În opinia anterioară[1] am prezentat câteva aspecte legate de aplicarea Regulamentul (UE) 2016/679[2] (în continuare, GDPR) privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal față de persoanele cu dizabilități, axându-ne pe importanța informării persoanelor cu privire la prelucrarea datelor lor personale. Prezenta opinie își propune să detalieze condițiile în care consimțământul ar trebui utilizat ca bază legală pentru procesarea acestor date și cum poate fi obținut el în mod efectiv de la persoanele cu dizabilități intelectuale.
Regulamentul GDPR definește condițiile stricte în care consimțământul poate fi folosit ca bază legală pentru prelucrarea datelor cu caracter personal ale indivizilor și de ce este important ca operatorii de date cu caracter personal să înțeleagă aceste condiții și să le aplice în mod efectiv.
Consimțământul este, în fapt, menit să ofere indivizilor o alegere cu privire la modalitatea în care datele lor personale sunt prelucrate, dar și o modalitate reală de a controla această prelucrare. Oferirea unui consimțământ autentic pune persoana la conducere, construiește încrederea și implicarea acesteia în proces.
În ceea ce privește persoanele vulnerabile, GDPR setează un nivel suplimentar de protecție în prelucrarea datelor cu caracter personal, în special ale copiilor[3]. Regulamentul nu oferă o analiză detaliată a vulnerabilității, însă legislația europeană trebuie să țină cont și să se adreseze și persoanelor cu dizabilități[4]. De cele mai multe ori, persoanele cu dizabilități, îndeosebi persoanele cu dizabilități intelectuale, nu conștientizează pericolul la care se expun atunci când utilizează internetul, sau când acceptă neechivoc ‘Termenii și condițiile’ diferitelor website-uri. Astfel de pericole sunt în cele mai multe cazuri atacurile de tip bullying din mediul online[5], când persoana cu dizabilități este supusă hărțuirii și/sau jignirilor din cauza vulnerabilității sale (spre exemplu, atunci când doresc să solicite ajutor pentru dezinstituționalizare sau raportarea unor situații de abuz pe diferitele forumuri).
Într-un studiu realizat de Inclusion Europe[6] s-a arătat că cele mai multe persoane cu dizabilități nu înțeleg consecințele expunerii datelor lor personale în mediul online. Aceasta este situația și pentru persoanele de sprijin[7] care nu înțeleg sau nu au suficiente informații despre ce presupune de fapt prelucrarea datelor cu caracter personal și consecințele la care se pot expune atunci când se abonează la diferite servicii oferite în mediul online. Un alt dezavantaj îl constituie lipsa accesibilizării acestor informații, ce nu sunt prezentate într-un format ușor de înțeles.
În aceste situații, este esențial ca accentul să cadă pe solicitarea unui consimțământ informat, iar informațiile puse la dispoziție să nu fie numai transparente, începând cu momentul stabilirii mijloacelor de prelucrare[8], oferind persoanelor cu dizabilități intelectuale o alegere reală, conștientă, asupra procesării datelor lor cu caracter personal. Persoanele cu dizabilități intelectuale trebuie să beneficieze de această informare în mod gratuit și în formate accesibilizate. Oferirea unui ‚consimțământ explicit’, fapt pe care îl facem de multe ori cu toții atunci când accesăm diferite website-uri sau semnăm formulare privind prelucrarea datelor noastre cu caracter personal de către diverși operatori (și în majoritatea cazurilor fără să aruncăm o privire atentă peste toate acele foi..) necesită ca persoana ale cărei informații sunt prelucrate să ofere o declarație clară și specifică a consimțământului său. Acest fapt este cu atât mai important pentru o persoană cu dizabilități intelectuale.
În urma vizitelor de monitorizare inopinată, am realizat că autoritățile, fie din lipsa unei pregătiri adecvate sau din neștiință, abuzează de obținerea consimțământului de la persoanele cu dizabilități intelectuale – cu atât mai nefiresc atunci când persoana nu este ,lăsată de lege’ să își exercite singură drepturile civile.
Autoritățile publice nu ar trebui să se bazeze pe consimțământ ca bază legală pentru procesarea datelor cu caracter personal decât în situațiile în care este strict necesar. Serviciile de asistență socială, atât cele publice, cât și private, nu ar trebui să colecteze consimțământul scris (sau în orice altă formă) înainte de a începe furnizarea serviciilor către persoanele cu dizabilități intelectuale. Ar trebui să fie clar evidențiată existența altor baze legale prin care prestatorii de servicii să își asigure îndeplinirea obligațiilor din GDPR.
Totodată, toate autoritățile care acționează în domeniul dizabilității, îndeosebi centrele rezidențiale, ar trebui să adopte o politică privind prelucrarea datelor cu caracter personal și să elaboreze o declarație privind prelucrarea acestor date care să reliefeze legalitatea prelucrării, prin existența unei sarcini care servește unui interes public[9] sau a unei obligații legale[10] ce îi revine operatorului.
Prestatorii de servicii sociale din domeniul dizabilității ar trebui să asigure confidențialitatea acestor servicii, prin, spre exemplu:
- evitarea împărtășirii detaliilor despre natura sau conținutul serviciilor acordate către persoanele cu dizabilități nimănui din afară, cu excepția situațiilor în care (a) a fost astfel agreat anterior, sau (b) există un pericol iminent la care ar putea fi expus prestatorul sau persoana cu dizabilități sau (c) există o prevedere expresă în lege;
- dacă persoana cu dizabilități a fost trimisă către aceste servicii de către o parte terță (spre exemplu printr-o hotărâre judecătorească), informații adiționale despre conținutul serviciilor oferite nu ar trebui să ajungă la acești terți;
- prelucrarea datelor provenind din categoriile speciale[11] (referindu-ne aici mai ales la procesarea datelor cu caracter personal privind starea de sănătate a persoanei cu dizabilități) trebuie făcută în acord deplin cu dispozițiile GDPR, având în vedere condițiile stricte impuse de lege, atunci când este strict necesară și instituind garanții suplimentare, adecvate, sporite;
- nimeni din afara celor ce furnizează serviciile nu ar trebui să aibă acces la aceste date sau la dosarul beneficiarului, decât în cazurile expres prevăzute de lege;
- ar trebui luate măsuri pentru a proteja securitatea oricărei informații colectate despre aceste persoane, stocate în format scris sau electronic – astfel de măsuri ar trebui implementate, mai ales în lumina unui incident petrecut în data de 11 februarie 2024[12] ce s-ar putea repeta oricând și ar putea viza sistemele DGASPC-urilor, ANPDPD, sau ale spitalelor de psihiatrie, fapt ce ar putea avea consecințe fatale pentru persoanele cu dizabilități ale căror date ar putea ajunge în mediul online, vulnerabilizându-le și mai tare în fața abuzurilor sau discriminării;
- aceste date trebuie păstrate într-o formă care să permită identificarea persoanelor cu dizabilități pe o perioadă care să nu depășească perioada necesară îndeplinirii scopurilor de prelucrare[13]și după trecerea acestei perioade orice document va trebui distrus;
- asigurarea unei modalități efective prin care persoanele cu dizabilități și-ar putea exercita în mod transparent drepturile conferite de regulament.
În ceea ce privește acordul dat de o persoană de sprijin, de un consilier judiciar sau de un tutore în numele persoanei cu dizabilități, GDPR nu dispune modalități practice pentru a colecta consimțământul acestor persoane sau căi prin care s-ar putea stabili că o persoană este, în fapt, îndreptățită să facă acest lucru. În astfel de situații, operatorii ce prelucrează date cu caracter personal ar trebui să efectueze un test de proporționalitate, în conformitate cu articolul 8 alin. (2) și articolul 5 alin (1) litera (c) – reducerea la minimum a datelor colectate. O abordare proporțională poate fie să se concentreze pe colectarea unei cantități limitate de informații, cum ar fi datele de contact alte persoanei de sprijin[14].
GDPR a setat un standard înalt pentru consimțământ. A-ți da consimțământul necesită o ‚înscriere’, astfel utilizarea casetelor pre-bifate și a altor formulare care au deja completată secțiunea referitoare la consimțământ (adică un consimțământ implicit) nu va fi suficient. În plus, un consimțământ vag exprimat sau general nu este suficient. Prelucrarea datelor cu caracter personal bazate pe consimțământ trebuie să specifice cine este operatorul, care sunt datele colectate, tipurile de prelucrare și scopurile pentru care vor fi prelucrate. De asemenea, consimțământul ar trebui să fie obținut folosind un limbaj clar, simplu, ușor de înțeles. Operatorii trebuie să păstreze dovezile legate de exprimarea consimțământului, cu tot ce implică acesta – cine, când, cum și ce le-a fost spus persoanelor cu dizabilități sau persoanelor care și-au exprimat consimțământul în numele persoanei cu dizabilități.
Consimțământul trebuie utilizat ca o bază legală adecvată pentru prelucrarea datelor cu caracter personal, doar dacă operatorul poate oferi persoanelor o alegere reală și control efectiv asupra modului în care le sunt folosite date personale. Dacă operatorul nu poate face acest lucru, atunci consimțământul nu ar trebui utilizat ca bază juridică pentru prelucrarea datelor. Dacă operatorul ar prelucra în continuare datele personale fără consimțământ, solicitarea acestuia devine înșelătoare și nedreaptă pentru persoanele vulnerabile – în fine, acest lucru este contrar legii și poate fi sancționat cu amenzi administrative. Cu atât mai mult autoritățile publice nu ar trebui să se bazeze pe utilizarea consimțământului ca bază legală, cu excepția acelor cazuri în care pot demonstra că a fost liber consimțit.
Legea trebuie să seteze un echilibru între păstrarea dreptului fundamental al oamenilor cu privire la confidențialitatea și colectarea datelor cu caracter personal, fapt ce este necesar în majoritatea cazurilor pentru persoanele cu dizabilități, care trebuie să aibă acces la beneficii sociale esențiale pentru îndeplinirea planului individualizat de recuperare și reabilitare.
Autoare: Oana Dodu
© Centrul de Resurse Juridice, București, februarie 2024
Material realizat în cadrul proiectului Monitorizarea drepturilor omului, la zi, cu sprijinul financiar Active Citizens Fund România, program finanțat de Islanda, Liechtenstein și Norvegia prin Granturile SEE 2014-2021. Conținutul acestui material nu reprezintă în mod necesar poziția oficială a Granturilor SEE și Norvegiene 2014-2021; pentru mai multe informații accesați www.eeagrants.org. Lucrăm împreună pentru o Europă inclusivă!
[1] Disponibilă aici https://www.crj.ro/regulamentul-gdpr-si-persoanele-cu-dizabilitati-inca-o-aplicare-iluzorie-a-legilor-europene-in-romania/
[2] REGULAMENTUL (UE) 2016/679 AL PARLAMENTULUI EUROPEAN ȘI AL CONSILIULUI din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor)
[3] În cazul de față referindu-ne la toate persoanele sub 18 ani, conform definiției oferite de Convenția ONU privind drepturile copilului
[4] În 2010 Uniunea Europeană a aderat la Convenția pentru Drepturile Persoanelor cu Dizabilități (CDPD)
[5] Propunem, în acest sens, un articol ce tratează cyberbullying-ul https://jurnal-social.ro/cyberbullying-ul-problema-secolului-21/
[6] Studiul, realizat în cadrul programului SafeSurfing, disponibil aici https://www.inclusion-europe.eu/safesurfing-training-people-with-intellectual-disabilities-on-safe-online-behaviour/
[7] În acest context folosim persoane de sprijin și pentru persoanele care beneficiază de consiliere judiciară sau de tutelă specială
[8] Conform articolului 25 din Regulamentul GDPR
[9] Regulamentul (UE) 2016/679 RGDP articolul 6 (1)(e)
[10] Regulamentul (UE) 2016/679 RGDP articolul 6 (1)(c)
[11] Conform Articolului 9 din Regulament
[12] Când peste 100 de spitale din România au fost afectate de un atac cibernetic, o analiză interesantă asupra acestui caz este disponibil aici https://romania.europalibera.org/a/spitale-afectate-de-atac-cibernetic-invatamintele-atacului/32819533.html
[13] Conform principiului limitării legate de stocare, articolul 5 (1)(e) din Regulament
[14] Pentru mai multe detalii, prin analogie, Ghidul 5/2020 privitor la consimțământ conform Regulamentului 2016/679 elaborat de EDPB, pagina 28
