Mai este GDPR un „mister” în 2023? Daniela Cireașă, președintele ASCPD și CONAF Brăila spune că nu, dar face câteva precizări importante

La o simplă privire asupra mai multor platforme online românești, fie că sunt de ecommerce sau simple site-uri informative, internautul remarcă un lucru simplu: politicile de confidențialitate ale acestora diferă uneori destul de mult de la una la cealaltă, lucru care se întâmplă și în cazul politicilor cookie, sau altor prevederi legale.

Exact din acest motiv, opinia unui specialist în domeniu asupra a ceea ce trebuie să conțină exact aceste prevederi, este nu doar binevenită, ci chiar necesară.

„Dacă ne referim strict la prelucrările de date cu caracter personal prin intermediul unei platforme online, discutăm despre „politica de confidențialitate sau politica de protecția datelor”, nu despre documentul denumit „termeni și condiții”, care are cu totul alt rol, adică acela de contract care conține regulile utilizării platformei respective”, spune Daniela Cireașă, Președinte al Asociației Specialiștilor în Confidențialitate și Protecția Datelor (ASCPD) și Președintele Confederației Națională pentru Antreprenoriat Feminin (CONAF) Brăila.

Prin urmare, explică aceasta, documentul denumit „politica de confidențialitate” are rolul de a explica utilizatorilor platformei online contextul prelucrării datelor lor personale la accesarea platformei (site, aplicație mobile etc.). Mai exact, politica respectivă este o modalitate a a respecta dreptul la informare al persoanelor vizate.

Acest drept, care se naște în temeiul principiului transparenței, adaugă Daniela Cireașă, este prevăzut în Regulamentul UE nr. 679/2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor), „faimosul” GDPR.

Astfel, completează președintele ASCPD, Articolul 13 din Regulament stabilește toate informațiile care trebuie aduse la cunoștința persoanei vizate, respectiv a utilizatorilor platformelor online.

„Misterul” politicii de confidențialitate e, de fapt, clar ca lumina zilei

Concret, conform acesteia, o astfel de politică de confidențialitate trebuie să conțină minimum următoarele informații:

  • identitatea și datele de contact ale operatorului și, după caz, ale reprezentantului acestuia;
  • datele de contact ale responsabilului cu protecția datelor, după caz;
  • scopurile în care sunt prelucrate datele cu caracter personal, precum și temeiul juridic al prelucrării;
  • în cazul în care prelucrarea se face în temeiul interesului legitim al operatorului, interesele legitime urmărite de operator sau de o parte terță;
  • destinatarii sau categoriile de destinatari ai datelor cu caracter personal;
  • dacă este cazul, intenția operatorului de a transfera date cu caracter personal către o țară terță sau o organizație internațională
  • perioada pentru care vor fi stocate datele cu caracter personal sau, dacă acest lucru nu este posibil, criteriile utilizate pentru a stabili această perioadă;
  • existența dreptului de a solicita operatorului, în ceea ce privește datele cu caracter personal referitoare la persoana vizată, accesul la acestea, rectificarea sau ștergerea acestora sau restricționarea prelucrării sau a dreptului de a se opune prelucrării, precum și a dreptului la portabilitatea datelor;
  • atunci când prelucrarea se bazează pe consimțământ, existența dreptului de a retrage consimțământul în orice moment, fără a afecta legalitatea prelucrării efectuate pe baza consimțământului înainte de retragerea acestuia;
  • dreptul de a depune o plângere în fața unei autorități de supraveghere;
  • dacă furnizarea de date cu caracter personal reprezintă o obligație legală sau contractuală sau o obligație necesară pentru încheierea unui contract, precum și dacă persoana vizată este obligată să furnizeze aceste date cu caracter personal și care sunt eventualele consecințe ale nerespectării acestei obligații;
  • existența unui proces decizional automatizat incluzând crearea de profiluri, informații pertinente privind logica utilizată și privind importanța și consecințele preconizate ale unei astfel de prelucrări pentru persoana vizată.

Desigur, însă, subliniază Daniela Cireașă, nu pot exista două politici identice, lista de mai sus personalizându-se după tipicul fiecărei platforme/operator.

Atitudinea “dacă merge la X, merge și la site-ul meu”, sancționată

De asemenea, președintele ASCPD mai spune faptul că societatea românească a devenit mai alfabetizată în ce privește implementarea politicilor de confidențialitate, în sensul că aproape nu mai există platformă online care să nu aibă o astfel de politică de confidențialitate publicată pe site.

Dar, adaugă ea, informațiile care se regăsesc în aceste documente nu sunt întotdeauna toate cele din lista de mai sus sau, chiar dacă sunt bifate toate, nu înseamnă că sunt corecte sau suficiente.

Am văzut de multe ori politici copiate de pe site-uri mari dar care nu se ‘mulau’ pe activitatea prestată de site-ul pentru care fuseseră copiate. O atitudine de tipul ‘dacă merge la X, merge și la site-ul meu’, poate atrage investigații și chiar sancțiuni deoarece informațiile furnizate persoanelor vizate nu sunt conforme cu realitatea operatorului.

Daniela Cireașă, Președinte ASCPD și Președintele CONAF Brăila

Un alt aspect identificat în aceste politici, spune Daniela Cireașă, este cel referitor la transferul de date personale către țări terțe sau organizații internaționale. Astfel, operatorii trebuie să fie conștienți că prin intermediul cookie-urilor, a newsletterului, a găzduirii site-ului etc. pot transfera datele vizitatorilor/clienților către țări terțe, că acest lucru trebuie adus la cunoștința persoanelor vizate și că trebuie luate măsuri suplimentare pentru conformitatea cu legislația Uniunii Europene.

Totodată, mai adaugă președintele CONAF Brăila, o politică de confidențialitate în care se face referire doar la prelucrarea datelor prin intermediul cookie-urilor, iarăși nu duce la conformitate.

Astfel, precizează ea, “alfabetizarea” menționată este, mai degrabă, de fațadă, fără a atinge cu adevărat implementarea protecției datelor personale. De asemenea, o corectă și reală implementare se referă la întreaga activitate a operatorului, inclusiv partea din spatele platformei online (angajați, persoane împuternicite, măsuri tehnice și organizatorice etc.), care, uneori, este neglijată.

Amenzile, mai multe de la an la an de la implementarea GDPR

Cât privește statistica aplicării de amenzi GDPR, specialista remarcă faptul că, din punct de vedere statistic, trendul este ascendent. Astfel, în 2019 Autoritatea de supraveghere (ANSPDCP) din România a dat 21 de amenzi, iar în 2022 au fost aplicate 47 de amenzi.

Când vine vorba despre 2023, însă, adaugă ea, doar în primele 3 luni s-au aplicat 17 amenzi operatorilor de date personale din România, operatorii sancționați cu amendă fiind persoane juridice, instituții, asociații de proprietari dar și persoane fizice.

De asemenea, aceasta subliniază faptul că printre opearatorii sancționați s-au numărat și platforme online și chiar persoane fizice deținătoare de platforme online cum ar fi blogurile.

Daniela Cireașă s-a referit de asemenea și la un caz relativ recent semnalat de Europa FM, petrecut în februarie 2023, în care polițiști locali din Constanța au fost nevoți să renunțe la bodycamurile pe care le foloseau pentru a înregistra video și audio incidentele din timpul misiunilor, Curtea de Apel decizând, printr-o soluție definitivă, că prin utilizarea acestor dispozitive se încalcă legea de prelucrare a datelor cu caracter personal.

ANSPDCP, Autoritatea de supraveghere competentă, a sancționat, anterior Poliției Locale Constanța, și Poliția Locală Sector 4 București dar și Poliția Locală Cluj pentru aceeași încălcare a dispozițiilor legale privind protecția datelor, dispunând încetarea prelucrării. În principal, deoarece nu există un temei legal al prelucrării vocii și imaginii prin intermediul bodycam de către poliția locală, respectiv nu există o obligație legală, prelucrarea nu a fost efectuată pentru îndeplinirea unei sarcini care servește unui interes public sau care face parte din exercitarea autorității publice și nici o altă condiție din art. 6 alin. (1) din RGPD nu se aplică în speță.

Daniela Cireașă, Președinte ASCPD și Președintele CONAF Brăila

În plus, specifică aceasta, ca circumstanță agravantă, Poliția Locală Constanța a ignorat complet dispoziția Autorității Naționale de Supraveghere și a continuat să prelucreze datele personale prin intermediul bodycam.

Președintele ASCPD mai adaugă faptul că sectorul public are un statut diferit față de cel privat atunci când vine vorba despre limitele amenzilor care se pot aplica de către autoritate.

Astfel, pentru aceeași dispoziție legală încălcată un operator public poate primi maxim 200.000 ron amendă, în timp ce un operator privat poate primi până la 4% din cifra de afaceri sau 20 milioane euro, în funcție de care valoare este mai mare.

O altă diferență, explică aceasta, este aceea că operatorii publici au un termen de remediere de care cei privați nu beneficiază. Prin urmare, în aceste condiții sfidarea dispoziției ANS este cu atât mai condamnabilă.

GDPR trebuie privit ca făcând parte dintr-un pachet legislativ

Nu în ultimul rând, Daniela Cireașă afirmă faptul că legislația privind protecția datelor este satisfăcătoare în acest moment deși, ca în orice alt domeniu, legislația aleargă după tehnologie.

Tocmai de aceea, spune ea, dispozițiile GDPR sunt destul de laxe, astfel încât să se adapteze la timpurile pe care le trăim.

Totuși, completează specialista, GDPR trebuie privit nu ca o lege singulară ci ca făcând parte dintr-un pachet legislativ al UE care privește direct sau indirect datele personale: securitatea cibernetică, piețele digitale, inteligența artificială șamd, toate acestea având impact asupra datelor noastre.

Referindu-mă strict la GDPR, menționez că în România acesta se completează cu o serie de legi naționale: 129/2018, 102/2005, 190/2018, aceasta din urmă conținând un caz suplimentar de obligativitate a desemnării unui responsabil cu protecția datelor față de cele conținute de către Regulament dar și referiri la condițiile prelucrării unui număr de identificare națională, a monitorizării angajaților prin sisteme electronice la locul de muncă, referiri la prelucrarea datelor în context jurnalistic, statistic sau de arhivare. Pe lângă dispozițiile legale, ANS emite decizii (ex: decizia 174/2018 privind evaluările de impact asupra protecției datelor cu caracter personal) iar pentru o mai bună intrepretare a dispozițiilor Regulamentului, Comitetul European pentru Protecția Datelor a emis și emite în continuare avize, recomandări, orientări sau ghiduri care trebuie luate în considerare atunci când analizăm dispozițiile GDPR.

Daniela Cireașă, Președinte ASCPD și Președintele CONAF Brăila