Rezumatul avizului Autorității Europene pentru Protecția Datelor privind „Răspunsul la provocările Big Data: O chemare la transparență, controlul utilizatorului, protecția datelor începând cu momentul conceperii și responsabilizare”

(Textul integral al prezentului aviz poate fi consultat în EN, FR și DE pe site-ul AEPD www.edps.europa.eu)

„Dreptul de a fi lăsat în pace este într-adevăr începutul tuturor libertăților” (1).

Big Data, dacă se practică cu simț de răspundere, pot aduce beneficii și randamente importante pentru societate și persoanele fizice, nu numai în domeniul sănătății, al cercetării științifice, al protecției mediului, ci și în alte domenii specifice. Însă există o serie de preocupări serioase în legătură cu impactul efectiv și posibil al prelucrării unei foarte mai cantități de date asupra drepturilor și libertăților persoanelor fizice, inclusiv asupra dreptului lor la confidențialitate. Așadar, provocările și riscurile legate de Big Data impun o protecție a datelor mai eficientă.

Tehnologia nu ar trebui să ne dicteze valorile și drepturile, dar în același timp nici promovarea inovației și păstrarea drepturilor fundamentale nu ar trebui să fie percepute ca incompatibile. Noile modele economice ce exploatează noi capacități pentru culegerea în masă, transmiterea instantanee, combinarea și reutilizarea datelor cu caracter personal în scopuri neprevăzute au supus principiile de protecție a datelor unor noi presiuni, motiv pentru care este necesară analizarea detaliată a modului în care ele sunt aplicate.

Legea europeană a protecției datelor a fost dezvoltată pentru a ne apăra drepturile și valorile fundamentale, inclusiv dreptul nostru la confidențialitate. Se pune problema nu dacă ar trebui aplicată legea protecției datelor în cazul Big Data, ci mai degrabă cum trebuie ea aplicată într-un mod inovator în medii noi. Principiile noastre actuale de protecție a datelor, inclusiv transparența, proporționalitatea și limitarea la scop, asigură linia zero de care vom avea nevoie pentru a ne apăra mai dinamic drepturile fundamentale în universul Big Data. Totuși, ele trebuie completate cu „noi” principii care s-au dezvoltat cu trecerea anilor, cum ar fi responsabilitatea și confidențialitatea începând cu momentul conceperii și implicită. Se preconizează că pachetul de reformă UE în domeniul protecției datelor va consolida și moderniza cadrul de reglementare (2).

UE intenționează să sporească la maximum creșterea și competitivitatea prin exploatarea Big Data. Însă Piața Unică Digitală nu poate importa fără critici tehnologiile bazate pe date și modelele economice care au devenit o realitate economică în alte zone ale lumii. În schimb, trebuie să dea dovadă de capacitate de conducere în dezvoltarea unei prelucrări responsabile a datelor cu caracter personal. Internetul a evoluat astfel încât supravegherea – urmărirea comportamentului oamenilor – este considerată ca fiind modelul de venituri indispensabil pentru unele dintre cele mai de succes companii. Această evoluție impune o evaluare critică și o căutare de alte opțiuni.

În orice caz, și indiferent de modelele economice alese, organizațiile care prelucrează volume mari de date cu caracter personal trebuie să respecte legea privind protecția datelor, aflată în vigoare. Autoritatea Europeană pentru Protecția Datelor (AEPD) consideră că dezvoltarea responsabilă și sustenabilă a Big Data trebuie să se bazeze pe patru elemente esențiale:

În ceea ce privește transparența, persoanelor fizice trebuie să li se ofere informații clare despre datele care vor fi prelucrate, inclusiv datele observate sau deduse cu privire la acestea; trebuie să fie mai bine informate despre modul și scopul în care sunt folosite datele lor, inclusiv despre logica folosită în algoritmi pentru a determina ipoteze și predicții despre acestea.

Controlul utilizatorilor va fi de ajutor în asigurarea unei capacități mai mari a persoanelor fizice de a detecta mai ușor părtinirile injuste, de a contesta greșelile. Va fi de ajutor în prevenirea utilizării secundare a datelor în scopuri care nu corespund așteptărilor lor legitime: Cu o nouă generație de control al utilizatorilor, persoanele fizice vor putea face, după caz, o alegere mai veritabilă și mai bine informată și se vor putea bucura de posibilități mai mari de a utiliza mai bine datele lor personale.

Niște drepturi de acces puternice, de portabilitate a datelor și de acces la mecanisme eficiente de excludere ar putea servi ca o premisă în vederea acordării utilizatorilor a unui control mai mare asupra datelor lor și ar putea, de asemenea, să contribuie la dezvoltarea de noi modele economice și la o utilizare mai eficientă și mai transparentă a datelor personale.

Prin includerea protecției datelor în conceptul sistemelor și proceselor lor și prin reglarea protecției datelor pentru a permite o transparență și un control al utilizatorilor mai veritabile, controlorii responsabili vor fi capabili și să beneficieze de avantajele Big Data, asigurându-se în același timp că demnitatea și libertățile persoanelor sunt respectate.

Protecția datelor este însă numai o parte a răspunsului. UE trebuie să pună la dispoziție într-un mod mai coerent instrumentele moderne disponibile, inclusiv în materie de protecție a consumatorului, antitrust, cercetare și dezvoltare, pentru a asigura măsuri de protecție și alegeri pe piață unde serviciile benefice pentru confidențialitate pot progresa.

Pentru a răspunde provocărilor Big Data, trebuie să permitem inovația și în același timp să apărăm drepturile fundamentale. Acum depinde de companiile și de celelalte organizații care depun multe eforturi pentru a găsi căi inovatoare de utilizare a datelor cu caracter personal, care, cu aceeași atitudine inovatoare, să pună în aplicare legislația privind protecția datelor.

Folosindu-se de contribuțiile anterioare aduse de academii și de multe autorități de reglementare și părți interesate, AEPD dorește să stimuleze o nouă discuție deschisă și informată în interiorul și în exteriorul UE, implicând mai mult societatea civilă, proiectanții, companiile, academicienii, autoritățile publice și autoritățile de reglementare pentru a afla cum să folosească cel mai bine potențialul creator în domeniu pentru a aplicarea legii și apărarea confidențialității și a drepturilor fundamentale cât mai bine posibil.

Pentru a răspunde provocărilor Big Data, trebuie să permitem inovația și în același timp să apărăm drepturile fundamentale. Pentru a reuși acest lucru, principiile stabilite de legea europeană privind protecția datelor ar trebui păstrate, însă aplicate după norme metodologice diferite.

Negocierile privind Regulamentul general de protecție a datelor se află în stadiile finale. Le-am solicitat legiuitorilor UE să adopte un pachet de reformă în domeniul protecției datelor care să consolideze și să modernizeze cadrul de reglementare astfel încât să rămână eficient în era Big Data prin sporirea încrederii persoanelor fizice în mediul online și în Piața Unică Digitală (3).

În Avizul 3/2015, însoțit de recomandări pentru textul complet al regulamentului propus, am explicat foarte clar că principiile noastre actuale în materie de protecția datelor, inclusiv necesitatea, proporționalitatea, minimizarea datelor, limitarea scopului și transparența trebuie să rămână principiile esențiale. Acestea oferă ideea de bază, și anume că trebuie să ne apărăm drepturile fundamentale într-o lume Big Data (4).

În același timp, aceste principii trebuie consolidate și aplicate mai eficient și într-un mod mai modern, mai flexibil, mai creativ și mai inovator. De asemenea, ele trebuie completate cu noi principii cum ar fi responsabilitatea și protecția datelor, precum și confidențialitatea începând cu momentul conceperii și implicită.

Transparența crescută, drepturile de acces de netăgăduit și portabilitatea datelor, precum și mecanismele eficiente de excludere ar putea servi ca premise în vederea acordării utilizatorilor a unui control mai mare asupra datelor lor și ar putea, de asemenea, să contribuie la crearea unor piețe mai eficiente pentru datele cu caracter personal, atât în avantajul consumatorilor, cât și în cel al companiilor.

În fine, extinderea obiectului legislației UE privind protecția datelor la organizațiile ce vizează persoane fizice din UE și învestirea autorităților din domeniul protecției datelor cu puterea de a aplica măsuri reparatorii semnificative, inclusiv amenzi eficiente, care ar fi prevăzute de regulamentul propus, vor fi și ele o cerință esențială pentru aplicarea eficientă a legislației noastre într-un context mondial. Procesul de reformă joacă un rol-cheie în acest sens.

Pentru a se asigura că regulile sunt aplicate eficient, autoritățile independente din domeniul protecției datelor trebuie să beneficieze atât de puterile legale și de instrumente puternice, cât și de resursele necesare pentru a-și adapta capacitatea la creșterea activității bazate pe date.

O bună reglementare, deși este esențială, nu este suficientă. Companiile și celelalte organizații care depun multe eforturi pentru a găsi căi inovatoare de utilizare a datelor cu caracter personal, care cu aceeași atitudine inovatoare, să pună în aplicare principiile protecției datelor. În schimb, autoritățile din domeniul protecției datelor ar trebui să pună în aplicare și să recompenseze asigurarea conformității și să evite impunerea unei birocrații inutile.

AEPD, așa cum a fost anunțat în Strategia AEPD 2015-2019, își propune să contribuie la încurajarea acestor eforturi.

Avem intenția de a crea un grup consultativ de etică, extern, compus din personalități distinse și independente cu o experiență combinată în multiple discipline care să poată „explora relațiile dintre drepturile omului, tehnologie, piețe și modelele economice în secolul al XXI-lea”, să analizeze impactul Big Data în profunzime, să evalueze modificările rezultante ale societăților noastre și să ajute la identificarea problemelor care ar trebui supuse unui proces politic (5).

De asemenea, vom dezvolta un model de politici de informare onestă pentru organele UE, care să ofere servicii online ce pot contribui la cele mai bune practici pentru toți controlorii.

În fine, vom facilita și discuții, de exemplu în vederea identificării, încurajării și promovării celor mai bune practici pentru a spori transparența și controlul utilizatorilor și pentru a explora oportunitățile de depozite de date cu caracter personal și portabilitate a datelor. AEPD intenționează să organizeze un atelier de Protecție a Big Data pentru factorii de decizie și persoanele care manipulează volume mari de date cu caracter personal din instituțiile UE și din rândul experților externi și să identifice problemele în care este necesară îndrumare specifică suplimentară și să faciliteze lucrul Rețelei Tehnice de Confidențialitate pe internet („IPEN”), ca nucleu de cunoștințe interdisciplinar pentru ingineri și pentru experții în confidențialitate.

Adoptat la Bruxelles, 19 noiembrie 2015.

Giovanni BUTTARELLI

Autoritatea Europeană pentru Protecția Datelor

(1) Comisia pentru Servicii Publice împotriva Pollak, 343 U.S. 451, 467 (1952) (judecător William O. Douglas, dezacord).

(2) La 25 ianuarie 2012, Comisia Europeană a adoptat un pachet pentru reformarea cadrului european de protecție a datelor. Pachetul include: (i) o „comunicare” [COM(2012) 9 final]; (ii) o propunere de „regulament general de protecție a datelor” („regulamentul propus”) [COM(2012) 11 final]; și (iii) o propunere de „directivă” privind protecția datelor în domeniul aplicării dreptului penal [COM(2012) 10 final].

(4) Trebuie să rezistăm tentației de a coborî nivelul actual de protecție atunci când încercăm să facem loc nevoii evidente pentru o reglementare mai puțin strictă în ceea ce privește Big Data. Protecția datelor trebuie să se aplice în continuare prelucrării în întregime a acestora, incluzând atât utilizarea datelor, cât și colectarea lor. De asemenea, nu sunt deloc justificate excepțiile generale de prelucrare a datelor pseudonime sau de prelucrare a datelor aflate la dispoziția publicului. Definiția datelor cu caracter personal trebuie să rămână intactă, însă câteva clarificări suplimentare în textul Regulamentului însuși ar fi binevenite. Acesta trebuie, într-adevăr, să cuprindă toate datele legate de orice persoană fizică identificată sau selectată sau care ar putea fi identificată sau selectată – fie de controlorul datelor, fie de orice altă parte.