Aspecte legale în lucrul cu Big Data Nicolae Sfetcu 30.06.2019 Sfetcu, Nicolae, "Aspecte legale în lucrul cu Big Data", SetThings (30 iunie 2019), DOI: 10.13140/RG.2.2.22989.38889, URL = https://www.setthings.com/ro/aspecte-legalein-lucrul-cu-big-data/ Email: nicolae@sfetcu.com Acest articol este licențiat Creative Commons Attribution-NoDerivatives 4.0 International. Pentru a vedea o copie a acestei licențe, vizitați http://creativecommons.org/licenses/by-nd/4.0/. Utilizarea Big Data prezintă probleme juridice semnificative, în special din punctul de vedere al protecției datelor. Cadrul juridic existent al Uniunii Europene, bazat în special pe Directiva nr. 46/95/CE și Regulamentul general privind protecția datelor cu caracter personal, oferă o protecție corespunzătoare. Dar, pentru Big Data este necesară o strategie cuprinzătoare și globală. Evoluția în timp a fost de la dreptul de a exclude pe alții la dreptul la controlul propriilor date și, în prezent, la regândirea dreptului la identitate (digitală). Colectarea și agregarea datelor în Big Data nu sunt supuse reglementărilor privind protecția datelor, datorită noilor perspective privind confidențialitatea, cu posibilitatea apariției unor forme specifice de discriminare. În 2014, în raportul Podesta s-a concluzionat că "analizele Big Data au potențialul de a eclipsa protecția drepturilor pe termen lung în ceea ce privește modul în care informațiile personale sunt utilizate în locuințe, pentru credite, ocuparea forței de muncă, sănătate, educație." (European Economic and Social Committee 2017) Rezultă că sunt necesare noi modalități specifice de protecție a cetățenilor, deoarece cadrul juridic, chiar dacă este teoretic aplicabil, nu pare să ofere o protecție adecvată și deplină. GDPR Regulamentul UE privind protecția datelor 2016/679 (General Data Protection Regulation, "GDPR") se ocupă de protecția datelor și viața privată a persoanelor din Uniunea Europeană și Spațiul Economic European. Abordează în mod special exportul de date cu caracter personal în afara zonelor UE și SEE. GDPR intenționează să simplifice mediul de reglementare prin unificarea reglementării în cadrul UE. (European Parliament 2016) GDPR se aplică în două cazuri pentru prelucrarea datelor cu caracter personal (a) accesare de bunuri sau servicii contra cost de persoane din UE, sau (b) monitorizarea comportamentului lor în cadrul UE. Astfel, regulamentul permite extinderea acestuia la toți furnizorii de servicii pe internet, chiar dacă nu sunt stabiliți în UE. Mai general, GDPR se aplică tuturor agregatorilor mari de date, indiferent de conexiunile geografice sau fizice. Etapele procesării datelor personale Prelucrarea datelor cu caracter personal este definită de articolul 4, alineatul (2), ca fiind "orice operațiune sau set de operațiuni care se efectuează pe date cu caracter personal sau pe seturi de date cu caracter personal, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, recuperarea, consultarea, utilizarea, dezvăluirea prin transmitere, difuzarea sau punerea la dispoziție în alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea acestor date". Big Data include mai multe activități de prelucrare a datelor cu caracter personal, fiecare cu normele ei specifice: 1. colectarea datelor 2. stocarea datelor 3. agregarea datelor 4. analiza datelor și utilizarea rezultatelor analizei Principiile procesării datelor Prelucrarea datelor se bazează pe următoarele principii stabilite în Articolul 5 din GDPR: 1. Legalitate, corectitudine și transparență: Utilizatorii trebuie să fie pe deplin și corect informați în ceea ce privește politica de confidențialitate și, să poată accesa ușor propriile date. 2. Limitarea scopului: Colectorii de date trebuie să informeze persoana vizată despre scopurile colectării datelor, care pot fi prelucrate ulterior numai în acele scopuri. 3. Minimizarea datelor: Vor fi colectate numai datele cu caracter personal relevante scopurilor declarate. 4. Precizia și actualizarea: Datele se vor actualiza și rectifica ori de câte ori se impune prin scopul declarat. În cazul Big Data, este foarte important dreptul utilizatorilor de anulare sau ștergere a datelor personale. 5. Limitarea stocării: Datele vor fi păstrate doar pe perioada procesării și ulterior vor fi distruse. Durata stocării poate fi prelungită în măsura în care datele sunt arhivate în scopuri de interes public, cercetare științifică sau istorică sau statistice. 6. Integritatea și confidențialitatea: operatorul de date: Se va asigura o securitate adecvată datelor cu caracter personal prin măsuri tehnice și organizatorice. Politica de confidențialitate și transparența În cazul colectării de date pentru a completa un formular, se va respecta principiul minimizării datelor, solicitându-se doar datele relevante și strict necesare. În cazul colectării automate de date, precum cookie, monitorizare web sau geolocație, politica de confidențialitate trebuie să informeze utilizatorul asupra acestui aspect. Scopurile procesării datelor Datele anonime și agregate pot fi procesate în scopul identificării comportamentului anumitor categorii de consumatori. În acest scop, operatorul de date efectuează anonimizarea și le transferă apoi unei terțe părți care le utilizează. Confidențialitate prin design și implicită Conceptele de confidențialitate prin design și confidențialitate implicită nu au fost incluse explicit în reglementările UE. Dar, în conformitate cu art. 78 din GDPR, "Pentru a putea demonstra conformitatea cu prezentul regulament, operatorul ar trebui să adopte politici interne și să pună în aplicare măsuri care să îndeplinească, în special, principiile protecției datelor prin proiectare și protecția datelor în mod implicit. Astfel de măsuri ar putea consta, între altele, în minimizarea prelucrării datelor cu caracter personal, pseudonimizarea datelor cu caracter personal cât mai curând posibil, transparența în ceea ce privește funcțiile și prelucrarea datelor cu caracter personal, care să permită persoanei vizate să monitorizeze prelucrarea datelor, permițând operatorului să creeze și să îmbunătățească caracteristicile de securitate. La elaborarea, proiectarea, selectarea și utilizarea aplicațiilor, serviciilor și produselor care se bazează pe prelucrarea datelor cu caracter personal sau prelucrarea datelor cu caracter personal pentru a-și îndeplini sarcinile, ofertanții de produse, servicii și aplicații ar trebui încurajați să ia în considerare dreptul la date atunci când proiectează și elaborează astfel de produse, servicii și aplicații, ținând cont de stadiul actual al tehnicii, pentru a se asigura că operatorii și prelucrătorii își pot îndeplini obligațiile de protecție a datelor." Paradoxul (legal) al Big Data Utilizarea Big Data implică cel puțin un paradox: pe de o parte, Big Data asigură o transparență maximă dar, în același timp, nu există o transparență adecvată în ceea ce privește utilizarea Big Data. Transparența este o problemă fundamentală deoarece influențează capacitatea unui utilizator de a permite divulgarea informațiilor sale. Bibliografie European Economic and Social Committee. 2017. "The Ethics of Big Data: Balancing Economic Benefits and Ethical Questions of Big Data in the EU Policy Context." European Economic and Social Committee. February 22, 2017. https://www.eesc.europa.eu/en/our-work/publications-otherwork/publications/ethics-big-data. European Parliament. 2016. Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the Protection of Natural Persons with Regard to the Processing of Personal Data and on the Free Movement of Such Data, and Repealing Directive 95/46/EC (General Data Protection Regulation) (Text with EEA Relevance). OJ L. Vol. 119. http://data.europa.eu/eli/reg/2016/679/oj/eng.