Câteva aspecte critice referitoare la Proiectul de lege privind măsuri de punere în aplicare a Regulamentului General privind Protecția Datelor (L173/2018) (II)
(Continuarea materialului din 4 mai 2018 publicat în „Cuvântul liber")
În legătură cu articolul 2 litera b) care definește „numărul de identificare național" al proiectului de lege.
Numărul prin care se identifică o persoană fizică în anumite sisteme de evidență și care are aplicabilitate generală, cum ar fi: codul numeric personal, seria și numărul actului de identitate, numărul pașaportului, al permisului de conducere, numărul de asigurare socială de sănătate. (definiția din proiect a numărului de identificare național).
Despre necesitatea și legalitatea mai multor numere de identificare naționale. Definiția este utilă, însă nici pe departe nu corespunde în esența ei spiritului Regulamentului General privind Protecția Datelor, ci pur și simplu o preluare din decizia 132/2011 a ANSPDCP (autoritatea națională de supraveghere):
Art. 1
(1) Codul numeric personal reprezintă un număr semnificativ care individualizează în mod unic o persoană fizică, constituind un instrument de verificare a stării civile a acesteia și de identificare în anumite sisteme informatice de către persoanele autorizate.
(2) Datele cu caracter personal cu funcție de identificare de aplicabilitate generală sunt acele numere prin care se identifică o persoană fizică în anumite sisteme de evidență și care au aplicabilitate generală, cum ar fi: codul numeric personal, seria și numărul actului de identitate, numărul pașaportului, al permisului de conducere, numărul de asigurare socială sau de sănătate.
(3) Datele prevăzute la alin. (1) si (2) fac parte din categoria datelor cu caracter special supuse regulilor specifice de prelucrare.
Definiția numărului de identificare național din proiectul de lege încearcă să dea legitimitate, fiind ridicată la nivel de lege, situației extrem de deranjante pentru persoana fizică vizată (persoana ale cărei date se prelucrează) de a fi identificată la nivel național prin mai multe numere de identificare, pentru simplul motiv că autoritățile statului și-au preluat „puterea" de-a lungul timpului de a atribui numere distincte persoanelor fizice în funcție de interesele fiecărei autorități publice privită individual, deoarece sub acest motiv au făcut bani pe „spatele" persoanelor fizice, punându-le să plătească multe hârtii de completat și să achite prețul vreunui „card" identificat numeric. În realitate există un număr atribuit unic oricărei persoane și care are inclusiv o bază legală, anume OUG 97/2005 republicată în 2011 privind evidența, domiciliul, reședința și actele de identitate ale cetățenilor români:
Art. 6
(1) Codul numeric personal, denumit în continuare C.N.P., reprezintă un număr semnificativ ce individualizează o persoană fizică și constituie singurul identificator pentru toate sistemele informatice care prelucrează date cu caracter personal privind persoana fizică.
(2) Codurile numerice personale sunt generate și administrate prin mijloace informatice de către D.E.P.A.B.D., care emite și distribuie anual către serviciile publice comunitare județene de evidență a persoanelor, Serviciul public comunitar de evidență a persoanelor al municipiului București și Departamentul Consular din Ministerul Afacerilor Externe listele conținând codurile numerice personale precalculate pentru anul în curs.
(3) Fiecărei persoane fizice i se atribuie, începând de la naștere, un C.N.P. care se înscrie în actele și certificatele de stare civilă și se preia în celelalte acte cu caracter oficial, emise pe numele persoanei respective, precum și în R.N.E.P.
(4) Atribuirea C.N.P. se face, în țară, de către serviciile publice comunitare de evidență a persoanelor, iar în străinătate, de către Ministerul Afacerilor Externe, prin misiunile diplomatice și oficiile consulare ale României, în baza listelor prevăzute la alin. (2).
(5) Pentru situații de excepție, la solicitarea instituțiilor publice menționate la alin. (2), D.E.P.A.B.D. generează coduri numerice personale suplimentare, în vederea atribuirii persoanelor fizice, în condițiile prezentei ordonanțe de urgență.
(6) Gestionarea și verificarea atribuirii C.N.P. revin serviciilor publice comunitare de evidență a persoanelor sub coordonarea D.E.P.A.B.D.
Întrebarea firească este pentru ce avem nevoie de mai multe numere de identificare naționale? Regulamentul General privind Protecția Datelor stabilește la articolul 5 litera c) principiul potrivit căruia datele cu caracter personal trebuie să fie adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate („reducerea la minimum a datelor"), ceea ce înseamnă „inter alia" că datele cu caracter personal nu trebuie prelucrate altfel, decât dacă sunt esențiale, suficiente și potrivite pentru scopul prelucrării. Aceasta înseamnă că nici excesivitatea de date de tipul numerelor de identificare naționale nu este permisă, cu atât mai mult cu cât chiar legea națională este cea care ne spune că CNP este singurul identificator pentru toate sistemele informatice. Evident că legislația actuală are multe nelămuriri și incoerențe, însă ea cuprinde de această dată, implicit, și răspunsul. Avem un număr de identificare național și, în sistem informatic, este unicul identificator legal, pentru ce sunt necesare alte numere de identificare? Avem un singur stat! Se poate mult comenta și există excepții de la acest tip de identificare însă, esența rămâne aceeași. Peste noapte lucrurile nu pot fi schimbate, însă legitimarea unei situații de fapt, prin (culmea!) mijlocirea unui context de punere în aplicare a unei legislații europene nu este nici pe departe sinceră și nici corectă, mai ales în raport cu drepturile persoanelor fizice vizate, rezultate deja din valorile europene asumate și recunoscute.
Despre lipsa esențială a definiției numărului de identificare național, prin raportare la RGPD. Fiind o definiție dată în aplicarea Regulamentului General privind protecția datelor (definiție despre care am afirmat deja că, principial, este utilă!), definiția primea o calitate superioară (chiar și în raport cu RGPD!) dacă era legată de scopul urmărit, iar nu implicit (acela de identificare!), astfel cum altfel la articolul 5 litera b) RGPD stabilește principiul potrivit căruia datele cu caracter personal trebuie colectate în scopuri determinate, explicite și legitime. Ca urmare, simpla afirmație că CNP este un identificator național nu este suficientă atunci când avem în vedere că efectele acestei identificări trebuie să se manifeste prin scopurile sale! Dar, situația actuală reflectă pur și simplu o preluare având la bază o analiză sumară și parțială a reglementărilor, fără a fi corespondentă unui scop real de legiferare. În acest sens, întrebarea simplă este la ce îi servește cititorului proiectului de lege o listă nelimitativă cu privire la numerele de identificare naționale? Cu toții știam de existența lor, așa că o definiție nu schimbă cu nimic starea actuală a birocrației etatice, de altfel „dușmanul" numărul 1 al noului Regulament european. În concluzie și pe scurt, enunțând definiția „numărului de identificare național" este neconformă cu GDPR/RGPD!
Proiecte: Pentru ce ne-am propus limitat la rândurile acestui material, soluția este să se stabilească: 1) scopul atribuirii unui număr de identificare național, conform cu principiile GDPR; 2) să se demareze procedurile de revizuire ale legilor de atribuire a numerelor de identificare naționale; 3) să se analizeze trecerea progresivă la un sistem, nu doar informatic, de utilizare a unui singur „semn" (număr) de referință național, care să servească identificării persoanelor fizice, cu respectarea drepturilor acestora; 4) să se evalueze necesitatea corelației de date de identificare unică dintre sistemele de evidență ale autorităților publice și sistemele de evidență ale „actorilor privați", precum sunt, cu titlu exemplificativ, societățile bancare.
