Sfârșitul prelucrării datelor istorice în asigurările auto? Sfârșitul Waze-ului?


La data de 28.ianuarie 2020 a fost aprobat și supus dezbaterii publice, de către Comitetul European privind Protecția Datelor (CEPD), Ghidul nr.1/2020 privind prelucrarea datelor cu caracter personal în contextul vehiculelor conectate și aplicațiile legate de mobilitate.

În această perioadă a IoT (Internetul Obiectelor), când obiectele, utilizate în viața de zi cu zi, capătă funcții din ce în ce mai avansate de stocare și transmitere a informațiilor personale, legate de comportamentul individual în diverse circumstanțe, fie acasă, fie la serviciu sau în mașină, a devenit stringentă separarea și clarificarea juridică a informațiilor care țin de viața personală a fiecăruia și informațiile care țin de “viața” obiectelor din jurul nostru.

Exemplele sunt nenumărate, începând cu funcțiile cu adevărat utile, cum sunt sistemele de GPS din vehiculele conduse de noi sau din telefoane și terminând cu situații mai puțin plăcute, cum ar fi memorarea încălcărilor regulilor de circulație sau a accidentelor în care am fost implicați, cu consecințe asupra primelor de asigurare plătite și nu numai.

În acest context este salutară publicarea Ghidului privind prelucrarea datelor cu caracter personal în contextul vehiculelor conectate și aplicațiile legate de mobilitate de către Comitetul European privind Protecția Datelor (CEPD).


Domeniul de aplicare al acestui document se concentrează în special pe prelucrarea datelor cu caracter personal în legătură cu utilizarea neprofesională a vehiculelor conectate de către persoanele vizate: de exemplu, șoferi, pasageri, proprietari de vehicule, chiriașii, etc. Mai precis, tratează datele cu caracter personal

(i) prelucrate în interiorul vehiculului,

(ii) schimbate între vehicul și dispozitivele personale conectate la acesta (de exemplu, smartphone-ul utilizatorului) sau

(iii) colectate în vehicul și exportate către entități externe (de exemplu, producători de vehicule, manageri de infrastructură, companii de asigurări, reparatori auto) pentru prelucrare ulterioară.

În ceea ce privesc datele prelucrate în interiorul vehiculului sau schimbate între acesta și smartphone-ul utilizatorului, fie că au rol de asistență la condus sau rol de entertainment nu se ridică probleme majore, consimțământul cu privire la prelucrarea lor fiind de cele mai multe ori expres acordat de către persoana vizată. În ce privesc datele exportate către entități externe atunci aspectele practice și juridice se complică așa cum vom detalia mai jos.

Astfel, cum precizează Ghidul, o mare parte din datele generate de un vehicul conectat se referă la o persoană fizică identificată sau identificabile și astfel constituie date cu caracter personal. De exemplu, datele includ date direct identificabile (de exemplu, identitatea completă a șoferului), precum și date identificabile indirect, cum ar fi detaliile călătoriile efectuate, datele de utilizare a vehiculului (de exemplu, date referitoare la stilul de conducere sau la distanța parcursă) sau datele tehnice ale vehiculului (de exemplu, date referitoare la uzura pieselor vehiculului), care, prin raportare încrucișată cu alte fișiere și, în special, numărul de identificare al vehiculului (VIN), pot fi legate de un persoana naturala. Datele personale din vehiculele conectate pot include, de asemenea, metadate, cum ar fi starea de întreținere a vehiculul. Cu alte cuvinte, orice date care pot fi asociate cu o persoană fizică, intră prin urmare în sfera de aplicare a acestui document.

Așadar, în acest context trebuie identificați în litera și spiritul Regulamentului GDPR cine sunt operatorii de date cu caracter personal, împuterniciții, persoanele vizate și destinatarii datelor personale prelucrate în acest mediu.

Astfel, operatorii de date cu caracter personal pot include furnizori de servicii care prelucrează datele vehiculelor, trimite șoferului informații despre trafic, mesaje ecologice de conducere sau alerte cu privire la funcționarea vehiculului, companii de asigurări care oferă contracte „Pay As You Drive” sau asociații ale producătorilor care colectează date privind uzura care afectează piesele vehiculului pentru a îmbunătăți calitatea acestora, furnizorii de servicii software de evidență istorică a daunelor, service-uri auto etc.

În principiu, numai operatorul de date și persoana vizată au acces la datele generate de un vehicul fie el conectat sau nu. Cu toate acestea, operatorul de date poate prelucra datele personale numai în condițiile Regulamentului GDPR și poate transmite datele cu caracter personal unui partener comercial (destinatar), în măsura în care o astfel de transmitere se bazează pe unul dintre temeiurile juridice prevăzute la art. 6 al Regulamentului GDPR:

  • persoana vizată și-a dat consimțământul pentru prelucrarea datelor cu caracter personal

  • prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte sau face demersuri la cererea persoanei viate înainte de încheierea unui contract

  • prelucrarea este necesară în vederea îndeplinirii unei obligații legale care îi revine operatorului

  • prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice

  • prelucrarea este necesară pentru îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice cu care este învestit operatorul

  • prelucrarea este necesară în scopul intereselor legitime urmărite de operator sau de o parte terță, cu excepția cazului în care prevalează interesele sau drepturile și libertățile fundamentale ale persoanei vizate, care necesită protejarea datelor cu caracter personal, în special atunci când persoana vizată este un copil.

Prin urmare, producătorul vehiculului, furnizorul de servicii, asigurătorul sau alt operator de date poate transmite date cu caracter personal unei persoane împuternicite selectate pentru a juca un rol în furnizarea serviciului către persoana vizată, cu condiția ca împuternicitul să nu utilizeze aceste date în scopul său propriu. Operatorii de date și persoanele împuternicite de operatorii de date întocmesc un contract sau un alt document juridic care să precizeze obligațiile fiecărei părți conform dispozițiilor art. 28 din Regulamentul GDPR.

Având în vedere posibila sensibilitate a datelor privind utilizarea vehiculului (de exemplu, călătoriile efectuate, stilul de conducere), CEPD recomandă ca consimțământul persoanei vizate să fie obținut în mod sistematic înainte ca datele lor să fie transmise unui partener comercial care acționează în calitate de operator de date (de exemplu, bifând o casetă care nu este prebifată sau, dacă este posibil din punct de vedere tehnic, prin utilizarea unui dispozitiv fizic sau logic pe care persoana îl poate accesa din vehicul).

La rândul său, partenerul comercial devine responsabil pentru datele pe care le primește și face obiectul tuturor dispozițiilor GDPR.


În contextul Directivei ePrivacy, CEPD consideră că o parte din datele prelucrate de la vehicule cad sub incidența acesteia. Când datele sunt colectate pe baza consimțământului, astfel cum prevede art. 5 (3) din Directiva „ePrivacy” acestea pot fi prelucrate în continuare în alt scop decât cel inițial, numai dacă s-a solicitat consimțământ suplimentar pentru acest alt scop sau dacă operatorul poate demonstra că se bazează pe o lege a Uniunii sau a statelor membre care să protejeze obiectivele prevăzute la art. 23 (1) GDPR. CEPD consideră că prelucrarea ulterioară pe baza unui test de compatibilitate conform art. 6 (4) GDPR nu este posibil în aceste cazuri, deoarece ar submina standardul de protecție a datelor din Directiva „ePrivacy”.

De exemplu, datele de telemetrie, care sunt colectate în timpul utilizării vehiculului în scop de întreținere, nu pot fi dezvăluite companiilor de asigurări auto fără acordul utilizatorilor, în scopul creării de profiluri de șoferi, pentru a oferi polițe de asigurare bazate pe comportamentul de conducere. De altfel, în această situație se încadrează și datele colectate în mod abuziv de sistemele de calcul al reparațiilor vehiculelor, fie la momentul reparației vehiculului, fie la momentul avizării și/sau constituirii rezervei de daune sau închiderii dosarului de daună.

Totodată, intră sub același regim și datele cu privire la comportamentul de conducere al persoanei vizate prelucrate și/sau obținute din sisteme software și/sau dispozitive digitale, waze, google maps, smartphone-uri, etc fără consimțământ sau care nu se încadrează în prevederile prevăzute de art.6 din Regulamentul GDPR sau excepțiile prevăzute în acesta.

Trebuie avut în vedere și aspectul cu privire la profilarea automată care se efectuează în majoritatea cazurilor, asigurătorii, cel puțin din experiența mea, evitând sa facă astfel de mențiuni în documentele de obținere a consimțământului de la persoana vizată/asigurat.


În concluzie, Ghidul publicat de CEPD și supus dezbaterii publice, în măsura în care nu va suferi modificări semnificative, va obliga o serie de operatori din lanțul de actori din industria auto – producători, dealeri, service-uri, asigurători, furnizori de servicii etc să își regândească procesele de culegere de date și să se aplece asupra utilității colectării unor date care acum sunt prelucrate în alte scopuri decât cele pentru care au obținut consimțământul.

Mai jos gasiți link-ul către documentul original în limba engleză, acesta conținând mult mai multe detalii tehnice. https://edpb.europa.eu/sites/edpb/files/consultation/edpb_guidelines_202001_connectedvehicles.pdf

#staiacasa #consultatiionline

Societate Civilă de Avocați CHIRIC & CHIRIC

Înființată prin Decizia Baroului București nr. 1746 din 2006 CIF - RO18569360

București, str.Căderea Bastiliei nr.80-84, parter, sector 1, 010616

IBAN - RO11BACX0000000038288250 deschis la Unicredit Bank

e-mail:office@chiric.eu, fax: 021.224.60.29, mobil: 0374 914 705

  • email
  • LinkedIn
  • Facebook
  • Twitter
  • whatsapp-512

©1996 - 2020 Chiric & Chiric