Regulamentul general privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date 679/2016 (GDPR) stabilește principiul potrivit căruia operatorii pot prelucra datele personale doar în scopurile pentru care au fost colectate inițial.
Există totuși o excepție de la acest principiu, aceea că prelucrarea datelor cu caracter personal în alte scopuri decât scopurile pentru care datele au fost inițial colectate ar trebui să fie permisă atunci când prelucrarea este compatibilă cu scopurile respective pentru care datele cu caracter personal au fost inițial colectate și că în acest caz nu este necesar un temei juridic separat de cel pe baza căruia a fost permisă colectarea datelor cu caracter personal.
Astfel, arată GDPR faptul că „pentru a stabili dacă scopul prelucrării ulterioare este compatibil cu scopul pentru care au fost colectate inițial datele cu caracter personal, operatorul, după ce a îndeplinit toate cerințele privind legalitatea prelucrării inițiale, ar trebui să țină seama, printre altele, de orice legătură între respectivele scopuri și scopurile prelucrării ulterioare preconizate, de contextul în care au fost colectate datele cu caracter personal, în special de așteptările rezonabile ale persoanelor vizate, bazate pe relația lor cu operatorul, în ceea ce privește utilizarea ulterioară a datelor, de natura datelor cu caracter personal, de consecințele prelucrării ulterioare preconizate asupra persoanelor vizate, precum și de existența garanțiilor corespunzătoare atât în cadrul operațiunilor de prelucrare inițiale, cât și în cadrul operațiunilor de prelucrare ulterioare preconizate.”
De asemenea, în cazul în care prelucrarea este necesară pentru îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice cu care este investit operatorul, din motive de interes public în domeniul sănătății publice, în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice sau pentru constatarea, exercitarea sau apărarea unui drept în instanță, dreptul Uniunii sau dreptul intern poate stabili și specifica sarcinile și scopurile pentru care prelucrarea ulterioară ar trebui considerată a fi compatibilă și legală.
În practică, la stabilirea scopurilor pentru care sunt prelucrate datele cu caracter personal, operatorii au în vedere utilitatea principală pentru care se realizează prelucrarea, însă așa cum se obișnuia anterior intrării în vigoare a GDPR, caută soluții care să le permită stocarea datelor personale pentru durate cât mai îndelungate de timp, care să preceadă duratei aferente scopului inițial.
Așa apare ca soluție prelucrarea în scopuri statistice care excede însă cadrului legal impus de GDPR fiind o formă în care îmbracă anumiți operatori de date scopul de marketing al prelucrării.
Exemplul întâlnit în practică este în domeniul bancar, existând anumite unități care trimit un e-mail către persoanele vizate reprezentate de clienții lor, solicitând consimțământul pentru completarea unui chestionar în scopuri de statistică.
GDPR stabilește însă o serie de obligații în sarcina operatorilor de date care doresc să realizeze o astfel de prelucrare. Aceasta ar trebui să facă obiectul unor garanții adecvate pentru drepturile și libertățile persoanei vizate, iar respectivele garanții ar trebui să asigure faptul că au fost instituite măsuri tehnice și organizatorice necesare pentru a se asigura, în special, principiul reducerii la minimum a datelor. “Prelucrarea ulterioară a datelor cu caracter personal în scopuri statistice se efectuează atunci când operatorul a evaluat fezabilitatea pentru îndeplinirea acestor obiective prin prelucrarea unor date cu caracter personal care nu permit sau nu mai permit identificarea persoanelor vizate, cu condiția să existe garanții adecvate (cum ar fi pseudonimizarea datelor cu caracter personal)” arată GDPR.
Chestionarul trimis de bancă în scopuri de statistică este totuși adresat nominal unei adrese de e-mail aparțînând unei persoane vizate și poate fi intepretată ca fiind altă formă prin care se realizează profilarea clientului. Motivul îmbunătățirii calității serviciilor unui client nu poate fi legat de scopul de statistică fără a fi în strânsă legătură și cu activitatea de marketing.
Nu este nimic greșit în adresarea unui chestionar pentru a afla o serie de rezultate legate de preferințele unui client, însă acest fapt trebuie să se realizeze în perfectă cunoștință de cauză a consumatorului, persoana vizată care poate fi insuficient instruită. Drept urmare, prelucrarea de date care îmbracă această formă ar trebui să se realizeze strict în cadrul legal impus de GDPR, prin oferirea unei politici de prelucrare a datelor care să indice care sunt garanțiile oferite de operator, cu posibilitatea persoanei vizate de a lua o decizie informată.
Deși scopurile statistice apar ca fiind de interes public, atunci când chestionarele sunt adresate de operatori de date din domeniul privat, pot avea aptitudinea de a obține un consimțământ pentru prelucrarea datelor care nu îndeplinește cerințele prevăzute de GDPR, privind caracterul sau liber și neechivoc.
Potrivit GDPR „scopurile statistice presupun că rezultatul prelucrării în scopuri statistice nu constituie date cu caracter personal, ci date agregate și că acest rezultat sau datele cu caracter personal nu sunt utilizate în sprijinul unor măsuri sau decizii privind o anumită persoană fizică.” Cu toate acestea, față de exemplul indicat mai sus, rămâne de verificat în timp dacă datele prelucrate în scopuri statistice, astfel cum se indică în e-mailurile primite de la bănci, vor rămâne anonime și vor fi utilizate strict în scopul îmbunătățirii activității acestora și nu vor fi utilizate în scop de marketing, în sensul targetării clienților pentru anumite campanii de promovare a serviciilor.
Interpretarea favorabilă pentru operatorii de date care prelucrează date personale în scopuri statistice este aceea că această prelucrare nu este incompatibilă scopurilor inițiale.
Statistica oficială, pe de altă parte, este prevăzută de Legea nr. 226/2009 a organizării și funcționării statisticii oficiale în România care reglementează organizarea și funcționarea statisticii oficiale, constituirea, dezvoltarea și coordonarea sistemului statistic național, pentru elaborarea sistematică și programată de statistici oficiale în vederea formulării, implementării, modernizării și evaluării politicilor naționale, a planurilor de dezvoltare naționale și locale, în conformitate cu principiile fundamentale ale statisticii oficiale și cu Regulementul 679/2016 și este aplicabilă de către autoritățile și instituțiile publice din România.