Dacă societatea românească a început să răsufle uşurată, ca urmare a apariţiei legii prevenţiei la finele anului 2017, care obligă statul (mai precis organele de control financiar, fiscal şi de altă natură) să desfăşoare în prima etapă o activitate absolut necesară - prevenţia - fără a mai permite aplicarea unor sancţiuni contravenţionale usturătoare, de curând, o reglementare europeană (Regulamentul nr. 679 din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date, cunoscut printre specialişti sub abrevierea "GDPR"), care va intra în vigoare la data de 25 mai a.c. în toată Uniunea Europeană, şi care nu intră sub incidenţa legii prevenţiei, dă fiori multor firme, deoarece amenzile prevăzute sunt, în funcţie de încălcarea săvârşită şi gravitatea faptei, de până la 20 milioane euro (da, aţi citit bine, 20.000.000 euro!!!) sau între 2% şi 4% din cifra de afaceri (a companiei pe exerciţiul financiar anterior).
Reglementarea în cauză nu este de noutate, au existat la nivel de Directive şi reglementări naţionale prevederi care stabileau regulile care trebuie respectate de persoanele juridice şi instituţiile de stat care utilizează date cu caracter personal, dar GDPR-ul instituie câteva noi reguli pe care le prezentăm pe scurt în această "atenţionare".
Cea mai importantă modificare vizează condiţii mai stricte pentru colectarea şi procesarea legală a datelor cu caracter personal care trebuie să aibă la bază consimţământul expres al persoanei fizice vizate, concomitent cu instituirea unor noi drepturi (spre exemplu: "dreptul de a fi uitat", "dreptul la portabilitatea datelor" etc.).
Reglementarea introduce pe piaţa muncii o nouă categorie de personal (înscris în Clasificarea Ocupaţiilor din România - COR - în anul 2017 sub nr. 242231 - cf. Ordinului Ministrului Muncii nr. 1786/2017) - "responsabilul cu protecţia datelor cu caracter personal" (specializat - nu ştim încă cum? - care poartă denumirea generică de "DPO" şi este desemnat fie din rândul angajaţilor fie din exterior, pentru un singur operator sau pentru un grup de operatori economici) care va trebui să se asigure că sunt respectate ad litteram prevederile legale în domeniu, fiind de fapt legătura între firma/grupuri sau instituţie şi Autoritate (Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal - ANSPDCP). DPO-ul va fi o persoană importantă, deoarece trebuie să avizeze toate activităţile care au în componenţă manipularea datelor cu caracter personal, se va asigura că acest tip de date sunt corect colectate şi manipulate, iar în cazul în care constată încălcări trebuie să notifice autoritatea (în termen de 72 ore) cu privire la acest aspect. Regulamentul nu i-a uitat nici pe cei desemnaţi persoane împuternicite să proceseze datele cu caracter personal în numele unui operator economic, care trebuie să îndeplinească condiţiile legale, mai stricte, şi care au prin această prevedere o răspundere mult mai mare.
Globalizarea - starea de fapt care îşi pune amprenta pe mai toate activităţile economice - alături de informatizare şi digitalizare, sunt factori care au un impact impresionant şi care au generat o astfel de reglementare cu caracter european. Metadatele (bazele de date specializate) sunt o marfă care este vânată de orice companie, dar drepturile fundamentale ale persoanei fizice, care face parte fără consimţământ expres din această "marfă" tranzacţionată pe sume impresionante, de cele mai multe ori, sunt la fel de importante ca şi celelalte drepturi consacrate de Carta drepturilor fundamentale a Uniunii Europene şi alte acte cu vocaţie internaţională, regională sau naţională.
De remarcat că actele normative precedente, dar şi reglementarea care urmează să intre în vigoare - definiţia datelor cu caracter personal - permit o foarte largă categorie de informaţii care intră în sfera de protecţie. În acest sens sunt considerate date cu caracter personal "orice informaţii privind o persoană fizică identificată sau identificabilă". Nu doresc să fac aici o analiză a tipurilor de date care sunt sau nu considerate date cu caracter personal, ceea ce mi-am propus prin acest articol este să semnalez faptul că, alături de alte drepturi fundamentale ale omului, protecţia datelor cu caracter personal reprezintă o nouă valenţă pe care autorităţile din UE (inclusiv statul român) se vor strădui să o aplice cu celeritate şi seriozitate.
Autoritatea Naţională pentru Supravegherea şi Protecţia Datelor cu Caracter Personal (ANSPDCP) este "câinele de pază" pentru respectarea datelor cu caracter personal, un drept important în societatea digitalizată din prezent. Să ne amintim că, în 2016, ANSPDCP a amendat Autoritatea Naţională de Administrare Fiscală (ANAF) cu 16.000 de lei pentru publicarea datelor personale din lista datornicilor. De asemenea au fost amendate şi anumite instituţii de credit, cu sume între 25-35.000 de lei, în urma unor controale efectuate în perioada septembrie - octombrie 2016, din cauza transmiterii de date la Biroul de credit fără informarea prealabilă a persoanelor fizice vizate - procedură care este utilizată la scară largă de mai toate băncile din ţara noastră.
ANSPDCP a aplicat sancţiuni şi marilor operatori de telefonie mobilă pentru că "nu au fost luate măsuri suficiente pentru protejarea datelor cu caracter personal ale proprilor abonaţi", dar a sancţionat unele firme care "au transmis comunicări nesolicitate prin poştă" şi exemplele pot continua.
Prin acest articol doresc să atenţionez operatorii economici şi instituţiile de stat care operează cu date cu caracter personal asupra modului în care trebuie tratată această "spinoasă problemă", asupra persoanelor care vor trebui desemnate DPO (identificarea şi desemnarea acestora atât la nivelul unei companii dar şi la nivelul instituţiilor centrale şi locale de stat vor fi operaţiuni delicate, deoarece persoana respectivă trebuie să aibă o oarecare independenţă faţă de conducere şi trebuie să atenţioneze asupra eventualelor pericole la care va fi supusă persoana juridică de drept public sau privat, în măsura în care vor fi luate hotărâri care nu sunt tocmai conforme prevederilor în materie) şi asupra aspectelor delicate care trebuie avute în vedere pentru a se evita încălcarea acestui drept al persoanei fizice.
Ce va fi pe mai departe? Aşteptăm cu interes modificările legislaţiei interne, care sperăm să lămurească aspectele care mai au nevoie de precizări suplimentare, şi sperăm că, de la intrarea în vigoare, firmele împreună cu persoanele care vor avea calitatea de DPO şi nu în ultimul rând Autoritatea (care în opinia noastră va avea o responsabilitate imensă - având în vedere sancţiunile drastice care pot fi aplicate) să identifice cele mai bune soluţii practice pentru a fi respectate datele cu caracter personal şi în ţara noastră.