui utilizator, care nu sunt date despre trafic, cu acordul prealabil al utilizatorilor.
Atunci când este vorba de utilizarea datelor despre locație, trebuie să se acorde întotdeauna preferință prelucrării datelor anonimizate, mai degrabă decât a datelor cu caracter personal. Din aceste considerente și nu numai, editorii de aplicații de urmărire a locației persoanelor vizate ar trebui să țină seama de următoarele criterii:
- Utilizarea unei astfel de aplicații trebuie să fie strict voluntară. Nu trebuie să se condiționeze accesul și exercitarea vreunor drepturi garantate de lege. Persoanele fizice trebuie să dețină controlul complet asupra datelor lor în orice moment și ar trebui să poată alege liber să utilizeze o astfel de aplicație.
- Aplicațiile de urmărire a locației pot exprima un risc ridicat pentru drepturile și libertățile persoane fizice și, de aceea, este necesară o evaluare a impactului asupra protecției datelor care să fie efectuată înainte de dezvoltarea acestor aplicații.
- Informații despre apropierea dintre utilizatorii aplicației pot fi obținute fără localizarea acestora. Acest tip de aplicație nu are nevoie și, prin urmare, nu ar trebui să implice utilizarea de date despre locație.
- Când un utilizator este diagnosticat ca fiind infectat cu virusul SARS-Cov-2, numai persoanele cu care utilizatorul a fost în contact strâns în perioada de retenție, relevantă epidemiologic pentru urmărirea contactelor, trebuie informate.
- Funcționarea acestui tip de aplicație poate necesita, în funcție de arhitectura aleasă, utilizarea unui server centralizat. Într-un astfel de caz și în conformitate cu principiile de minimizare a datelor și data by design, datele prelucrate de serverul central ar trebui limitate la minim.
- Când un utilizator este diagnosticat ca fiind infectat, informații despre contactele sale apropiate anterioare sau identificatorii difuzați de aplicația utilizatorului pot fi colectate numai cu acordul utilizatorului. Trebuie stabilită o metodă de verificare care să permită constatarea că persoana este într-adevăr infectată fără ca utilizatorul să fie identificat propriu-zis. Din punct de vedere tehnic, acest lucru ar putea fi realizat prin alertarea contactelor numai în urma intervenției unui specialist în sănătate, de exemplu prin utilizarea unui cod special unic.
- Informațiile stocate pe serverul central nu trebuie să permită operatorului să identifice utilizatorii diagnosticați ca fiind infectați.
- Aplicația nu trebuie să transmită utilizatorilor informații care să le permită deducerea identității sau diagnosticul celorlalți. Serverul central nu trebuie să identifice utilizatorii, nici să ofere date de unde se pot deduce informații despre ei.
Avocat Gherasim Andrei-Gheorghe