Sfârșitul prelucrării datelor istorice în asigurările auto? Sfârșitul Waze-ului?


La data de 28.ianuarie 2020 a fost aprobat și supus dezbaterii publice, de către Comitetul European privind Protecția Datelor (CEPD), Ghidul nr.1/2020 privind prelucrarea datelor cu caracter personal în contextul vehiculelor conectate și aplicațiile legate de mobilitate.

În această perioadă a IoT (Internetul Obiectelor), când obiectele, utilizate în viața de zi cu zi, capătă funcții din ce în ce mai avansate de stocare și transmitere a informațiilor personale, legate de comportamentul individual în diverse circumstanțe, fie acasă, fie la serviciu sau în mașină, a devenit stringentă separarea și clarificarea juridică a informațiilor care țin de viața personală a fiecăruia și informațiile care țin de “viața” obiectelor din jurul nostru.

Exemplele sunt nenumărate, începând cu funcțiile cu adevărat utile, cum sunt sistemele de GPS din vehiculele conduse de noi sau din telefoane și terminând cu situații mai puțin plăcute, cum ar fi memorarea încălcărilor regulilor de circulație sau a accidentelor în care am fost implicați, cu consecințe asupra primelor de asigurare plătite și nu numai.

În acest context este salutară publicarea Ghidului privind prelucrarea datelor cu caracter personal în contextul vehiculelor conectate și aplicațiile legate de mobilitate de către Comitetul European privind Protecția Datelor (CEPD).


Domeniul de aplicare al acestui document se concentrează în special pe prelucrarea datelor cu caracter personal în legătură cu utilizarea neprofesională a vehiculelor conectate de către persoanele vizate: de exemplu, șoferi, pasageri, proprietari de vehicule, chiriașii, etc. Mai precis, tratează datele cu caracter personal

(i) prelucrate în interiorul vehiculului,

(ii) schimbate între vehicul și dispozitivele personale conectate la acesta (de exemplu, smartphone-ul utilizatorului) sau

(iii) colectate în vehicul și exportate către entități externe (de exemplu, producători de vehicule, manageri de infrastructură, companii de asigurări, reparatori auto) pentru prelucrare ulterioară.

În ceea ce privesc datele prelucrate în interiorul vehiculului sau schimbate între acesta și smartphone-ul utilizatorului, fie că au rol de asistență la condus sau rol de entertainment nu se ridică probleme majore, consimțământul cu privire la prelucrarea lor fiind de cele mai multe ori expres acordat de către persoana vizată. În ce privesc datele exportate către entități externe atunci aspectele practice și juridice se complică așa cum vom detalia mai jos.

Astfel, cum precizează Ghidul, o mare parte din datele generate de un vehicul conectat se referă la o persoană fizică identificată sau identificabile și astfel constituie date cu caracter personal. De exemplu, datele includ date direct identificabile (de exemplu, identitatea completă a șoferului), precum și date identificabile indirect, cum ar fi detaliile călătoriile efectuate, datele de utilizare a vehiculului (de exemplu, date referitoare la stilul de conducere sau la distanța parcursă) sau datele tehnice ale vehiculului (de exemplu, date referitoare la uzura pieselor vehiculului), care, prin raportare încrucișată cu alte fișiere și, în special, numărul de identificare al vehiculului (VIN), pot fi legate de un persoana naturala. Datele personale din vehiculele conectate pot include, de asemenea, metadate, cum ar fi starea de întreținere a vehiculul. Cu alte cuvinte, orice date care pot fi asociate cu o persoană fizică, intră prin urmare în sfera de aplicare a acestui document.

Așadar, în acest context trebuie identificați în litera și spiritul Regulamentului GDPR cine sunt operatorii de date cu caracter personal, împuterniciții, persoanele vizate și destinatarii datelor personale prelucrate în acest mediu.

Astfel, operatorii de date cu caracter personal pot include furnizori de servicii care prelucrează datele vehiculelor, trimite șoferului informații despre trafic, mesaje ecologice de conducere sau alerte cu privire la funcționarea vehiculului, companii de asigurări care oferă contracte „Pay As You Drive” sau asociații ale producătorilor care colectează date privind uzura care afectează piesele vehiculului pentru a îmbunătăți calitatea acestora, furnizorii de servicii software de evidență istorică a daunelor, service-uri auto etc.

În principiu, numai operatorul de date și persoana vizată au acces la datele generate de un vehicul fie el conectat sau nu. Cu toate acestea, operatorul de date poate prelucra datele personale numai în condițiile Regulamentului GDPR și poate transmite datele cu caracter personal unui partener comercial (destinatar), în măsura în care o astfel de transmitere se bazează pe unul dintre temeiurile juridice prevăzute la art. 6 al Regulamentului GDPR:

  • persoana vizată și-a dat consimțământul pentru prelucrarea datelor cu caracter personal

  • prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte sau face demersuri la cererea persoanei viate înainte de încheierea unui contract

  • prelucrarea este necesară în vederea îndeplinirii unei obligații legale care îi revine operatorului

  • prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice

  • prelucrarea este necesară pentru îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice cu care este învestit operatorul

  • prelucrarea este necesară în scopul intereselor legitime urmărite de operator sau de o parte terță, cu excepția cazului în care prevalează interesele sau drepturile și libertățile fundamentale ale persoanei vizate, care necesită protejarea datelor cu caracter personal, în special atunci când persoana vizată este un copil.

Prin urmare, producătorul vehiculului, furnizorul de servicii, asigurătorul sau alt operator de date poate transmite date cu caracter personal unei persoane împuternicite selectate pentru a juca un rol în furnizarea serviciului către persoana vizată, cu condiția ca împuternicitul să nu utilizeze aceste date în scopul său propriu. Operatorii de date și persoanele împuternicite de operatorii de date întocmesc un contract sau un alt document juridic care să precizeze obligațiile fiecărei părți conform dispozițiilor art. 28 din Regulamentul GDPR.

Având în vedere posibila sensibilitate a datelor privind utilizarea vehiculului (de exemplu, călătoriile efectuate, stilul de conducere), CEPD recomandă ca consimțământul persoanei vizate să fie obținut în mod sistematic înainte ca datele lor să fie transmise unui partener comercial care acționează în calitate de operator de date (de exemplu, bifând o casetă care nu este prebifată sau, dacă este posibil din punct de vedere tehnic, prin utilizarea unui dispozitiv fizic sau logic pe care persoana îl poate accesa din vehicul).

La rândul său, partenerul comercial devine responsabil pentru datele pe care le primește și face obiectul tuturor dispozițiilor GDPR.