Profilarea în GDPR

Article Profilarea în GDPR (Art. 22): Condiții, Riscuri și Amenzi Explicate

Articolul 22 din GDPR reglementează unul dintre cele mai sensibile aspecte ale prelucrării datelor personale, respectiv luarea deciziilor exclusiv  prin mijloace automate, inclusiv profilarea, atunci când  produce efecte juridice sau afectează în mod semnificativ persoana vizată. În contextul digitalizării accelerate (fintech, scoring automat,adtech), acest tip de prelucrare poate ridica riscuri ridicate pentru persoanele vizate dar si pentru companiile care folosesc profilari in special din perspectiva conformitatii și gestionarea riscurilor evidentiate de GDPR. Totusi, printr-o evaluare eficienta in contextul cerintelor legale aplicabile atat la nivel national cat si european, aceste riscuri  se pot mitiga.

1. De ce  a fost reglementata profilarea

Articolul 22  alin.1 din GDPR stabilește regula generală conform careia  “Persoana vizată are dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automată, inclusiv crearea de profiluri, care produce efecte juridice care privesc persoana vizată sau o afectează în mod similar într-o măsură semnificativă”

In acest context, persoana vizată are dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrare automată, inclusiv profilare, dacă aceasta produce: efecte juridice (ex: respingerea unui credit),  efecte similare semnificative de exemplu o  evaluare automată a performanței la munca  sau eligibilității persoanei pentru a accesa un credit.

Cu titlu de exemplu in practica de business ar fi : scoring de credit în IFN,sisteme antifraudă care blochează conturi, decizii automate de recrutare,  companiile de advertising (AdTech) folosesc profilarea pentru a înțelege comportamentul utilizatorilor și a livra reclame personalizat (adtech).

2. Condițiile în care este permisă profilarea 

Articolul 22 nu interzice complet acest tip de prelucrare insa este permisa conditionat si limitativ, respectiv:

2.1. profilarea este  necesară pentru încheierea sau executarea unui contract între persoana vizată și un operator de date: Decizia automatizată este permisă dacă: este necesară pentru încheierea sau executarea unui contract :  Ex: evaluarea automată a eligibilității pentru credit.

2.2. profilarea este autorizată prin dreptul Uniunii sau dreptul intern care se aplică operatorului și care prevede, de asemenea, măsuri corespunzătoare pentru protejarea drepturilor, libertăților și intereselor legitime ale persoanei vizate; sau:  legislația UE sau națională poate permite astfel de procese trebuie să includă garanții adecvate.

2.3. profilarea are la baza consimtamantul explicit  al persoanei vizate:  persoana își dă acordul expres utilizat frecvent în marketing sau profilare avansata.

3. Garanții

Chiar și atunci când profilarea este permisă,Operatorul ( compania)  trebuie să implementeze măsuri de protecție cum ar fi: masuri corespunzatoare pentru protejarea drepturilor, libertatilor și intereselor legitime ale persoanei vizate, cel puțin dreptul acesteia de a obține intervenție umană din partea operatorului, de a-și exprima punctul de vedere și de a contesta decizia.

Prin urmare, exista anumite limite conturate ale conditiilor de prelucrare suplimentar  iar in acest context, Operatorul trebuie să ofere informații despre logica deciziei, nefiind necesar algoritmul complet, dar trebuie explicată „logica generală”.  Prin opozitia sa, persoana vizata are dreptul de a schimba procesul initial al procesului de profilare si de a obliga operatorul sa implice factorul uman.

4. Restricții suplimentare  privind  utiizarea datelor  sensibile

Profilarea pe baza datelor sensibile (ex: sănătate, religie, opinii politice) este în principiu interzisă, cu exceptia anumitor temeiuri legale: cu  consimțământul explicit al persoanei vizate sau interes public major in baza dreptului UE sau a dreptului intern, daca prevede masuri corespunzatoare si specifice pentru protejarea drepturilor fundamentale ale persoanei vizate.

5. Informarea persoanei vizate 

Operatorul trebuie să informeze persoana vizată (Art. 13–14)  cu privire la existența profilării. Scopul, logica utilizată, consecințele profilarii.  Lipsa transparenței este una dintre cele mai frecvente încălcări în practică  si se sanctioneaza de catre Autoritatea de Supraveghere  tinand cont de cerintele condtiile generale pentru impunerea amenzilor administrative conform art. 83. 

6.Riscuri:

Profilarea implică riscuri juridice și etice semnificative precum discriminare algoritmică in sensul in care decizii bazate pe date istorice pot perpetua bias-uri ex: respingerea sistematică a anumitor categorii, sau  lipsa controlului utilizatorului , context in care persoanele vizate nu înțeleg cum sunt evaluate afectează încrederea în organizație,erori automatizate : modele greșite → decizii incorecte avand impact direct (ex: refuz credit, blocare cont), lipsa transparenței („black box”) algoritmi opaci → risc major de neconformitate.

Supraprofilare atunci cand exista colectare excesivă de date încălcarea principiului minimizării datelor.

7. Incidenta cu alte articole din GDPR 

In situatia in care Autoritatea de supraveghere  (ANSPDCP)  investigheaza o prelucrare care este profilare automata va tine cont, pe langa indeplinirea  cerintelor din  art. 22  daca  sunt respectate si alte articole din GDPR, respectiv  cerintele art. 5  care vizeaza  principiile de prelucrare (legalitate, echitate si transparență), profilarea este limitata doar  la scopul determinat, daca este adecvata si relevanta  in raport cu scopul cu care este prelucrat, daca sunt pastrate intr-o forma care permite identificarea/profilarea persoanei vizate pentru perioada necesara scopului profilarii, daca exista un temei legal corect identificat in conformitate cu art. 6 , daca profilarea  implica date sensibile definite conform art. 9.

Totodata, va avea in vedere cerintele de informare si transparenta stabilite prin art. 13 si art. 14.

Inainte de a implementa operatiunea de profilare, este obligatorie evaluarea impactului asupra protectiei datelor ceruta prin art. 35 (DPIA) avand in vedere cerintele art. 35 par.3 lit a in cazul unei “evaluari sistematice si cuprinzatoare a aspectelor persoanale referitoare la persoane fizice, care se  bazeaza  pe prelucrarea automata, inclusiv crearea de profiluri  si care sta la baza  unor decizii care produc efecte juridice  privind persoana fizica  sau care o afecteaza in mod similar intr- o masura semnificativa“. Evaluarea va cuprinde elemente care vizeaza descrierea sistematica a prelucrarii,  evaluarea necesitatii si a proportionalitatii prelucrarii dar si impactul asupra drepturilor si libertatilor persoanelor vizate dar si masuri pentru mitigarea riscurilor: garantii, cerinte de securitate & masuri tehnice si organizatorice.

Prin urmare, in practică, încălcarea Art. 22 implică de obicei încălcări multiple.

La nivel national, exista Decizia nr. 174 din 18 octombrie 2018 privind lista operaţiunilor pentru care este obligatorie realizarea evaluării impactului asupra protecţiei datelor cu caracter personal aprobata de catre ANSPDCP si accesibila pe website-ul ANSPDCP. https://www.dataprotection.ro

8. Amenzi și sancțiuni la nivelul UE

Încălcarea articolului 22 intră în categoria încălcărilor majore ale GDPR, sancționabile cu până la 20 milioane EUR sau 4% din cifra de afaceri globală  a grupului de companii din care face parte compania care efectuaza profilarea. 

1) Autoritatea italiana pentru protectia datelor din Italia (Garante) a sanctionat compania Deliveroo  cu amendă in cuantum de 2,5 milioane EUR pentru algoritmi de management al lucrătorilor fără transparență. Autoritatea italiană a sanctionat compania de livrări alimentare Deliveroo pentru prelucrarea necorespunzătoare a datelor cu caracter personal ale șoferilor. Compania folosea un sistem automat care evalua performanța curierilor (scoring), decidea accesul la comenzi și intervale de lucru prioritiza sau penaliza lucrători.  Astfel, prelucrarea datelor șoferilor pentru a determina disponibilitatea sau fiabilitatea acestora constituia profilare.  In cazul profilarii, pentru Operator exista obligația de a respecta o cerință de informare extinsă respectiv  logica utilizată, precum și importanța și consecințele preconizate ale acestei prelucrări pentru persoana vizată. Detalii veti regasi aici: What can we learn from the Garante’s recent 2.5M euro fine? | IAPP

2) Autoritata din Olanda a sanctionat compania Uber cu amendă in cuantum de 290 milioane EUR  pentru transferuri de date si profilare, pentru decizii automatizate si lipsa accesului la explicații. Uber folosea datele pentru evaluarea șoferilor, management algoritmic (performanță, risc) si luarea deciziilor automate în platforma. Regasiti mai multe informatii aici: Dutch SA imposes a fine of 290 million euro on Uber  | European Data Protection Board

3) Autoritatea de Supraveghere din Franța (CNIL) a aplicat sancțiuni pentru scoring automat netransparent si lipsa dreptului de contestare. De exemplu, in anul 2025 a sancționat numeroase cazuri de profilare indirectă, în special a amendat o companie pentru publicitate targetată, tracking și marketing automatizat cu o amenda de 3.5 mil EUR. Pentru detalii accesati acest link: the CNIL imposed a fine of €3.5 million | CNIL

Intr-un alt caz a amendat compania Google (Gmail Ads & tracking) cu amenda in cuantum de 325 milioane EUR, pentru afișare reclame în Gmail, utilizare cookies și date pentru personalizare / profilare utilizatori. Articole care au fost incalcate de catre companie:  lipsă consimțământ valid pentru publicitate targetată , incalcarea ePrivacy, acesta fiind un caz major de profilare prin advertising și behavioral tracking.  Mai multe informatii regasiti aici: GOOGLE fined 325 million euros by the CNIL | CNIL

La finele anului 2024, alt caz prin care Autoritatea de Supraveghere din Franța (CNIL) a amendat un operator de telecomunicații cu 50 de milioane EUR pentru difuzarea de reclame prin e-mail către utilizatori fără a obține consimțământul acestora pentru marketing direct și pentru plasarea de cookie-uri pe dispozitivele utilizatorilor, în ciuda refuzului acestora de a accepta cookie-uri. CNIL a constatat că aceste activități au încălcat următoarele dispoziții:  Articolul L. 34-5 din Codul poștal și al comunicațiilor electronice din Franța: obligația de a obține consimțământul persoanelor fizice pentru a primi prospecțiuni comerciale prin mijloace electronice si articolul 82 din Legea franceză privind protecția datelor,  care  prevede că cookie-urile nu trebuie citite după ce un utilizator și-a retras consimțământul. ORANGE fined €50 million | CNIL

Sancțiunile CNIL legate de profilare au vizat în principal profilarea pentru publicitate targetată, tracking comportamental (cookies, Gmail ads) dar si marketing automatizat fără consimțământ.

4) Hotărârea CJUE în cauza SCHUFA (C-634/21) din 2023 a clarificat faptul că elaborarea și transmiterea unui scor de credit pot constitui în sine o decizie automatizată în sensul articolului 22 din  GDPR, în cazul în care scorul este determinant pentru rezultatul unui contract. Această hotărâre s-a concretizat acum în măsuri de aplicare. În 2025, atât autoritatea austriacă de protecție a datelor, cât și cea din Hamburg au emis decizii care aplică aceste principii în mod direct sectoarelor de credit și financiar. Mai multe informatii veti regasi aici: Automated Credit Scoring Under Scrutiny in Europe

5) Autoritatea din Polonia a sanctionat Toyota Bank Polska S.A pentru ca  Toyota Bank Polska S.A. nu a inclus profilarea în registrul activităților de prelucrare și în evaluarea impactului asupra protecției datelor. Sanctiunea  aplicata a fost amenda administrativă în valoare de 60 000 € pentru încălcarea articolului 38 alineatul (3) din RGPD și o sancțiune în valoare de 72 000 € pentru încălcarea articolului 30 alineatul (1), 35 alineatul (1) și alineatul (7) din RGPD.Valoarea totală a amenzii aplicate Toyota Bank Polska S.A. a fost de 132 000 €. Mai multe informatii aici: Polish SA: failure to include profiling in documentation | European Data Protection Board

RECOMANDARI  

Articolul 22 GDPR reprezintă un mecanism de protecție esențial împotriva deciziilor automate care sunt efectuate in mod abuziv. Deși profilarea este permisă, aceasta trebuie să respecte condiții stricte descrise in acest articol si ca tehnologia nu trebuie să înlocuiască complet judecata umană atunci când impactul asupra persoanei este semnificativ.



Lavinia Duță

Senior Privacy Consultant

 

Share:
DECALEX TEAM
Autor: DECALEX TEAM We make privacy easy
Ultimele articole
Despre cei 5 piloni DORA și implicațiile asupra companiilor care lucrează cu instituții financiare

Despre cei 5 piloni DORA și implicațiile asupra companiilor care lucrează cu instituții financiare

Securitatea cibernetică în era inteligenței artificiale generative

Securitatea cibernetică în era inteligenței artificiale generative

Când dreptul de access devine abuz: ghid practic pentru companii

Când dreptul de access devine abuz: ghid practic pentru companii

Sectorul energetic sub asediu?! Provocările implementării NIS2 în infrastructura critică (IT versus OT)

Sectorul energetic sub asediu?! Provocările implementării NIS2 în infrastructura critică (IT versus OT)

Cele mai citite articole
Condiții pentru a fi scutit de impozit dacă lucrezi în domeniul IT

Condiții pentru a fi scutit de impozit dacă lucrezi în domeniul IT

Ai o firma inactiva? Procesul de lichidare voluntara te poate scapa de probleme!

Ai o firma inactiva? Procesul de lichidare voluntara te poate scapa de probleme!

Date cu caracter personal: Tot ce trebuie să știi

Date cu caracter personal: Tot ce trebuie să știi

Tot ce trebuie sa stii despre GDPR: ce inseamna, regulament, aplicare si riscuri

Tot ce trebuie sa stii despre GDPR: ce inseamna, regulament, aplicare si riscuri

PUNE O INTREBARE

Contactează-ne

CLIENTI