Conform proiectului de Linii directoare publicate de Comitetul European pentru Protecția Datelor (EDPB) privind interacțiunea dintre Regulamentul privind Serviciile Digitale (DSA) și Regulamentul General privind Protecția Datelor (GDPR) (Liniile directoare preliminare, publicate pe 12 septembrie 2025), există o serie de obligații de răspundere și conformitate aplicabile tuturor Furnizorilor de Servicii Intermediare (ISP).
1. Principii Generale privind Răspunderea și Supravegherea
Distincția Operator/Persoană Împuternicită: Definițiile tradiționale de operator (controller) și persoană împuternicită (processor) din GDPR se aplică ISP-urilor atunci când desfășoară orice activități legate de DSA.
Toate ISP-urile care fac obiectul DSA sunt considerate operatori atunci când determină scopurile și mijloacele prelucrării oricăror date cu caracter personal.
Sunt considerate persoane împuternicite atunci când prelucrează date în numele și conform instrucțiunilor unui operator.
ISP-urile trebuie să asigure conformitatea cu ambele regimuri (GDPR și DSA) în orice activități care se suprapun.
ISP-urile pot fi supravegheate de Coordonatorii Naționali ai Serviciilor Digitale (DSCs) și de Comisia Europeană (EC) pentru conformitatea cu DSA.
Pentru conformitatea cu GDPR, ISP-urile sunt supravegheate de Autoritățile de Protecție a Datelor (DPAs) relevante.
DSCs, EC și DPAs sunt obligate să coopereze pentru a se asigura că obligațiile ISP-urilor sunt clare.
2. Obligații privind Investigațiile Voluntare din Inițiativă Proprie (Articolul 7 DSA)
ISP-urile pot beneficia de exonerarea de răspundere prevăzută la articolele 4, 5 și 6 din DSA (mere conduit, caching, hosting) pentru faptul că efectuează, cu bună-credință și diligență, investigații voluntare din proprie inițiativă sau adoptă alte măsuri menite să detecteze, să identifice și să elimine conținutul ilegal sau să blocheze accesul la acesta.
Evaluarea Impactului asupra Protecției Datelor (DPIA - Art. 35 GDPR): Activitățile tuturor ISP-urilor desfășurate în temeiul Articolului 7 DSA sunt susceptibile să necesite o DPIA (Evaluare a Impactului asupra Protecției Datelor) în temeiul Articolului 35 GDPR. EDPB consideră că acest lucru este valabil deoarece aceste activități pot îndeplini criterii precum evaluarea sau punctarea, luarea de decizii automate cu efecte juridice sau similare semnificative și monitorizarea sistematică.
Minimizarea Datelor și Protecția prin Proiectare (Art. 5 și 25 GDPR): Atunci când ISP-urile antrenează sau utilizează modele automate (de exemplu, instrumente de învățare automată) pentru detectarea conținutului ilegal, ele trebuie să limiteze prelucrarea datelor cu caracter personal "în măsura în care este posibil".
De asemenea, trebuie să demonstreze conformitatea cu principiile GDPR, în special minimizarea datelor și protecția datelor începând cu momentul conceperii și în mod implicit (data protection by design and default), ori de câte ori sunt prelucrate date cu caracter personal.
Atunci când prelucrarea datelor cu caracter personal este necesară pentru identificarea conținutului ilegal, EDPB identifică următoarele baze legale ca fiind cele mai adecvate pentru operatori:
- Interesul Legitim (Articolul 6 alineatul (1) litera (f)): Aplicabil în contextul măsurilor voluntare din inițiativă proprie pentru detectarea, identificarea, eliminarea (sau dezactivarea accesului la) conținutul ilegal;
- Obligația Legală (Articolul 6 alineatul (1) litera (c)): Aplicabilă în cazul în care există "obligații legale specifice în temeiul dreptului Uniunii sau al dreptului intern al statului membru" pentru ca ISP-urile să detecteze și să abordeze conținutul ilegal. Exemple includ identificarea și eliminarea lucrărilor protejate prin drepturi de autor, răspunsul la cererile privind dreptul la ștergere (Art. 17 GDPR) sau răspunsul la ordinele de a acționa împotriva conținutului ilegal sau de a furniza informații;
- Prelucrarea Automată (Articolul 22 GDPR): În cazul în care prelucrarea datelor cu caracter personal pentru detectarea și eliminarea conținutului ilegal implică automatizare, se aplică Articolul 22 alineatul (1) din GDPR. Prelucrarea este interzisă în cazul în care: (i) nu există intervenție umană; (ii) intervenția umană nu este semnificativă; sau (iii) o persoană se bazează puternic pe recomandarea algoritmică generată de sistem atunci când decide să elimine conținutul. ISP-urile trebuie să verifice dacă pot beneficia de excepțiile de la această interdicție stabilite la Articolul 22 alineatul (2) GDPR.
Transparența (Art. 12-14 GDPR, Art. 15 DSA): ISP-urile, în calitate de operatori de date, trebuie să asigure transparența față de persoanele vizate în legătură cu orice prelucrare pe care o pot efectua în scopurile Articolului 7 DSA. Nivelul de transparență ar trebui să fie la standardul GDPR (Articolele 12-14).
Photo by Luke Chesser on Unsplash
Comentarii