O sperietoare se ridică la orizont pentru IT-işti şi avocaţi. O sperietoare care poartă numele de GDPR (General Data Protection Regulation) şi care care va intra în vigoare pe 25 mai 2018.

Nu cred că există avocat, IT-ist sau organizaţie procesatoare de date care să nu fi auzit de GDPR.

Ce este, până la urmă, GDPR?

Este un regulament european de protecție a datelor personale. Orice entitate care îți știe numele, adresa de email, adresa poștală, data nașterii sau orice altfel de informație personală trebuie să respecte acest regulament. Adică, printre alții: angajatorul, casa de asigurări de sănătate, casa de pensii, poliția, spitalul în care intri, școala la care-ți dai copilul, farmacia care-ți eliberează rețeta compensată, jurnalistul care publică date personale despre persoane publice. Practic toată lumea.

Și ce obligații aduce?

Multe dintre obligațiile instituite unei firme sau autorități publice sunt de bun simț: să nu dezvăluie datele cu caracter personal către alte entități fără acordul persoanei. Să șteargă datele dacă nu mai este nevoie de ele. Să permită transferul datelor către alte entități (la cererea persoanei interesate). Să nu colecteze date cu caracter personal nenecesare. Să ceară consimțământul persoanei ale cărei date le procesează (atunci când legea nu impune procesarea de date). Cu toții știm însă că ”diavolul se ascunde în detalii”.

Cu toate că este un Regulament European (drept urmare intră automat în vigoare pe 25 mai) statul român poate reglementa suplimentar GDPR în anumite marje. De asemenea, are obligaţia de a asigura punerea în aplicare a acestui regulament.

Cu alte cuvinte, statul român poate şi trebuie să dea o lege de implementare a GDPR. Şi de aici începe povestea noastră.

Există în acest moment în Parlament 2 proiecte de lege pentru implementarea GDPR. Una propusă de doamna Carmen Dan în calitate de ministru al afacerilor interne: http://www.cdep.ro/pls/proiecte/upl_pck2015.proiect?cam=2&idp=17000 şi o alta propusă de doamna Carmen Dan (alături de Şerban Nicolae) în calitate de senator http://www.cdep.ro/pls/proiecte/upl_pck2015.proiect?cam=2&idp=16976.

Dacă prima lege s-a aflat în dezbatere publică la Ministerul Afacerilor Interne o perioadă suficientă, cea de-a doua nu a avut aceeaşi expunere. Iar pentru această lege, cvasi-necunoscută, termenul de depunere a amendamentelor a fost 13.04.2018.

Problemele

Domnul senator Șerban și doamna senator Dan fac praf legea de implementare a GDPR, introducând nu mai puțin de 6 prevederi absolut toxice pentru mediul de afaceri și pentru binele cetățeanului, în general. O lege care pare făcută pe genunchi, care nu a stat în consultare publică și al cărei principal scop este să crească controlul statului asupra unor segmente importante din business, scăzând în același timp amenzile pentru stat în cazul unor abuzuri.

Din 15 articole, câte are legea, 6 introduc prevederi cu consecinţe care pot duce până la intrarea în ilegalitate a medicinei private, a telefoanelor cu autentificare prin amprentă, precum şi alte cazuri incredibile. Alte 4 articole sunt controversate şi ar trebui cel puţin reformulate.

Doar 5 articole sunt fără probleme, şi acelea sunt articole fără substanţă (art 1, 8, 9,10 şi 14).

În schimb, reglementări absolut necesare, cum ar fi vârsta consimțământului sau desemnarea membrilor ANSPDCP nu sunt abordate.

Să le luăm în ordinea gravităţii:

Articolul 3

Se interzice procesarea datelor privind sănătatea pentru crearea de profiluri, cu excepţia celor făcute de către autorităţile publice, indiferent dacă pacientul îşi dă acceptul sau nu. Spitalele private, asiguratorii privaţi de sănătate, medicii de familie creează profiluri de pacienţi pentru a-și desfășura activitatea. Mă întreb cum vor mai putea face acest lucru de la promulgarea legii.

De asemenea, se interzice procesarea datelor biometrice în scopul realizării unui proces decizional automat. Te autentifici pe propriul telefon prin amprentă? Ghinion! Nu vei mai putea face acest lucru, chiar dacă ai vrea să-ţi dai acordul. Mergi la serviciu unde ţi se permite accesul în clădire pe bază de amprentă? Ghinion!

Articolul 4

Pentru prelucrarea datelor care privesc CNP-ul (dar şi nr paşaportului, seria şi nr de la buletin) se prevede, printre altele, numirea unui responsabil de protecţia datelor, precum şi aderarea la un cod de conduită aprobat de către autoritatea de supraveghere (ANSPDCP).

Asta înseamnă că fiecare cabinet de medicină individual privat (care își păstrează pacienții organizați după CNP), fiecare policlinică privată, fiecare instituţie care permite accesul pe bază de carte de identitate (Parlamentul, de exemplu), fiecare agenție de turism trebuie să adere la un cod de conduită aprobat de către ANSPCDP. Nu există absolut nicio analiză de impact care să arate câte coduri de conduită vor trebui aprobate până pe 25 mai. Estimarea mea este că nu va fi aprobat niciunul. Drept urmare, toate aceste instituţii s-ar afla în ilegalitate pe 25 mai 2018, dacă această lege ar intra în vigoare.

Articolul 11

Teoretic, articolul 58 din GDPR prevede o serie de sancţiuni care pot fi dispuse de către ANSPDCP. În mod absolut uluitor, articolul 11 din legea doamnei Dan elimină posibilitatea ANSPDCP de a institui amenzi administrative (art 58.2.i) în cazul autorităţilor publice. Entităţile private vor putea fi în continuare amendate conform GDPR, dar nu şi autorităţile publice. Este practic o uşa larg lăsată deschisă pentru abuzurile autorităţilor publice.

Articolul 12

Deşi GDPR prevede pentru autorităţile publice amenzi de până la 20 de milioane de euro (art 83, alin 4,5,6), legea doamnei senator Dan este mult mai prietenoasă: 20 de milioane s-au transformat, în legea dumneaei, în 200.000 lei. Desigur, doar în cazul autorităţilor publice. Entităţile private ”beneficiază” în continuare de cuantumul european (de până la 4% din cifra de afaceri)

Articolul 13

La aliniatul 1, acest articol prevede că regulamentului se poate aplica şi faptelor dinaintea intrării lui în vigoare (dacă fapta nu a fost trimisă încă în judecată)! Cu toate astea, la aliniatul 3 se prevede că, deşi se judecă conform GDPR, dacă acesta prevede o sancţiune mai gravă, se va aplica sancţiunea mai blândă a legii anteriorare.

Într-un mod alambicat, deducem că doamna senator Dan vrea să pedepsească mai blând încălcările actualei ale legii de protecție a datelor cu caracter personal. Oportun ar fi, în opinia mea, ca pentru faptele comise înainte de 25 mai 2018 să se judece după legea ”veche”, iar cele comise după 25 mai să fie judecate după legea cea nouă.

Articolul 15

Prevede că trimiterile la legea 677/2001 vor fi interpretate ca trimiteri către prezenta lege (asta e normal). Cu toate astea, legea 677/2001 nu este abrogată! Vom avea, deci, 2 legi în acelaşi timp care reglementează acelaşi domeniu!

Cam astea au fost articolele pe care le consider toxice. Mai sunt 4 articole pe care le consider “doar” controversate.

Articolul 2

Este un articol de definiţii, teoretic nu ar avea de ce să fie problematic.

Şi totuşi.

În conjuncţie cu articolul 5, care vorbeşte de monitorizare prin mijloace electronice, putem avea o potenţială problemă, deoarece nu este definit ce înseamnă monitorizare prin mijloace electronice, cea ce lasă la latitudinea ANSPDCP această definiţie. (vezi şi art următor).

Articolul 5

Reglementează monitorizarea electronică (şi video) a angajaţilor. Nefiind definită monitorizarea, rămâne la latitudinea ANSPDCP să stabilească această definiție. Păstrarea datelor legate de folosirea cartelei de acces în clădire reprezintă monitorizare? Mailurile trimise către client cu cc la şef reprezintă monitorizare? În cel mai bun caz, legea este impredictibilă în privinţa asta şi ar trebui mai bine definită monitorizarea. Poate la articolul 2.

De asemenea, articolul d cere ca, în cazul în care se instituie mijloace de monitorizare, angajatorul să poată demonstra că alte forme mai puţin intruzive nu şi-au dovedit eficienţa. Cum vor face asta băncile care au supraveghere video la ghişeu? Opresc o vreme monitorizarea video şi aşteaptă până când această oprire îşi dovedeşte ineficienţa?

Pe de altă parte, există prevăzute în lege ”cazuri temeinic justificate” în care autoritatea poate accepta păstrarea datelor mai mult de 30 de zile. Cine stabileşte “cazurile temeinic justificate” şi pe ce criterii? Inspectorii ANSPDCP?

Articolul 6

Prevede derogări de la regulament pentru prelucrarea datelor cu caracter personal în scopuri jurnalistice. Aici întrebarea este dacă sunt instituite suficiente garanţii pentru protejarea vieţii private a persoanelor publice, sau orice informaţie privată (de exemplu adresa de domiciliu sau fotografii nud) poate fi publicată dat fiind faptul că se referă la o persoană publică.

Articolul 7

Prevede derogări de la regulament pentru prelucrarea datelor cu caracter personal în scopuri de “cercetare” sau statistică. Cercetarea și statistica acestea pot fi şi comerciale? Dacă o firma privată (să-i spunem Bucureşti Analitica) face “statistică” poate fi exceptată de la prevederi importante din GDPR?

Reglementări necesare, dar neabordate

Vârsta la care se poate exprima consimțământul

Pentru copii, consimțământul este acordat de către părinți. Articolul 8 din GDPR prevede că vârsta de la care o persoană poate să își exprime consimțământul pentru prelucrarea datelor este de 16 ani. Cu toate acestea, îi este permis statului membru (România) să scadă această limită până la 13 ani.

În aces moment, codul civil prevede anumite drepturi (limitate) începând de la vârsta de 14 ani. Este, din punctul meu de vedere, absolut necesară o armonizare a prevederilor legale în acest sens – în sensul în care minorul de 14 ani să își poată da acordul procesării pe internet a unor date cu caracter personal.

Autoritatea de supraveghere

Articolele 53 și 54 din GDPR reglementează funcționarea autorității de supraveghere. În România, ”se știe” că aceasta este ANSPDCP, dar, dpdv legislativ, pașii necesari nu sunt făcuți.

S-ar putea argumenta că aceste reglementări se găsesc în proiectul de lege al guvernului (celălalt proiect de lege de care vorbeam la început), dar nici în acel proiect nu este clar definită noțiunea de membru al autorității (în sensul Art 54 din GDPR). Și, atunci, nu este clar definită nici procedura de numire a unui membru, și nici puterea pe care acesta o are.

Concluzii

Din punctul meu de vedere, legea propusă de doamna senator Carmen Dan şi de domnul senator Şerban Nicolae nu conţine absolut nicio prevedere utilă, în schimb conţine extrem de multe prevederi toxice, şi ar trebui respinsă în Parlament.

______________

P.S. Mulțumesc colegilor mei, Andra Bucur și Cristian Dimache, de la Comisia de Tăiat Hârtii , a căror muncă m-a ajutat la formularea acestui punct de vedere