Contoarele inteligente se citesc cu GDPR: Ce trebuie să ia în considerare operatorii
Calendarul de implementare a sistemelor de măsurare inteligentă a energiei electrice la nivel național – o cerință impusă pentru alinierea cu noile tehnologii, dar și cu reglementările europene – a fost stabilit de Autoritatea Națională de Reglementare în Domeniul Energiei (ANRE), printr-un ordin adoptat anul trecut (Ordinul 177/2018).
Aceste cerințe se aplică operatorilor de distribuție concesionari, furnizorilor de energie electrică și utilizatorilor racordați la rețelele electrice de joasă tensiune, în calitatea acestora de beneficiari ai sistemelor de măsurare inteligentă a energiei electrice.
Potrivit reglementărilor, în cadrul planurilor de implementare a sistemelor de măsurare inteligentă se vor integra numai contoare sau alte echipamente/ dispozitive similare care facilitează furnizarea unor informații detaliate privind consumul de energie, citirea la distanță, dezvoltarea de noi tarife, servicii bazate pe profiluri energetice și capacitatea de a dezactiva de la distanță alimentarea cu energie electrică.
Necesitatea asigurării conformării cu legislația aplicabilă în materia protecției datelor, dar și de a continua activitatea și de asigura funcționalitatea rețelei de distribuție (având în vedere uriașul impact pentru utilizatori) au reprezentat preocupări pentru Grupul de Lucru la nivel european (fostul Art. 29, actualul EDPD), precum si grupul operativ de experți privind rețelele inteligente din cadrul Comisiei Europene.
Odată cu intrarea în vigoare a GDPR, operatorii de distribuție trebuie să ia în calcul și aspecte precum:
- respectarea principiilor de prelucrare (în special minimizarea datelor și limitarea datelor în funcție de scopul utilizării acestora),
- asigurarea protecției datelor începând cu momentul conceperii și în mod implicit (principiile privind privacy by design și privacy by default),
- evaluarea impactului asupra protecției datelor (data protection impact assessment – DPIA), sau
- implementarea și evaluarea periodică a măsurilor de securitate implementate pentru protecția datelor cu caracter personal (prin audituri specializate, teste de penetrare, etc.)
Având în vedere numărul mare de date cu caracter personal prelucrate prin intermediul contoarelor inteligente (volumul acestora, numărul mare de utilizatori, tipurile de date prelucrate, profilările pe care le permit, etc.), semnalăm, în cele ce urmează, anumite aspecte relevante din perspectiva GDPR. Într-un articol viitor, vom discuta despre măsurile de control care se impun pentru asigurarea unui nivel adecvat de protecție a datelor cu caracter personal și, implicit, persoanelor vizate.
Revenind la cadrul legislativ aplicabil în România, Ordinul 177/2018 reiterează necesitatea îndeplinirii condițiilor privind securitatea și protecția datelor. Mai precis, se menționează că sistemele de măsurare inteligentă implementate trebuie să îndeplinească condițiile pentru asigurarea securității și protecției confidențialității datelor tranzitate cel puțin pentru următoarele aspecte:
- Prevenirea divulgărilor neautorizate;
- Păstrarea integrității datelor;
- Autentificarea eficientă a identității destinatarilor de date cu caracter personal;
- Evitarea întreruperii serviciilor importante din cauza atacurilor la adresa securității datelor cu caracter personal;
- Facilitarea desfășurării de controale corespunzătoare privind păstrarea datelor cu caracter personal stocate sau transmise dintr-un contor;
- Controale corespunzătoare referitoare la acces și perioadele de păstrare;
- Agregarea datelor ori de câte ori nu se solicită date la nivel individual.
Toate cele de mai sus (care reprezintă, de fapt, recomandările grupului de lucru la nivel european privind măsurile tehnice și organizaționale necesare a fi avute în vedere pentru implementarea contoarelor inteligente) vizează măsuri de securitate care trebuie să fie implementate de operatori, având în vedere volumul foarte mare de date prelucrate și riscurile aferente. Pe de altă parte, reglementarea menționează aceste cerințe cu caracter general, lăsând, practic, la latitudinea operatorilor maniera de implementare efectivă. Va fi așadar, credem, o provocare pentru operatori să asigure măsuri de securitate eficiente.
În ceea ce privește temeiul legal pentru prelucrare, Ordinul 177/2018 menționează obținerea consimțământului utilizatorului. Deși Ordinul 177/2018 conține prevederi care presupun alinierea cu cerințele GDPR, impunerea preluării acordului utilizatorului pentru prelucrarea datelor de măsurare colectate prin subsistemele de măsurare este discutabilă, nefiind considerat singurul temei de prelucrare, așa cum rezultă din opinia Grupului de Lucru 29 nr. 4/2013 cu privire la analizele de impact aferente contoarelor inteligente.
Astfel, în opinia Grupului de Lucru 29, acordul utilizatorilor va fi necesar în cazul în care datele colectate excedă scopurilor de facturare, detectare a furtului de energie sau pregătire a datelor agregate pentru eficientizarea rețelelor de energie electrică.
În orice caz, impunerea obținerii consimțământului pe plan local va aduce noi provocări în practică pentru asigurarea implementării corecte din perspectiva cerințelor de validitate prevăzute de GDPR.
Articol semnat de Silvia Axinescu, avocat Reff și Asociații și Valentin Bălan