Regulamentul General privind Protecția Datelor (GDPR), clasa politică și coada la legiferare!

Câteva aspecte critice referitoare la Proiectul de lege privind măsurile de punere în aplicare a Regulamentului General privind Protecția Datelor (L173/2018) (I)

Proiectul de lege la care ne referim azi intervine într-unul dintre cele mai importante domenii de reglementare și sociale din ultimii 28 de ani. Am mai scris pe această tematică, însă doar punctual, așteptând ca organele alese ale statului, sau cele numite pe baza acestei alegeri, să facă demersurile necesare punerii în funcțiune a cerințelor europene în domeniul vieții private și a prelucrării datelor cu caracter personal.

Pentru început este important de reținut că aceste standarde erau cuprinse la nivel de deziderat și principial în Constituția României, încă din anul 1991, ceea ce probabil ne spune ceva. Noua legislație europeană încearcă prin reglementările pe care le cuprinde să revigoreze valori, tradiționale în esența lor, privind protecția vieții private a persoanelor fizice, inclusiv stabilind un standard de garanție, anume acela de prelucrare corectă și loială a datelor cu caracter personal. Observând juridic acest standard de garanție, observăm că acțiunile de prelucrare a datelor cu caracter personal ale altora nu stau de regulă în atributul persoanelor fizice, ci în special în atributul și competențele organelor statului și a companiilor private. Îmi permit o paranteză „principală": cu ajutorul datelor personale ale noastre au reușit organele statului să ne pună, în calitate de persoane fizice, de ani de zile (episodul II cel puțin, după perioada dinainte de 1990) într-o stare de umilință și transformând persoana fizică într-un „supus birocrat", iar multe companii private (în special corporații și companii ce dețin domenii monopol de stat) ne-au transformat în datornici și „specializați în standarde". Este adevărat că inclusiv protecția datelor reprezintă un standard, însă acesta diferă de toate celelalte (nu este o afirmație absolută, sens în care a se vedea standardele de protecție a consumatorilor), deoarece este un standard în favoarea persoanelor fizice.

Un aspect care trebuie știut atunci când scriu aceste rânduri care conțin în special aspecte critice cu privire la proiectul de lege prin care se încearcă o evitare a haosului legislativ în domeniul abordat, este că RGPD (GDPR) a fost adoptat în anul 2016 și a stabilit o perioadă de aproximativ 2 ani în care statele să-și pregătească mediul legislativ, social, instituțional și economic pentru aplicarea sa începând cu 25 mai 2018. Ne găsim la mai puțin de o lună până la care urmează să se aplice RGDP și încă nu avem un act normativ prin care să se pună în aplicare reglementările europene, în marja pe care o permite RGDP/GDPR. Ar fi multe de spus, în special că era o șansă pentru clasa politică de crea și genera o nouă imagine a respectului față de cetățeni în România, dar a ratat această șansă și a aruncat pe umerii întreprinzătorilor și a întreprinderilor economice dezastrul legislativ, economic și social…Nu cred că va scăpa prin această incompetență și strategie, dar consider că puținele soluții politice care le-au rămas în momentul de față sunt fie să demonstreze printr-o atitudine naționalistă (care prinde bine la unii!) că nu este cazul să se supună unei legislații europene (despre care vă spuneam, că reflectă valori cuprinse inclusiv în Constituția noastră!), fie să încerce „să pună batista pe țambal!" și să încerce să reducă din impactul RGDP/GDPR asupra mediului instituțional și de „curte" din România…Cu toate acestea, strategiile clasei actuale politice au o singură problemă instituțională: Autoritatea națională cu competențe depline în domeniul protecției datelor cu caracter personal are un statut stabilit la nivel european, cu caracter de independență, ceea ce o face extrem de vulnerabilă dar și extrem de puternică.

Și acum să ne referim la proiectul de lege.

Maniera de inițiativă legislativă și de reglementare. Proiectul de lege trebuia să fie adoptat printr-un efort comun instituțional în cadrul unui pachet de legi, iar nu venit individual, deoarece domeniul protecției datelor cu caracter personal este obiectul de reglementare în mai multe domenii: domeniul comunicațiilor electronice, domeniul prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor și alte domenii precum cel al sănătății, al brokerajului etc. RGDP constituie, pentru domeniile sectoriale, uneori, dreptul comun, principial, iar alteori doar un punct de reper. Nu avem un pachet de legi, ci un „biet" proiect de lege prin care se încearcă doar „bifarea" unei cerințe europene!

În legătură cu art. 1 privind obiectul proiectului de lege. Se stabilește abrogarea Directivei nr. 95/46/EC (fără nominalizarea titlului acestei directive) fără să se menționeze legătura cu celelalte acte normative, care, fie au transpus în dreptul intern această directivă, fie au avut legătură cu scopurile Directivei. În 25 mai 2018 trebuie, în plan intern, să se acopere inclusiv protecția datelor în cadrul domeniului de prevenire și combatere a infracționalității (care fac obiectul unei noi directive!), domeniu care a fost acoperit de Directiva 95/46 care se abrogă. Evitarea haosului legislativ necesita ca în articolul 1 al proiectului de lege să se menționeze explicit legătura cu toate actele normative care, în plan intern, sunt vizate de proiectul de măsuri de punere în aplicare a RGDP (a nu se confunda cu dispozițiile finale ale legii!). Oricum proiectul menționează că stabilește „în principal" măsurile de aplicare ale unor articole din RGPD, ceea ce este ridicol pentru un proiect de lege; se încearcă evitarea erorilor și lipsurilor prin această expresie: mă mir că nu a sesizat formularea Consiliul Legislativ care s-a pronunțat asupra acestui proiect de lege! Înseamnă că nimeni nu a citit (din toată puzderia de consilieri parlamentari, pe de-a întregul RGPD!)! Vă dau câteva exemple de articole cu privire la care trebuie să existe mențiuni explicite într-un proiect de lege: art. 55 alin.(2) din RGDP urma să aibă o reflectare în proiectul de lege în legătură cu competența explicită și detaliată a Autorității noastre cu privire la cazurile care îi cad în competență; art. 62 stabilește categorii de situații în care autoritățile naționale își repartizează competențe de investigare etc. într-un spațiu transnațional al Uniunii Europene și ar fi fost necesar ca până în prezent să existe prevederi detaliate legate de exercitarea acestor competențe: nimeni nu spune nimic, toți așteaptă pe alții! Un alt exemplu este art. 80 alin. (2) al RGPD unde se arată că o plângere privind domeniul prelucrării datelor cu caracter personal poate fi susținută și de alte organisme decât de persoana fizică vizată, în fața unor autorități naționale relevante din statele membre ale Uniunii Europene…

Fără „în fine", articol 1 este o „vorbă" spusă la o masă de către un consilier al clasei politice, sub presiunea dictatului politic!

În legătură cu articolul 2 al proiectului de lege. La acest articol sunt menționate definiții de care ține cont proiectul de lege. Precizările sunt complet lipsite de o coerență, deoarece nu se știe decât în virtutea articolului 1 pentru cine se chinuie să interpreteze de ce se definesc „autoritățile și organismele publice" la acest articol! Oricum, expresia apare ca atare la un articol pe care nu îl menționează articolul 1 al proiectului de lege, anume la articolul 41 alin. (6) din RGPD! Definițiile din proiectul de lege ignoră oricum orientările organismului european implicat complet în elaborarea, aplicarea și interpretarea RGPD (GL 29), care evidențiază că importanța definirii expresiei „autoritate sau organism public" constă în tot ce înseamnă asumarea responsabilității în domeniul protecției datelor cu caracter personal și, totodată, precum și în privința obligațiilor de respectat în această privință. Pentru că este un aspect important îl redau aici:

2.1.1 „Autoritate publică sau organism public" RGPD nu definește ce înseamnă „autoritate publică sau organism public". WP29 consideră că o asemenea noțiune trebuie stabilită în conformitate cu dreptul intern. În consecință, autoritățile și organismele publice includ autoritățile naționale, regionale și locale, dar conceptul, în conformitate cu legislația națională aplicabilă, include, de asemenea, o serie de alte organisme guvernate de legislația în domeniul public. În astfel de cazuri, desemnarea unui DPO este obligatorie. O sarcină publică poate fi efectuată, iar o autoritate publică poate fi exercitată nu numai de către autorități sau organisme publice, ci și de alte persoane fizice sau juridice de drept public sau privat, în sectoare precum servicii de transport public, furnizare de apă și energie, infrastructură rutieră, serviciul public de radiodifuziune, locuințe publice sau organisme disciplinare pentru profesiile reglementate, în conformitate cu reglementarea națională a fiecărui stat membru. În aceste cazuri, persoanele vizate pot fi într-o situație foarte asemănătoare ca atunci când datele lor sunt prelucrate de o autoritate publică sau un organism public. În special, datele pot fi prelucrate în scopuri similare, iar persoanele fizice au de multe ori la fel de puține posibilități sau, chiar deloc, posibilitatea de a alege dacă datele lor vor fi prelucrate și modul în care vor fi prelucrate și pot solicita astfel protecția suplimentară pe care o poate aduce desemnarea unui DPO. Chiar dacă nu există nicio obligație în astfel de cazuri, WP29 recomandă, ca bună practică, ca organizațiile private care îndeplinesc atribuții publice sau exercită o autoritate publică să desemneze un DPO. O astfel de activitate a DPO acoperă toate operațiunile de prelucrare efectuate, inclusiv cele care nu sunt legate de îndeplinirea unei sarcini publice sau exercitarea îndatoririlor oficiale (de exemplu, gestionarea unei baze de date a angajaților).(Ghidul GL 29 privind responsabilul cu protecția datelor).

În concluzie, proiectul de lege uită să includă între cei care au responsabilități prin prisma expresiei „autorități publice și organisme publice" pe toate categoriile care desfășoară servicii publice pentru care, în toți ultimii ani decenari, s-au chinuit să le aibă, deoarece aveau un statut privilegiat!

Urmează ca la data de 20 mai 2018 Universitatea „Petru Maior" prin Centrul de cercetare privind protecția datelor cu caracter personal să înainteze un nou proiect de lege, tehnic, analizat și echilibrat, către autoritățile cu competențe de inițiativă legislativă! Până atunci urmează, săptămâna viitoare, să vă prezentăm cele mai delicate aspecte ale RGPD, care țin în special de clasa politică și interesele societăților bancare și financiare!

Lasă un comentariu