Roxana Barica – Datele pseudonimizate reprezintă sau nu date cu caracter personal?
Prin hotărârea sa din 26 aprilie 2023, Curtea Generală a Uniunii Europene (“Tribunalul”) a soluționat cauza T- 557/20, SRB v EDPS[1], aducând noi clarificări modalității prin care am putea exclude din sfera de incidență a Regulamentului privind protecția datelor cu caracter personal („GDPR”) anumite date cu caracter personal: pseudonimizarea acestora, neînsoțită de elementele suplimentare care pot conduce la o re-identificare a persoanelor vizate.
Context
După cum bine știm, datele cu caracter personal reprezintă orice informații privind o persoană fizică identificată sau identificabilă („persoana vizată”)[2]. Prin urmare, prevederile GDPR sunt aplicabile ori de câte ori avem de a face cu o atingere a anumitor drepturi și libertăți fundamentale ale persoanelor fizice prin prelucrări de date cu caracter personal ale acestora (mai exact, prin prelucrări ale diferitelor detalii și/sau informații care, puse cap la cap, pot duce la identificarea unei anumite persoane fizice).
Pornind de la aceasta definiție a datelor cu caracter personal este util de menționat că o prelucrare suplimentară de tipul anonimizării (proces de modificare a datelor, astfel încât să devină imposibil de identificat persoana la care acele date se referă, fie direct, fie indirect) ar exclude caracterul de date cu caracter personal, ieșind astfel din sfera de aplicarea a GDPR. Acest lucru este în strânsă legătură cu caracterul ireversibil al modalităților de anonimizare a datelor cu caracter personal.
De asemenea, pe lângă anonimizare, GDPR a mai introdus[3] și noțiunea de pseudonimizare prin care se înțelege acea modalitate de prelucrare a datelor cu caracter personal într-un asemenea mod încât acestea să nu mai poată fi atribuite unei anumite persoane vizate, fără a se utiliza informații suplimentare, cu condiția ca aceste informații suplimentare să fie stocate separat și să facă obiectul unor măsuri de securitate de natură tehnică și organizatorică, care să împiedice identificarea per se a acelor persoane vizate. Această practică este prevăzută drept o modalitate de securitate în vederea asigurării unui nivel sporit de conformitate cu regulile GDPR recomandată operatorilor în general. Din această definiție se poate înțelege că această tehnică nu ar fi ireversibilă, ci având oricând posibilitatea de a afla elementele suplimentare respective (e.g. cheia de criptare), datele cu caracter personal pot fi reconstituite, și prin urmare nu și-ar pierde în niciun moment caracterul de date cu caracter personal.
Ce aduce nou Hotărârea Tribunalului în cauza T-557/20?
În lumina celor de mai sus, este bine venită noua hotărâre a Tribunalului în cauza T-557/20, SRB v EDPS prin care ne este clarificat faptul că, în contextul unei transmiteri de date pseudonimizate acestea își vor pierde caracterul de date personale în situația în care destinatarul acelor date nu primește și/sau deține informațiile suplimentare necesare pentru a re-identifica persoanele vizate.
Similar unei hotărâri anterioare a Curții de Justiție a Uniunii Europene[4], Tribunalul a subliniat că, pentru a decide dacă anumite date pseudonimizate și transmise unui anumit destinatar reprezintă sau nu date cu caracter personal, ar trebui să fie avută în vedere perspectiva destinatarului. Dacă acesta nu deține informații suplimentare care să îi permită o re-identificare a persoanelor vizate și nu deține mijloacele legale necesare pentru a avea acces la aceste informații, datele transmise pot fi considerate anonimizate și, prin urmare, își pierd caracterul de date personale. Faptul că expeditorul datelor cu caracter personal deține în continuare toate mijloacele / informațiile necesare pentru a re-identifica persoanele vizate este irelevant și nu înseamnă că datele transmise sunt, în mod automat, date cu caracter personal și pentru destinatar.
În concluzie, această clarificare este bine venită pentru că elimină din demersurile suplimentare practicate în trecut de operatorii de date cu caracter personal (i.e. informarea persoanelor vizate privind transmiterea datelor lor cu caracter personal). Rămâne de văzut dacă și Curtea de Justiție a Uniunii Europene va menține această interpretare, hotărârea Tribunalului putând fi contestată.
[1] Decizia completă poate fi accesată aici: https://eur-lex.europa.eu/legal-content/RO/TXT/HTML/?uri=CELEX:62020TJ0557 ;
[2]Art. 4 pct. 1 din RPDG;
[3] Art. 4 pct. 5 din RPDG;
[4] Hotărârea din 19 octombrie 2016, Breyer, C‑582/14, EU:C:2016:779;
No Comments