*Sursa oficială: http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=610171
1. Introducere
Documentul „Prelucrarea datelor cu caracter personal în contextul STI cooperative”, elaborat de Grupul de lucru pentru protecția datelor și a vieții private pentru platforma Sisteme de transport inteligente cooperative (STI cooperative) a fost prezentat oficial grupului de lucru „articolul 29” la 10 iulie 2017.
Platforma STI cooperative este o inițiativă a Direcției Transport și Mobilitate din cadrul Comisiei Europene, care a debutat la sfârșitul anului 2014, odată cu crearea unor grupuri de lucru specializate, care abordează diferite aspecte ale introducerii STI cooperative, variind de la securitate la standardizare tehnică la protecția datelor.
Domeniul de aplicare a documentului constă în furnizarea de informații generale privind prelucrarea datelor cu caracter personal în contextul STI cooperative și solicitarea de îndrumări din partea grupului de lucru „articolul 29” cu scopul de a îmbunătăți nivelul de protecție a datelor în cadrul acestor noi tipuri de aplicații.
Grupul de lucru „articolul 29” a fost invitat de Comisie să participe cu reprezentanții săi la o serie de reuniuni pregătitoare, înainte de emiterea prezentului aviz.
Grupul de lucru „articolul 29” apreciază posibilitatea de a se implica în discuțiile cu părțile interesate relevante încă din primele faze de dezvoltare a acestui nou concept tehnologic și, în acest sens, va evidenția unele puncte de interes referitoare la Regulamentul general privind protecția datelor (RGPD), care va fi cadrul juridic în vigoare la momentul introducerii soluției STI cooperative.
Grupul de lucru „articolul 29” salută recenta rezoluție privind protecția datelor în vehiculele automatizate și conectate a ICDPPC din Hong Kong, 25-29 septembrie 2017, afirmând cerințele prevăzute de aceasta.
2. Conceptul de STI cooperative
STI cooperative este o soluție de la egal la egal pentru schimbul de date între vehicule și alte instalații de infrastructură rutieră (semne de circulație sau alte stații de bază de transmitere/primire) fără intervenția unui operator de rețea.
Conceptul sistemului este că participanții se pot informa reciproc în mod direct cu privire la propriul statut (elaborând datele colectate de senzorii cu care sunt echipate), primind în schimb informații similare, ceea ce permite astfel crearea unei imagini de ansamblu (pentru fiecare membru al aceluiași grup) asupra stării mediului în care se află vehiculul sau instalația de infrastructură. Pe baza acestor comunicări, se estimează că se pot realiza previziuni mai bune cu privire la situațiile de trafic și se poate îmbunătăți prevenirea accidentelor.
STI cooperative se bazează pe transmitere continuă. Platforma creează comunicații ad hoc și nu necesită stabilirea unei comunicări permanente sau a unor legături între participanți.
În contextul STI cooperative sunt transmise două tipuri de mesaje: așa-numitele mesaje de sensibilizare cooperative (Cooperative Awareness Messages – CAM), transmise continuu și care conțin date cinematice și dimensiunile vehiculului, precum și mesaje descentralizate de notificare de mediu (Decentralised Environmental Notification Messages – DENM), trimise pe lângă mesajele de tip CAM numai la apariția unor evenimente specifice (precum accidentele) pentru situații de urgență și care conțin informații cu privire la locul evenimentului.
Mesajele de tip CAM și DENM includ semnături criptografice, garantând destinatarului că mesajele sunt trimise de un expeditor fiabil. Distribuirea de certificate între participanți se efectuează utilizând o arhitectură de infrastructură cu cheie publică (Public Key Infrastructure – PKI). PKI este o structură de guvernanță în care fiecare certificat la un anumit moment este asociat în mod unic cu un vehicul. Certificatul indică faptul că acesta este recunoscut de către sistem și prezintă încredere.
În strategia sa privind STI cooperative, Comisia Europeană a identificat deja o serie de cazuri de utilizare pentru introducerea inițială (aplicațiile „Ziua 1”). Astfel cum se specifică în documentul din partea grupului de lucru pentru protecția datelor și a vieții private pentru STI cooperative, aceste cazuri sunt legate în principal de funcțiile de informare (precum avertismente privind lucrările rutiere, condiții meteorologice etc.). În aceste cazuri de utilizare, conducătorul auto menține controlul deplin asupra vehiculului și este răspunzător pentru acțiunile vehiculului. Pe termen lung și cu un nivel mai ridicat de automatizare, se preconizează că impactul STI cooperative va crește, întrucât sistemul ar putea să preia progresiv deciziile de la conducătorul auto.
Grupul de lucru „articolul 29” va viza numai capacitățile inițiale ale aplicațiilor STI cooperative. În cazul în care sunt puse în aplicare niveluri mai înalte de automatizare, aceasta va genera întrebări noi, deosebit de relevante cu privire la impactul asupra libertății și drepturilor cetățenilor UE. Grupul de lucru „articolul 29” și, în timp, Comitetul european pentru protecția datelor, vor evalua aceste chestiuni într-o etapă ulterioară. Grupul de lucru „articolul 29” profită de ocazie pentru a încuraja organizarea în timp util a unui dialog între părțile interesate cu privire la implicațiile asupra protecției datelor ale acestor scenarii evolutive, ținând seama, de asemenea, de chestiunile dificile de natură deontologică ridicate de o intervenție atât de nouă și profundă în acțiunile efectuate în mod tradițional de factori umani.
3. Rezumatul documentului de lucru al STI cooperative
3.1 Datele cu caracter personal
Grupul de lucru pentru protecția datelor și a vieții private pentru sistemele de transport inteligente cooperative recunoaște că mesajele de transmitere schimbate de vehicule sunt date cu caracter personal. În esență, această concluzie rezultă din două observații: 1) mesajele conțin certificate de autorizare emise de PKI, asociate în mod univoc expeditorului; 2) mesajele conțin titlu, marcă temporală, date de localizare și dimensiunile vehiculului.
Documentul definește mecanismul instituit pentru schimbul de mesaje de tip CAM și DENM cu certificatele lor digitale drept o prelucrare a datelor pseudonimizate, susținând că informațiile suplimentare (asocierea între titularul certificatului și datele vehiculului) se păstrează separat de utilizatorul datelor (aceste informații sunt deținute de autoritățile de certificare). Prin urmare, în conformitate cu articolul 4 alineatul (5) din Regulamentul general privind protecția datelor (RGPD), ar fi necesare informații suplimentare pentru a identifica persoana vizată. Din acest motiv, documentul susține că ar trebui să se aplice articolul 11 din RGPD (Prelucrarea care nu necesită identificare). Cu toate acestea, documentul nu abordează prelucrarea efectuată de autoritățile de certificare și nu prezintă detalii tehnice privind infrastructura PKI, care sunt esențiale pentru a se asigura că schimbul de date va fi efectuat practic sub pseudonim.
3.2 Temeiul juridic
Grupul de lucru pentru protecția datelor și a vieții private pentru platforma STI cooperative concluzionează că legalitatea prelucrării datelor ar putea să nu se întemeieze pe un singur temei juridic, ci pe o combinație de două sau mai multe temeiuri juridice, ținând seama de calendar și în vederea introducerii noii tehnologii în 2019. Pe scurt, Grupul de lucru pentru STI cooperative consideră că posibilele temeiuri juridice adecvate, sau o combinație a acestora, având în vedere natura aplicațiilor „Ziua 1” furnizate, ar putea fi:
• Interese publice [articolul 6 alineatul (1) litera (e) din RGPD]
• Executarea unui contract [articolul 6 alineatul (1) litera (b) din RGPD]
• Consimțământul [articolul 6 alineatul (1) litera (a) din RGPD]
• Interese legitime [articolul 6 alineatul (1) litera (f) din RGPD]
Grupul de lucru pentru STI cooperative observă că, pentru a aplica interesul public ca temei juridic, necesitatea prelucrării trebuie să fie stabilită într-o lege națională sau în legislația UE. Acest lucru ar putea fi avut în vedere la punerea în aplicare a strategiei UE pentru siguranța rutieră, eficiența energetică și durabilitatea mediului. Directiva 2010/40/UE privind STI permite Comisiei Europene să adopte specificații obligatorii în acest domeniu prin intermediul unor acte delegate. Grupul de lucru pentru STI cooperative ia în considerare introducerea obligatorie a STI cooperative ca o opțiune, dar nu pentru introducerea inițială în 2019.
Grupul de lucru pentru STI cooperative a examinat posibilitatea prelucrării datelor cu caracter personal în cazul în care acest lucru este necesar pentru îndeplinirea unui contract la care persoana vizată este parte contractantă. Conform concluziilor la care a ajuns Grupul de lucru pentru STI cooperative, aplicabilitatea acestui temei juridic ar putea să nu fie generală. Recurgerea la acest temei juridic poate fi posibilă în anumite situații, de exemplu atunci când persoana vizată are efectiv un contract cu un operator rutier privat pentru a putea conduce pe un anumit drum. Grupul de lucru pentru STI cooperative ia act de faptul că există un lanț de actori implicați în cadrul STI cooperative (producători de autovehicule, dezvoltatori de software, operatori rutieri). Aceștia pot fi operatori asociați, astfel cum sunt definiți la articolul 26 din RGPD. Pentru a putea invoca temeiul juridic al necesității de a executa un contract, este nevoie de o evaluare a rolurilor diferitelor entități în legătură cu obiectivele și mijloacele.
În ceea ce privește temeiul juridic al consimțământului, Grupul de lucru pentru STI cooperative oferă mai multe detalii privind constrângerile tehnice impuse de natura de difuzare a comunicărilor. În contextul STI cooperative, actorii care îndeplinesc rolul de operatori de date ar putea să nu aibă o relație biunivocă directă cu persoana vizată. Persoana vizată nu are și nu poate avea cunoștință de toți destinatarii mesajelor sale, având în vedere modul în care este conceput standardul[1]. Cu toate acestea, Grupul de lucru pentru STI cooperative sugerează posibilitatea de a atașa markeri la mesajele de tip CAM și DENM transmise, în care pot fi codificate preferințele utilizatorilor.
Grupul de lucru pentru STI cooperative a examinat, de asemenea, prelucrarea în scopul intereselor legitime urmărite de operator. Pentru a putea să se bazeze pe acest temei juridic, operatorul de date trebuie să asigure că prelucrarea nu prevalează asupra intereselor sau drepturilor și libertăților fundamentale ale persoanei vizate. Multiple constrângeri, astfel cum se recunoaște în mod explicit în document, împiedică aplicabilitatea acestui temei juridic. Sunt necesare, în primul rând, identificarea persoanei ale cărei interese sunt urmărite în lanțul de responsabilități din cadrul STI cooperative, efectuarea unor teste comparative potențial separate de către fiecare parte implicată, în funcție de rolurile acestora și, în al doilea rând, punerea în aplicare a unor garanții specifice suplimentare care să limiteze nejustificat impactul asupra persoanelor vizate.
4. Avizul grupului de lucru „articolul 29”
4.1 Cadrul juridic
Introducerea inițială a sistemelor de transport inteligente cooperative este prevăzută pentru anul 2019. Prin urmare, cadrul juridic relevant pentru prelucrarea datelor cu caracter personal în ceea ce privește STI cooperative este Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului „privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date” (Regulamentul general privind protecția datelor – RGPD), care a intrat în vigoare la 25 mai 2016 și va fi legea aplicabilă până la 25 mai 2018.
În plus, în viitor ar putea deveni relevant noul regulament privind viața privată și comunicațiile electronice. În conformitate cu propunerea Comisiei Europene (COM(2017)10)[2] , comunicațiile de tip mașină către mașină ar trebui să intre în domeniul de aplicare a acestui regulament.
4.2 Datele cu caracter personal/identificarea persoanelor vizate
Grupul de lucru pentru STI cooperative a identificat în mod corect că datele transmise prin intermediul platformei STI cooperative reprezintă date cu caracter personal, întrucât se referă la persoane vizate identificate sau identificabile. Persoanele vizate pot fi identificate în diverse moduri. În primul rând, prin certificatele care le sunt furnizate de PKI, întrucât respectivele certificate vor fi unice începând cu momentul conceperii, pentru a dezambiguiza vehiculul pe care acestea sunt instalate. În al doilea rând, prin datele de localizare în sine, întrucât puterea de identificare a datelor de localizare este bine cunoscută[3]: doar câteva puncte pe un traseu sunt suficiente pentru a identifica cu un grad ridicat de precizie un individ într-o populație, ținând seama de modelele în general sistematice ale mobilității persoanelor.
Acest lucru este valabil mai ales în cazul mesajelor de tip CAM. De asemenea, mesajele de tip DENM includ bilete de autorizare și datele care descriu un anumit eveniment. În funcție de modul în care are loc evenimentul (de exemplu, dimensiunea mică a spațiului, momentul specific din zi sau dinamica lanțului de evenimente), aceste mesaje pot, de asemenea, să facă identificabilă persoana vizată.
Cu privire la aplicabilitatea articolului 11 din RGPD, grupul de lucru „articolul 29” dorește să atragă atenția asupra următoarelor surse de preocupare. Articolul 11 prevede că există operațiuni de prelucrare pentru care identificarea unei persoane vizate nu este necesară, sau nu mai este necesară, iar operatorul nu este obligat să identifice persoana vizată doar pentru a respecta RGPD. Acest articol ar trebui interpretat ca un mod de a aplica minimizarea „reală” a datelor, fără însă a împiedica exercitarea drepturilor persoanelor vizate. Exercitarea acestor drepturi trebuie să fie facilitată cu ajutorul unor „informații suplimentare” furnizate de persoana vizată. Prin invocarea articolului 11 din RGPD fără a specifica care sunt datele suplimentare necesare pentru a permite identificarea persoanelor vizate, exercitarea drepturilor persoanelor vizate (acces, rectificare, portabilitate etc.) este împiedicată de facto. Cu toate acestea, datele pseudonimizate sunt date cu caracter personal prin definiție (a se vedea articolul 4 din RGPD), în sensul că acestea sunt date referitoare la o persoană identificabilă (a se vedea, în special, considerentul 26 din RGPD).
Prin urmare, grupul de lucru „articolul 29” solicită propuneri din partea grupului de lucru pentru STI cooperative cu privire la conceptul de „informații suplimentare” care pot fi furnizate în contextul acestui nou serviciu pentru a da efect acestei dispoziții, luând în considerare, de exemplu, datele specifice referitoare la vehicul sau natura deosebit de identificabilă a datelor de localizare. Grupul de lucru respinge orice interpretare a articolului 11 în scopul de a reduce responsabilitatea operatorului (operatorilor) pentru respectarea obligațiilor privind protecția datelor.
Datele cu caracter personal prelucrate prin intermediul STI cooperative pot include categorii speciale de date, astfel cum sunt definite la articolul 10 din RGPD, referitoare la încălcarea semnalului (de exemplu, „încălcarea semnalului/siguranță în intersecție” în document). Aceste categorii specifice de date nu pot fi prelucrate în STI cooperative și nu pot fi transmise către alte vehicule. Articolul 10 din RGPD prevede că datele referitoare la condamnări penale și infracțiuni pot fi prelucrate numai sub controlul unei autorități de stat sau atunci când prelucrarea este autorizată de dreptul Uniunii sau de dreptul intern care prevede garanții adecvate pentru drepturile și libertățile persoanelor vizate. Prin urmare, aplicațiile „Ziua 1” ar trebui să fie modificate pentru a preveni colectarea și transmiterea oricăror informații care ar putea intra sub incidența articolului 10.
Grupul de lucru consideră că există mai multe posibilități tehnice pentru a reduce la minimum riscurile de reidentificare.
În primul rând, se poate îmbunătăți politica de eliberare a certificatelor PKI. Atât timp cât un certificat este valabil, un vehicul poate fi identificat și urmărit, iar urmărirea prin dispozitive cu rază scurtă de acțiune reprezintă un element important în proiectarea STI cooperative. Urmărirea prin dispozitive cu rază scurtă de acțiune permite o legătură strânsă de cauzalitate între condițiile rutiere și vehiculele care circulă în zona respectivă, prin urmare, se consideră necesară activarea sistemului și punerea în funcțiune a aplicațiilor. Pentru a împiedica urmărirea pe termen lung, care nu este esențială pentru siguranța rutieră, biletele de autorizare se modifică de-a lungul timpului. Deși grupul de lucru pentru STI cooperative subliniază necesitatea unei frecvențe reduse a modificării biletelor de autorizare, pentru a limita consumul de certificate și pentru a nu împiedica identificarea facilă a pericolelor și a avertismentelor cu privire la conducătorii auto din apropiere, grupul de lucru „articolul 29” recomandă evaluarea cu atenție a posibilităților unei frecvențe mai ridicate, pentru a limita riscurile de urmărire pe termen lung.
În al doilea rând, trebuie ajustată frecvența transmiterii de mesaje de tip CAM.
În conformitate cu setările de frecvență propuse ale mesajelor de tip CAM, s-ar putea urmări vehiculele aflate la câțiva metri. Acest lucru se poate face, de exemplu, dacă diferite segmente de secvențe foarte dense de puncte referențiate temporal, care pot fi situate, de exemplu, pe o hartă, sunt „colorate” diferit de un certificat specific (presupunând că fiecare certificat primește vizual culori diferite). Afirmația făcută în document de grupul de lucru pentru STI cooperative potrivit căreia „colorarea diferită” (de exemplu, atașarea unor certificate diferite) a acestor segmente pe o hartă ar împiedica un observator să reconstituie întreg traseul unui vehicul este discutabilă. Datele de mobilitate sunt inerent și strâns corelate și sunt foarte repetitive pentru majoritatea conducătorilor auto, iar efectuarea corelării unor segmente aparent fără legătură pe o traiectorie de la un capăt la altul nu ar trebui să fie considerată nerezonabilă pentru un atacator care are motivația și mijloacele necesare. În plus, atunci când un vehicul își schimbă certificatul, va fi în continuare posibil să se creeze o legătură între vechiul și noul certificat: orice alt vehicul din apropierea vehiculului care își modifică certificatul va putea observa dispariția certificatului vechi și apariția certificatului nou și, prin urmare, va fi în măsură să stabilească o legătură între acestea. Grupul de lucru pentru STI cooperative ar trebui să abordeze această chestiune, pentru a preveni astfel de corelări.
În al treilea rând, grupul de lucru „articolul 29” subliniază importanța principiului minimizării datelor pentru a atenua riscurile de reidentificare, prin aplicarea de măsuri corective, cum ar fi generalizarea sau injectarea de zgomot[4] Astfel de măsuri corective pot fi concepute pentru a nu afecta imaginea de ansamblu asupra stării mediului și posibilitatea de a identifica un pericol nou, limitând în același timp expunerea inutilă sau urmărirea pe termen lung a conducătorului auto. Ar trebui acordată o atenție specială generalizării sau injectării cu zgomot a proprietăților statice ale vehiculelor pentru a reduce la minimum riscul de urmărire prin prelevarea amprentelor digitale ale vehiculului.
4.3 Riscurile la adresa vieții private
Grupul de lucru „articolul 29” recunoaște că ideea care stă la baza STI cooperative poate aduce beneficii pentru conducătorii auto prin sporirea posibilităților de utilizare și a sensibilizării la aspectele de mediu, precum și pentru publicul larg prin îmbunătățirea siguranței rutiere și protejarea siguranței altor conducători auto și a pietonilor. Cu toate acestea, grupul de lucru „articolul 29” subliniază că utilizarea la scară largă a acestei noi tehnologii, care va presupune colectarea și prelucrarea unei cantități fără precedent de date de localizare ale persoanelor din Europa, prezintă noi provocări pentru drepturile fundamentale și pentru protecția datelor cu caracter personal și a vieții private atât în ceea ce privește utilizatorii, cât și alte persoane care ar putea fi afectate.
În primul rând, conceptual, STI cooperative va spori posibilitatea de expunere pentru ceea ce nu obișnuiam să dezvăluim: unde conducem și cum conducem vehiculul. Prin intermediul capacităților de transmisie și recepție ale vehiculelor, aceste informații private vor fi transmise către orice vehicul din apropiere. Aceasta este o formă de urmărire comportamentală permanentă distribuită care poate genera un sentiment de disconfort generat de supravegherea ascunsă.
Lipsa de transparență constituie un alt risc important la adresa vieții private. Prin vehiculele lor, utilizatorii vor deveni transmițători continui. Aceștia ar trebui să fie pe deplin conștienți de domeniul de aplicare a prelucrării datelor, de alți participanți cu care fac schimb de date în mediul STI cooperative (alte vehicule, producători de autovehicule, operatori rutieri, alte entități publice sau private) și de modul în care aceștia prelucrează datele respective.
Opțiunea de a distribui mesaje prin transmiterea între toți participanții, în loc de comunicațiile unu-la-unu, reprezintă o altă provocare: mesajele pot fi primite de un număr nelimitat de entități ale căror intenții și capacități tehnologice nu sunt și nu pot fi cunoscute de către expeditor. O asemenea situație provoacă o asimetrie informațională între expeditori și ceilalți participanți (receptori) în cadrul STI cooperative. Această asimetrie trebuie reechilibrată cu un nivel mai ridicat de control asupra datelor cu caracter personal.
Datele cinematice și de localizare vor fi extrem de importante pentru o serie de părți interesate cu diverse intenții și scopuri, de la agenții de publicitate la producători de autovehicule și societăți de asigurare. Accesul nelimitat și fără discernământ la datele partajate în cadrul STI cooperative poate permite acumularea nejustificată a profilurilor individuale de circulație, o „datificare” a comportamentelor la volan pe baza cărora pot fi concepute, promovate și vândute bunuri și servicii personalizate.
Informațiile de mobilitate pot fi la fel de utile pentru aplicarea legii și a normelor de circulație rutieră, dincolo de scopul pentru care sunt generate și prelucrate datele STI cooperative. Acest aspect dă naștere unor preocupări de necesitate și proporționalitate în ceea ce privește utilizarea lor potențială în aceste alte scopuri.
Denaturarea funcțiilor este un alt risc important la adresa protecției datelor în cazul STI cooperative. Asimetria informațională privind identitatea celorlalți participanți care este inerentă arhitecturii de difuzare alese, dacă nu este abordată în mod corespunzător cu instrumente pentru crearea unui climat de încredere, ar putea genera deturnări de la domeniul inițial de aplicare a comunicațiilor, deviind utilizatorii către destinații nedorite. Acest lucru se poate întâmpla fie din cauza unor previziuni inexacte privind starea mediului (de exemplu, crearea unui blocaj rutier mai degrabă decât reducerea traficului) sau chiar pe baza unei interpretări non-neutre a datelor de mediu (de exemplu, determinând utilizatorii să viziteze anumite zone din cauza intereselor economice ale unuia dintre participanți).
4.4 Legalitatea prelucrării
Trebuie subliniat faptul că Regulamentul (UE) 2016/679 nu se aplică prelucrării datelor cu caracter personal de către o persoană fizică în cadrul unei activități exclusiv personale sau domestice [articolul 2 (2) (c)]. Această excepție poate fi valabilă numai atunci când este strict limitată la prelucrarea care are loc în interiorul unui autovehicul și doar în cazul în care conducătorul auto deține controlul deplin asupra prelucrării în cadrul dispozitivului. Aceasta nu poate fi valabilă atunci când dispozitivul instalat în autovehicule transmite datele altor autovehicule din apropiere, fie imediat, fie ca urmare a prelucrării locale. În astfel de cazuri, prelucrarea nu este limitată la o activitate strict personală.
Legalitatea prelucrării datelor cu caracter personal implicate în funcționarea STI cooperative trebuie identificată la articolul 6 alineatul (1) din RGPD. Prelucrarea este legală numai dacă și în măsura în care se aplică cel puțin unul dintre următoarele cazuri: (a) persoana vizată și-a dat consimțământul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice; (b) prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte; (c) prelucrarea este necesară în vederea îndeplinirii unei obligații legale care îi revine operatorului; (d) prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice; (e) prelucrarea este necesară pentru îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice cu care este învestit operatorul; (f) prelucrarea este necesară în scopul intereselor legitime urmărite de operator sau de o parte terță, cu excepția cazului în care prevalează interesele sau drepturile și libertățile fundamentale ale persoanei vizate.
Având în vedere domeniul de aplicare a STI cooperative pentru îmbunătățirea siguranței rutiere, promovarea eficienței energetice și promovarea durabilității ecologice, inclusiv prin punerea în aplicare a acestui sistem interoperabil la nivel european, grupul de lucru „articolul 29” consideră că temeiul juridic pe termen lung pentru acest tip de prelucrare trebuie furnizat prin adoptarea unui instrument juridic la nivelul UE [articolul 6 alineatul (1) litera (c) din RGPD]. Dată fiind prevalența estimată a autovehiculelor (semi-)autonome, este probabil că includerea acestei tehnologii în vehicule va deveni obligatorie la un moment dat, în mod comparabil cu obligația legală a producătorilor de autovehicule de a include funcționalitatea eCall în toate vehiculele noi. O astfel de obligație legală nu ar trebui să permită colectarea și prelucrarea generalizată a datelor cu caracter personal. Domeniul de aplicare a obligației legale trebuie să fie evaluat în mod corespunzător și validat în măsura în care este proporțional și strict necesar într-o societate democratică, astfel cum se prevede în temeiul protecției oferite de drepturile fundamentale aplicabile.
Acest proces legislativ și de evaluare ar trebui să fie inițiat de către Comisie cât mai curând posibil, pentru a preveni ca datele de localizare și alte date cu caracter personal ale cetățenilor UE în cadrul STI cooperative să fie prelucrate fără un temei juridic și fără a fi acoperite integral de un nivel de protecție adecvat.
Analiza altor temeiuri juridice arată că din acestea lipsesc anumite elemente relevante. În acest exercițiu poate fi utilă o evaluare a capacităților tehnice ale STI cooperative și a domeniului lor de aplicare.
Urmărirea poziției, a vitezei și a direcției vehiculului reprezintă esența STI cooperative. Cu cât este mai mare frecvența mesajelor schimbate, cu atât este mai clară și mai detaliată imaginea de ansamblu asupra mediului din jurul vehiculelor și cu atât este mai bună capacitatea sistemului de previzionare a pericolelor. Grupul de lucru „articolul 29” consideră că gradul de adoptare și nivelul aportului de date este un factor esențial pentru funcționarea STI cooperative: aportul insuficient de date sau rezoluția scăzută a imaginii asupra mediului surprinse de fiecare vehicul ar putea afecta sau chiar altera valabilitatea STI cooperative ca instrument pentru siguranța rutieră.
Cu toate acestea, declanșarea adoptării nu echivalează cu impunerea generalizată a urmăririi. Posibilitatea de a beneficia de STI cooperative în sine ar trebui să stimuleze conducătorii auto să adere în mod liber la STI cooperative. În acest caz, o masă critică de utilizatori poate fi atinsă în mod natural pentru o funcționare corectă a sistemului fără nicio impunere, lăsând în același timp populația liberă să aleagă dacă dorește să participe la sistem și, în caz afirmativ, să selecteze opțiunile de urmărire (calendar, frecvență, locații) care corespund cel mai bine preferințelor proprii.
Nivelul de rezoluție a urmăririi este bine reprezentat de indicatorii de performanță a sistemului[5]:
„Un vehicul va genera un mesaj de tip CAM aproximativ o dată la 4 metri și atunci când direcția de deplasare se modifică cu mai mult de 4°. În cazul în care distanța dintre poziția anterioară și cea actuală s-a modificat cu mai mult de 4 metri sau viteza se modifică cu mai mult de 0,5 m/s în comparație cu ultima dată când a fost trimis un mesaj de tip CAM, dar cel puțin o dată pe secundă și cel mult o dată la 0,1 secunde în condiții normale”
Aceste opțiuni de urmărire reprezintă situația de referință. De fapt, documentul prevede că „acestea sunt specificațiile definite în prezent, care se pot schimba în funcție de nevoile efective ale noilor funcții emergente”. De asemenea, conform documentului, aceste setări nu pot fi modificate de către utilizator. Grupul de lucru pentru STI cooperative nu asigură un echilibru corespunzător între necesitatea de a promova adoptarea STI cooperative și de a împiedica „paraziții”, care nu participă, dar profită de beneficii, prin stabilirea frecvenței schimbului de mesaje (și, prin urmare, a granularității urmăririi) la cel mai înalt nivel posibil.
Grupul de lucru pentru STI cooperative nu a ajuns încă la un consens cu privire la fezabilitatea tehnică a obținerii consimțământului. Grupul de lucru subliniază că trebuie să fie îndeplinite toate elementele consimțământului valabil, în conformitate cu articolul 7 și considerentul 42 din RGPD. Operatorii de date trebuie să acorde atenția cuvenită modalităților de a obține consimțământul specific, liber și în cunoștință de cauză de la participanți diferiți, cum ar fi proprietarii de autovehicule sau utilizatorii de autovehicule. Un astfel de consimțământ trebuie să fie furnizat separat, pentru scopuri specifice, nu poate fi inclus la pachet cu contractul pentru cumpărarea sau închirierea unui automobil nou, iar consimțământul trebuie să fie la fel de ușor de retras cum este de dat. În plus, consimțământul nu reprezintă un temei juridic adecvat atunci când este vorba despre angajați, având în vedere că relația angajator-angajat este caracterizată de subordonare juridică și angajații nu au libertatea de a refuza să-și dea consimțământul.
În special, având în vedere că STI cooperative se bazează pe difuzare continuă, nu există niciun punct de discontinuitate în transmisie pentru a semnala intenția sau dorințele din partea utilizatorului. De asemenea, difuzarea este în întregime un sistem de comunicare prospectiv, fără acțiune retrospectivă, iar acest fapt face imposibilă stabilirea unui mecanism de recunoaștere reciprocă între persoana vizată (expeditor) și operator (destinatar). Această lipsă de recunoaștere reciprocă în sine nu ar trebui să excludă utilizarea consimțământului, dar îngreunează sarcina de a prelucra date numai pentru scopuri specifice și bine definite și de către operatori de date cunoscuți. În același timp, afirmația cuprinsă în document potrivit căreia acordul nu poate fi considerat drept un temei juridic viabil pentru că operatorul nu a fost definit în această etapă la un nivel care să permită persoanei vizate să cunoască identitatea acestuia este înșelătoare: existența unui operator (unor operatori) bine definit (definiți) este o condiție prealabilă pentru prelucrarea în sine și niciun temei juridic în conformitate cu articolul 6 alineatul (1) din RGPD nu ar justifica caracterul vag al identificării sale. Eforturile tehnice pentru a include repere în structura mesajelor de tip CAM și DENM pentru a semnala preferințele utilizatorilor sunt un bun punct de plecare, dar încă nu reprezintă soluția.
Grupul de lucru pentru STI cooperative abordează, de asemenea, posibilitatea de a invoca necesitatea de a executa un contract [articolul 6 alineatul (1) litera (b) din RGPD]. Un contract specific între persoana vizată și operator, separat de orice alt contract de cumpărare/leasing a unui autovehicul, ar putea, în principiu, să permită conducătorilor auto să adere în mod liber la sistem.
Cu privire la aplicabilitatea opțiunii unui control comun prevăzută la articolul 26 din RGPD, trebuie subliniat faptul că acesta nu este un joc de putere între operatorii asociați, nici nu este menit să ofere libertate în ceea ce privește modul de a lua măsuri pentru a omite parțial sau integral obligațiile de control. Operatorii asociați care au o relație stabilită cu clienți sau persoane fizice și sunt în măsură să comunice cu aceștia în mod direct ar trebui să își asume responsabilitatea deplină pentru informarea acestora cu privire la ierarhia responsabilității, existența și scopurile altor operatori asociați.
În cazul în care prelucrarea este necesară pentru executarea unui contract specific și ales în mod liber la care persoana vizată este parte, grupul de lucru „articolul 29” a clarificat în repetate rânduri[6] că această dispoziție trebuie interpretată în mod restrictiv și că există o legătură clară între evaluarea necesității și conformitatea cu principiul limitării scopului. În contextul STI cooperative, două aspecte sunt de primă importanță. În primul rând, este important să se definească în mod clar în prealabil părțile implicate în contract, pentru a limita prelucrarea în perimetrul restrâns al actorilor implicați în domeniul de aplicare a STI cooperative, precum și să se evite orice utilizare ulterioară de către alte părți nedeterminate. Exemplul prezentat în document al unui contract între persoanele vizate și un operator rutier privat este incomplet, având în vedere că pot exista și alte părți implicate în prelucrare (producătorii de autovehicule și dezvoltatorii de software, de exemplu) – fie în calitate de operatori asociați în conformitate cu articolul 26 din RGPD, fie ca un ansamblu în contextul unui singur consorțiu cu rolul de operator deplin – care pot încheia un contract cu persoanele vizate. În al doilea rând, raționamentul care stă la baza contractului, fondul său și obiectivele sale trebuie să preceadă prelucrarea în sine, iar operatorul (operatorii) trebuie să efectueze teste în raport cu raționamentul și obiectivele respective pentru a stabili dacă prelucrarea datelor este necesară pentru executarea contractului cu fiecare utilizator individual, luând în considerare faptul că autovehiculele pot fi conduse de proprietari sau de alți utilizatori.
Cu privire la posibila aplicare a necesității de a prelucra datele pentru un interes legitim [articolul 6 alineatul (1) litera (f) din RGPD], grupul de lucru „articolul 29” reamintește că acest lucru nu ar trebui să fie tratat ca o posibilitate „în ultimă instanță” pentru cazurile complexe, dacă celelalte motive pentru prelucrarea legală sunt dificil de aplicat. Rezultatul unui test comparativ poate stabili dacă articolul 6 alineatul (1) litera (f) din RGPD poate fi invocat ca temei juridic pentru prelucrare. Identificarea operatorilor de date și a intereselor acestora este o condiție prealabilă, astfel cum se menționează în document. Cu toate acestea, ar trebui să fie luați în considerare alți factori relevanți[7]. În special, sursa legitimității interesului (dacă aceasta își are originea în interesul public sau în interesul de afaceri al unei anumite părți), impactul asupra persoanelor vizate și asupra așteptărilor lor legate de viața privată, având în vedere, de asemenea, potențialul caracter sensibil al datelor de localizare, garanții suplimentare, de asemenea din punct de vedere tehnic, care ar putea limita orice impact necorespunzător asupra acestora.
4.5 Securitatea
STI cooperative se bazează pe transmiterea de mesaje. Asigurarea confidențialității, a integrității și a disponibilității comunicațiilor, și anume securitatea comunicațiilor, în acest context necesită un efort suplimentar și specificații adiționale în comparație cu comunicările bilaterale (unu-la-unu).
Transmiterea este o modalitate nerestricționată de a comunica unor părți receptoare nedeterminate aflate în raza de acțiune a unui dispozitiv emițător. În consecință, orice mod semnificativ de a limita prelucrarea informațiilor transmise numai în contextul aplicării STI cooperative, evitându-se posibilitatea ca acestea să poată fi prelucrate în mod necorespunzător de către orice altă parte destinatară din afara STI cooperative, se va baza pe existența unor participanți fiabili și pe considerentul că utilizarea datelor provenite din STI cooperative în alte scopuri decât siguranța rutieră ar constitui o infracțiune.
Trebuie reamintit faptul că propunerea legislativă COM(2017)10, Regulamentul privind confidențialitatea și comunicațiile electronice, include limitări foarte stricte privind utilizarea „datelor emise” precum mesajele de tip CAM și DENM, pentru care este prevăzută la articolul 8 alineatul (2) o interdicție generală privind utilizarea, cu excepția cazului în care aceasta se realizează exclusiv, atât timp cât este necesar și în scopul de a stabili o legătură, și există măsuri tehnice și organizatorice adecvate pentru a asigura un nivel de securitate proporțional cu riscurile, astfel cum este prevăzut la articolul 32 din RGPD.
Documentul pune un accent deosebit pe mecanismul PKI ca mijloc de a crea încredere în sistemul STI cooperative. De fapt, PKI este o modalitate de a aplica distribuirea unei anumite resurse de informații (în cazul STI cooperative, certificatele digitale) în cadrul unei structuri de guvernanță supravegheate. PKI nu prevede niciun mecanism de asigurare a respectării în vederea stabilirii intențiilor reale ale deținătorilor sau emitenților de certificate. Din păcate, coluziunile sau incidentele de securitate care afectează autoritățile de certificare au devenit din ce în ce mai frecvente în ultimii ani și există stimulente puternice pentru a obține certificări doar pentru a comite acțiuni rău intenționate[8].
Existența unei arhitecturi PKI nu garantează în sine existența încrederii între participanți. Alte măsuri suplimentare sunt necesare pentru consolidarea încrederii. Punerea în aplicare a mecanismelor de garantare a securității este un element important. Alți factori relevanți constau într-o verificare periodică și riguroasă cu privire la operațiunile autorităților de certificare (AC), fie sub forma unui control încrucișat între autoritățile de certificare, fie prin intermediul unor audituri sau controale efectuate de instituțiile publice implicate în promovarea STI cooperative.
Asigurarea integrității înseamnă evitarea ca aceste date să poată fi modificate într-un mod neautorizat, denaturând buna funcționare a unui sistem informatic. În contextul de difuzare specific STI cooperative, acest lucru se poate întâmpla în cazul în care participanții (chiar participanți fiabili) manipulează imaginea mediului înconjurător prin injectarea pe ascuns de date care sunt false sau care corespund unui interes economic mai degrabă decât obiectivului public al siguranței rutiere. Filtrarea valorilor aberante în fluxul mesajelor CAM și DENM, care ar putea anunța indicatori în afara mediei, constituie un mecanism valid de descurajare împotriva utilizării rău intenționate a STI cooperative și o modalitate de a se asigura că datele transmise sunt cele esențiale în acest scop.
Disponibilitatea este capacitatea informațiilor de a-și îndeplini scopul, atunci când este necesar. Acesta este un atribut foarte delicat de garantat într-un mediu de difuzare, din cauza existenței unui compromis între timp și calitatea datelor. În cazul în care existența (și, prin urmare, disponibilitatea) unei informații privind un potențial pericol este generată de difuzarea masivă simultană de mesaje cu privire la situația respectivă, bazarea pe un eșantion prea mic de mesaje ar putea genera numeroase alarme false; dimpotrivă, dacă se așteaptă colectarea unui volum suficient de probe din mai multe surse diferite, ar putea fi prea târziu pentru siguranța oamenilor. Prevenirea accidentelor este un rezultat foarte important care este așteptat în urma prelucrării datelor cu caracter personal în contextul STI cooperative, iar grupul de lucru „articolul 29” recomandă dezvoltatorilor de software să aibă foarte mare grijă și să depună toate eforturile pentru elaborarea de programe software capabile să sorteze rezultatele fals pozitive și negative, de asemenea prin îmbunătățirea în colaborare a parametrilor serviciului pentru a nu genera alarme sau, dimpotrivă, pentru a împiedica apariția unor situații cu adevărat periculoase pentru persoanele vizate.
5. Acțiunile necesare
Grupul de lucru „articolul 29” salută efortul depus de Comisia Europeană și de Grupul de lucru pentru protecția datelor și a vieții private pentru sistemele de transport inteligente cooperative de a include încă de la început principiile de protecție a datelor în funcționarea acestor noi aplicații.
Exercițiul desfășurat de grupul de lucru pentru STI cooperative este un bun punct de plecare, dar trebuie să fie însoțit de o serie de acțiuni specifice la diferite niveluri. Grupul de lucru „articolul 29” consideră că următoarele aspecte ale protecției datelor sunt deosebit de importante:
• Comisia ar trebui să pună în aplicare regulamente sectoriale pentru colectarea și prelucrarea de date în domeniul sistemelor de transport inteligente;
• Comisia ar trebui să stabilească o foaie de parcurs pentru prelucrarea legală a datelor de localizare ale cetățenilor UE în contextul STI cooperative, obiectivul final fiind adoptarea unui instrument juridic la nivelul UE [articolul 6 alineatul (1) litera (c) din RGPD];
• adoptarea acestor instrumente juridice ar trebui să înceapă cu o evaluare a necesității și a proporționalității dispozițiilor lor; în plus, în cursul procesului legislativ, ar trebui să se efectueze o evaluare a impactului asupra protecției datelor [articolul 35 alineatul (10) din RGPD] pentru a se clarifica de la început riscurile și măsurile de remediere;
• celelalte temeiuri juridice avute în vedere în documentul grupului de lucru pentru STI cooperative (și anume, consimțământul, îndeplinirea unui interes legitim al contractantului) ar putea fi invocate numai în cazul în care pot fi soluționate aspectele critice identificate pentru fiecare dintre acestea în prezentul aviz;
• în oricare dintre temeiurile juridice selectate, setarea implicită a tuturor funcțiilor STI cooperative instalate trebuie să fie dezactivată;
• dispozițiile articolului 25 din RGPD (Asigurarea protecției datelor începând cu momentul conceperii și în mod implicit) ar trebui să fie puse în aplicare, permițând utilizatorilor să selecteze opțiunile de urmărire (calendar, frecvență, locații) care corespund cel mai bine preferințelor proprii;
• securitatea ar trebui consolidată, pentru a limita riscul unei utilizări nelegitime a datelor din cadrul STI cooperative în afara domeniului de aplicare a scopurilor legitime;
• ar trebui să fie introduse alte măsuri corective pentru protecția vieții private începând cu momentul conceperii, cum ar fi generalizarea sau injectarea de zgomot, pentru a nu afecta imaginea de ansamblu asupra stării mediului și posibilitatea de a identifica un pericol nou, limitând în același timp expunerea inutilă sau urmărirea pe termen lung a conducătorului auto;
• ar trebui să se acorde o atenție deosebită frecvenței cu care sunt modificate certificatele, astfel încât să se creeze un echilibru corect între frecvența selectată și riscurile de urmărire pe termen lung;
• categoriile speciale de date și datele referitoare la condamnări penale și infracțiuni nu ar trebui să fie transmise;
• calitatea datelor ar trebui să fie evaluată cu atenție pentru a reduce orice risc de utilizare non-neutră a STI cooperative, generarea de alarme false sau, dimpotrivă, interpretarea greșită a situațiilor de urgență reale;
• mecanismul PKI pentru distribuirea certificatelor ar trebui să fie documentat public în mod detaliat și strict monitorizat, pentru a limita riscul de coluziuni între autoritățile de certificare și participanți sau pătrunderea unor actori răuvoitori;
• perioadele de păstrare a datelor prelucrate de către toate părțile implicate în platforma STI cooperative ar trebui să fie indicate în mod clar și ar trebui să fie interzisă crearea unei baze de date centralizate a mesajelor transmise de către oricare dintre actorii din cadrul STI cooperative.
_____________________________________________________________________________________________________________________
[1] ETSI EN 302 637-2 „Sisteme de transport inteligente (STI); comunicări vehiculare; setul de bază de aplicații; partea 2: Specificații cu privire la serviciul de bază de conștientizare cooperativă” și ETSI EN 302 637-3 „Sisteme de transport inteligente (STI); comunicări vehiculare; setul de bază de aplicații; partea 3: Specificații cu privire la serviciul de bază descentralizat de notificare de mediu”.
[2]Propunerea legislativă a Comisiei Europene COM(2017)10 privind respectarea vieții private și protecția datelor cu caracter personal în comunicațiile electronice (Regulamentul privind viața privată și comunicațiile electronice), ianuarie 2017. A se vedea, de asemenea, avizul WP247 al grupului de lucru „articolul 29”, URL: http://ec.europa.eu/newsroom/document.cfm?doc_id=44103.
[3] Grupul de lucru „articolul 29”, WP X, Avizul 05/2014 privind tehnicile de anonimizare.
[4] A se vedea exemple în Grupul de lucru „articolul 29”, WP216, Avizul 05/2014 privind tehnicile de anonimizare.
[5] Prelucrarea datelor cu caracter personal în contextul STI cooperative. Anexa I – Aplicații „Ziua 1”, standarde și securitate (A.2.2 CAM).
[6] Avizul 02/2013 privind aplicațiile instalate pe dispozitivele inteligente și Avizul 06/2014 privind noțiunea de interese legitime ale operatorului de date prevăzută la articolul 7 din Directiva 95/46/CE.
[7] Avizul 06/2014 privind noțiunea de interese legitime ale operatorului de date prevăzută la articolul 7 din Directiva 95/46/CE.
[8] Edelman, Benjamin. “Adverse Selection in Online ‘Trust’ Certifications and Search Results.” [„Selecție adversă în certificările „de încredere” online și rezultatele căutării”] Electronic Commerce Research and Applications Vol. 10, nr. 1 (ianuarie – februarie 2011).