Particularitățile obligației de informare privind prelucrarea datelor cu caracter personal în cazul unui proces decizional automatizat, incluzând crearea de profiluri
Art. 13 alin. (2) lit. f) din Regulementul nr. 679 din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor – RGPD) prevede faptul că în cazul unei prelucrări operate în cadrul unui proces decizional automatizat, ce include crearea de profiluri, persoanele vizate vor trebui informate privind logica utilizată, importanța și consecințele unei astfel de prelucrări pentru persoana vizată.
În absența unor alte detalii legislative, Grupul de Lucru art. 29, organism european cu caracter consultativ constituit în temeiul art. 29 al Directivei 95/46/CE, a oferit unele explicații ale noțiunii de „logică utilizată” în cadrul Ghidului privind procesul decizional automatizat incluzând crearea de profiluri în sensul Regulamentului 2016/679, adoptat la 3 octombrie 2017[1]. Astfel, operatorul trebuie în primul rând să se asigure că oferă suficiente informații pentru ca prelucrarea datelor personale ale persoanei vizate să fie corectă.
Deoarece tehnica modernă poate face foarte dificilă orice încercare de înțelegere a procesului de decizie automatizat, îi revine operatorului sarcina de a explica persoanei vizate, în limbaj simplu și clar, care este „logica” respectivului proces, întelegându-se prin aceasta raționamentul din spatele procesului automatizat, criteriile în baza cărora persoana vizată este subiectul respectivului proces, fără ca informațiile să implice în mod necesar explicații tehnice complexe privind algoritmul utilizat. Informația oferită trebuie să aibă însemnătate și interes pentru persoana vizată.
Exemplul oferite de Grupul de Lucru art. 29 se referă la operatorii din domeniul bancar care utilizează scorurile de credit pentru a evalua și respinge unele solicitări individuale de acordare a unui împrumut. Deși persoana vizată nu trebuie să cunoască tot algoritmul de calcul automatizat, operatorul trebuie să informeze solicitantul asupra faptului că procesul automatizat îl ajută să ia decizii corecte și obiective privind împrumuturile acordate, precum și asupra principalelor criterii avute în vedere la calculul scorului de credit., explicând de asemenea ce date cu caracter personal au fost utilizate în procesul automatizat, sursa acestora (ex.:datele oferite de persoana vizată în formularul de înregistrare a solicitării sale).
Informatiile privind „importanța și consecințele” prelucrării sunt supuse acelorași principii generale, urmărind să asigure întelegerea persoanei vizate asupra raționamentului ce stă la baza procesului decizional automatizat, incluzând consecințele acestui raționament. În exemplul dat privind solicitarea acordării unui credit bancar, solicitantul a cărei cerere a fost supusa unui proces decizional automatizat va trebui să înțeleagă de ce răspunsul a fost „da” sau „nu” și din ce motive, nefiind suficientă comunicarea doar a deciziei finale. În absența acestor informații explicative, persoana vizată nu ar putea să își exercite celelalte drepturi esențiale precum dreptul de opoziție și dreptul de a se adresa autorității competente.
Pentru a explica importanțele și consecințele unui proces decizional automatizat operatorul poate utiliza inclusiv grafice sau alte tehnici video ce ilustrează modul în care persoana vizată va fi afectată de prelucrarea datelor cu caracter personal, incluzând aici și profilarea sa.
Cu titlu de exemplu Grupul de Lucru art. 29 în Ghidul său amintește de situația companiilor de asigurări ce utilizează procese decizionale automatizate pentru a oferi prime de asigurare pentru autovehicule în funcție de comportamentul conducătorului autovehiculului monitorizat. Pentru a ilustra importanța și consecințele procesului decizional automatizat în acest caz operatorul trebuie să explice persoanei vizate faptul că un stil de condus neatent, periculos, poate determina rate de plată ale poliței de asigurare mai mari. Operatorul îi poate oferi persoanei vizate o aplicație tehnică prin care sunt comparați soferi ficționali și implicațiile stilului de condus asupra ratelor de asigurare.
Desigur, aceste exemple, precum și avizele și recomandările organismelor competente în domeniul protecției datelor cu caracter personal pot fi utilizate ca punct de pornire de către operatori, care pot alege propriile metode de informare, urmărind însă principiile și normele imperative ale RGPD.
[1] http://ec.europa.eu/newsroom/just/document.cfm?doc_id=47963
