Cum va afecta noul regulament ePR modul în care gândim și aplicăm GDPR?


Având în vedere relația strânsă dintre Regulamentului general privind protecția datelor (GDPR) și Directiva privind confidențialitatea comunicațiilor electronice (ePrivacy) s-a intenționat ca noul Regulament privind confidențialitatea și comunicațiile electronice – cunoscut și ca ePR să intre în vigoare în aceeași zi cu GDPR în 25 mai 2018. Cu toate acestea, datorită unor multiple activități de lobby și deliberare, proiectul ePR a fost publicat prea târziu (ianuarie 2017) pentru a fi adoptat la timp.

UE s-a concentrat în mare măsură pe adoptarea GDPR și, ca atare, adopția Regulamentului privind confidențialitatea electronică s-a amânat într-o primă fază, pentru a doua jumătate a anului 2019, după care au tot apărut alte amânări.

Pe 10 ianuarie 2017 Comisia Europeană a adoptat documentul ”Propunere de regulament al Parlamentului European și al Consiliului privind respectarea vieții private și protecția datelor cu caracter personal în comunicațiile electronice și de abrogare a Directivei 2002/58 / CE (Regulamentul privind confidențialitatea și comunicațiile electronice)”. Deși toată lumea spera că revizuirea propunerii de regulament va evolua destul de repede, din diferite motive adopția unei versiuni finale, care să fie aprobată de toată lumea, a tot întârziat. În 10 februarie 2021 Comitetul Reprezentativ Permanent a adoptat o versiune pe care a pus-o la dispoziția delegațiilor ca mandat de negociere cu Parlamentul European (Sursa: https://data.consilium.europa.eu). Indiferent când se va ajunge la o formulă finală, toată lumea este interesată în ce măsură noul Regulament ePR va veni în completarea actualei formule a GDPR și care vor fi aspectele care nu țin de protecția datelor personale.

Principiile directoare

Pentru a defini relația generală dintre GDPR și ePR, actuala propunere de regulament supune discuției următoarele principii directoare:

Unele prevederi ale ePR completează GDPR: caz în care se presupune că ePR poate veni cu reguli asemănătoare cu cele din GDPR, dar și cu aspecte care nu se încadrează în același domeniu (de exemplu, valabilitatea reglementărilor privind comunicarea nesolicitată și pentru persoanele juridice). Dar asta poate însemna și că nu se va aplica nicio altă regulă de protecție a confidențialității comunicațiilor electronice, în cazul în care un astfel de articol ePR este absent.

Alte prevederi ePR particularizează GDPR: situație în care ePR funcționează ca ”lex specialis”, ceea ce înseamnă că ori de câte ori normele ePR și GDPR tratează același subiect, se aplică ePR.

În același timp, este important să ne dăm seama că, pe lângă protecția datelor cu caracter personal, protecția datelor de comunicații electronice reflectă în legislația secundară dreptul la respectarea comunicațiilor prevăzut la articolul 7 din Carta dreptului fundamental al Uniunea Europeană.

În recomandările sale, Președinția subliniază că obiectivul general ar trebui să fie îmbunătățirea nivelului de protecție a drepturilor fundamentale, așa cum este stabilit deja de  GDPR și de Directiva 2002/58 / CE privind confidențialitatea și comunicațiile electronice (modificată prin Directiva 2009/136 / CE). În consecință, ePR este propus ca ”lex specialis” pentru GDPR în ceea ce privește prelucrarea datelor cu caracter personal. În ceea ce privește datele persoanelor juridice, GDPR nu se aplică, cu excepția cazului în care ePR prevede în mod specific acest lucru.

Până aici lucrurile par simple, dar implicațiile viitorului Regulament ePR pentru GDPR așa cum îl înțelegem și îl aplicăm acum sunt mult mai complexe, așa că merită să facem o analiză pe textul propunerii, ca să vedem care sunt perspectivele, articol cu articol, ce e nou față de veghea Directivă ePrivacy din 2002 și cum susține sau afectează ePR prevederile GDPR.

De ce e important Regulamentul ePR pentru GDPR?

Regulamentul prevede că „datele comunicațiilor electronice ar trebui definite într-un mod suficient de larg și neutru din punct de vedere tehnologic, astfel încât să cuprindă orice informații referitoare la conținutul transmis sau schimbat … și informațiile referitoare la un utilizator final al serviciilor de comunicații electronice procesate pentru scopuri de transmitere, distribuire sau permiterea schimbului de conținut de comunicații electronice; inclusiv date pentru a urmări și identifica sursa și destinația unei comunicații, locația geografică și data, ora, durata și tipul de comunicare. “

Comunicațiile sunt protejate indiferent dacă datele sunt transmise prin cablu, radio, metode optice sau electromagnetice. Asta înseamnă că datele de comunicație trimise prin sateliți, cabluri, rețele fixe și sisteme de cabluri de electricitate intră sub incidența Regulamentului ePrivacy. E clar de înțeles că, indiferent de modalitatea sau tehnologia de transmitere a acestor comunicații, există o mare probabilitate ca printre datele transmise să fie și date cu caracter personal, generale sau speciale, ceea ce ne aduce în domeniul de aplicare al GDPR.

Toate aceste date comunicate ar trebui să rămână întotdeauna confidențiale și orice interferență cu comunicarea acestor date, fie direct de către un om, fie prin procese automate, fără acordul utilizatorului, este interzisă. Interferența în acest context poate apărea în orice moment în timpul transferului acelor date sau metadate, inclusiv în timpul transmiterii acestora și la destinație. De exemplu, ascultarea apelurilor, scanarea mesajelor electronice, monitorizarea site-urilor web vizitate și monitorizarea interacțiunilor dintre utilizatori constituie o încălcare a regulamentului ePR și în momentul când ne referim la date personale, în completare și la încălcarea GDPR.

Ultima actualizare oficială a Directivei ePrivacy din 2002 s-a făcut în 2009. De atunci, modul în care comunicăm electronic a crescut și s-a schimbat masiv, iar noul regulament este conceput pentru a ține seama de acest lucru și pentru a se asigura că confidențialitatea este menținută.

Din perspectiva GDPR există mai multe aspecte cheie:

Servicii de comunicare și metadate – Astăzi, comunicațiile noastre online se caracterizează prin servicii ”over the top” pe care le folosim în fiecare zi, de multe ori fără să ne dăm seama că asta facem. Să ne gândim la Zoom, WhatsApp, Facebook Messenger, accesarea pe telefon a camerelor de supraveghere  sau serviciile TV pe Internet. Noul ePR intenționează să aducă aceste servicii în sfera normelor UE de protecție a vieții private, pentru a ne asigura că acestea sunt supuse acelorași norme de confidențialitate a comunicațiilor ca și furnizorii tradiționali de telecomunicații. Noul Regulament ePR ar trebui să impună controale de confidențialitate atât pentru conținutul comunicațiilor, cât  și pentru „metadatele” asociate, adică ora unui apel sau locația din care apelăm, ceea ce din punctul de vedere al GDPR poate conduce la identificarea noastră ca persoană, deci, sunt date personale…. Noul regulament ePR va impune ca, în cazul în care utilizatorii nu își dau consimțământul pentru stocare,  aceste metadate să fie anonimizate sau șterse în mod obligatoriu.

Cookie-uri – Un subiect foarte controversat din perspectiva actualei legislații în care regulile referitoare la cookie-uri în vechea directivă sunt destul de ambigue, iar GDPR impune reguli clare de obținere și dovedire a consimțământului. În prezent, majoritatea site-urilor publice și a browserelor actuale au ca setări implicite acceptarea tuturor cookie-urilor, iar ”continuarea navigării presupune acceptarea implicită” a colectării de cookie-uri. Dacă pentru deținătorii site-urilor asta se poate aranja prin introducerea butoanelor auxiliare de refuz sau a posibilității de alegere a tipurilor de cookie-uri colectate, pentru furnizorii de software care permit recuperarea și prezentarea informațiilor pe Internet ar trebui să se impună obligația de a configura software-ul în așa fel, încât browserele să ofere opțiunea de a împiedica terții să stocheze informații pe echipamentul terminal; acest lucru este adesea prezentat ca „respingerea cookie-urilor terților”.

Noua reglementare își propune să faciliteze setările browserului pentru a permite acceptarea generală sau refuzul de urmărire a cookie-urilor și a altor identificatori și va clarifica faptul (acest aspect  e încă destul de controversat și va depinde de legislația fiecărei țări) că nu este necesar consimțământul pentru cookie-urile non-confidențiale care au ca scop îmbunătățirea experienței noastre pe internet (precum cele care ne amintesc istoricul coșului de cumpărături) sau cookie-urile utilizate de un site pentru a număra vizitatorii.

În fine, noul regulament ar trebui să oblige deținătorii de site-uri să se asigure că utilizatorilor li se oferă opțiunea de a stabili politici privind colectarea de cookie-uri, cum ar fi un buton „respinge toate cookie-urile”, sau o posibilitate de selecție care să decidă păstrarea sau respingerea cookie-urilor terților , prezentată într-o formă clar vizibilă și ușor de înțeles. De asemenea, este necesară o acțiune clară, afirmativă din partea utilizatorului, care va trebui să fie oferită utilizatorilor în momentul instalării unui nou software. Foarte important, acelor utilizatori care și-au dat acordul anterior trebuie să li se ofere opțiuni pentru a-și retrage cu ușurință consimțământul la o dată ulterioară.

Cu toate acestea, este încă discutabil dacă acele cookie-uri considerate a fi „non-confidențiale intruzive”, cum ar fi cookie-urile de comerț electronic și salvarea istoricului coșurilor de cumpărături, pe care furnizorii eCommerce ni le recomandă ca parte a unei experiențe îmbunătățite, nu vor fi supuse restricțiilor în temeiul regulamentului. Din perspectiva GDPR, există prezumția legitimă că multe dintre informațiile conținute de coșul de cumpărături pot conduce la identificarea unor caracteristici speciale privind confidențialitatea noastră, precum informații despre igiena personală, tipuri de medicamente, articole tehnico-medicale și altele.

Marketingul și spam-ul – Regulamentul definește marketingul direct ca pe ”orice formă de publicitate prin care o persoană fizică sau juridică trimite comunicări de marketing direct către unul sau mai mulți utilizatori finali, identificați sau identificabili, care utilizează servicii de comunicații electronice.” În plus, ePR s-ar putea să ia în considerare și comunicările trimise de partidele politice sau mesajele trimise de diferite organizații non-profit pentru a sprijini scopurile organizației.

Privind comunicarea nesolicitată prin canale precum e-mail, SMS, MMS, mesagerie instantanee, Bluetooth și mașini de apel automat, orice astfel de comunicare va fi interzisă în lipsa probării unui consimțământ clar, chiar și dacă vizează persoanele juridice, ceea ce nu intra în sfera GDPR. Rămâne de văzut modul în care legile naționale vor întări sau for simplifica aceste reguli. Există țări europene unde se consideră că persoanele ar putea fi protejate fie în mod implicit, fie prin listele existente de tipul „nu apelează” care sunt configurate pentru a preveni proliferarea apelurilor telefonice nesolicitate. Un prefix obligatoriu ar trebui să identifice orice apel telefonic de marketing, pentru ca utilizatorii să aibă o idee clară de la cine primesc comunicări și pentru ași putea retrage consimțământul.

Chiar dacă din perspectiva GDPR consimțământul implicit nu este recunoscut, Regulamentul preia una dintre regulile de bază privind consimțământul statutate de GDPR, precizând că este „justificat să se solicite consimțământul utilizatorului final înainte de expedierea comunicărilor comerciale în scopuri de marketing direct, pentru a asigura o protecție efectivă a persoanele împotriva intruziunii în viața lor privată, precum și interesul legitim al persoanelor juridice.” În fine, în concordanță cu GDPR nu este nevoie de consimțământ atunci când operatorii de date comunică prin email cu persoane sau instituții care sunt deja clienți, pe baza unor relații existente, dar numai pentru domeniul de activitate respectiv și dacă sunt respectate cerințele de comunicare către persoanele vizate impuse de GDPR, precum existența posibilității de renunțare la acest tip de comunicări.

Internetul ”obiectelor” și rețelele publice de Wi-Fi – Avalanșa de date transmise și obținute prin intermediul tuturor echipamentelor cu care ne conectăm la Internet impune adoptarea unor măsuri clare, în condițiile în care toate statisticile arată că aceste tipuri de conexiuni sunt cele mai expuse atacurilor malițioase. Din această perspectivă, regulamentul ePR prevede că: „Transmiterea comunicațiilor de la mașină la mașină implică transmiterea de semnale printr-o rețea și, prin urmare, constituie de obicei un serviciu de comunicații electronice și pentru a promova un Internet al obiectelor de încredere și sigur pe piața unică digitală, este necesar să se clarifice faptul că prezentul regulament ar trebui să se aplice transmiterii comunicațiilor de la mașină la mașină. “

Ceea ce reprezintă un prim pas. Totodată, Rețelele publice Wi-Fi vor fi, de asemenea, supuse reglementării, indiferent de locația lor, de compania care furnizează serviciul sau de metoda în care este furnizat serviciul respectiv. Rețelele private, care nu sunt accesibile publicului, nu sunt supuse Regulamentului ePR. Rămâne în grija companiilor securizarea acelor tronsoane de rețele private accesibile vizitatorilor.

Apariția sancțiunilor pentru încălcări – Desigur că, sancțiuni existau și sub vechea directivă, dar cine își mai  aduce aminte de criteriile folosite? Preluând de la GDPR responsabilizarea operatorilor care încalcă flagrant prevederile ePR, noul regulament stabilește sancțiuni pentru încălcarea articolului 23, care prevede sancțiuni diferite pentru încălcări diferite, dar în mare, aceleași sancțiuni care se aplică în temeiul GDPR se aplică și în temeiul Regulamentului privind confidențialitatea electronică. Sancțiunile variază de la 10.000.000 EUR sau 2% din cifra de afaceri anuală mondială pentru unele încălcări și până la 20.000.000 EUR sau 4% din cifra de afaceri anuală mondială pentru unele încălcări. Așa cum am văzut în multele sutele de sancțiuni anunțate în cei trei ani de GDPR, o sancțiune poate depinde de o serie de factori, cum ar fi amploarea incidentului și dacă s-a produs o încălcare a reglementării ca urmare a unui act deliberat. Aceleași autoritățile de supraveghere GDPR din fiecare țară vor prelua și sarcina de supervizare a activităților care reclamă sancțiuni ePR.

Citiți restul articolului care conține o analiză de detaliu a comparației dintre ePR și GDPR, în Catalogul GDPR, ediția online iunie 2021, paginile 64-83: https://issuu.com/raducrahmaliucgdprready/docs/catalog_gdpr_online