Acest site foloseste Cookie-uri, conform noului Regulament de Protectie a Datelor (GDPR), pentru a va asigura cea mai buna experienta online. In esenta, Cookie-urile ne ajuta sa imbunatatim continutul de pe site, oferindu-va dvs., cititorul, o experienta online personalizata si mult mai rapida. Ele sunt folosite doar de site-ul nostru si partenerii nostri de incredere. Click AICI pentru detalii despre politica de Cookie-uri.
Acest site foloseste Cookie-uri, conform noului Regulament de Protectie a Datelor (GDPR), pentru a va asigura cea mai buna experienta online. In esenta, Cookie-urile ne ajuta sa imbunatatim continutul de pe site, oferindu-va dvs., cititorul, o experienta online personalizata si mult mai rapida. Ele sunt folosite doar de site-ul nostru si partenerii nostri de incredere. Click AICI pentru detalii despre politica de Cookie-uri. Sunt de acord cu politica de cookie
X

Autentificare cont

Tine-ma minte

Ati uitat parola? Click aici pentru a recupera user/parola

Nu aveti cont?
X

Recuperare user/parola

Te rugam sa introduci adresa de email pe care ai folosit-o la inregistrarea contului tau.

Autentificare Inregistrare cont
Portal actualizat la 23 Mai 2019
Contine toate actele normative din domeniu, actualizate la zi - parteneriat Legis

Deciziile automate si profilarea in cadrul GDPR


I. Introducere

In era internetului, cantitatea de informatii pe care organizatiile le controleaza creste exponential. Atat de mult incat organizatiile nu stiu ce sa faca cu toate datele de mare volum, de mare viteza si de mare varietate aflate in posesia lor. Acest flux torential de date a determinat organizatiile sa utilizeze modalitati creative de a recunoaste, intelege si analiza volume imense de date personale, prin intermediul unor tehnici precum analizele de date de mare valoare (data analytics), inteligenta artificiala si invatarea masinilor pentru a genera perspective. Cele mai multe dintre aceste tehnici se ocupa cu informatiile personale ale indivizilor si sunt utilizate pentru un grad inalt de profilare automata.

Profilarea automata se refera la utilizarea datelor personale ale persoanelor fizice pentru a construi o imagine a tipului de persoana pe care o reprezinta si a modului in care se comporta, fie pentru raportarea analitica, fie pentru scopul de directionare.

Aceasta poate include analiza tiparelor comportamentale online pentru marketing/advertising, analizarea istoricului creditelor pentru a crea un profil de credit al persoanelor, analiza calificarilor si prezenta online pentru a evalua setul de competente al unui candidat. Organizatiile pot utiliza rezultatele unui astfel de profil pentru a lua decizii sau a implementa manual solutii pentru automatizarea acestor decizii.

Decizia automata poate include efectuarea de marketare automata a produselor catre anumite grupuri de persoane, acceptarea/respingerea automata a cererii de credit a unui individ pe baza profilului sau de credit si analizarea/respingerea automata a profilului unui candidat bazat pe setul de calificari.

Regulamentul general privind protectia datelor (GDPR) descrie acest lucru drept "luarea automata a deciziilor" si impune restrictii in cazul in care decizia automata poate avea efecte "legale pentru persoana vizata" sau "o afecteaza in mod similar intr-o masura semnificativa cum ar fi posibilele restrictii asupra libertatii de a se asocia cu altii, in alegeri sau sa intreprinda actiuni in justitie sau un efect asupra statutului sau drepturilor contractuale. Efectele "similare in mod semnificativ" pot avea potentialul de a influenta circumstantele, comportamentul sau alegerile persoanelor in cauza.
II. Aspectele cheie pe care trebuie sa le ia in considerare organizatiile cu o cazia profilarii si luarii deciziilor automate
Litigiile recente si evolutiile in materie de confidentialitate necesita un grad inalt de corectitudine si transparenta cu privire la procesarea datelor personale, in special daca o astfel de prelucrare implica luarea deciziilor automate sau profilarea.

Cu un numar din ce in ce mai mare de organizatii care se bazeaza pe utilizarea analizelor de date mari, a inteligentei artificiale si a masinilor de invatat pentru a lua decizii automate, este nevoie de o abordare bazata mai mult pe risc si prudenta, deoarece astfel de activitati implica utilizarea datelor personale.
Va prezentam mai jos cateva aspecte-cheie pe care organizatiile trebuie sa le ia in considerare in timp ce realizeaza decizii automate si profilare:

a. Faceti transparent, vizibil modul in care datele personale sunt utilizate pentru luarea de decizii automate

Un pas esential in cadrul conformarii cu GDPR este ca organizatiile sa aiba o intelegere clara si exacta a datelor personale si sa tina evidenta ciclului de viata end-to-end lifecycle a acestor date.

Pentru solutii care implica luarea deciziilr automate si profilarea, organizatiile ar trebui sa procedeze la:
Intelegerea categoriilor de date cu caracter personal si a persoanelor vizate implicate in prelucrare;
Intelegerea si documentarea logicii propuse pentru deciziile automate si profilare;
Intelegerea importantei si a obiectivului comercial al unei astfel de procesari.
Evaluarea impactului potential si a consecintelor asupra unei persoane prin evidentierea implicatiilor juridice, atunci cand este cazul.
Atribuirea beneficiarilor cheie ai activitatii de profilare.
b. Evaluati riscurile de confidentialitate implicate

Organizatiile ar trebui sa aiba in vedere efectuarea evaluarilor de impact privind protectia datelor (DPIA) inainte de a efectua activitati de luare a deciziilor automatizate/partial automatizate si de a efectua activitati de profilare.

Evaluarea trebuie sa urmareasca identificarea, defalcarea si examinarea riscurilor pentru persoanele vizate in toate fazele activitatii (colectare, utilizare, partajare, stocare si stergere).
Evaluarea ar trebui sa examineze corectitudinea profilului facut si sa puna intrebari cum ar fi: "Profilul implica prejudecati de gen/sex/orientare sexuala sau discriminare rasiala?"
Evaluarea ar trebui sa examineze corectitudinea deciziilor luate si sa puna intrebari precum "decizia are efecte negative asupra persoanelor, cum ar fi refuzarea accesului persoanelor la oportunitati de angajare, orientarea acestora catre produse financiare excesiv de riscante sau costisitoare sau influentarea neconditionata a deciziilor lor?
Organizatiile ar trebui sa implice un Responsabil cu protectia datelor (DPO) si sa ia in considerare, de asemenea, consilierea externa de specialitate pentru a determina legalitatea desfasurarii acestor activitati de prelucrare. Mai mult, organizatiile ar trebui sa identifice strategiile de reducere a riscurilor.
Daca activitatea de prelucrare este susceptibila a genera un risc ridicat, chiar si dupa aplicarea strategiilor de reducere a riscurilor, organizatiile ar trebui sa se consulte cu autoritatile nationale competente pentru protectia datelor (Ex: ANSPDCP pt. Romania).
c. Identificati baza legala pentru procesarea datelor

Organizatiile trebuie sa identifice baza legala pentru justificarea activitatii de prelucrare a datelor. GDPR enumera urmatoarele temeiuri juridice pentru luarea deciziilor automate si profilare:

Decizia este necesara pentru executarea unui contract sau pentru incheierea unui contract. Necesitatea trebuie interpretata luand in considerare atat interesele legitime ale operatorului, cat si impactul asupra unei persoane vizate.
Decizia este autorizata de dreptul Uniunii Europene sau dreptul intern care se aplica operatorului si care prevede, de asemenea masuri corespunzatoare pentru protejarea drepturilor, libertatilor si intereselor legitime ale persoanelor vizate;
Decizia se bazeaza pe consimtamantul explicit al persoanei vizate. Desi consimtamantul explicit nu a fost clar definit in GDPR, acesta stipuleaza ca persoanele trebuie sa-si dea consimtamantul in mod expres printr-o declaratie expresa.
Pentru o profilare care nu se aplica luarii unei decizii automate, GDPR ofera o lista mai extinsa a temeiului juridic care poate fi utilizata pentru a justifica activitatile de prelucrare efectuate:

Pe baza consimtamantului unui individ. Consimtamantul trebuie sa fie dat in mod liber, lipsit de ambiguitate, specific si informat.
Necesara pentru executarea unui contract.
Necesara pentru respectarea unei obligatii legale.
Necesara pentru a proteja interesele vitale ale unui individ.
Necesara pentru indeplinirea unei sarcini care serveste unui interes public sau exercitarea autoritatii publice. De exemplu, impozitarea, raportarea infractiunilor, scopuri umanitare, medicina preventiva sau ocupationala, sanatate publica, asistenta sociala, calitatea si siguranta produselor, dispozitivelor si serviciilor, campaniile electorale, etc..
Necesara pentru interesele legitime urmarite de operator sau de o terta parte. Interesul legitim al organizatiei trebuie sa fie echilibrat cu interesele persoanei vizate.
d. Includerea conceptului privacy by design de la inceput
Organizatiile ar trebui sa ia in considerare construirea "principiilor de confidentialitate" in fundamentarea solutiilor care implica luarea deciziilor automate si profilarea. GDPR defineste sapte principii de confidentialitate: legalitate, echitate si transparenta; scopuri limitate; minimizarea datelor; exactitate; limitare legata de stocare; integritate si confidentialitate si responsabilitate.
Asigurati-va ca strategiile adecvate de atenuare a riscurilor, identificate in cadrul DPIA, sunt incluse in solutie. Organizatiilor li se recomanda sa implice responsabilii cu protectia datelor DPO in procesele de proiectare si implementare a solutiei, pentru a evalua strategiile de confidentialitate si masurile care trebuie integrate in solutie.
Organizatiile trebuie sa aiba in vedere, cu orice ocazie, minimizarea colectarii datelor personale si sa aplice masuri pentru mentinerea calitatii si acuratetei datelor in timpul implementarii solutiei automatizate de profilare si de luare a deciziilor.
Folositi metode de consolidare a confidentialitatii, cum ar fi agregarea, anonimizarea, pseudonimizarea si criptarea, pentru a minimiza cantitatea de date cu caracter personal si amenintarile implicate in profilarea automata si luarea deciziilor, reducand astfel riscurile de confidentialitate pentru persoanele fizice.
e. Identificati drepturile persoanelor vizate (consumator/client)

Grupul de lucru pentru protectia datelor Articolul 29 (WP29) sugereaza ca "este o practica buna sa se furnizeze informatii cu privire la drepturile persoanelor vizate, indiferent daca prelucrarea se incadreaza sau nu la articolul 22 alin.(1) din GDPR care se refera la deciziile automate si la profilare.

Grupul de lucru Articolul 29 cere ca operatorii:

Sa furnizeze informatii semnificative si sa utilizeze moduri simplificate pentru a explica persoanelor vizate motivele care se aflta in spatele unei astfel de prelucrari sau criteriile invocate in luarea deciziei.
Sa notifice persoanele vizate despre importanta prelucrarii, care ar trebui sa fie urmata de exemple reale si tangibile ale tipului de posibile efecte.
Sa ofere persoanelor vizate dreptul la interventie umana, pentru a explica logica, semnificatia si posibilele consecinte ale deciziei automate.
Sa furnizeze mecanisme usor accesibile persoanelor vizate pentru a-si exprima opiniile si a lua decizii.
f. Gestionati adecvat relatia cu terte parti care desfasoara activitati de luare a deciziilor automate si de profilare.

Efectuati activitati de due diligence detaliate cu vendorii terti pentru a intelege obiectivele lor de afaceri, afilierea la organizatiile externe (inclusiv afilierea politica), ce/cum/de ce intentioneaza sa realizeze profilari automate si luarea deciziilor etc.
Efectuati DPIA pentru a defini in mod clar amploarea profilarii si a procesului de luare a deciziilor care ar trebui sa fie efectuate de terti, documentati in mod clar astfel de obligatii in cadrul contractului si conveniti asupra masurilor tehnice si administrative care ar trebui puse in aplicare pentru a asigura datele personale si pentru a limita sfera si amploarea profilarii automate si luarii deciziilor.
Angajati sau mandatati audituri independente ale activitatilor de procesare pentru a se asigura ca furnizorii terti respecta obligatiile contractuale
g. Sugestii de bune practici

In sensul celor de mai sus, Ghidul elaborat/adoptat de WP29 in ceea ce priveste luarea decizilor automate si profilarea ofera cateva sugestii de bune practici pentru organizatii:

Efectuati controale regulate de asigurare a calitatii sistemelor pentru a va asigura ca persoanele sunt tratate in mod echitabil si nu sunt discriminate.
Testati algoritmul/logica utilizata pentru luarea deciziilor automate si profilarea pentru a va asigura ca sistemul (aplicatia) functioneaza adecvat si nu produce nici un rezultat discriminatoriu, eronat sau nejustificat.
Realizati auditarea unor astfel de sisteme de catre terti (in care luarea deciziilor pe baza profilarii are un impact mare asupra indivizilor), astfel incat sa primiti o viziune independenta asupra prelucrarii si a consecintelor potentiale ale activitatilor de profilare si de luare a deciziilor automate asupra persoanelor vizate.
Obtineti garantii contractuale pentru algoritmii tertelor parti in sensul ca auditul si testarea au fost efectuate si ca algoritmul este compatibil cu standardele convenite.
Implementati masuri tehnice si administrative pentru minimizarea datelor, pentru a stabili perioade clare pastrare a profilurilor si a datelor personale utilizate la crearea sau aplicarea profilurilor.
Aplicati tehnici de anonimizare sau pseudonimizare (ori de cate ori este posibil) in contextul profilarii.
Furnizati persoanelor vizate o mai mare transparenta si control asupra activitatilor de prelucrare implicate.
Colaborati, relationati cu consilieri si specialist externi pentru a evalua potentialele daune si avantaje pentru persoanele vizate de anumite aplicatii de profilare.
Elaborati si aderati la coduri de conduita aplicabile industriei dvs si adaptate la cerintele GDPR.
III. Concluzie


In era digitala actuala, inteligenta artificiala, invatarea automata si digitizarea joaca un rol-cheie in dezvoltarea economica si sociala. In timp ce cu astfel de tehnologii, profilarea automata si luarea deciziilor sunt inevitabile, este important sa recunoastem si sa ne asiguram ca utilizarea lor este intotdeauna indreptata spre bunastarea si beneficiul oamenilor.

Newsletter portalprotectiadatelor.ro

Top 10 intrebari si raspunsuri referitoare la implementarea GDPR

Ramai la curent cu toate solutiile propuse de specialisti.
Aboneaza-te ACUM la Newsletterul portalprotectiadatelor.ro si primesti cadou Raportul special "Top 10 intrebari si raspunsuri referitoare la implementarea GDPR"!

Da, doresc sa ma abonez si sa primesc informatii despre produsele, serviciile, evenimentele etc. oferite de Rentrop & Straton. Termeni si conditii de utilizare a site-ului Nota de informare

x