Ghidul provizoriu publicat de Comitetul European pentru Protecția Datelor (EDPB) la 12 septembrie 2025 (cunoscut sub numele de „Draft Guidelines on the interplay between the DSA and the GDPR”) oferă clarificări cu privire la modul în care furnizorii de Platforme Online Foarte Mari (VLOPs) și de Motoare de Căutare Online Foarte Mari (VLOSEs) trebuie să aplice Articolul 34 din Regulamentul privind serviciile digitale (DSA) — referitor la evaluarea riscurilor sistemice — în contextul GDPR.
Articolul 34 din DSA impune acestor furnizori obligația de a gestiona riscurile sistemice care decurg din serviciile lor.
Iată principalele recomandări și clarificări ale EDPB privind aplicarea Articolului 34 din DSA în contextul GDPR:
Evaluarea Riscurilor (Art. 34 DSA) și Dreptul la Protecția Datelor
• Evaluarea cuprinzătoare a riscurilor: Evaluările riscurilor sistemice impuse de Articolul 34 DSA trebuie să includă o evaluare a riscurilor la adresa drepturilor fundamentale.
• Riscurile legate de GDPR: Evaluarea trebuie să includă o evaluare a oricăror efecte negative actuale sau previzibile asupra exercitării drepturilor fundamentale, inclusiv Articolele 7 și 8 din Cartă (dreptul la viață privată și dreptul la protecția datelor cu caracter personal).
• Factori care influențează riscurile sistemice: DSA enumeră factori care influențează riscurile sistemice, cum ar fi sistemele de recomandare, sistemele de moderare a conținutului, condițiile generale de utilizare, publicitatea și practicile de date ale furnizorului. Acești factori sunt de obicei asociați cu prelucrarea datelor cu caracter personal sau sunt făcuți posibili de aceasta și, prin urmare, trebuie să îndeplinească cerințele GDPR.
• Manipularea intenționată: Evaluările riscurilor trebuie să includă și o analiză a modului în care riscurile sunt influențate de manipularea intenționată a serviciului, inclusiv utilizarea neautentică sau exploatarea automatizată a serviciului, precum și amplificarea conținutului ilegal și a informațiilor incompatibile cu termenii și condițiile.
Corelarea cu Evaluarea Impactului asupra Protecției Datelor (DPIA) (Art. 35 GDPR)
• DPIA: În cazul în care sunt identificate riscuri sistemice, este foarte probabil ca o Evaluare a Impactului asupra Protecției Datelor (DPIA), conform Articolului 35 din GDPR, să devină obligatorie.
• Criterii DPIA: În special, dacă riscul sistemic identificat afectează dreptul fundamental la protecția datelor cu caracter personal și nu se limitează la utilizatorii individuali, DPIA este probabil obligatorie. De asemenea, acțiunile voluntare sau obligatorii declanșate de furnizorii de servicii intermediare (cum ar fi cele menționate la Art. 7 DSA) sunt susceptibile de a îndeplini mai multe criterii care ar impune efectuarea unei DPIA, inclusiv evaluarea sau notarea, procesul decizional automatizat cu efecte juridice sau similare semnificative și monitorizarea sistematică.
• Consultarea autorității de supraveghere: Dacă o DPIA indică faptul că prelucrarea ar genera un risc ridicat pe care operatorul nu îl poate atenua, ar putea fi necesară consultarea prealabilă a autorității de supraveghere (Articolul 36 GDPR).
Principii GDPR în Atenuarea Riscurilor (Art. 35 DSA)
EDPB reiterează că măsurile de atenuare a riscurilor luate în temeiul Articolului 35 din DSA trebuie să fie în deplină conformitate cu principiile GDPR.
• Protecția Datelor Încă din Faza de Proiectare (Privacy by Design): Implementarea adecvată a cerințelor de minimizare a datelor (Art. 5(1)(c) GDPR) și a protecției datelor încă din faza de proiectare și implicit (Art. 25 GDPR) poate contribui la abordarea riscurilor sistemice identificate în serviciile VLOPs și VLOSEs.
• Adaptarea Sistemelor Algoritmice: Măsurile de atenuare a riscurilor pot include testarea și adaptarea sistemelor algoritmice, inclusiv a sistemelor de recomandare (Art. 35(1)(d) DSA), și adaptarea sistemelor de publicitate (Art. 35(1)(e) DSA). Aceste măsuri trebuie să respecte GDPR, în special în ceea ce privește colectarea și utilizarea datelor cu caracter personal.
• Prevenirea Discriminării: EDPB reamintește că Articolul 34 (Evaluarea Riscurilor) poate necesita evaluarea și ajustarea sistemelor algoritmice pentru a preveni sau a minimiza prejudecățile care conduc la discriminarea persoanelor aflate în situații vulnerabile, în special atunci când informațiile sunt personalizate pe baza categoriilor speciale de date cu caracter personal (Art. 9 GDPR).
Comentarii