În timp ce în parlament sunt măcelărite codurile justiţiei, domnul Şerban Nicolae şi o trupă mică de comando (de la MAI? De la ANSPDCP? – nu ştim) pregătesc o ambuscadă în legea protecției datelor cu caracter personal.

Sub pretextul „protecţiei persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autorităţile competente (dacă n-aţi adormit încă, aici urmează) în scopul prevenirii, descoperirii, cercetării, urmăririi penale şi combaterii infracţiunilor sau al executării pedepselor”, domnul Şerban Nicolae legiferează pe nevăzute noi capcane anti-procurori pentru a proteja corupţii.

Simpla asociere între „protecţia datelor cu caracter personal”, „prevenirea, descoperirea, cercetarea şi combaterea infracţiunilor” şi „Şerban Nicolae” ar trebui să ne ridice o sprânceană.

Şi pe bună dreptate.

Să o luăm cu începutul.

România trebuia să transpună până pe 6 mai 2018 directiva Europeană 680/2016, sora celebrului Regulament de protecţia datelor, GDPR. În această directivă Parlamentul European recunoaşte că prelucrarea datelor cu caracter personal pentru prevenirea şi combaterea infracţiunilor trebuie să fie diferită faţă de prelucrările normale.

Legea domnului Şerban Nicolae îşi propune exact transpunerea acestei directive, lăsând în urmă mai multe mine neexplodate. Voi pune mai jos în oglindă câteva articole „speciale”, pentru a vedea ce spune directiva şi cum propune domnul Nicolae să o implementăm. Pentru o urmărire ”în original”, găsiţi textele şi aici.

Nu vor mai putea fi procesate date cu caracter personal pentru prevenirea, descoperirea și investigarea corupţiei.

Ce spune directiva:

Prezenta directivă stabilește normele referitoare la protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor, inclusiv al protejării împotriva amenințărilor la adresa securității publice și al prevenirii acestora.

Ce Spune legea domnului Şerban Nicolae

Prezenta lege reglementează prelucrarea datelor cu caracter personal în scopul realizării activităților de prevenire, descoperire, cercetare, urmărire penală și combatere a infracțiunilor, de executare a pedepselor, precum și de menținere și asigurare a ordinii și siguranței publice de către autoritățile competente, în limitele competențelor stabilite prin lege. (2) Prelucrarea datelor cu caracter personal pentru realizarea activităților prevăzute la alin. (1) se realizează numai dacă această măsură este prevăzută de lege și este necesară pentru prevenirea unui pericol cel puțin asupra vieții, integrității corporale sau sănătății unei persoane ori a proprietății acesteia, precum și pentru combaterea infracțiunilor.

În primul rând, am notat că orice prelucrare de date trebuie să fie prevăzută de lege. Nu doar că trebuie să fie prevăzută de lege, dar trebuie să fie prevăzută într-un format aparte, aşa cum vom vedea la articolul 6. Voi detalia mai târziu acest aspect. Să reţinem doar că orice prelucrare (nu infracţiune) trebuie să fie prevăzută de lege.

În al doilea rând, acest aliniat 2 stabileşte că prelucrarea se realizează numai dacă este necesară pentru prevenirea unui pericol asupra vieţii, a proprietăţii sau pentru combaterea infracţiunilor.

La o citire atentă este deci clar că în descrierea de la aliniatul 2 nu intră „prevenirea, descoperirea, cercetarea, urmărirea penală” din chiar aliniatul 1 . A rămas în text, de una singură, „combaterea infracţiunilor”.

Adio prelucrare a autorităților pentru prevenirea, descoperirea şi cercetarea infracţiunilor care nu privesc viaţa, sănătatea sau proprietatea.

O astfel de infracțiune, care nu privește viața, sănătatea sau proprietatea este … abuzul în serviciu! Rezultă, deci, că datele cu caracter personal nu vor mai putea fi prelucrate legal pentru prevenirea abuzului în serviciu. Și nu doar prevenirea. Ci și descoperirea, cercetarea și urmărirea penală.

Perfect pentru infractori.

Bomba prezenței prelucrărilor în lege

Să ne întoarcem puțin la prelucrările prevăzute de lege.

(2) Prelucrarea datelor cu caracter personal pentru realizarea activităților prevăzute la alin. (1) se realizează numai dacă această măsură este prevăzută de lege și este necesară pentru […]

Câteva exemple de prelucrări:

Luarea amprentelor suspectului Fotografierea suspectului Colectarea amprentelor de pe obiecte Compararea amprentelor pentru identificarea suspectului Colectarea de fotografii cu suspectul Identificarea forografiei suspectului de către martori

Toate acestea sunt, conform definiței din directivă și din lege, prelucrări de date diferite. Ele nu sunt însă toate prevăzute în lege ca atare, unele sunt prevăzute de norme. Iar, cel puțin în cazul abuzului în serviciu, Curtea Constituțională a decis că normele nu sunt asimilabile legii. Vor mai fi, deci, legale, acele prelucrări de date prevăzute în norme, nu în lege?

Avocații domnului Nicolae sunt sigur că au un răspuns bine pregătit la această întrebare.

Nu se vor mai putea procesa date chiar dacă există motive serioase să se creadă că urmează a se săvâşi o infracţiune

Ce spune directiva

Statele membre garantează că, după caz și în măsura posibilului, operatorul face distincție clară între datele cu caracter personal ale diferitelor categorii de persoane vizate, precum: (a) persoane în privința cărora există motive serioase să se creadă că au săvârșit sau că urmează să săvârșească o infracțiune;

Ce spune domnul Nicolae:

Art.7 (1) Operatorii dispun măsurile necesare în scopul structurării datelor cu caracter personal având în vedere următoarele criterii: a) date referitoare la persoane în privința cărora există indicii temeinice că au săvârșit sau că urmează să săvârșească o infracțiune;

E clar că domnului Nicolae nu-i place Noul Cod de Procedură Penală. Formularea ”indicii temeinice” vine din Vechiul Cod de Procedură Penală și a fost eliminat în Noul Cod pentru a înlesni munca procurorilor.

Degeaba am motive serioase să cred că cineva mă fură – nu-i voi putea procesa datele. Trebuie să am indicii temeinice pentru a face acest lucru. Diferenţa dintre „motive serioase” şi „indicii temeinice” este una substanţială și mult dezbătută în dreptul românesc.

Date care în mod rezonabil sunt exacte, complete şi actuale nu mai pot fi transmise sau puse la dispoziţie

Ce spune directiva:

Statele membre garantează că autoritățile competente iau toate măsurile rezonabile pentru a se asigura că datele cu caracter personal care sunt inexacte, incomplete sau nu mai sunt actuale nu sunt transmise sau puse la dispoziție. În acest scop, fiecare autoritate competentă verifică, în măsura în care este posibil, calitatea datelor cu caracter personal înainte ca acestea să fie transmise sau puse la dispoziție. În măsura în care acest lucru este posibil, în cadrul tuturor transmiterilor de date cu caracter personal, se adaugă informații necesare care permit autorității competente destinatare să evalueze gradul de exactitate, caracterul integral, gradul de fiabilitate și de actualitate al datelor cu caracter personal.

Practic, stalele membre trebuie să ia măsuri rezonabile pentru a asigura acurateţea datelor ce urmeazăsă fie transmise. Domnul Nicolae nu vrea să fie rezonabil. Iată ce spune dumnealui:

Operatorii dispun toate măsurile necesare pentru ca datele cu caracter personal inexacte, incomplete sau care nu sunt actualizate să nu fie transmise sau puse la dispoziție.

Practic, nu mai sunt suficiente măsurile rezonabile. Trebuie luate „toate măsurile necesare” pentru a ne asigura că datele transmise nu sunt inexacte, incomplete sau neactualizate. Nu ştiu ce poate înseamna pentru un judecător „toate măsurile necesare”, dar în mod cert multe transmiteri vor fi contestate pe acest motiv.

Instituţiile statului trebuie să primească un nou acord pentru a colabora în vederea prevenirii infracţiunilor

Articolul 49 din legea domnului Nicolae, fără corespondent în Directivă, „necesitate pentru structurile MAI”:

Art.49 (1) Pentru realizarea activităților de cercetare și combatere a infracțiunilor sistemele de evidență a datelor cu caracter personal sau, după caz, mijloacele automate de prelucrare a datelor cu caracter personal pe care operatorii le dețin, pentru scopuri diferite, pot fi interconectate. (2) în scopul prevăzut la alin.(l), interconectarea sistemelor de evidență a datelor cu caracter personal sau a mijloacelor automate de prelucrare a datelor cu caracter personal, se poate realiza și cu sistemele de evidență ori cu mijloacele automate de prelucrare a datelor cu caracter personal deținute de alți operatori, autorități și instituții publice naționale. (3) Interconectările prevăzute la alin. (1) și (2) sunt posibile numai cu acordul prealabil al autorității de supraveghere.

Până la primirea acordului, operatorii de date cu caracter personal nu se mai pot interconecta în mod legal – o binemeritată gură de aer pentru infractori.

Acestea, sunt convins, sunt doar câteva dintre bombele strecurate de domnul Nicolae în legea privind prelucrarea datelor cu caracter personal în vederea prevenirii şi combaterii infracţiunilor.

Este clar că trebuie deschis acest nou front pentru apărarea justiției – nu putem lăsa comando-ul domnului Nicolae să planteze toate aceste mine.

Deși transpunerea directivei este obligatorie și poate duce la infringement, această lege nu poate trece așa cum arată în momentul ăsta!

Și nu va trece!

p.s. Mulțumesc colegei mele Alexandra Chiru de la Comisia de Tăiat Hârtii pentru ajutor.