Portarea datelor în GDPR.

Șah mat sau

avantaj concurenţial pentru furnizorii de
servicii cloud?
în Aspecte juridice, 12 Martie 2018

Andreea Lisievici Avocat, PrivacyOne

Ne-am obișnuit deja să ne portăm numerele de telefon, ne putem porta conturile bancare, iar
din mai 2018 vom mai putea porta încă ceva: datele personale prelucrate de operatori.
Regulamentul general privind protecția datelor (Regulamentul 2016/679/UE, pe scurt GDPR)
aduce o paletă largă de modificări în ce privește regimul prelucrării datelor personale ale
persoanelor din Uniunea Europeană.

Între acestea se numără introducerea dreptului la portabilitatea datelor, care, potrivit art.
20 GDPR, are următorul conținut:

„(1) Persoana vizată are dreptul de a primi datele cu caracter personal care o privesc
și pe care le-a furnizat operatorului într-un format structurat, utilizat în mod curent și
care poate fi citit automat și are dreptul de a transmite aceste date altui operator, fără
obstacole din partea operatorului căruia i-au fost furnizate datele cu caracter personal,
în cazul în care:
(a) prelucrarea se bazează pe consimțământ în temeiul articolului 6 alineatul (1)
litera (a) sau al articolului 9 alineatul (2) litera (a) sau pe un contract în temeiul
articolului 6 alineatul (1) litera (b); și
(b) prelucrarea este efectuată prin mijloace automate.

(2) În exercitarea dreptului său la portabilitatea datelor în temeiul alineatului (1),

persoana vizată are dreptul ca datele cu caracter personal să fie transmise direct de la
un operator la altul acolo unde acest lucru este fezabil din punct de vedere tehnic.
 (3) Exercitarea dreptului menționat la alineatul (1) din prezentul articol nu aduce
atingere articolului 17. Respectivul drept nu se aplică prelucrării necesare pentru
îndeplinirea unei sarcini executate în interes public sau în cadrul exercitării unei
autorități oficiale cu care este învestit operatorul.

(4) Dreptul menționat la alineatul (1) nu aduce atingere drepturilor și libertăților

altora.”

Portabilitatea datelor a generat o preocupare ridicată în rândul companiilor a căror activitate

este dependentă de gestiunea bazelor de date. Un raport din 2017 arată că portabilitatea
datelor apare ca fiind cea mai dificilă obligație de conformitate din cadrul GDPR. Același
raport arată, de asemenea, că respectarea GDPR va fi luată în considerare atunci când o
companie selectează un furnizor de servicii cloud, ceea ce înseamnă că această conformitate,
și implicit susţinerea portabilităţii datelor, pot deveni un avantaj competitiv.

1. Portabilitatea vs. dreptul de acces

Dreptul la portabilitatea datelor are drept scop prevenirea blocării persoanelor vizate la un
anumit serviciu („lock-in”) și facilitarea mutării datelor de la un furnizor la altul fără restricții
în funcție de formatul ales de furnizor. Portabilitatea datelor se aseamănă cu dreptul de acces,
care era reglementat și anterior, în sensul că și în temeiul dreptului de acces persoana poate
obţine o copie a datelor prelucrate.

Însă, în vreme ce dreptul de acces privește datele prelucrate indiferent de suport și indiferent
de temei, portabilitatea privește numai datele prelucrate în temeiul consimţământului sau
executării unui contract, și numai prin mijloace automate. În plus, dacă în răspunsul la dreptul
de acces operatorii pot da datele în orice format (de exemplu, fisiere .pdf pentru e-mail-uri sau
mesaje), portabilitatea este menită să asigure continuitatea serviciului, astfel că datele trebuie
portate în formatul lor nativ, care să asigure posibilitatea continuării prelucrării de către
operatorul destinatar sau persoana vizată în același mod precum cel anterior portării. În plus,
operatorul expeditor trebuie să porteze cât mai multe metadate posibil, pentru a păstra sensul
exact al informațiilor schimbate.

Mai merită precizat faptul că portarea datelor este o măsură unică, ea nefiind destinată să
asigure interconectarea unor servicii sau fluxul continuu de date – de exemplu, portarea nu
este solutia potrivită în cazul în care un utilizator dorește să își primească e-mail-urile dintr-un
cont prin intermediul altui cont de la alt furnizor, sau dacă vrea ca documentele salvate pe o
platformă cloud să fie automat salvate și într-o alta.

Mai mult, portarea datelor nu duce în mod automat la încetarea serviciului din care se
efectuează portarea. Portarea în GDPR nu este văzută similar cu portarea numerelor de
telefon, adică o schimbare totală a furnizorului, ci pur și simplu ca o modalitate de transfer de
date, inclusiv între servicii neechivalente (de exemplu, de la un furnizor de cloud la o solutie
de analiză a informaţiilor).

2. Alocarea rolurilor pentru portarea în cazul serviciilor

cloud computing
GDPR lucrează cu câteva concepte principale, între care dualitatea operator-împuternicit. Mai
exact, „operatorul” („controller” în engleză) înseamnă entitatea care, singură sau împreună cu
altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal, în vreme
ce „împuternicitul” („processor” în engleză) înseamnă entitatea care prelucrează datele cu
caracter personal pentru operator. În cazul particular al serviciilor cloud, pentru alocarea
acestor roluri trebuie distins între serviciile cloud B2B și serviciile cloud B2C.

În scenariul B2B, unde clientul serviciului cloud este o companie, datele pe care aceasta le
stochează în cloud nu sunt datele personale ale acesteia, ci ale utilizatorilor finali ai companiei
(fie că sunt angajaţi, clienţi etc.). Clientul va lua decizii privind modul de stocare și prelucrare
a datelor, iar furnizorul de servicii cloud va urma doar instrucțiunile. Acest lucru face ca
operatorul de date să fie clientul, iar furnizorul de servicii cloud să fie împuternicit.
Nu aceeași este situaţia în scenariul B2C. În cazul în care clientul unui serviciu cloud este o
persoană fizică, datele personale ale acesteia sunt prelucrate direct de furnizorul de servicii
cloud, care devine operator de date.

Distincţia este una importantă, pentru că dreptul la portabilitatea datelor trebuie pus în
aplicare numai de către operator. Cu alte cuvinte, acolo unde furnizorul de cloud este
împuternicit, el trebuie să evite să intervină în vreun mod în catalogarea datelor, selecţia
datelor supuse portării, a modalităţii de portare (dacă există alternative), a timpului, a
destinatarului etc., altfel riscând să fie calificat operator asociat.

În timp ce articolul 20 din GDPR nu menționează în mod explicit nicio responsabilitate pentru
împuterniciţi, articolul 28 din GDPR prevede faptul că operatorii pot contracta numai
împuterniciţi „care oferă garanții suficiente pentru punerea în aplicare a unor măsuri tehnice
și organizatorice adecvate, astfel încât prelucrarea să respecte cerințele prevăzute în
[GDPR]”. Astfel, furnizorii de cloud pentru firmele care prelucrează în mod direct datele cu
caracter personal vor trebui în mod similar să demonstreze conformarea la GDPR pentru a
rămâne competitivi.

3. Datele care intră în obiectul portării

Art. 20 din GDPR precizează faptul că portabilitatea se referă la „datele cu caracter personal
care privesc” persoana vizată. Acest lucru a fost interpretat de Grupul de Lucru Art. 29 ca
reunind atât datele furnizate cu bună știință și în mod activ de persoana vizată, cât și cele
rezultate din observarea activității sale. Cu alte cuvinte, ceea ce nu intră în obiectul dreptului
la portarea datelor sunt datele derivate de operator pe baza primelor două, deși și acestea pot fi
obţinute de persoana vizată în temeiul dreptului de acces (dar nu pot fi transmise în mod
direct altui operator).

În tot cazul, distincţia între aceste trei categorii de date (date furnizate explicit, date observate
și date derivate) devina una importantă. Ea poate fi implementată atât prin etichete (tag-uri)
care să susţină un proces automatizat de selecţie, dar poate fi inclusă și în registrul
operaţiunilor de date întocmit de operator potrivit art. 30.

Furnizorul de cloud trebuie însă să fie atent ca, în situaţia în care este împuternicit, să nu
decidă el această etichetare, ci doar să pună la dispoziţia clientului său posibilitatea efectuării
ei. Furnizorul de cloud împuternicit trebuie să păstreze o abordare neutră, în care el să
cunoască cât mai puțin (spre deloc) din datele clienţilor. De altfel, acesta e motivul pentru
care registrul operațiunilor ținut de împuterniciți nu trebuie sa includă categoriile de date, ci
doar o descriere generală a acestora (art. 30. 2. b. din GDPR).

4. Metode de a efectua portarea datelor în cazul serviciilor

cloud
Articolul 20 din GDPR nu impune o formă sau o metodă pentru portarea datelor, singurele
cerinţe fiind ca transferul să se facă într-o formă „structurată, utilizată în mod curent și care
poate fi citită automat”. Preambulul 68 dezvoltă și prevede că „operatorii de date ar trebui
să fie încurajați să dezvolte formate interoperabile care să permită portabilitatea datelor”.
Cu alte cuvinte, operatorii nu sunt obligaţi să asigure compatibilitatea sistemelor lor, ci doar
interoperabilitatea. În acest context, pot fi identificate trei metode de portare a datelor.

Interfețele de programare a aplicațiilor (API-uri) sunt de obicei dezvoltate de furnizorul

de servicii cloud, ceea ce înseamnă că ele diferă de API-urile altor furnizori. Astfel, clienții
care doresc să utilizeze API-uri pentru a extrage date personale din serviciile cloud trebuie să
se adapteze API-ului pus la dispoziţie. API-urile sunt avantajoase, deoarece clienții pot
extrage date direct de la furnizorii de cloud și nu au nevoie să stocheze temporar datele pe
infrastructura proprie. Totuși, API-urile ar putea să nu fie cea mai bună soluţie atunci când
portarea se face în mod direct către un furnizor de alt fel de serviciu.

Protocoalele sunt de obicei concepute de o organizație de standardizare în industrie și, prin

urmare, sunt acceptate pe scară largă de multe platforme, de cloud și nu numai (de exemplu
SMTP, SFTP, IMAP etc.). În acest caz dispare nevoia de adaptare la platforme specifice, ceea
ce ar sprijini interoperabilitatea. În mod similar API-urilor, clienții nu au nevoie să stocheze
temporar datele pe infrastructura proprie.

O a treia metodă este descărcarea datelor ca un fișier de format utilizat în mod curent (de
exemplu .csv, .xml). Această metodă facilitează importarea datelor în alte platforme, însă
numai ca acţiune directă a utilizatorului, fără să fie o modalitate de portare directă operator-
operator. Ea necesită deci stocarea datelor temporar pe infrastructura proprie a utilizatorului
și, în plus, se poate dovedi nepractică acolo unde volumul datelor este mare.

Toate cele trei metode sunt deja utilizate pe scară largă pe piață astăzi, fără însă ca acest lucru
să însemne că nu pot apărea metode noi. Cert este că portabilitatea datelor necesită un proces
automatizat sau semiautomatizat pus la dispoziţie de operator (sau de împuternicit pe seama
operatorului), întrucât o operare manuală ar risca să blocheze activitatea operatorului.

Mai merită menţionat că în decembrie 2017 a fost publicat un standard ISO pentru
interoperabilitate și portare în serviciile cloud: ISO/IEC 19941:2017, care, deși nu este
destinat să răspundă cerinţelor GDPR (fiind un standard global), poate fi adaptat pentru a
acoperi cerinţele art. 20 din GDPR.

5. Concluzii
Pentru a putea răspunde solicitărilor de portare, furnizorii de cloud trebuie să ia o serie de
măsuri importante și posibil costisitoare. Între acestea se numără:
 a) să pună la punct mecanisme de selecţie a datelor care intră în domeniul portabilității;
b) să decidă cine și cum face trierea datelor portate pentru a elimina tot ce este excesiv,
precum și să decidă cum implică sau anunță persoana vizată referitor la datele excluse;
c) să adopte proceduri prin care să standardizeze procesul de răspuns la cererile de
portare;
d) să implementeze mecanisme cât mai automate de efectuare a portării (API, protocol,
download direct), preferabil care dau persoanei vizate posibilitatea selectării datelor
portate;
e) să implementeze proceduri de identificare corespunzătoare a persoanei vizate și a
operatorului destinatar;
f) să implementeze măsuri de securitate a datelor portate, inclusiv izolarea acestora de
alte date prelucrate și asigurarea unui canal sigur de transfer;
g) nu în ultimul rând, să poată face distincţia între serviciile puse la dispoziţie clienţilor
corporate (aceștia fiind operatori) și cele puse la dispoziţia clienţilor persoane fizice
(caz în care furnizorul de cloud este operator).

Trebuie menționat că încălcarea dreptului la portabilitatea datelor se încadrează în palierul cel

mai sever de sancțiuni, astfel că, potrivit articolului 83 alineatul 5 (b) din GDPR, operatorilor
le pot fi impuse amenzi administrative de până la 20 de milioane de euro sau până la 4 % din
cifra de afaceri globală în exercițiul financiar anterior, oricare este mai mare. Drept urmare,
oricât de costisitoare ar fi măsurile de implementare a exercitării dreptului la portabilitate, cel
mai probabil nu vor fi la fel de usturătoare precum amenzile în caz că nu le întreprind.