După trei ani și jumătate de la adopția GDPR încă mai sunt o serie de subiecte care ridică probleme de înțelegere și interpretare. Lipsa de răspunsuri clare sau sfaturi emise în lipsă de cunoaștere pot genera situații care conduc la neconformitate față cerințele GDPR. Iată un astfel de subiect, întrebările pe care le generează și răspunsurile avizate: Adresele de e-mail ca date cu caracter personal și prelucrarea acestora în conformitate cu Regulamentul nr. 2016/679

Pentru ca totul să fie clar, să începem cu ce înțelege GDPR prin ”date personale”. Art. 4, alineatul (1) din Regulament, definește ca „date cu caracter personal” orice informație referitoare la o persoană fizică identificată sau identificabilă.

Ce se înțelege prin ”persoană identificabilă”? Rămânând la aceeași sursă de definiție, ”o persoană fizică identificabilă este cea care poate fi identificată, direct sau indirect, în special prin raportare la un identificator.”

Să recunoaștem, teoretic sună destul de alambicat, dar să vedem ce înseamnă asta în realitate, focalizând discuția către o categorie de date personale care intervine destul de mult în fluxurile de prelucrare a datelor din orice companie: adresele de email, ca date personale. Și aici, încă persistă dilema dacă un anumit tip de adresă reprezintă date personale și, implicit intră sub incidența GDPR și trebuie să avem mare grijă de ele sau nu se încadrează în definiția de mai sus, și atunci nu ne mai batem capul cu ele…

Haideți să le luăm pe rând:

Adrese impersonale sau care conțin elemente generice

Putem considera o adresă de email care nu conține niciun element de identificare de tipul ”apusdesoare123@gmail.com” ca data cu caracter personal? Dar o adresă care conține un nume destul de comun, pe care îl pot avea sute sau chiar mii de persoane, ca de exemplu: ”ionionescu@gmail.com”?

Cum spuneam, definiția dată noțiunii de date personale în acceptul GDPR e destul de largă. Pentru a stabili dacă o adresă de e-mail se încadrează la date cu caracter personal, trebuie făcută o evaluare pentru a vedea dacă adresa de e-mail se referă la o persoană fizică, identificată sau identificabilă, prin toate mijloacelor care pot fi utilizate în mod rezonabil de către operator pentru identificarea persoanei fizice.

Pentru exemplele de mai sus, chiar și pentru o adresă aparent impersonală precum ”apusdesoare123@gmail.com” , chiar în absența identificatorilor direcți, GDPR consideră că o adresă de e-mail se referă la o persoană fizică și trebuie să fie încadrată la date cu caracter personal atunci când este combinată cu alte date (de exemplu, o adresă de domiciliu sau o adresă IP).

Lucrurile sunt mult mai evidente pentru cazul în care o adresă de e-mail utilizează identificatori direcți ai unei persoane, exemplul nostru ”ionionescu@gmail.com” putând fi încadrat cu ușurință la datele cu caracter personal care intră în domeniul de aplicare al GDPR..

Adresele de serviciu

Pot fi considerate adresele de email de serviciu, precum ”ionionescu@compania.ro” ca date personale pe care trebuie să le protejăm cu cea mai mare atenție, deși este o adresă de e-mail publică, ce apare tipărită pe cărțile de vizită sau care poate fi găsită și pe Internet? Dar o adresă de email de tipul ”office@compania.ro” ?

Considerentul 14 al GDPR clarifică faptul că Regulamentul nu se aplică prelucrării datelor cu caracter personal care vizează persoane juridice, inclusiv numele și forma persoanei juridice și datele de contact ale persoanei juridice. O adresă de e-mail a unei persoane juridice, precum ”office@compania.ro” nu intră în sfera de aplicare a Regulamentului. Cu toate acestea, datele personale ale angajaților persoanei juridice, inclusiv adresele lor de e-mail profesionale precum ”ionionescu@compania.ro”  intră în sfera de aplicare a Regulamentului.

Divulgarea adreselor de e-mail către terți

Dacă un operator de date personale, să zicem un magazin online, a obținut adresa de e-mail ”apusdesoare123@gmail.com” împreună cu o adresă poștală a clientului și un număr de telefon prin intermediul unui formular de înregistrare online, și vrea să dea doar această adresă unui terț (cum ar fi un serviciu de monitorizare a preferințelor consumatorilor), dar fără alte date personale suplimentare, care dintre următoarele versiuni e cea corectă?

• Adresa de e-mail intră la categoria de date cu caracter personal și, prin urmare, nu poate fi separată de alte date cu caracter personal și trimisă către o terță parte fără acordul clientului, chiar dacă adresa de e-mail în sine nu permite identificarea persoanei vizate.
• Adresa de e-mail de acest tip nu e considerată ca dată cu caracter personal și poate fi furnizată unei terțe părți chiar și fără acordul clientului.

După cum s-a văzut mai sus, prelucrarea de către un operator a unei adrese de e-mail, cum ar fi ”apusdesoare123@gmail.com” care poate, împreună cu alte date aflate în posesia sa, să fie legată de o persoană fizică intră sub incidența GDPR și o astfel de adresă de e-mail poate fi dezvăluită către terți numai în conformitate cu normele de protecție a datelor, adică informarea și consimțământul persoanei vizate. Conform cu Art. 6, alineatul (1) litera (a) din Regulamentul nr. 2016/679, prelucrarea datelor cu caracter personal este legală numai dacă persoana vizată și-a dat consimțământul.

În plus, Directiva 2002/58 privind prelucrarea datelor cu caracter personal și protecția vieții private în sectorul comunicațiilor electronice (cunoscută și ca ePrivacy), modificată prin Directiva 2009/136 din noiembrie 2009 stabilește reguli suplimentare pentru trimiterea materialelor de marketing pe adresele de e-mail.

Sfatul nostru

Indiferent cât de absurde sau de birocratice par măsurile de protecție a datelor personale care se referă la prelucrarea adreselor de email, trebuie să acordați maximă atenție punerii în aplicare a tuturor măsurilor tehnice și operaționale pentru protecția acestor date. Chiar daca adresele de email de serviciu sunt publice, le avem postate pe site, adică ceea ce mulți consideră (împreună cu telefonul, adresa companiei, etc) date personale B2B, asta nu înseamnă că trebuie să avem mai puțină grijă de ele.

Sursa: Parlamentul European, Răspunsul dat de Comisarul European Vera Jourová în numele Comisiei Europene (21 februarie 2018), la întrebările adresate Comisiei de către Richard Sulik (ECR) (22 noiembrie 2017) Question for written answer E-007174/17 to the Commission Richard Sulík (ECR)