GDPR. Opinie cu privire la propunerea de regulament privind piaţa activelor Crypto

Dat fiind că la 24 septembrie 2020, Comisia Europeană a adoptat o propunere de regulament privind piaţa activelor Crypto și de modificare a Directivei UE 2019/1937, Autoritatea Europeană pentru Protecția Datelor (în continuare Autoritatea) a emis o opinie cu privire la necesitatea introducerii unor reglementări specifice privind protecția datelor cu caracter personal.

Pe scurt, rolul acestei propuneri de regulament este de a stabili cerințe de transparență și de publicare în vederea emiterii și admiterii la tranzacționare a token-urilor de referință de tip crypto-active și a emitenților de token-uri de tip monede electronice. Totodată, prin acest act unional, se dorește stabilirea regulilor privind reglementarea, funcționarea, organizarea și guvernanța emitenților de token-uri de referință pentru active și a monedelor electronice și a entităților care prestează servicii privind crypto-activele.

De asemenea, în cuprinsul propunerii se prevăd și norme de protecție a consumatorilor pentru emiterea, tranzacționarea, schimbul și custodia crypto-activelor, precum și măsuri de prevenire a abuzului de piață pentru a asigura integritatea piețelor de crypto-active.

Din perspectiva datelor cu caracter personal, în opinia emisă de către Autoritate se subliniază responsabilitatea legislativului unional de a se asigura că prelucrarea datelor implicată în propunere poate fi pusă în aplicare în conformitate cu regulile privind protecția datelor, precum și responsabilitatea operatorilor de a asigura conformitatea prelucrării prin respectarea principiului răspunderii.

Mai exact, se arată importanța încorporării unei modalități de prevenție a riscurilor sau a unui mecanism solid de guvernanță în materie de protecție a datelor, care identifică în mod clar activitățile de prelucrare care vor avea loc și riscurile respective, definesc rolurile și responsabilitățile, respectiv asigură documentația corespunzătoare și ia toate celelalte măsuri necesare în conformitate cu GDPR, respectând astfel principiul responsabilității.

Mai apoi, se subliniază faptul că emitenții de crypto-active ar fi, în majoritatea cazurilor, operatori de date în temeiul Regulamentului 679/2016, în funcție de proiectul acestora și în măsura în care acesta din urmă implică prelucrarea datelor cu caracter personal.

Așadar, pentru a spori securitatea juridică, Autoritatea recomandă legislativul unional să desemneze în mod explicit emitenții ca operatori de date în propunerea de regulament.

În acest sens, un emitent de crypto-active[1] înseamnă o persoană juridică care oferă publicului orice tip de crypto-active sau urmărește admiterea unor astfel de crypto-active pe o platformă de tranzacționare cu specific. Totodată, prin furnizor de crypto-active[2] trebuie înțeles  orice persoană a cărei ocupație sau activitate comercială constă în furnizarea unuia sau mai multor servicii de crypto-active către terți.

În plus, există indicii că prelucrarea datelor cu caracter personal poate îndeplini două sau mai multe dintre criteriile care indică faptul că acesta ar putea duce la un risc ridicat în sensul legislației privind protecția datelor. Ca urmare, emitentul de crypto-active este obligat, în conformitate cu articolul 35 din GDPR, să efectueze o evaluare a impactului asupra protecției datelor (DPIA), înainte de începerea oricărei activități de  prelucrare a datelor cu caracter personal.

În același timp, se consideră că propunerea ar trebui să includă, obligația emitenților de a face anumite garanții deosebit de importante în ceea ce privește protecția datelor, în vederea unei mai bune protecții a persoanelor vizate. Ca parte a informațiilor care trebuie furnizate de către emitenții sau furnizorii de crypto-active, aceștia trebuie să prezinte cumpărătorilor (investitorilor) informații privind operațiunile de prelucrare care implică date cu caracter personal, precum și principalele riscuri avute în vedere și strategii de atenuare a riscurilor în ceea ce privește protecția datelor.

În acest sens, Autoritatea subliniază că în conformitate cu articolul 4 alineatul (1) din GDPR, „date cu caracter personal” înseamnă orice informație referitoare la o persoană fizică identificată sau identificabilă, de exemplu, numele, numărul de identificare, datele de localizare, un identificator online, o cheie privată sau publică sau adrese IP dinamice. Totodată, pentru respectarea prevederilor GDPR, operatorul are obligația de a furniza persoanelor vizate notificarea de confidențialitate care conține, în cazul informațiilor colectate direct de la persoana vizată, informațiile enumerate la articolul 13 din GDPR.

Mergând mai departe, în ceea ce priveștepublicarea sancțiunilor administrative stabilite prin propunerea de regulament, Autoritatea recomandă includerea, printre criteriile de examinare a autorității competente, condiția impactului asupra protecției datelor cu caracter personal ale persoanelor fizice.

Totodată, se arată că principiul limitării stocării impune ca datele cu caracter personal să fie stocate pentru o perioadă care nu depășește perioada necesară pentru scopurile în care sunt prelucrate datele cu caracter personal, și recomandă stabilirea unei perioade maxime în locul unei perioade minime de păstrare a datelor în temeiul articolului 95 alineatul (4) din propunere.

În finalul opiniei, Autoritatea sumarizează cele mai importante modificări care trebuie realizate în propunerea de regulament din prisma protecției datelor cu caracter personal, astfel:

  • reamintește necesitatea unei reflecții și discuții mai ample, nu numai în ceea ce privește crypto-activele, ci și în ceea ce privește modul în care se asigură că tehnologia de bază a crypto-activelor, și anume blockchain și tehnologia de tip ledger, respectă în modul cel mai eficient normele și principiile de protecție a datelor;
  • recomandă desemnarea explicită a emitenților ca operatori, pentru a evita orice posibilă problemă de interpretare în evaluarea rolului, în special având în vedere complexitatea obiectului propunerii și relațiile dintre actorii relevanți;
  • recomandă includerea, în temeiul articolelor 5, 17 și 46 din propunere, ca parte a informațiilor care trebuie furnizate ca conținut al White Paper privind crypto-activele, a următoarelor: după caz, lista operațiunilor de prelucrare prevăzute care implică date cu caracter personal, precum și principalele riscuri avute în vedere și strategiile de diminuare a riscurilor în ceea ce privește protecția datelor;
  • în ceea ce privește publicarea sancțiunilor administrative, AEPD recomandă includerea, printre criteriile de examinare a autorității competente, a riscurilor la adresa protecției datelor cu caracter personal ale persoanelor, și înlocuirea perioadei minime de păstrare a datelor în temeiul articolului 95 alineatul (4) cel puțin cinci ani cu o perioadă maximă de păstrare a datelor specificată;
  • în ceea ce privește cooperarea administrativă dintre autoritățile competente, respectiv Autoritatea Bancară Europeană  și Autoritatea Europeană pentru Valori Mobiliare și Piețe, precum și cooperarea cu autoritățile de supraveghere din țările terțe, se recomandă să se aibă în vedere eliminarea referinței la propunerea de regulament privind strategia de dezvoltare a UE în temeiul articolului 108 alineatul (3); Având în vedere trimiterea „orizontală” la aplicabilitatea directivei privind EUDPR, efectuată în temeiul articolului 88 alineatul (2) din propunere.

În orice caz, până la adoptarea regulamentului privind piețele activelor Crypto în forma sa finală, în funcție de specificul activităților, emitenții sau furnizorii de servicii de tip crypto trebuie să aibă în vedere faptul că pot obține calitatea de operator de date de cu caracter personal sens în care vor fi obligați să respecte principiile și regulile stabilite de Regulamentul 679/2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date.

avocat David Popa


[1] Articolul 3, pct. 1, alin. (6) din Propunere de Regulament

[2] Articolul 3, pct. 1, alin. (8) din Propunere de Regulament

Leave a reply

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *