ABUZUL DE CONSIMȚĂMÂNT, LA FEL DE PERICULOS CA ȘI ABSENȚA ACESTUIA

Atingerea unui nivel optim de conformitate GDPR, care să ne pună la adăpost de orice inconveniente legate de prelucrarea de date personale, este controlată de câteva concepte cheie, care trebuie înțelese și puse corect în practică. Unul dintre cele mai importante este consimțământul.

Consimțământul, bată-l vina!

Multe dintre problemele de conformitate pe care le au astăzi operatorii de date personale sunt legate de consimțământ…  Cerut prea des și când nu trebuie de către unii, greșit înțeles de către alții și de-a dreptul ignorat de toți cei care folosesc butonul de ”DA” obligatoriu pe bara de Cookies, consimțământul este unul dintre conceptele GDPR care pune la grea încercare aplicarea principiului responsabilității.

Și de aici și belele care apar și vor continua să dea bătăi de cap celor care ignoră spiritul GDPR. După 3 ani și jumătate încă aud prea des că obținerea consimțământului este o frână în calea dezvoltării, o capcană pentru business-ul dezvoltat pe legile pieței libere, o aberație în calea binevoitorilor care vor să ne facă bine cu forța. Dacă acceptăm, suntem niște vizionari. Dacă refuzăm, suntem niște ignoranți.

E greu pentru unii de înțeles că noțiunea de consimțământ în raport cu prelucrarea datelor personale nu este o noutate cu care a venit GDPR. Despre chestia asta se vorbește și în vechea Directivă 46 din 1995, transpusă la noi prin Legea 677 din 2001, și în vechea Directivă despre ePrivacy, transpusă la noi prin Legea 506 din 2004, sau în Art.8 din Carta Drepturilor Fundamentale ale UE:

Articolul 8 Protecția datelor cu caracter personal (1) Orice persoană are dreptul la protecția datelor cu caracter personal care o privesc. (2) Asemenea date trebuie tratate în mod corect, în scopurile precizate și pe baza consimțământului persoanei interesate sau în temeiul unui alt motiv legitim prevăzut de lege. Orice persoană are dreptul de acces la datele colectate care o privesc, precum și dreptul de a obține rectificarea acestora.

Cu ce vine nou GDPR referitor la Consimțământ? În primul rând cu o redefinire a acestuia în raport cu mijloacele tot mai sofisticate de colectare, apoi cu câteva reguli de care trebuie să ținem cont atunci când îl solicităm, dar mai ales cu obligativitatea de a demonstra existența acestui consimțământ.

De ce e periculos abuzul de consimțământ?

consent 1Revenind la sentința din titlu, în mod clar, folosirea abuzivă a consimțământului ca temei legal este la fel de periculoasă ca și absența acestuia. O să mă întrebați:” Și ce e rău în faptul că încercăm să ne blindăm cu cât mai multe argumente că prelucrarea pe care o facem este legală?” Un argument în plus, nu strică niciodată, cu condiția să am nevoie de el, să fie o justificare reală, nu una prefabricate, de complezență, gen: ”lasă să am și o hârtie cu consimțământul, că nu strică niciodată”. Vestea proastă este că, uneori chiar poate să strice. Cum asta? În primul rând prin faptul că alegerea consimțământului ca și temei legal atunci când nu este cazul, ne lasă descoperiți prin prisma principiului legalității prelucrării, prin neluarea în considerarea a adevăratului temei legal, care poate fi un contract, o normă sau chiar interesul vital.

Un alt pericol apare atunci când persoana vizată apelează la dreptul de retragere a consimțământului. În această situație trebuie să fim în stare să ne demonstrăm responsabilitatea și să răspundem solicitării cu maximum de promptitudine, chiar dacă asta ne costă resurse de timp și oameni prețioase.

Până acum majoritatea analiștilor considerau că legitimul interes este temeiul legal cel mai fiabil, că avem nevoie de argumente solide pentru susținere în fața persoanei vizate care poate oricând justifica refuzul pentru anumite tipuri de procesări pentru bunul motiv că drepturile și libertățile individuale sunt mai importante decât legitimul nostru interes… Devine clară nevoia de a extinde necesitatea unei analize de evaluare a ”legitimității legitimului interes” de tip LIA și asupra Consimțământului. Avem sau nu avem nevoie de acordul persoanei vizate?

Fapte, nu vorbe…

Și pentru că am promis că lăsăm teoria deoparte, haideți să vedem niște exemple concrete de solicitare ”nelegitimă” a consimțământului, în condițiile în care avem alte temeiuri legale care prevalează:

  • Un departament de Resurse Umane solicită angajaților acordul pentru un anumit tip de prelucrare a datelor personale care are acoperire legală atât prin prevederile din Codul muncii, cât și prin Contractul de muncă. Acordul pentru prelucrare în activitatea de HR e necesar doar pentru prelucrarea de date personale până în momentul semnării contractului, și doar atunci când diferitele solicitări nu sunt justificate de o prevedere legală.
  • O clinică privată solicită consimțământul pentru acoperirea serviciilor medicale. Nu are nevoie de asta. Actul medical în sine este acoperit de Legea 46/2003, care stabilește drepturile pacientului de a decide cu privire la serviciile medicale. Consimțământul poate fi solicitat la registratura unei policlinici doar atunci când este prima oară când mergem acolo, înainte de întocmirea unei fișe de pacient și doar pentru scopuri de comunicare pentru stabilirea primelor programări. Un pacient odată înregistrat într-un sistem nu este nevoit să își mai dea acordul decât pentru probleme foarte special, precum anumite tipuri de intervenții ce solicit și aprobarea familiei.
  • Cele mai frecvente situații de consimțământ abuziv sunt legate de prezența online. Sunt site-uri care condiționează completarea unui formular online sau descărcarea unei resurse gratuite de aprobarea Politicii de Confidențialitate. Nu are sens să cer acordul pentru o politică stabilită de companie și publicată pe site. Tot ce trebuie să fac este să informez vizitatorul online de existența acestei politici. Să știe că există o Politică prin care eu îmi asum responsabilitatea pentru ceea ce procesez și prin care încerc să-mi demonstrez conformitatea. Cu totul altă situație este să solicit acordul pentru respectarea unor Termeni și Condiții, care de asemenea sunt afișate pe site și care reglementează interacțiunea dintre noi, ca posesor al paginii web și vizitatorii acestuia.
  • Tot un abuz de consimțământ este și condiționarea navigării pe un site de acceptarea folosirii de Cookies, în condițiile în care vizitatorul nu are altă opțiune decât butonul de Accept și nicio altă posibilitate de a închide bara de Cookies care acoperă o mare parte din ecran. Am tot scris despre asta și nu mai insist aici… E greu să mai punem un buton de Renunțare alături? Măcar renunțați la fraza stupidă ”Continuarea navigării pe acest site reprezintă acordul dvs. pentru folosirea de cookies”.
  • Un alt domeniu în care folosirea consimțământului este prost înțeleasă este marketingul direct. Mulți blamează GDPR pentru restrângerea dramatică a posibilităților de abordare a unor prospecți, fără să înțeleagă faptul că mai există și alte legi care guvernează această activitate, precum ePrivacy sau că există și alte modalități de a intra în contact cu un posibil client, perfect legale și folosite cu mult înainte de apariția și propagarea marketingului digital.
  • Avem nevoie deci de un consimțământ atunci când trimit o scrisoare către un client, având un subiect care nu iese din sfra de interes a relațiilor de business existente? Condiționarea oferirii unui serviciu gratuit de acceptarea întregului set de comunicări de marketing este total greșită. La fel cum și greșite sunt meniurile granulare, în care opțiunea de acceptare apare ca pre-setată. E un consent pe care încercăm să îl obținem forțat, profitând de neatenția sau graba utilizatorului de a obține accesul la o resursă dorită.
  •  În fine, un ultim exemplu extras dintr-o discuție recentă pe grupul GDPR Ready. Mulțumiri lui Florin Pătrașcu pentru deschiderea acestei discuții și pentru activitatea dinamică de pe Grup și lui Ștefan Gabriel Iancu pentru răspunsurile oferite. Este vorba de recepția unei multinaționale unde echipa de pază și securitate deține un Registru special pentru Consimțământul colectiv, privitor la prelucrarea datelor din cărțile de identitate ale vizitatorilor. Pe lângă faptul că oricine își completează datele în acel registru are acces la datele tuturor care au intrat înaintea lui, existența acestei proceduri este o absurditate, în condițiile în care evidența pentru toate serviciile de identificare sau/și control la intrarea unor incinte protejate este justificată prin Normele Metodologice din 11 aprilie 2012, privind aplicarea Legii nr. 333/2003 privind paza obiectivelor, bunurilor, valorilor și protecția persoanelor.          

Și putem continua cu alte exemple la fel de concludente. Ce este bine să reținem din toate astea? Că trebuie să ne gândim de două ori înainte de a stabili ca singur temei legal deținerea acordului persoanei vizate. De multe ori nu consimțământul este adevăratul temei legal, iar acordul deținut nu este relevant sau acoperitor pentru toate tipurile de procesare a datelor personale.

În practică, cel mai dificil lucru este să dovedim existența consimțământului și să nu putem face asta, pentru că nu e procedurat. Cum am obținut acordul persoanei vizate? În ce scop? L-am folosit doar pentru ce l-am solicitat? Am informat persoana vizată despre dreptul de renunțare la consimțământ? Cum punem toate astea în aplicare în mod efectiv? Și mai ales, cum putem demonstra toate astea dacă nu avem un registru de evidență a activităților care reclamă consimțământ? De toate aceste subiecte și multe alte chestiuni practice ne ocupăm în cadrul sesiunilor de workshop GDPR Masterclass.