Documente Academic
Documente Profesional
Documente Cultură
Ne-am obișnuit deja să ne portăm numerele de telefon, ne putem porta conturile bancare, iar
din mai 2018 vom mai putea porta încă ceva: datele personale prelucrate de operatori.
Regulamentul general privind protecția datelor (Regulamentul 2016/679/UE, pe scurt GDPR)
aduce o paletă largă de modificări în ce privește regimul prelucrării datelor personale ale
persoanelor din Uniunea Europeană.
Între acestea se numără introducerea dreptului la portabilitatea datelor, care, potrivit art.
20 GDPR, are următorul conținut:
„(1) Persoana vizată are dreptul de a primi datele cu caracter personal care o privesc
și pe care le-a furnizat operatorului într-un format structurat, utilizat în mod curent și
care poate fi citit automat și are dreptul de a transmite aceste date altui operator, fără
obstacole din partea operatorului căruia i-au fost furnizate datele cu caracter personal,
în cazul în care:
(a) prelucrarea se bazează pe consimțământ în temeiul articolului 6 alineatul (1)
litera (a) sau al articolului 9 alineatul (2) litera (a) sau pe un contract în temeiul
articolului 6 alineatul (1) litera (b); și
(b) prelucrarea este efectuată prin mijloace automate.
Însă, în vreme ce dreptul de acces privește datele prelucrate indiferent de suport și indiferent
de temei, portabilitatea privește numai datele prelucrate în temeiul consimţământului sau
executării unui contract, și numai prin mijloace automate. În plus, dacă în răspunsul la dreptul
de acces operatorii pot da datele în orice format (de exemplu, fisiere .pdf pentru e-mail-uri sau
mesaje), portabilitatea este menită să asigure continuitatea serviciului, astfel că datele trebuie
portate în formatul lor nativ, care să asigure posibilitatea continuării prelucrării de către
operatorul destinatar sau persoana vizată în același mod precum cel anterior portării. În plus,
operatorul expeditor trebuie să porteze cât mai multe metadate posibil, pentru a păstra sensul
exact al informațiilor schimbate.
Mai merită precizat faptul că portarea datelor este o măsură unică, ea nefiind destinată să
asigure interconectarea unor servicii sau fluxul continuu de date – de exemplu, portarea nu
este solutia potrivită în cazul în care un utilizator dorește să își primească e-mail-urile dintr-un
cont prin intermediul altui cont de la alt furnizor, sau dacă vrea ca documentele salvate pe o
platformă cloud să fie automat salvate și într-o alta.
Mai mult, portarea datelor nu duce în mod automat la încetarea serviciului din care se
efectuează portarea. Portarea în GDPR nu este văzută similar cu portarea numerelor de
telefon, adică o schimbare totală a furnizorului, ci pur și simplu ca o modalitate de transfer de
date, inclusiv între servicii neechivalente (de exemplu, de la un furnizor de cloud la o solutie
de analiză a informaţiilor).
În scenariul B2B, unde clientul serviciului cloud este o companie, datele pe care aceasta le
stochează în cloud nu sunt datele personale ale acesteia, ci ale utilizatorilor finali ai companiei
(fie că sunt angajaţi, clienţi etc.). Clientul va lua decizii privind modul de stocare și prelucrare
a datelor, iar furnizorul de servicii cloud va urma doar instrucțiunile. Acest lucru face ca
operatorul de date să fie clientul, iar furnizorul de servicii cloud să fie împuternicit.
Nu aceeași este situaţia în scenariul B2C. În cazul în care clientul unui serviciu cloud este o
persoană fizică, datele personale ale acesteia sunt prelucrate direct de furnizorul de servicii
cloud, care devine operator de date.
Distincţia este una importantă, pentru că dreptul la portabilitatea datelor trebuie pus în
aplicare numai de către operator. Cu alte cuvinte, acolo unde furnizorul de cloud este
împuternicit, el trebuie să evite să intervină în vreun mod în catalogarea datelor, selecţia
datelor supuse portării, a modalităţii de portare (dacă există alternative), a timpului, a
destinatarului etc., altfel riscând să fie calificat operator asociat.
În timp ce articolul 20 din GDPR nu menționează în mod explicit nicio responsabilitate pentru
împuterniciţi, articolul 28 din GDPR prevede faptul că operatorii pot contracta numai
împuterniciţi „care oferă garanții suficiente pentru punerea în aplicare a unor măsuri tehnice
și organizatorice adecvate, astfel încât prelucrarea să respecte cerințele prevăzute în
[GDPR]”. Astfel, furnizorii de cloud pentru firmele care prelucrează în mod direct datele cu
caracter personal vor trebui în mod similar să demonstreze conformarea la GDPR pentru a
rămâne competitivi.
În tot cazul, distincţia între aceste trei categorii de date (date furnizate explicit, date observate
și date derivate) devina una importantă. Ea poate fi implementată atât prin etichete (tag-uri)
care să susţină un proces automatizat de selecţie, dar poate fi inclusă și în registrul
operaţiunilor de date întocmit de operator potrivit art. 30.
Furnizorul de cloud trebuie însă să fie atent ca, în situaţia în care este împuternicit, să nu
decidă el această etichetare, ci doar să pună la dispoziţia clientului său posibilitatea efectuării
ei. Furnizorul de cloud împuternicit trebuie să păstreze o abordare neutră, în care el să
cunoască cât mai puțin (spre deloc) din datele clienţilor. De altfel, acesta e motivul pentru
care registrul operațiunilor ținut de împuterniciți nu trebuie sa includă categoriile de date, ci
doar o descriere generală a acestora (art. 30. 2. b. din GDPR).
O a treia metodă este descărcarea datelor ca un fișier de format utilizat în mod curent (de
exemplu .csv, .xml). Această metodă facilitează importarea datelor în alte platforme, însă
numai ca acţiune directă a utilizatorului, fără să fie o modalitate de portare directă operator-
operator. Ea necesită deci stocarea datelor temporar pe infrastructura proprie a utilizatorului
și, în plus, se poate dovedi nepractică acolo unde volumul datelor este mare.
Toate cele trei metode sunt deja utilizate pe scară largă pe piață astăzi, fără însă ca acest lucru
să însemne că nu pot apărea metode noi. Cert este că portabilitatea datelor necesită un proces
automatizat sau semiautomatizat pus la dispoziţie de operator (sau de împuternicit pe seama
operatorului), întrucât o operare manuală ar risca să blocheze activitatea operatorului.
Mai merită menţionat că în decembrie 2017 a fost publicat un standard ISO pentru
interoperabilitate și portare în serviciile cloud: ISO/IEC 19941:2017, care, deși nu este
destinat să răspundă cerinţelor GDPR (fiind un standard global), poate fi adaptat pentru a
acoperi cerinţele art. 20 din GDPR.
5. Concluzii
Pentru a putea răspunde solicitărilor de portare, furnizorii de cloud trebuie să ia o serie de
măsuri importante și posibil costisitoare. Între acestea se numără:
a) să pună la punct mecanisme de selecţie a datelor care intră în domeniul portabilității;
b) să decidă cine și cum face trierea datelor portate pentru a elimina tot ce este excesiv,
precum și să decidă cum implică sau anunță persoana vizată referitor la datele excluse;
c) să adopte proceduri prin care să standardizeze procesul de răspuns la cererile de
portare;
d) să implementeze mecanisme cât mai automate de efectuare a portării (API, protocol,
download direct), preferabil care dau persoanei vizate posibilitatea selectării datelor
portate;
e) să implementeze proceduri de identificare corespunzătoare a persoanei vizate și a
operatorului destinatar;
f) să implementeze măsuri de securitate a datelor portate, inclusiv izolarea acestora de
alte date prelucrate și asigurarea unui canal sigur de transfer;
g) nu în ultimul rând, să poată face distincţia între serviciile puse la dispoziţie clienţilor
corporate (aceștia fiind operatori) și cele puse la dispoziţia clienţilor persoane fizice
(caz în care furnizorul de cloud este operator).