Luni, 23 aprilie 2018, a fost inserată pe ordinea de zi a Comisiei IT din Camera Deputaților proiectul de lege cu codul PLX 167/2018 privind măsuri de punere în aplicare a noului Regulament de Protecție a Datelor cu Caracter Personal (GDPR). Deși această inițiativă legislativă își propune să clarifice anumite aspecte legate de implementarea GDPR, îndeosebi cu privire la CNP, ea conține însă și câteva articole care pot bloca implementarea unor tehnologii digitale inovative în România, benefice consumatorului și economiei naționale, aducând astfel cu sine un dezechilibru în cadrul pieței Uniunii, prin plasarea societăților comerciale din România pe poziții inferioare față de competitorii lor din UE sau din afara UE. Parcurgând proiectul de lege împreună cu partenerii noștri de la Casa de Avocatură Wolf Theiss ne-a fost atrasă atenția de următoarele prevederi:
Art. 3 Referitor la interzicerea prelucrării datelor genetice, a datelor biometrice sau a datelor privind sănătatea
Art. 3 pct. (1) prevede:
Prelucrarea datelor genetice, biometrice sau a datelor privind sănătatea, în scopul realizării unui proces decizional automatizat sau pentru crearea de profiluri este interzisă, cu excepția prelucrărilor efectuate de către sau sub controlul autorităților publice, în limitele puterilor ce le sunt conferite prin lege și in condițiile stabilite de legile speciale care reglementează aceste materii, care să prevadă și garanții adecvate pentru persoana vizată. Interdicția nu poate fi ridicată prin consimțământul persoanei vizate.
Terminologie relevanta (GDPR)
Date biometrice – date cu caracter personal care rezultă în urma unor tehnici de prelucrare specifice referitoare la caracteristicile fizice, fiziologice sau comportamentale (!) ale unei persoane fizice care permit sau confirmă identificarea unică a respectivei persoane, cum ar fi imaginile faciale sau datele dactiloscopice;
Proces decizional automat – Procesul decizional exclusiv automatizat are loc atunci când se iau decizii în privința persoanei vizate prin mijloace tehnologice și fără nicio implicare umană, decizii ce produc efecte juridice care o privesc sau o afectează în mod similar într-o măsură semnificativă (ex. scoring, plăți automate, etc)
Crearea de profiluri – orice formă de prelucrare automată a datelor cu caracter personal care constă în utilizarea datelor pentru a evalua anumite aspecte personale referitoare la o persoană fizică, în special pentru a analiza sau prevedea aspecte privind performanța la locul de muncă, situația economică, sănătatea, preferințele personale, interesele, fiabilitatea, comportamentul, locul în care se află persoana fizică respectivă sau deplasările acesteia;
Câteva consecințe ale proiectului de lege …
. procesarea datelor biometrice în procesele decizionale automate și în crearea de profiluri să devină atributul exclusiv al statului având în vedere că este interzisă chiar și în prezența consimțământului persoanei vizate;
. având în vedere că nici legislația europeană și nici cea locală nu precizează dacă autentificarea biometrică (Face ID, Typing DNA, Voice Recognition, etc) este sau nu parte din procesul decizional automatizat și/sau crearea automată de profiluri, interdicția prelucrării datelor biometrice în forma propusă a Art. 3, respectiv, chiar și in prezența consimțământului persoanei vizate și a adoptării unor măsuri de securitate adecvate pentru protejarea datelor, poate conduce în viitor la interpretări eronate ale instanțelor de judecată cu efecte semnificative asupra acestor modalități de autentificare, din ce in ce mai prezente în implementările de platforme digitale din cadrul UE.
Poziția APERO …
Opțiunea 1: renunțarea la Art. 3 pct. 1
Opțiunea 2: reformularea Art. 3 pct. 1 astfel încât procesarea sa fie posibilă cu acordul explicit formulat de persoana vizată și să nu existe niciun dubiu asupra posibilității de a se procesa datele biometrice in procesul de autentificare de către orice entitate publică sau privată.
În sensul celor de mai sus au fost înaintate propuneri către ANSPDCP și Parlamentul României.
Comisia Juridică din Camera Deputaților urmează sa se pronunțe în ședința de săptămâna această pe forma finală a textului și să întocmească raportul. Camera Deputaților este for consultativ, Senatul fiind, in ceea ce privește acest act normativ, cameră decizională.
Banking 4.0 – „how was the experience for you”
„So many people are coming here to Bucharest, people that I see and interact on linkedin and now I get the change to meet them in person. It was like being to the Football World Cup but this was the World Cup on linkedin in payments and open banking.”
Many more interesting quotes in the video below: