Cine este operatorul ? Problemele utilizatorilor tehnologiei cloud cu datele personale

30-05-16 Ligia Seceleanu 0 comment

Migrarea datelor în cloud de pe serverele tradiţionale situate în interiorul întreprinderii suscită o serie de dificultăţi de interpretare a legislaţiei.

Dacă tehnologia informaţiei se dezvoltă în progresie, legislaţia aplicabilă se desăvârșește cel puţin cu întârziere, având în vedere procesele uman-sociale, constituţionale și birocratice care trebuie urmate. Treaba unui jurist, sau de altfel a oricărui cetăţean despre care se presupune că trebuie să cunoască legea, este cea a unui anticar.

În acest sens, anticarul recondiţionează și comercializează obiectele vechi, a căror valoare este recunoscută și dată de comunitatea cărora anticarul se adresează. În mod similar, noi trebuie să jonglăm cu conceptele adesea învechite pentru a recunoaște un regim juridic clasic și a-l aplica noului (exemplu : proprietatea datelor aduse pe server, severul care este închiriat, cel care răspunde de protecţia datelor cu caracter personal).

 

Din mulţimea de întrebari care există, ne vom concentra asupra celei mai spinoase : cine este operatorul de date ? Întrebarea are incidenţă asupra tuturor celor care sunt împuterniciţi, asupra celor care oferă servicii de cloud, asupra clienţilor care se adresează unei întreprinderi pentru a-I construi sau rula o aplicaţie pe cloud și asupra utilizatorilor finali (asupra consumatorilor care își încredinţează datele pentru procesare.

I.                 Operatorul de cloud nu este neapărat și operatorul de date personale

A.      Ce este cloud computing ?

Vorbim despre un concept modern, în care, în loc ca o singură persoană să achiziţioneze toată infrastructura necesară pentru a rula o platformă de unde să fie create niște aplicaţii, toate aceste resurse se pun în comun mai multor clienţi.

Astfel – furnizorii de cloud (operatorii) sunt acele persoane care oferă astfel de servicii celor care vor să își mute prezenţa online și să închirieze în loc să fie proprietari.

Pe cloud pot fi deci găzduite o serie de aplicaţii și date. Totuși operatorul nu controlează datele care sunt introduce prin aceste aplicaţii.

Un exemplu este cel al unui client care angajează o întreprindere să îi mute aplicaţiile pe cloud dar îi impune un anumit program de migrare. În exemplul expus, pornim de la premisa că aplicaţia se adresează consumatorilor, astfel încât vor exista o serie de date personale care vor fi procesate și la care vor avea acces potenţial cel puţin încă 3 intervenienţi.

B.      Cine este operatorul de date personale ?

Răspunsul simplu ar fi să considerăm fiecare operator de un sistem de cloud ca operator de date personale. Motivele ar fi multiple – în primul rând singurul care are acces la infrastructură, și eventual a cărui programare a condus la interfaţa de rulaj a cloud-ului.

Astfel, este cel care poate impune tuturor anumite standarde de securitate – atât producătorilor de echipamente, cât și celor ce asigură securitatea fizică, precum și diverșilor dezvoltatori, sau propriilor echipe pentru asigurarea securităţii datelor cu caracter personal.

Adevărul însă este că cel care controlează aplicaţia și care dictează (respectiv plătește) pentru diversele nivele de securitate pe care le asigură operatorul de cloud este operatorul de date personale din punct de vedere juridic.

Explicaţia este directă : potrivit Art. 3 e) din Legea Nr. 677/2001, operatorul stabilește scopul și mijloacele de prelucrare a datelor cu caracter personal.

Din aceste considerente, putem concluziona că operatorul cloud-ului cel mai adesea NU este operatorul de date cu caracter personal.

II.         Într-o structură complexă de cloud, cine este operatorul de date cu caracter personal ?

Reluând exemplul complex, de mai sus, migrarea datelor către cloud se face prin intermediul unei aplicaţii ea însăși găzduită în cloud (SaaS – Software as a Service).

 Așadar, calificarea juridică este următoarea:

  • Clientul este operatorul de date (întrucât el impune programul prin care se face migrarea, el colectează datele de la utilizatorii/consumatorii finali);
  • Intermediarul (cel care folosește programul de migrare) va fi considerat în acest caz un împuternicit, întrucât va transforma și prelucra datele personale dar, sub indicaţiile clientului.
  • Dacă intermediarul folosește un program impus de client, dezvoltatorul programului va fi în aceeași măsură împuternicit pentru a prelucra datele. Este util de menţionat că nu va fi considerat un operator în întregime.
  • Dacă intermediarul folosește un program ales de el, putem considera având în vedere funcţionalitatea acestuia și latitudinea care îi este oferită intermediarului, că ar putea fi încadrat juridic și ca co-operator de date cu caracter personal.

Observăm prin urmare că raspunderea globală incumbă celui care își oferă serviciul prin intermediul cloud-ului. În aceasta situaţie, este imperativ ca respectivul să semneze cu toţi intervenienţii clauze model pentru procesarea datelor cu caracter personal, pentru a se asigura că își îndeplinește obligaţiile legale.



Leave a reply