CEPD pune în lumină anonimizarea și răzuirea web pentru IA generativă și adoptă versiunea finală a orientărilor privind tehnologia blockchain
Bruxelles, 8 iulie – În cursul ultimei sale sesiuni plenare, CEPD a adoptat orientări privind anonimizarea și orientări privind fragmentarea paginilor web în contextul IA generative. În plus, Comitetul a adoptat versiunea finală a orientărilor sale privind prelucrarea datelor cu caracter personal prin intermediul tehnologiilor blockchain.
Înțelegerea datelor anonime
Noile orientări ale CEPD clarifică noțiunea de date anonime, ținând seama, de asemenea, de hotărârea Curții de Justiție a UE în cauza C-413/23 P AEPD/SRB din 4 septembrie 2025 și de alte jurisprudențe ale CJUE.
Orientările marchează o etapă importantă în clarificarea noțiunii de date anonime, stabilind standarde clare care facilitează utilizarea datelor, protejând în același timp drepturile fundamentale ale persoanelor.
În elaborarea acestor orientări, am inclus contribuții valoroase din partea evenimentului părților interesate, demonstrând, încă o dată, angajamentul nostru ferm față de dialogul colaborativ, astfel cum se subliniază în declarația CEPD de la Helsinki.
Președintele CEPD, Anu Talus
Datele sunt anonime dacă nu se referă la o persoană fizică identificată sau identificabilă. Dacă acesta este cazul poate varia de la o entitate la alta.
Informațiile se pot referi la o persoană din cauza conținutului, a scopului sau a efectului lor. Existența unei astfel de legături ar putea să nu fie evidentă imediat și ar putea necesita o analiză suplimentară.
O persoană este considerată "identificată sau identificabilă" dacă poate fi distinsă de alte persoane într-un context specific utilizând mijloace care pot fi utilizate în mod rezonabil într-un mod care face posibilă tratarea lor în mod diferit. Probabilitatea rezonabilă de utilizare a mijloacelor va depinde de perspectiva entității relevante și ar trebui evaluată în lumina tuturor factorilor obiectivi.
Orientările oferă, de asemenea, un cadru practic pentru ca organizațiile să stabilească dacă anonimizarea are succes. Cadrul poate fi aplicat în două moduri: fie prin evaluarea diferențelor de capacități dintre cei care ar putea identifica persoana („abordare contextuală”), fie din motive de simplitate, prin neluarea în considerare a acestor diferențe („abordare simplificată”), în cazul în care un operator alege să facă acest lucru. Abordarea contextuală reflectă nuanțele complete ale standardului juridic pentru anonimizare. Abordarea simplificată poate depăși standardul juridic și poate determina un operator de anonimizare să trateze datele ca și cum nu ar fi anonime, chiar dacă ar fi într-adevăr așa pentru unele entități relevante, dar această abordare poate fi mai convenabilă și poate oferi o mai mare încredere că datele sunt de fapt anonime.
Cadrul utilizează 3 criterii pentru a testa dacă datele sunt anonime: 1) nicio izolare înregistrată, 2) nicio legătură , și 3) nicio concluzie . Dacă sunt îndeplinite toate cele 3 criterii, datele pot fi considerate anonime în condiții de siguranță. În cazul în care oricare dintre aceste criterii nu este îndeplinit, ar trebui efectuată o analiză suplimentară pentru a stabili dacă datele pot fi considerate anonime.
Orientările vor face obiectul unei consultări publice până la 30 octombrie 2026, oferind părților interesate posibilitatea de a prezenta observații și de a oferi feedback.
Clarificarea implicațiilor scraping-ului web asupra dezvoltării IA în ceea ce privește protecția datelor
Răzuirea pe internet este un proces automatizat de extragere a datelor la scară largă, care funcționează adesea fără ca persoanele să fie conștiente de acest lucru și care poate prezenta riscuri semnificative pentru protecția datelor lor cu caracter personal. În orientările sale privind răzuirea site-urilor web în contextul IA generative*, comitetul clarifică diverse aspecte ale conformității cu RGPD a răzuirii site-urilor web, inclusiv temeiul juridic pentru astfel de activități și condițiile în care pot fi prelucrate categorii speciale de date în acest context.
RGPD se aplică extragerii de date de pe internet atunci când include operațiuni de prelucrare a datelor cu caracter personal, cum ar fi colectarea, stocarea, organizarea și extragerea .
Atunci când se bazează pe răzuirea site-urilor web, trebuie să se acorde o atenție deosebită principiului limitării scopului și principiului transparenței. Cu toate acestea, în funcție de modul în care este concepută cu precizie prelucrarea datelor, este posibil ca operatorul să nu fie nevoit să informeze personal persoanele fizice dacă acest lucru se dovedește imposibil sau necesită eforturi excesive.
CEPD recomandă extragerea datelor numai din surse fiabile, înregistrarea mărcii temporale și validarea datelor înainte de a le utiliza în formarea în domeniul IA pentru a asigura respectarea principiului acurateței. Orientările oferă, de asemenea, consiliere cu privire la măsurile pe care operatorul ar trebui să le pună în aplicare pentru a respecta principiul reducerii la minimum a datelor.
Pe baza avizului CEPD privind modelele de IA, orientările oferă clarificări și exemple suplimentare cu privire la utilizarea temeiului juridic al interesului legitim în contextul specific al extragerii de date de pe internet pentru formarea în domeniul IA.
În cele din urmă, CEPD reamintește că prelucrarea categoriilor speciale de date cu caracter personal este, în principiu, interzisă. În cazul în care extragerea de date pe internet implică astfel de date, sunt necesare atât un temei legal în temeiul articolului 6 din RGPD, cât și o excepție în temeiul articolului 9 alineatul (2) din RGPD. CEPD sugerează că hotărârea Curții în cauza GC & Others (C-136/17) poate fi relevantă pentru colectarea accidentală sau reziduală de categorii speciale de date cu caracter personal, cu condiția ca operatorul să acționeze în „cadrul responsabilităților, competențelor și capacităților sale” și să pună în aplicare măsuri tehnice și organizatorice adecvate pentru a preveni colectarea și diseminarea unor astfel de date. Comitetul subliniază că nu există nicio derogare generală de la cerințele articolului 9 din RGPD și că fiecare caz trebuie evaluat individual pentru a stabili dacă raționamentul Curții se aplică.
Orientările vor face obiectul unei consultări publice până la 30 octombrie 2026, oferind părților interesate posibilitatea de a prezenta observații și de a oferi feedback.
Orientările privind tehnologia blockchain au fost finalizate în urma unei consultări publice
În urma consultării publice, CEPD a adoptat versiunea finală a orientărilor sale privind tehnologiile blockchain. Orientările ajută organizațiile care utilizează tehnologii blockchain să respecte RGPD. CEPD explică modul în care funcționează tehnologia blockchain, evaluând diferitele arhitecturi posibile și implicațiile acestora pentru prelucrarea datelor cu caracter personal.
În conformitate cu obiectivul Declarației de la Helsinki de a consolida dialogul cu părțile interesate, comitetul a publicat, de asemenea, un raport privind rezultatul consultării publice specifice, precum și o versiune actualizată a orientărilor.
Notă către editori:
IA generativă este o tehnologie care vizează crearea de conținut nou prin învățarea modelelor din datele existente. Utilizează modele specializate de învățare automată concepute pentru a produce o gamă largă și generală de rezultate, cum ar fi text, imagine sau audio.
Aceasta este o traducere automată și poate conține erori. Ea nu înlocuiește versiunea oficială în limba engleză.