Scurt ghid practic pentru înțelegerea riscurilor și protejarea datelor personale - în special în relația cu providerul de servicii telecom și internet - într-o epocă în care toate datele noastre trec prin telefon.

Telecomunicațiile au evoluat în ultimii zeci de ani cu viteza luminii. Conceptul de telefonie convențională s-a dezvoltat și metamorfozat în pas cu transformările tehnologice, ofertele fixe și mobile puse la dispoziție în prezent de furnizorii de servicii de comunicații electronice înglobând osmotic pachete care cuprind servicii de voce și sms, internet sau televiziune. Această evoluție a adus cu sine și noi provocări legate de necesitatea de a proteja adecvat datele personale prelucrate în cadrul acestor servicii.


Primul pas în securizarea datelor personale îl constituie buna cunoaștere a prevederilor contractului și a politicilor de confidențialitate și cookie-uri ale furnizorului. În al doilea rând, nu mai puțin importantă, este securitatea dispozitivelor utilizate și a aplicațiilor (mai ales a serviciilor „over the top” (OTT), cum ar fi aplicațiile de comunicații „neconvenționale” ca Signal sau WhatsApp).


„Suprapunerea” între telefonia mobilă „clasică” și serviciile de internet prin utilizarea dispozitivelor cunoscute sub denumirea de „smartphone” (telefon „inteligent”) a adus cu sine beneficii incomensurabile, dar și provocări de securitate pe măsură.


Întrucât smartphone-urile au o valoare ridicată de piață, trebuie luat în considerare faptul că există un risc ridicat de furt. De asemenea, pierderea acestor dispozitive este o amenințare deloc de neglijat din punctul de vedere al securității.


Dincolo de valoarea lor comercială, smartphone-urile în sine sunt aidoma unei casete de valori, funcționând la propriu ca un portmoneu virtual și un depozitar de informații confidențiale, inclusiv date personale, care constituie un bun extrem de valoros în zilele noastre.


În imediata proximitate a telefoanelor și tabletelor se află alte dispozitive „inteligente”, printre care pot fi amintite televizoarele, echipate cu sistem de operare, aplicații, cameră, microfon, conexiune internet etc., sau difuzoarele/speakers care integrează asistenți virtuali ca Amazon Alexa, Apple Siri sau Google Assistant, capabile, printre altele, să gestioneze o pletoră de echipamente de tip „smart home” (casă „inteligentă”). Toate aceste dispozitive „smart” trebuie, de asemenea, tratate cu cea mai mare atenție din perspectiva protecției datelor personale.


Accesul la internet al dispozitivelor, în special prin intermediul aplicațiilor și navigatoarelor web, poate deschide o adevărată cutie a Pandorei, care conține viruși informatici, malware sau tehnologii de urmărire/tracking online.


Relația contractuală și gestionarea aspectelor privind protecția datelor


În momentul semnării contractului de achiziționare a unor servicii de telefonie, internet sau televiziune, cumpărătorul trebuie să acorde o mare atenție prevederilor acestuia și a oricăror aspecte privind protecția datelor, de regulă prezente distinct în informări sau politici de confidențialitate/cookie-uri.


Deși furnizarea propriu-zisă a serviciilor are ca bază contractul, furnizorul poate utiliza și alte temeiuri legale pentru prelucrarea datelor cu caracter personal ale clientului, conform legislației europene și naționale în domeniu. Printre acestea se numără consimțământul și interesele legitime (Vezi Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului, privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor), Art. 6 (1), consultat online 17.01.2022).


În cazul în care furnizorul utilizează consimțământul ca temei legal pentru unele prelucrări (cum ar fi de exemplu, marketing, studii de piață, sondaje de opinie, includerea în Registrul de abonați), acordarea acestuia nu trebuie să fie amalgamată printre prevederile contractului, ci trebuie prezentată în mod distinct și granular pentru fiecare tip de prelucrare în parte (Vezi pe larg Comitetul European pentru Protecția Datelor, Orientările 05/2020 privind consimțământul în temeiul Regulamentului 2016/679, PDF, consultat online 17.01.2022).


Prelucrările bazate pe interese legitime


Dacă furnizorul de servicii de comunicații electronice utilizează ca temei legal interesele legitime (de exemplu, în scop de marketing direct, pentru includerea în Registrul de abonați, asigurarea securității și prevenirea fraudei/raportarea către și consultarea Preventel, prevenirea furtului de identitate) este necesar ca persoana vizată de aceste prelucrări (cumpărătorul) să își manifeste dreptul la opoziție, în cazul în care nu dorește ca datele sale personale să fie prelucrate în scopurile respective.


Pentru ca dreptul la opoziție să poată fi pus în practică (operatorul să înceteze prelucrarea datelor personale respective), este necesar ca interesele și drepturile persoanei vizate să prevaleze asupra intereselor furnizorului.


Solicitantul ar trebui să expună în cererea de exercitare a dreptului la  opoziție înaintată operatorului motivele pentru care se opune operațiunilor de prelucrare în baza unor interese legitime, cu excepția marketingului direct (Vezi pe larg aspectele privind prelucrările de date personale bazate pe interese legitime în Grupul de Lucru „Articolul 29”, Avizul 06/2014 privind noțiunea de interese legitime ale operatorului de date prevăzută la articolului 7 din Directiva 95/46/CE, PDF consultat online 17.01.2022).  


În cazul prelucrărilor în scop de marketing direct, interesele persoanei vizate vor prevala, iar furnizorul, în calitate de operator de date personale, va trebui să dispună necondiționat încetarea acestor prelucrări dacă primește o cerere de exercitare a dreptului la opoziție din partea clientului.


În genere, în situația în care persoana vizată va formula o cerere de opoziție la prelucrările bazate pe interese legitime cum sunt asigurarea securității și prevenirea fraudelor, interesele furnizorului vor prevala, iar prelucrările respective de date pot continua în ciuda opoziției formulate.


Dacă clientul nu este de acord de la bun început cu una sau mai multe prelucrări de date personale bazate pe un interes legitim, cererea de exercitare a dreptului la opoziție trebuie înaintată operatorului preferabil în momentul încheierii contractului de furnizare a serviciilor sau cât mai curând posibil după această dată.


În orice caz, operatorul este obligat de legislația în materie să ia în considerare cererea de opoziție oricând mai târziu, în situația în care clientul acceptă inițial o astfel de prelucrare de date, dar se răzgândește ulterior.


Pe lângă dreptul de a se opune, cu privire la prelucrările de date personale bazate pe interese legitime, Regulamentul (UE) 2016/679 (cunoscut drept „GDPR”) conferă persoanelor vizate, acolo unde este aplicabil, și drepturile de acces, rectificare, ștergere, restricționarea prelucrării, de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automată.


Termenul legal de răspuns al unui operator la o cerere de exercitare a drepturilor conferite persoanelor vizate în baza legislației privind protecția datelor este de cel mult o lună de la data primirii cererii, însă acest termen poate fi prelungit cu două luni dacă există motive întemeiate din partea operatorului.


Conform GDPR, persoana vizată are dreptul de a depune o plângere la o autoritate de supraveghere - în România, Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) - în situația în care consideră că prelucrarea datelor sale personale încalcă prevederile legale privind protecția datelor sau se poate adresa instanțelor de judecată.


Includerea în Registrul de abonați


Operațiunile de prelucrare a datelor personale pentru același scop pot fi efectuate de operatori distincți în baza unor temeiuri legale diferite.


De exemplu, includerea în Registrul de abonați (care implică furnizarea publică a unor informații/date personale ca numele, prenumele, adresa, numărul de telefon) este o prelucrare pentru care operatorii precum Orange Romania SA („Orange”), Vodafone Romania SA („Vodafone”) sau Telekom Romania Mobile Communications SA („Telekom”) utilizează ca temei legal interesele legitime, în timp ce RCS&RDS SA („RCS&RDS”) utilizează consimțământul (Conform termenilor și condițiilor/politicilor de confidențialitate ale acestor operatori: Orange (PDF), Vodafone (PDF), TelekomRCS&RDS (PDF), consultate online 17.01.2022).


În cazul includerii în Registrul abonaților efectuată în baza intereselor legitime, dacă nu se dorește acest lucru de la bun început, este preferabil ca exercitarea dreptului la opoziție să se desfășoare odată cu încheierea/semnarea contractului sau în termen de 45 de zile lucrătoare de la această dată.


Dacă clientul nu se opune în acest termen, datele sale vor fi incluse în Registrul de abonați al operatorului și pot fi transferate conform obligațiilor legale unor terți furnizori de registre ale abonaților (cărți de telefon în format letric sau electronic) și de servicii de informații cu privire la abonați. Drepturile la opoziție și la ștergere (precum și cele de acces, rectificare sau restricționarea prelucrării) pot fi oricând exercitate și după acest termen, printr-o cerere transmisă operatorului.


În principiu, este bine ca aceste cereri să fie transmise responsabilului cu protecția datelor pe adresele puse la dispoziție în cadrul politicilor de confidențialitate ale operatorului (de regulă prin email, poștă sau prin intermediul unor formulare speciale de pe website-ul furnizorului).


Dacă includerea în Registrul abonaților este efectuată de operator în baza consimțământului, iar clientul nu dorește ca datele sale personale să figureze în acest Registru, acesta trebuie să se asigure că nu își dă acordul în acest sens (de exemplu, va bifa opțiunea NU cu privire la acordarea consimțământului în momentul încheierii contractului).


În situația în care clientul își dă inițial consimțământul pentru includerea datelor sale în Registrul abonaților și după aceea se răzgândește, poate să își retragă mai târziu consimțământul, fără ca acest fapt să afecteze legalitatea prelucrării efectuate până în momentul retragerii.


Sistemul Preventel


Preventel este un sistem dezvoltat de operatorii de telefonie Vodafone, Orange și Telekom și constă în principal într-o bază de date care conține informații cu privire la clienții care nu își îndeplinesc obligațiile de plată a serviciilor contractate sau comit fraude (Vezi Telekom.ro - Ce este Preventel?, consultat online 17.01.2022).


În general, pentru raportarea către și consultarea bazei de date Preventel, operatorii telecom utilizează ca temei legal interesele legitime de a preveni frauda/a se proteja, însă pentru alte operațiuni poate fi utilizat și consimțământul.


De exemplu, compania Vodafone utilizează interesele legitime pentru operațiunile de raportare către acest sistem și de consultare a riscurilor generate de Preventel, dar utilizează consimțământul ca temei legal atunci când „interogarea sistemului Preventel reprezintă o componentă în calculul punctajului de bonitate (scoring) sau în luarea unei decizii automatizate cu privire la eligibilitatea pentru un anumit serviciu/produs” (Vezi Politica de Confidențialitate a Vodafone (PDF), consultată online 17.01.2022).


Securitatea dispozitivelor


Securitatea fizică a smartphone-urilor este extrem de importantă, pierderea sau furtul acestora putând duce la pierderea confidențialității ori la pagube materiale însemnate. De aceea, printre cele mai importante măsuri care trebuie luate în considerare pot fi amintite:


    •    stabilirea unui cod PIN (care să îl înlocuiască pe cel implicit) pentru a proteja cartela SIM și schimbarea regulată a acestui cod,

    •    criptarea dispozitivului cu o parolă suficient de complexă (de exemplu utilizarea unui șir de 13 caractere alfanumerice care să alterneze litere mari, litere mici, numere, semne de punctuație),

    •    închiderea automată a dispozitivului imediat sau după un timp scurt de neutilizare (5 minute),

    •    configurarea unei soluții de ștergere la distanță a dispozitivului în cazul pierderii sau furtului,

    •    utilizarea de folii de confidențialitate.


Securitatea informațiilor și protecția datelor personale în contextul utilizării telefoanelor „inteligente” constituie o provocare complexă și necesită, pe lângă unele măsuri minime obligatorii de securitate, și o vigilență permanentă a utilizatorului și deprinderea unor bune practici de utilizare.     

Câteva recomandări care pot contribui la realizarea unui nivel minim de protecție:


    •    utilizarea unui Virtual Private Network (VPN) – protejează confidențialitatea utilizatorului în principal față de furnizorul de servicii de internet, care, astfel, nu îi mai poate urmări decât limitat activitatea online,

    •    înlocuirea parolei implicite a modemului prin care se accesează internetul Wi-Fi cu o parolă complexă și schimbarea regulată a acesteia,

    •    închiderea conexiunilor Wi-Fi și bluetooth ale telefonului în timpul deplasărilor sau când nu este absolut necesară utilizarea lor,

    •    instalarea unor programe antivirus și antimalware care să își facă actualizări automat și regulat,

    •    să nu fie accesate linkuri suspecte sau din surse necunoscute,

    •    efectuarea de actualizări automate și regulate ale sistemului de operare,

    •    de asemenea, alegerea unui sistem de operare open source (Ubuntu, Linux) este preferabil unuia „închis”, cum ar fi Android (Google) sau iOS (Apple) cel puțin din rațiuni legate de transparență.


Securitatea aplicațiilor


Aplicațiile sunt considerate una dintre cele mai slabe verigi de securitate conținând vulnerabilități care pot fi exploatate de actori rău intenționați precum hackerii pentru furtul de informații confidențiale.


Utilizarea aplicațiilor presupune un ecosistem complex în care sunt efectuate extensiv prelucrări de date cu caracter personal, printre care se pot număra urmărirea online și profilarea utilizatorilor prin folosirea tehnologiilor de tip cookie sau utilizarea de resurse cu acces comun de tip cloud, adeseori localizate în țări considerate de Uniunea Europeană ca neadecvate pentru transferul internațional de date personale.


Printre chestiunile care trebuie avute în vedere cu privire la alegerea și utilizarea aplicațiilor, se numără și:


    •    studierea politicilor de confidențialitate și cookie-uri, a termenilor și condițiilor de utilizare, precum și analiza „reputației” pe care o au aceste aplicații cu privire la confidențialitate și protecția datelor în rândul profesioniștilor în acest domeniu,

    •    preferabil aplicațiile să fie open source,

    •    descărcarea doar de pe site-ul oficial al dezvoltatorului sau dintr-un „store” oficial,

    •    permisiunile (de exemplu utilizarea locației) să fie acordate cu cea mai mare parcimonie,

    •    aplicațiile să fie configurate astfel încât să își facă actualizări automate și regulate,

    •    închiderea automată a aplicațiilor imediat după ieșirea din acestea sau după un scurt timp de neutilizare (5 minute) și folosirea unui PIN/parole pentru fiecare accesare a acestora,

    •    utilizarea autentificării prin doi factori,

    •    aplicațiile să ofere criptarea comunicațiilor în tranzit între servere și dispozitivele utilizate și stocarea datelor în formă criptată pe servere,

    •    mai ales în cazul în care este vorba despre informații confidențiale (inclusiv date cu caracter personal), este preferabilă utilizarea unor aplicații standalone celor în cloud,

    •    în cazul unor servicii neprietenoase cu confidențialitatea (de exemplu platforme social media care folosesc intruziv tehnologii de urmărire online sau efectuează transferuri internaționale de date către țări neadecvate), acestea ar trebui accesate doar atunci când este strict necesar, mai degrabă prin intermediul unui browser (dacă este posibil, utilizat exclusiv consultării respectivelor servicii/platforme), decât prin descărcarea aplicației dedicate,

    •    ștergerea aplicațiilor neutilizate și eventual închiderea conturilor, dacă este cazul.


Nota autorului: Materialul are un caracter informativ și general și nu constituie consultanță în materie de protecția datelor personale, securitate fizică sau a informațiilor. Pentru situații particulare trebuie să obțineți consultanță de specialitate.