Mic ghid de pervertire a regulamentelor europene de către România. Exemple practice din GDPR

Mișcarea eurosceptică nu are, în România, o tracțiune la fel de mare ca în alte state membre. Coliția de la putere din Parlamentul României însă face pași rapizi și concreți pentru scăderea încrederii românilor în UE.

Exemplul despre care scriu astăzi este unul pe care-l cunosc bine: GDPR. Pornite de la o idee bună (”Organizațiile nu pot prelucra date personale fără acordul persoanei vizate”), regulamentele europene 679 și 680 adoptate în 2016 sunt pervertite și folosite de către actualula majoritate împotriva spiritului în care au fost ele concepute. Sub pretextul transpunerii legislației Europene, Parlamentul României dă legi care sunt pentru ”șmecheri” mumă, iar pentru ”fraieri” ciumă.

Cum arată reglementările pentru “fraieri”

Pentru marile companii din România, în special pentru multinaționale, GDPR înseamnă un efort permanent, continuu și complex de asigurare a compliance-ului. Nimeni nu vrea să riște 4% din cifra de afaceri. Sau 1%. Sau orice amendă sau avertisment, care ar duce la efecte negative asupra imaginii pe piață.

Consultanți, avocați, IT-iști și oameni din operațiuni au întâlniri săptămânale de trasabilitate a acțiunilor, de minimizare a datelor, de anonimizare și de respectare a dreptului de a fi uitat, de realizare a DPIA-urilor [1],[2] și a altor analize pentru stabilirea normelor și motivelor de procesare a datelor cu caracter personal.

Companiile alocă responsabili pentru datele cu caracter personal (DPO), le fac sisteme de ticketing pentru urmărirea cererilor de acces la date, modificare și ștergere, realizează teste și semnalează către autorități și persoanele implicate orice scăpare / inadvertență asupra datelor cu caracter personal în 72 de ore de la descoperire.

Se raportează către ANSPDCP [3] orice incident. Chiar dacă ai trimis un email către petrica@email.com în loc de petr1ca@email.com tot încălcare a securității datelor cu caracter personal se cheamă.

Toți angajații participă la training-uri lunare, la reamintiri și evaluări ale cunoștințelor, sunt încurajați să raporteze fără nici un fel de frică de repercursiuni orice incident în care au fost implicați – este mai important să afli și să anunți și să iei măsuri decât să ascunzi.

Deoarece GDPR nu este (și nu s-a dorit niciodată, nu poate nicidecum să fie) exhaustiv în metodologii, proceduri, liste de măsuri și operațiuni ce trebuie întreprinse, este la latitudinea fiecărei companii / industrii să realizeze codurile sale de bună practică. Legiuitorul european nu și-a propus nicidecum să compună „norme de aplicare” – a expus o serie de principii generale, și fiecare companie este obligată să își adapteze modul de lucru pentru a respecta aceste principii.

Pentru ”fraieri”, a respecta GDPR înseamnă timp, resurse umane, bani mulți, sisteme informatice noi și modificări în sistemele informatice existente, proceduri noi și training permanent al angajaților.

Alta este însă abordarea pentru ”șmecheri”.

Pentru ”șmecheri” avem exemplul legii inițiate de Șerban Nicolae, care își justifică propunerea ca obligativitatea transpunerii în legislația internă a directivei europene privind GDPR.

Mai exact, d-nul Nicolae susține că prelucrarea datelor cu caracter personal, în cazul organelor de anchetă, se realizează legal în 2 situații: fie pentru prevenirea unui pericol privind viaţa sau sănătatea, fie pentru combaterea infracţiunilor.  Nu însă şi  pentru prevenirea, descoperirea sau cercetarea infracţiunilor. Nici pentru urmărirea penală[4]. Această abordare nu vine de la Parlamentul European, însă nimic nu-l costă pe domnul Nicolae să suprareglementeze.

Pervertirea GDPR și a menirii sale este un subiect drag puterii curente și subalternilor lor de fel și chip. Spre exemplu, purtătorul de cuvânt al Jandarmeriei, rugat să confirme conducătorul jandarmilor din 10 august 2018[5] a refuzat și a invocat „protecția datelor cu caracter personal”. Iarăși legiuitorul european s-a gândit în avans la faptul că autorități lașe și/sau cu ceva necurat de asuns de vor ascunde în spatele GDPR, astfel încât în art. 85[6] au prevăzut specific că „pentru scopuri jurnalistice […] se vor efectua derogări de la Capitolul II (Principii) […] dacă este nevoie să se reconcilieze dreptul la protecția datelor cu caracter personal și libertatea de expresie și informare”.

Cum stăm cu frica de amenzi în mediul public? Foarte bine – lipsește cu desăvârșire[7]. Statul român a scris în legislația locală, ca derogare de la GDPR, ca suma maximă de amendă pentru instituții de stat (inclusiv companii cu acționariat majoritar sau minoritar de stat) la maxim 200.000 RON. Pe care, bineînțeles, tot contribuabilul îi va plăti, căci nu există responsabilitate – sau responsabilizare – individuală.

Dar despre egalitatea în fața unui regulament european? Și aici stăm bine, căci un senator UDMR „a propus un amendament ce dă dreptul partidelor şi ONG-urilor să folosească datele personale fără a cere acordul persoanelor vizate”[8] . Egalitate, dar nu pentru căței!

O parte specială din GDPR este dedicată datelor cu caracter supra-personal, informațiilor privind orientarea sexuală, religie, încarcerare sau, bineînțeles, starea de sănătate. De cele mai mari amenzi conform GDPR – dar și HIPPA în SUA – sunt pasibili cei ce fac publice date medicale. D-nul Vâlcov aparent are imunitate la acest regulament[9] – publică fișe medicale fără probleme. Se pare totuși că legiuitorul european, deși a prevăzut multe, a ratat o ultimă perversitate românească: divulgarea datelor cu caracter personal „pe persoană fizică”.

(Multumiri lui Cristian Dimache care a contribuit serios la scrierea acestui articol.)

NOTE_______________

[2] http://www.dataprotection.ro/servlet/ViewDocument?id=1539

[3] http://www.dataprotection.ro/servlet/ViewDocument?id=1100

[4] https://www.hotnews.ro/stiri-opinii-22533627-zboiul-psd-mpotriva-justi-iei-ambuscada-gdpr.htm

[5] https://www.hotnews.ro/stiri-esential-22642463-prima-fotografie-clar-rbatul-alb-care-coordonat-interven-brutal-jandarmilor-pia-victoriei-jandarmeria-refuz-confirme-dac-vorba-eful-brig-zii-speciale.htm

[6] http://www.privacy-regulation.eu/en/article-85-processing-and-freedom-of-expression-and-information-GDPR.htm

[7] https://www.zf.ro/business-hi-tech/companiile-private-revolta-impotriva-statului-putem-amendati-cauza-gdpr-statul-statul-roman-absolva-vina-comparativ-privatul-raspunsul-ministrului-comunicatiilor-ridicare-umeri-pana-acum-ne-intrebat-17167580

[8] https://b1.ro/stiri/politica/udmr-gdpr-partide-protectia-datelor-amendament-parlament-231017.html

[9] https://www.g4media.ro/darius-valcov-a-publicat-fisa-medicala-a-unui-protestatar-numit-sandilau-cu-acte-postarea-a-fost-stearsa-de-facebook-protestatarul-a-anuntat-ca-il-da-in-judecata.html