Regulamentul General privind Protecția Datelor (GDPR) a intrat în vigoare după o perioadă de agitație, precipitare și incertitudine, plină de mesaje privind amenzile, “ne-am actualizat politica de confidențialitate” sau “ne trebuie consimțământul tău pentru a putea comunica după 25 mai”.
Interacțiunile între legi fac imposibilă înțelegerea noilor realități prin simpla citire a Regulamentului. Iată câteva dintre actele normative cu care prevederile GDPR interacționează în mod frecvent:
- legislația protecției datelor în sfera comunicațiilor electronice, izvorâtă din Directiva 2002/58/EC), care obligă operatorii de jocuri de noroc online la un set de măsuri suplimentare pentru protejarea datelor cu caracter personal;
- legislația privind prevenirea și combaterea spălării banilor, născută din Directiva AML4, care aduce o serie de obligații în sfera menținerii evidențelor asupra sumelor pariate de jucători și a raportării acestora în anumite condiții pe alocuri vag formulate;
- Convenția 108 privind protejarea persoanelor la procesarea automată a datelor cu caracter personal, relevantă pentru operatorii care, în dorința eficientizării fluxurilor operaționale, apelează la algoritmi, automatizări, inteligență artificială, robotică, etc.
Este important să reținem că GDPR este un act normativ născut recent. Multe aspecte care suscită dezbateri încă necesită clarificări sub forma unor ghiduri, opinii sau jurisprudență.
De asemenea, în plan național discutăm de intrarea în vigoare a Legii 129/2018 de modificare și completare a Legii nr. 102/2005 privind înfiinţarea, organizarea şi funcţionarea Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal, precum şi pentru abrogarea Legii nr. 677/2001, respectiv de propunerea legislativă privind măsurile de aplicare a GDPR votată în Parlament și aflată în curs de publicare.
Fără a ne propune o listare completă, câteva aspecte importante de care trebuie să ținem cont în diligențele de implementare a cerințelor GDPR, în calitate de operator de jocuri de noroc:
- trebuie să fim deschiși în a accepta că este posibil ca anumite procesări de date cu caracter personal vor trebui modificate sau chiar încetate. Continuăm să vedem CNP-uri pe facturi, cu toate că legislația fiscală nu obligă la colectarea sau prezentarea acestei informații sensibile.
- trebuie să avem vizibilitate totală asupra fluxurilor operaționale care ating date cu caracter personal. Datele pot fi pe suport hârtie sau electronice, procesate ocazional sau frecvent, de rang obișnuit sau din categorii speciale (date despre sănătate, biometrice etc.). Fără această vizibilitate totală demersuri precum răspunsul la diverse cereri din partea persoanelor vizate riscă să fie compromise.
- trebuie să documentăm scopurile și temeiurile fiecărei procesări de date cu caracter personal: mă obligă o lege sau un alt act normativ să fac acea procesare? Îmi este necesară pentru îndeplinirea obligațiilor mele față de client și pot identifica ce blocaj aș întâmpina în absența respectivei procesări? Am consimțământul clientului, în deplină respectare a condițiilor pentru un consimțământ valid? Exemplele pot continua.
- necesitatea și proporționalitatea unei procesări trebuie evaluate în mod conservator. Odată ce am stabilit la ce ne trebuie datele respective vom proceda la identificarea unor alternative mai puțin invazive sau “acaparatoare” de date pentru îndeplinirea acelui scop.
Printre particularitățile industriei jocurilor de noroc sub aspectul obligațiilor născute din GDPR sunt incluse următoarele situații:
- cererile de autolimitare sau autoexcludere presupun procesarea unor informații despre comportamentul de dependență de jocuri de noroc despre acea persoană. În concret, operatorul procesează date despre sănătate, care reprezintă o categorie specială de date cu caracter personal care necesită măsuri suplimentare de protecție.
- prin prisma cazurilor de exceptare a aplicabilității GDPR (Art.23), operatorul de jocuri de noroc trebuie să identifice situațiile în care este întemeiat să desfășoare procesări legitime fără a fi obligat la respectarea drepturilor persoanelor vizate, de exemplu în scopul prevenirii, investigării sau detectării infracțiunilor precum fraude cu carduri de debit/credit sau furt de identitate.
- în cazul în care utilizăm platforme informatice care stochează datele în afara spațiului UE, trebuie să știm unde sunt sau vor fi localizate geografic datele persoanelor vizate (clienți, angajați, etc.) de protecția cărora suntem resposabili. Transferul datelor personale în afara UE poate fi făcut numai cu respectarea unor condiții prealabile de asigurare a unui nivel de protecție a datelor respective.
- relația cu furnizorii care procesează date cu caracter personal trebuie reglementată printr-un acord de procesare care responsabilizează fiecare parte contractuală (operatorul de jocuri de noroc și furnizorul) în funcție de calitate de Operator sau Împuternicit (definite prin prisma GDPR). Claritatea adusă de un astfel de document aduce o segregare a răspunderilor contractuale, instrument vital în cazul unei divulgări neautorizate de date cu caracter personal.
- eventuale cereri de ștergere a datelor cu caracter personal trebuie mai întâi evaluate cu mare atenție prin prisma identificării persoanei care a depus cererea și a temeiurilor legale care ar putea continua să oblige operatorul de jocuri de noroc la stocarea (și implicit procesarea) datelor respective, cum ar fi obligații de raportare către ANAF, ONJN sau ONPCSP sau obligații legale de stocare a informațiilor legate de facturare. În mod evident nu putem răspunde favorabil unei cereri de ștergere cât timp astfel de obligații subzistă.
Cu toate că GDPR apare deseori ca o “Cenușăreasa” într-un mediu extrem de competitiv și aflat sub presiunea unor multiple reglementări, putem înțelege nevoia unei “curățenii generale” în datele pe care le deținem despre oamenii cu care interacționăm.
Iulian Matache – GDPR
de Iulian Matache
