Orientările (Draft Guidelines) publicate de Comitetul European pentru Protecția Datelor (EDPB) la 12 septembrie 2025, privind interacțiunea dintre Regulamentul privind serviciile digitale (DSA) și Regulamentul general privind protecția datelor (GDPR), oferă recomandări specifice cu privire la prelucrarea datelor cu caracter personal în contextul Mecanismului de notificare și acțiune (Notice and Action) prevăzut la Articolul 16 din DSA.
1. Prelucrarea Datelor cu Caracter Personal ale Notificatorilor
EDPB subliniază necesitatea unor garanții solide pentru protejarea datelor cu caracter personal ale tuturor părților implicate în mecanismul de notificare (notificatori, destinatari afectați ai serviciului și terți).
Identitatea Notificatorului:
• Evitarea Condiționării: Furnizorii de servicii de găzduire ar trebui să evite să condiționeze trimiterea notificărilor prin mecanismele prevăzute la Articolul 16 DSA de furnizarea identității notificatorului.
• Excepție Limitată: Această condiționare ar trebui aplicată doar în anumite circumstanțe limitate în care nu este posibil să se determine conținutul presupus ilegal din notificare fără identitatea notificatorului.
• Minimizarea Datelor: Ar trebui să se aplice principiul minimizării datelor. Furnizorii ar trebui să limiteze cererile de date cu caracter personal ale notificatorilor la cele necesare pentru conformitatea cu Articolul 16 alineatul (2) din DSA.
• Cazuri Speciale (CSAM): În cazul notificărilor referitoare la infracțiunile menționate la Articolele 3-7 din Directiva 2011/93/UE (legate de abuzul sexual asupra copiilor și pornografia infantilă), Articolul 16 alineatul (2) din DSA prevede în mod explicit că informațiile privind numele și adresa de e-mail ale notificatorului nu ar trebui colectate.
2. Utilizarea Automatizării în Procesul de Decizie
DSA permite furnizorilor de servicii de găzduire să utilizeze mijloace automate pentru a prelucra sau a lua decizii cu privire la notificările primite în temeiul Articolului 16. EDPB oferă următoarele orientări în acest sens:
• Respectarea GDPR Art. 22: Furnizorii trebuie să se asigure că prelucrarea automată nu constituie un tip de decizie bazată exclusiv pe prelucrarea automată, inclusiv crearea de profiluri, care produce efecte juridice sau care afectează în mod similar persoana vizată, conform Articolului 22 din GDPR.
• Transparență față de Notificatori: Dacă se utilizează automatizarea pentru prelucrarea notificărilor sau pentru luarea deciziilor, furnizorii trebuie să divulge utilizarea mijloacelor automate în două momente:
1. Fără întârzieri nejustificate, atunci când informează notificatorul cu privire la decizia luată în legătură cu notificarea.
2. În momentul obținerii datelor cu caracter personal ale notificatorului.
• Informații Semnificative: Această divulgare trebuie să includă „informații semnificative” cu privire la logica implicată în procesul decizional automatizat, precum și orice informații specificate la Articolul 17 alineatul (3) din DSA.
• Categorii Speciale de Date: Deciziile automate luate în contextul Articolului 16 DSA nu pot fi bazate pe categorii speciale de date cu caracter personal (date sensibile), cu excepția cazului în care se aplică derogările privind interesul public sau consimțământul explicit (Articolul 9 alineatul (2) literele (a) sau (g) din GDPR).
3. Transparența (Declarația de Motive - Articolul 17 DSA)
Deși Articolul 17 din DSA se referă la furnizarea unei declarații de motive către destinatarii serviciului afectați (utilizatorul al cărui conținut a fost restricționat sau eliminat), EDPB oferă îndrumări privind datele notificatorului în acest context:
• Divulgarea Identității: Datele cu caracter personal ale notificatorului (persoana care a depus plângerea inițială) ar trebui incluse în declarația de motive furnizată destinatarilor serviciului doar în cazul în care acest lucru este „strict necesar”.
• Definirea Cazurilor: Furnizorii de servicii de găzduire ar trebui să definească acele cazuri în care dezvăluirea identității notificatorului este necesară și proporțională destinatarilor afectați ai serviciului. Sursa menționează că Recitalul 54 din DSA oferă ca exemplu cazurile de încălcare a drepturilor de proprietate intelectuală.
Photo by Anne Nygård on Unsplash
Comentarii