Obligația numirii unui DPO în cazul profilării pe scară largă a clienților reiese din Regulamentul general privind protecția datelor (GDPR). Deși este vorba de un act normativ emis de autoritățile europene, acesta se va aplica, în mod direct, și României, începând cu data de 25 mai 2018.
„Pe scurt, profilare înseamnă prelucrarea automată de date cu caracter personal (colectare, indexare, coroborare) în scopul identificării, monitorizării și anticipării unor șabloane comportamentale ale persoanei vizate. Ca regulă generală, nu orice fel de activitate de profilare atrage obligativitatea numirii unui DPO, ci doar în măsura în care monitorizarea se face «pe scară largă»”, a precizat, la solicitarea avocatnet.ro, Horia Ispas, partener la Țuca Zbârcea & Asociații.
Specialistul a explicat că, deși GDPR nu definește sintagma „pe scară largă”, aceasta a fost analizată de un organ consultativ european independent care se ocupă, potrivit legislației europene, cu protecția și confidențialitatea datelor. Concret, vorbim (sau nu) despre o prelucrare de date personale pe scară largă în funcție de numărul persoanelor vizate, volumul de date prelucrate și/sau existența unui număr mai mare de categorii de date personale prelucrate și aria geografică acoperită de prelucrare.
„Astfel, deși nu există praguri specifice în ceea ce privește elementele mai sus enumerate, cu cât numărul persoanelor vizate, volumul/categoriile de date și/sau aria geografică sunt mai mari, cu atât este mai mare probabilitatea că prelucrarea va fi considerată ca fiind făcută pe scară largă”, a spus Horia Ispas.
Câteva exemple relevante de profilare pe scară largă sunt:
- folosirea cookie-urilor de către site-uri pentru a determina comportamentul de navigare pe internet și pentru a servi publicitate bazată pe profilul de utilizator/consumator;
- monitorizarea datelor de localizare ale clienților unor centre comerciale cu ajutorul aplicațiilor cu sisteme de tip „beacon” pentru a transmite mesaje publicitare pe telefoanele mobile;
- coroborarea unor date bancare pentru a oferi produse financiare personalizate printr-o aplicație de internet banking.
„Profilarea și luarea automată a deciziilor sunt utilizate într-un număr tot mai mare de sectoare, atât private, cât și publice. Bancar și finanțe, asistență medicală, impozitare, asigurări, marketing și publicitate sunt doar câteva exemple de domenii în care se realizează profilări regulate pentru a ajuta la luarea deciziilor”, explică, într-un document orientativ privind profilarea, organul consultativ european independent.
Sursa citată subliniază că, deși profilarea are beneficiile ei, aceasta poate avea și consecințe negative pentru persoanele vizate de prelucrarea automată a datelor personale: „Profilarea poate perpetua stereotipurile existente și segregarea socială. De asemenea, poate bloca o persoană într-o anumită categorie și îi poate restricționa preferințele sugerate. Acest lucru poate submina libertatea de a alege, de exemplu, anumite produse sau servicii, cum ar fi cărți, muzică sau știri. Aceasta poate duce la predicții inexacte, la negarea serviciilor și bunurilor și la o discriminare nejustificată în unele cazuri”.
În esență, desemnarea unui DPO va fi obligatorie pentru entitățile publice (de principiu, autoritățile naționale, regionale și locale, exceptând instanțele) și pentru firmele care au ca activități principale prelucrarea periodică și pe scară largă a datelor personale sau prelucrarea pe scară largă a unor categorii speciale de date.
Deși poate părea o obligație pentru firmele mari, specialiștii atrag atenția că aceasta poate interveni cu ușurință și în cazul firmelor medii sau mici. De exemplu, numirea unui DPO apare pentru spitale, clinici private, farmacii, furnizori de telefonie și internet, companii de securitate, bănci, asigurători sau magazine online.
Informații mai multe despre desemnarea responsabilului cu protecția datelor, care figurează mai nou și în Clasificarea ocupațiilor din România, și celelalte obligații impuse de GDPR pot fi găsite aici.