Interzicerea prelucrării datelor genetice, biometrice sau a datelor privind sănătatea, în scopul realizării unui proces decizional automatizat sau pentru crearea de profiluri ar putea avea "un caracter blocant în unele domenii precum cel al asigurărilor, în care declarațiile persoanei vizate cu privire la starea de sănătate sunt relevante în procesul de stabilire a eligibilității și condițiilor pentru o poliță de asigurare de viață", avertizează Consiliul Economic și Social într-un aviz la proiectul de lege inițiat în această lună de senatorii PSD Carmen Dan și Șerban Nicolae.

HotNews.roFoto: Hotnews

"Art. 3 - Prelucrarea datelor genetice, a datelor biometrice sau a datelor privind sănătatea

(1) Prelucrarea datelor genetice, biometrice sau a datelor privind sanatatea, în scopul realizării unui proces decizional automatizat sau pentru crearea de profiluri este interzisă, cu excepția prelucrărilor efectuate de către sau sub controlul autorităților publice, în limitele puterilor ce le sunt conferite de legile speciale care reglementează aceste materii, care să prevadă și garantți adecvate pentru persoana vizată. Interdicția nu poate fi ridicată prin consimțământul persoanei vizate.", se arata în proiectul de lege.

Propunerea legislativă vizează măsurile de punere în aplicare a Regulamentului UE privind protecția datelor (GDPR), obligatoriu în toate statele membre din 25 mai 2018, și a fost înregistrat în data de 3 aprilie la Camera Deputaților, ca primă cameră sesizată, Senatul fiind camera decizională.

• UPDATE1 (16:40) Reacția deputatului PNL, Pavel Popescu, după articolul HotNews.ro:

"Nu doar piața asigurărilor ar fi afectată de o astfel de prevedere legislativă. Un alt exemplu ar fi piața aplicațiilor mobile - orice aplicație mobilă prin care logarea se va face pe bază de amprentă sau recunoaștere facială prin camera telefonului sau alte device-uri, aplicație ce conține procese decizionale automatizate, ca de exemplu:

- aplicatiile bancare, platile facute prin intermediul mybanking (mybrd)

- aplicatiile rezervarilor de bilete de avion, un proces decizional automatizat (wizzair, ryanair)

- aplicatiile rezervarilor de hotel (booking.com) etc.", a declarat pentru HotNews.ro deputatul PNL.

Pavel Popescu a mai declarat că intenționează să depună în perioada urmatoare mai multe amendamente la această inițiativă de lege privind proiectul GDPR, printre care și următorul amendament la Art. 3:

• "(1) Prelucrarea datelor genetice, biometrice sau a datelor privind sănătatea, în scopul realizării unui proces decizional automatizat sau pentru crearea de profiluri este permisă doar cu  consimțământul expres al persoanei vizate ce va include, descrierea procesului, scopul procesării și perioada pentru care consimțământul este valabil. Excepție de la această prevedere fac prelucrărilor efectuate de către sau sub controlul autorităților publice, în limitele puterilor ce le sunt conferite prin lege și în condițiile stabilite de legile speciale care reglementează aceste materii."

Potrivit deputatului PNL, considerentul pentru depunerea unui astfel de amendament ar fi acela că:

"Regulamentul gestionează foarte bine problema procesului decizional automatizat și al creării de profile (indiferent că este CU sau FăRă date biometrice) menționând dreptul persoanei de a nu face obiectul unei decizii bazate exclusiv pe mijloace automatizate și condițiile în care se aplică. De asemenea sunt prevăzute și cazurile în care aceste situații sunt permise, consimțământul explicit fiind unul dintre ele. Astfel nu vedem necesară o interdicție expresă în legea română din motiv că aceasta se poate dovedi excesiv de restrictivă în implementarea de tehnologii inovative."

• UPDATE2 Contactată de HotNews.ro, Valerica Dragomir, directorul executiv al Asociației Patronale a Industriei de Software (ANIS) a declarat următoarele:
  
  "GDPR este o măsură esențială, la nivel european, și despre care știm că va avea implementări diferite la nivel național. Ceea ce noi considerăm că este important în legile naționale de implementare pentru GDPR este să nu avem o reglementare excesivă și ca, în timp ce păstrează liniile trasate la nivel european, acestea să nu fie o barieră în dezvoltarea noilor tehnologii și creșterea competitivității bazate pe tehnologie a companiilor din diverse domenii.
  
  ANIS susține un cadru de reglementare flexibil pentru GDPR care să permită adopția de noi tehnologii, pe cât posibil chiar să le încurajeze, și să contribuie astfel la dezvoltarea diverselor industrii și a modului în care pot livra servicii de calitate către clienții lor.
  
  O abordare justă dar flexibilă va permite companiilor românești să rămână competitive în raport cu furnizori similari de pe piața europeană. ANIS este în contact cu organizații implicate sau vizate de reglementările GDPR, precum și cu instituții implicate în procesul legislativ pentru a explica impactul reglementărilor atât asupra industriei noastre, cât și asupra altor domenii și modelelor lor de business".
  
  

Atenție! Același proiect de lege a fost depus la Senat luna trecuta, pentru a fi dezbătut în regim de urgență înaintea termenului de intrare în vigoare a GDPR - 25 mai 2018, dar a fost retras de către inițiatori în data de 3 aprilie.

StartUpCafe.ro a semnalat luna trecută, înainte de a fi retras din Senat, că proiectul propune amenzi mai mici pentru institutiile publice care încalcă Regulamentul de protecție a datelor și că pentru firme sancțiunile rămân la fel de mari.

Pentru detalii citește: GDPR: Propuneri de amenzi mai mici pentru institutiile publice care incalca regulamentul de protectie a datelor. Pentru firme sanctiunile raman la fel de mari

• Consiliul Economic și Social avertizează că o prevedere din acest proiect de lege ar putea avea un caracter blocant în unele zone de activitate

Retras din Senat in data de 3 aprilie 2018, proiectul de lege a fost înregistrat în aceeași formă la Camera Deputaților, cu precizarea că "data la care se implineste termenul constitutional pentru dezbatere si vot final: 26.06.2018".

• Proiectul primeste avize favorabile într-un interval rapid de timp, lucru normal dat fiind că termenul limită de 25 mai 2018 este aproape.

Dintre toate avizele se remarcă însă avizul favorabil, dar cu propuneri de modificări și observații transmis în data de 17 aprilie 2018 de către Consiliul Economic si Social, care propune "eliminarea imposibilității de a ridica interdicția prin consimtamantul persoanei vizate" și modificarea Articolului 3, astfel:

• "(1) Prelucrarea datelor genetice, biometrice sau a datelor privind sanatatea, in scopul realizarii unui proces decizional automatizat sau pentru crearea de profiluri este interzisa, cu exceptia prelucrarilor efectuate de catre sau sub controlul autoritatilor publice, in limitele puterilor ce le sunt conferite de legile speciale care reglementeaza aceste materii sau a prelucrarilor care au facut obiectul unei analize de impact, care sa prevada si garantii adecvate pentru persoana vizata. "

Cum motiveaza CES aceasta propunere?

"Această propunere de lege are o abordare restrictivă prin raportare la activitățile de profilare și decizie automată, bazate pe procesarea de date speciale (reglementate prin GDPR), aceste activități fiind interzise în mod expres în cazul operatorilor privați, chiar și în ipoteza existenței consimțămantului persoanei vizate.

Înțelegem că Statele Membre dețin prerogativa reglementării suplimentare, mai stricte, în acest domeniu însă dorim să evidențiem faptul că aprobarea și, ulterior, aplicarea acestei prevederi poate avea un caracter blocant în unele zone de activitate (de exemplu: domeniul asigurărilor, în care declarațiile persoanei vizate cu privire la starea de sănătate sunt relevante în procesul de stabilire a eligibilității și condițiilor pentru o poliță de asigurare de viață, caz în care franșiza sau alte componente ale prețului asigurării se calculează pe baza unui calcul actuar care are în vedere și datele privind sănătatea).

Având utilizarea noilor tehnologii în toate sectoarele de activitate și automatizarea, precum și utilizarea unor practici care să răspundă în mod simplu și rapid oricărei cereri adresate de persoanele fizice, apreciem că nu ar trebui introduse prevederi restrictive suplimentare celor prevăzute prin GDPR.

În temeiul prevederilor considerentelor GDPR (71 teza finala): "Procesul decizional automatizat și crearea de profiluri pe baza unor categorii speciale de date cu caracter personal ar trebui permise numai în condiții specifice" și al Orientărilor WP 248/2017 referitoare la PIA (Privacy Impact Assesment), recomandăm ca prelucrarea acestor categorii sensibile de date să poată fi realizată în condițiile realizării în prealabil a unei analize de impact (PIA). De asemenea, propunem eliminarea imposibilității de a ridica interdicția prin consimțământul persoanei vizate.", subliniaza Consiliul Economic și Social.

Avizul Consiliului Economic și Social este doar unul consultativ. De notat, de asemenea, că la momentul când acest proiect de lege a fost în Senat, Consiliul Economic a dat aviz favorabil fără să propună nicio modificare.

Noul Regulament UE privind protecția datelor cu caracter personal (GDPR) poate fi consultat aici.