A trecut mai bine de un an de la momentul în care România a trebuit sa se conformeze regulilor impuse de GDPR. În tot acest timp, firmele de avocatura au avut de pus la punct un numar mare de proiecte rezultate din aceasta zona. Avocații implicați în practica de Data Protection s-au vazut obligați sa faca fața provocarilor aparute pe parcursul implementarii GDPR, fiecare dintre mandatele primite venind la pachet cu anumite probleme specifice. 

GDPR-ul este un „subiect la moda”, fiind una dintre temele cele mai dezbatute din ultimul an. Dincolo de acest aspect, este important de vazut efectele pe care le-a produs în realitate.

În cazul firmelor de avocatura, discutam despre faptul ca a antrenat un volum de munca semnificativ și foarte multe provocari. “Printre provocarile cele mai mari, aș aminti solicitarile (deloc puține) de implementare „la cheie” a GDPR, în special din partea industriilor cu expunere (cum ar fi financiar-bancar, telecom, IT&C). Pentru succesul unor astfel de mandate complexe, o echipa formata doar din buni specialiști în GDPR nu este suficienta. Avocatul coordonator al echipei respective trebuie sa fie un bun manager de proiect, sa aiba tact și sa

„simta” zonele fierbinți, cu expunere reala pentru client. În caz contrar, exista riscul sa se piarda foarte multe energii în zone irelevante sau cu expunere mica, iar clientul sa consume resurse (financiare și umane) în mod inutil”, subliniaza Ciprian Timofte, Managing Associate al Țuca Zbârcea & Asociații.

“Specialiștii” inventați nu au rezistat

Nu doar foarte multe proiecte au aparut ca urmare a intrarii în vigoare a prevederilor Regulamentului (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date. “Mirajul GDPR” a facut ca în piața sa se nasca aproape „instant” numeroși consultanți în protecția datelor, juriști sau nejuriști.

Ciprian Timofte crede însa ca apele s-au limpezit destul de repede și, la momentul actual, traim o „perioada realista”, în care clienții au învațat sa detecteze pseudo-specialiștii. “Aceasta a reprezentat pentru noi o oportunitate fantastica de a ne consolida și mari portofoliul de clienți. Nu de puține ori am primit solicitari de preluare a procesului de implementare a GDPR, ca urmare a unor experiențe anterioare nefericite cu alți consultanți”, menționeaza avocatul Țuca Zbârcea & Asociații.

Specialistul atrage atenția ca, deși pe palierul produselor de conformare, ideea unui rețetar/ „kit GDPR” este seducatoare, este important de avut în vedere ca o astfel de abordare nu poate genera o conformare temeinica și durabila, prin prisma particularitaților fiecarei organizații și complexitații materiei. “Știu, exista anumite firme care au vândut soluții de conformare automatizate (soft-uri, platforme), pretinzând ca acestea pot înlocui consultantul. Totuși, aceste soluții și-au dovedit rapid limitele. Spre pilda, cunosc platforme de analiza GDPR care în repetate rânduri au semnalat probleme false sau inexistente sau, dimpotriva, nu au identificat probleme cruciale. De aceea, cred ca aceste produse pot reprezenta cel mult un „punct de plecare” pentru organizații pe lungul drum al procesului de conformare, fara a putea însa înlocui suportul și analiza juridica specializata”, argumenteaza expertul.

La rândul sau, Bogdan Halcu, Managing Associate al Țuca Zbârcea & Asociații, crede ca nu greșește atunci când afirma ca, odata cu intrarea în vigoare a GDPR, prelucrarea datelor cu caracter personal a devenit o activitate cu risc. „Aceasta înseamna ca fiecare operator trebuie sa fie conștient de riscurile pe care le implica activitatea sa și sa-și ia masuri pentru diminuarea sau eliminarea acestora. Sigur ca în acest demers operatorul are nevoie de consultanța de specialitate, iar avocații sunt bine poziționați pentru oferi o astfel de asistența având în vedere ca au atât capacitatea de a înțelege cerințele GDPR, cât și o buna cunoaștere a modului cum se raporteaza autoritațile și instanțele de judecata la prevederile GDPR”, puncteaza avocatul.

 „GDPR se aplica tuturor organizațiilor” 

Reprezentanții firmei de avocatura sunt de parere ca axioma „GDPR se aplica tuturor organizațiilor” este cât se poate de conforma cu realitatea. „Sigur, în mod natural unele industrii sunt mai expuse, în special prin prisma volumului mare de date prelucrate, caracterului sensibil al acestora sau, pur și simplu, prin multitudinea și complexitatea operațiunilor de prelucrare efectuate. Fara teama de a greși, pot spune ca firma noastra a acordat asistența în probleme de conformare cu GDPR pentru majoritatea industriilor cu expunere. În particular, am în vedere industria financiar-bancara (banci, IFN-uri, leasing, asigurari), telecom, medical, farma, media și digital”, arata Ciprian Timofte.

În proiectele pe care avocații le-au lucrat, nu au lipsit nici provocarile inerente, generate în special de aspectele sensibile sau „zonele gri” ale GDPR. “Clienții au așteptarea rezonabila sa li se spuna cum pot efectua o anumita prelucrare de date, iar nu ce sau de ce nu pot face respectiva prelucrare. În acest context, anumite zone „fierbinți” ale GDPR, cum ar fi marketingul, profilarea, gestionarea conflictelor de interese și evaluarea riscului de credit/ finanțare, sau monitorizarea comportamentului prin tehnologii de urmarire (tracking), ne-au pus la grea încercare pragmatismul și spiritul de inovație. În ciuda acestor provocari, am reușit, cred eu, sa gasim echilibrul optim dintre nevoia de conformare și necesitatea continuarii derularii activitații de o maniera eficienta și confortabila pentru organizații”, explica profesionistul Țuca Zbârcea & Asociații.

În implementarea tuturor masurilor vizate de GDPR, avocații s-au confruntat cu o serie de aspecte sensibile. Horia Ispas, Partener al Țuca Zbârcea & Asociații, spune ca cea mai mare provocare pe care echipa a trebuit sa o gestioneze a fost aceea de a calibra asistența de care aveau nevoie companiile la „realitatea din teren”. “Astfel, a trebuit sa facem o planificare atenta în funcție de contextul de conformare propriu fiecarui client, gradul de expunere pe zona de data privacy și, desigur, resursele alocate. În cadrul companiilor mari, am gasit în cele mai multe ori o cultura organizaționala compatibila, departamente de conformitate și un cadru procedural pre-existent, elemente care ne-au ajutat în proiectul de adecvare la cerințele GDPR. În cazul clienților de mai mici dimensiuni, se pornea deseori de la un grad limitat de cunoaștere a problematicii, astfel încât a fost necesar un efort suplimentar de explicare, am avut un rol mai mare în selecția direcțiilor critice de adecvare și, pe baza astfel creata, am derulat ulterior etapele de implementare”, detaliaza avocatul.

Țuca Zbârcea & Asociații are o practica puternica în aceasta industrie 

Țuca Zbârcea & Asociații este una dintre firmele de avocatura de pe piața cu o practica puternica în acesta industrie. De altfel, Horia Ispas amintește ca, deși GDPR a fost prezentat deseori în spațiul public ca o noutate absoluta, protecția datelor în România nu s-a nascut odata cu intrarea în vigoare a Regulamentului.

“Chiar daca a avut o vizibilitate mai scazuta, înaintea GDPR a existat Legea nr. 677/2001, au existat ordine și decizii ale autoritații de reglementare care au impus companiilor obligații de conformare. Corespunzator, noi nu am creat o echipa ad hoc când subiectul GDPR a devenit fierbinte, ci aveam deja o echipa coagulata și experimentata, care oferea asistența constanta în zona de data privacy. Așadar, protecția datelor este o arie de practica de sine statatoare pentru firma noastra, cu o echipa-core dedicata exclusiv. La nivel de organizație, am anticipat oportunitatea creata de noul Regulament și am facut cu suficient timp înainte realocarile de echipa și pregatirile necesare. Astfel, am fost bine poziționați sa gestionam „valul” GDPR fara a crea „peste noapte” specialiști în protecția datelor și, în continuare, volumul de munca este susținut”, puncteaza Partenerul firmei de avocatura.

Pentru perioada urmatoare, Țuca Zbârcea & Asociații și-a propus consolidarea acestei practici. “În piața exista o nevoie reala pentru asemenea servicii. Este adevarat ca aceasta nevoie nu este pe deplin conștientizata în unele cazuri, însa probabil ca este doar o chestiune de timp pâna când companiile mai mici și entitațile publice vor înțelege ca au nevoie de asistența în materia GDPR. Oferim asistența unei palete largi de companii care activeaza în domenii variate, plecând de la societați de exploatare agricola și mergând pâna la societați bancare, operatori telecom, platforme online, companii farma etc. În general, clienții care solicita asistența în acest domeniu au în comun faptul ca sunt conștienți de riscurile pe care le presupun afacerile lor. Nu am avut pâna acum solicitari de asistența din partea entitaților controlate de stat”, amintește Bogdan Halcu.

Clienți și proiecte majore 

În ultimul an, echipa dedicata practicii de Data Protection a trebuit sa mute accentul din zona de audit GDPR în zona de acțiuni de conformare și, în anumite cazuri, pe aspecte de post-implementare.

“Concret, asistența noastra s-a concentrat pe efectuarea evaluarilor de impact asupra protecției datelor (data privacy impact assessment), a testului interesului legitim (legitimate interest assessment), redactarea politicilor de confidențialitate și a altor proceduri interne cu impact pe prelucrarea datelor. Am acordat și asistența în relația cu autoritatea de supraveghere (ANSPDCP), inclusiv pe zona notificarii incidentelor de securitate. Nu aș lasa nemenționate nici solicitarile în ceea ce privește organizarea de traininguri și work-shopuri dedicate problematicii GDPR pe diverse arii de interes și care, conform feedbackurilor primite, au fost considerate extrem de utile de catre clienții noștri. Interesant, au existat și solicitari de realizare a unor audituri post-implementare, care au vizat fie maniera de transpunere a recomandarilor noastre de catre organizație, fie chiar maniera de implementare a GDPR de catre alți consultanți. Au existat și proiecte în zona de contencios și litigii; de altfel, pe acest segment anticipam o creștere accelerata în viitorul apropiat, în special în ceea ce privește contestarea sancțiunilor sau a altor masuri dispuse de autoritatea de supraveghere (ANSPDCP)”, detaliaza Ciprian Timofte.

Referindu-se la cele reprezentative proiecte de consultanța, Horia Ispas le nominalizeaza pe cele în industriile cu expunere majora pe relația cu consumatorii, care gestionau baze semnificative de date cu caracter personal. “Vorbesc de clienți top 5 din sectoare precum financiar-bancar, IT&C / telecom sau media. În anul scurs de la intrarea în vigoare a GDPR, echipa noastra a gestionat câteva astfel de proiecte-ancora în industriile menționate care au presupus asistența în toate etapele de derulare (evaluare inițiala, identificare vulnerabilitați, implementare soluții de conformare) și, în cele mai multe cazuri, ne aflam astazi în faza de post-implementare, asistența curenta sau pentru proiecte punctuale. Particularitatea tuturor acestor proiecte a fost unicitatea fiecaruia dintre ele. Daca ar fi totuși sa caut o trasatura comuna este aceea a necesitații unei interacțiuni strânse a consultantului cu oamenii-cheie din companii pentru a putea oferi un produs juridic de calitate. Un proiect GDPR gestionat profesionist nu poate fi realizat din biroul avocatului. Ca principiu, am alocat de fiecare data unul sau doi coordonatori experimentați în fiecare din aceste proiecte, care au asigurat colaborarea permanenta cu clientul și câțiva colegi în zona de back-office pentru prelucrarea informațiilor și suport în redactare”, mai spune avocatul.

În plus, Țuca Zbârcea & Asociații are colaborari cu firme de avocatura internaționale și regionale și clienți internaționali care au nevoie de asistența în jurisdicția locala. În acest context, echipa a fost cooptata sa ofere asistența în proiecte multi-jurisdicționale mai ales pentru clienți cu produse și servicii globale prezenți și în România.

“Am lucrat și lucram în continuare în proiecte care implica prelucrarea datelor cu caracter personal în mai multe state. Am putea sa amintim aici un proiect în care am oferit asistența și reprezentare în fața ANSPDCP și a instanței de judecata în legatura cu o breșa de securitate care a survenit la nivelul infrastructurii software din afara României și care a afectat mai multe persoane vizate atât din România, cât și din afara. Totodata, echipa noastra este parte a unei echipe internaționale formate din avocați din mai multe țari care este pregatita sa ofere asistența clienților tocmai în cazul unor breșe de securitate ale caror efecte s-ar extinde în mai multe jurisdicții”, exemplifica Horia Ispas.

Internetul și dispozitivele inteligente ne schimbă viața mai rapid decât am putea crede. Nu cu mulți ani în urmă, telefoanele și ceasurile erau inteligente doar în filmele science fiction. În prezent, aproape toată lumea deține un smartphone. Trăim o nouă eră, iar aceasta este era datelor. Și ar trebui să ne bucurăm de avantajele noilor tehnologii, din moment ce impactul pe care Internet of Things îl generează în mai multe aspecte ale vieții noastre este imens. Dar, în timp ce explorăm avantajele, trebuie, mai mult ca oricând, să fim atenți la riscurile inerente. În timp ce unii consideră că securitatea datelor este un mit, legiuitorul european încearcă să facă securitatea datelor parte a realității cotidiene.

Cuvinte cheie: Internet, dispozitive inteligente, smartphone, date, Internet of Things, riscuri, securitatea datelor.

Abstract:

The internet and smart devices are changing our lives more rapidly than we might think. Not many years before, phones and watches were smart only in science fiction movies. Now, almost everyone has a smartphone. We’re living a new era, and that is the era of data. And we should enjoy the advantages of new technology, as the impact which the Internet of Things can bring in various segments of our lives is huge. But, while exploring the advantages, we must, as never before, pay attention to the inherent risks. While some consider data security is a myth, the European legislator is trying to make it our everyday reality.

Keywords: Internet, smart devices, smartphone, data, Internet of Things, risks, data security.

Într-unul din articolele anterioare subliniam că datele personale reprezintă noul combustibil care alimentează economia digitală, în contextul în care societatea modernă se confruntă cu o avalanșă de informații fără precedent, care modifică paradigma în multe sectoare comerciale. Cu doar câțiva ani în urmă, căutam informații în calculatorul personal printr-o conexiune internet de mică viteză, însă astăzi internetul a devenit o prezență familiară și indispensabilă, atât acasă, cât și la locul de muncă. Putem accesa internetul aproape oriunde – în mașină, în tren, în avion sau chiar în cort, când facem camping. Purtăm internetul în buzunar și la încheietura mâinii.

Pe neobservate, o bază de date de informații a acaparat chiar sub ochii noștri o parte semnificativă din viața modernă, transformându-se în „internetul obiectelor” (Internet of Things – IoT). Potrivit unui raport emis în 2015 de Comisia Federală pentru Comerț din SUA (US Federal Trade Commission), IoT se referă la capacitatea obiectelor de uz cotidian de a se conecta la internet și de a transmite și primi date. Aceste obiecte – așa numitele „dispozitive inteligente” – se găsesc peste tot în jurul nostru: camere conectate la internet, care permit utilizatorului să împărtășească cu ceilalți imagini sau filme, instantaneu; brățări care înregistrează și procesează informații despre starea noastră, dietă și efortul fizic depus, etc[1]. Numărul de dispozitive conectate la internet a depășit deja numărul de oameni. Și asta nu e tot. Conform raportului menționat, până în anul 2020 vor exista probabil în jur de 50 de miliarde de dispozitive conectate la internet.

Fără îndoială, suntem din ce în ce mai dependenți de dispozitivele conectate la internet. În primul rând, ele ne fac viața mai ușoară: putem cumpăra hainele preferate cu câteva atingeri de deget pe ecranul telefonului; putem evita ambuteiajele cu ajutorul unei aplicații; putem aprinde lumina în casă chiar și de la mii de kilometri depărtare.

În plus, IoT pare să deschidă o nouă eră în medicină. Dispozitivele conectate la internet pot ajuta pacienții să conlucreze cu medicii pentru gestionarea afecțiunilor medicale. Există deja soluții IT care, prin procesarea de Big Data și Smart Data, aduc plus valoare în cercetarea medicală: Watson, super-computerul creat de IBM, a reușit să diagnosticheze cu exactitate o formă rară de cancer în 10 minute[2]. Iar acestea sunt doar câteva exemple; IoT are capacitatea de a oferi multe alte beneficii, potențial revoluționare.

Cu toate acestea, deși beneficiile nu pot fi puse sub semnul întrebării, riscurile aferente sunt mai greu de identificat și mai dificil de contracarat de către utilizatorul individual. Accesul neautorizat la datele personale, utilizarea abuzivă a acestora și atacurile cibernetice sunt permanent prezente în mass-media. Acesta este punctul în care ar trebui să intervină principiile statutare din legile privind protecția datelor – transparența, utilizarea legitimă, proporționalitatea, securitatea și confidențialitatea prelucrării datelor – pentru a proteja consumatorii de accesarea neautorizată și utilizarea abuzivă a datelor lor personale.

Ca fapt relevant, în iulie 2016, Parlamentul European a adoptat Directiva privind securitatea rețelelor și sistemelor informatice (Directiva NIS), care este concepută pentru a spori securitatea pe Piața Unică Digitală, prin asigurarea unui nivel comun de securitate a rețelelor și informațiilor în UE. Respectiva Directivă prevede obligații atât pentru autorități, cât și pentru sectoarele implicate. Statele Membre trebuie să adopte strategii naționale pentru securitatea rețelelor și a sistemelor informatice, și să instituie, pentru cazurile în care se produc incidente de securitate informatică, echipe de intervenție care să monitorizeze incidentele și să asigure intervenții corespunzătoare. De asemenea, se așteaptă ca fiecare Stat Membru să identifice operatori de servicii esențiale în sectoarele vitale pentru economie și societate, precum sectoarele energiei, transportului, furnizarea apei, infrastructurii pieței financiare, sănătății, infrastructurii digitale și sectorul bancar. Acești operatori de servicii esențiale și furnizorii de servicii digitale (motoare de căutare, servicii de „cloud computing” și piețe online) vor trebui să ia măsuri pentru gestionarea riscurilor prezentate de rețeaua și sistemele informatice pe care le dețin și să înștiințeze autoritățile naționale cu privire la incidentele grave.

Date fiind creșterea numărului de atacuri cibernetice și complexitatea din ce în ce mai mare a acestora, o întrebare logică ce ar putea fi adresată legiuitorilor este următoarea: Aceste măsuri garantează siguranța consumatorilor? Conform revistei The Economist, securitatea informatică este un mit, iar computerele nu vor fi niciodată în siguranță dacă nu se produc schimbări semnificative în modul în care vulnerabilitățile programelor informatice sunt tratate de consumatori și de sectorul industrial[3].

The Economist sugerează că, în timp ce utilizatorii ar trebui stimulați să acorde o atenție sporită securității – de exemplu, prin schimbarea cu regularitate a numelor și parolelor – guvernele ar trebui să se concentreze pe schimbarea regulilor jocului în industria programelor informatice. Creșterea răspunderii pentru produsele informatice, precum și schemele de asigurare profesională la care ar trebui să adere dezvoltatorii de programe pot fi stimulente adecvate pentru a impulsiona interesul dezvoltatorilor față de securitatea programelor informatice. Rămâne de văzut în ce fel va reacționa sectorul relevant, în cazul în care se adoptă această abordare. Lipsa intervenției în domeniu a constituit însăși coloana vertebrală pe care s-a dezvoltat acest sector, astfel încât companiile relevante ar putea pretinde că, prin creșterea responsabilității pentru produsele lor, se va încetini dezvoltarea unui sector care s-a dovedit capabil să ofere multe beneficii revoluționare într-un interval scurt de timp.

În comunicatul de presă referitor la Directiva privind Securitatea Rețelelor și Informațiilor, Comisia confirmă că Directiva este un prim pas dintr-o serie de inițiative menite să pregătească mai temeinic Europa împotriva atacurilor cibernetice, și să consolideze competitivitatea în sectorul securității cibernetice[4]. Rămâne de văzut ce abordare va fi adoptată pe viitor și cât de eficient putem asigura securitatea beneficiilor remarcabile asociate cu internetul obiectelor.

[1] https://www.ftc.gov/system/files/documents/reports/federal-trade-commission-staff-report-november-2013-workshop-entitled-internet-things-privacy/150127iotrpt.pdf

[2] https://www.top500.org/news/watson-proving-better-than-doctors-in-diagnosing-cancer/; http://www.hotnews.ro/stiri-inovatie_in_sanatate-21757923-webpr-suntem-pregatiti-pentru-medicina-personalizata.htm

[3] http://www.economist.com/news/science-and-technology/21720268-consequences-pile-up-things-are-starting-improve-computer-security

[4] http://europa.eu/rapid/press-release_IP-16-2321_en.htm

Unnoticeably, under our very eyes, an information database has taken over a significant portion of our modern lives and turned into the “internet of things”  (IOT). According to a report released by the U.S. Federal Trade Commission in 2015, the IOT refers to the ability of everyday objects to connect to the internet and send and receive data. These objects – so-called “smart devices” – are all around us: internet-connected cameras allowing the user to share pictures or movies instantly; bracelets recording and processing information about our physical condition, diet and workout routines, etc.[1] The number of devices connected to the internet has already exceeded the number of people. And there is more to come. According to the same report, by 2020 there will probably be around 50 billion internet-connected devices.

It is beyond any doubt that we are more and more addicted to internet-connected devices. In the first place, they are making our lives easier: we can shop for our favourite clothes with a swipe and a few taps on our phone screen; we can avoid traffic jams with the help of an app; we can switch on the lights in our homes even from thousands of kilometres away.

Then, the IOT seems to open a new era in medicine. Internet-connected devices may help patients work with their physicians to manage their diseases. There are already IT solutions which, through the processing of Big Data and Smart Data, provide added value in medical research: Watson, the super-computer created by IBM, managed to accurately diagnose a rare form of cancer in 10 minutes.[2] And these are just a few examples; the IOT has the ability to offer many other potentially revolutionary benefits.

But, while the benefits cannot be disputed, the attached risks are more elusive and difficult for the individual user to counter. Unauthorised access to personal data, misuse of the same and malicious software attacks constantly make headlines in the media. This is where the statutory principles in the data protection laws – transparency, legitimate use, proportionality, security and confidentiality of data processing – should step in to keep consumers safe from unauthorised access to and misuse of their personal data.

Notably, in July 2016, the European Parliament adopted the Directive on security of network and information systems (the NIS Directive), which is designed to enhance security in the Digital Single Market by ensuring a common level of network and information security in the EU. This Directive sets forth obligations both for the authorities and the industry. Member States must adopt national strategies on the security of network and information systems, and set up computer security incident response teams entrusted with monitoring incidents and providing an appropriate response. Moreover, each Member State is expected to identify operators of essential services in the sectors that are vital for the economy and society, such as energy, transport, water, banking, financial market infrastructure, healthcare and digital infrastructure. These operators of essential services, as well as digital service providers (search engines, cloud computing services and online marketplaces), will have to take measures to manage the risks posed to the security of their network and information systems and notify the national authorities of serious incidents.

Given the increased number and ever greater sophistication of cyber-attacks, a reasonable question to put to legislators is: Are consumers kept safe by these measures? According to The Economist, computer security is a myth, and computers will never be safe while there is no significant change in the way consumers and industry treat the vulnerabilities of software programmes.[3]

The Economist suggests that while users should be incentivised to pay more attention to security – e.g., by regularly changing user names and passwords – governments should focus on changing the rules of the game in the software industry. Increased liability for software products, together with professional insurance schemes software developers should adhere to may be good incentives for increasing developers’ interest in software security. It remains to be seen how the industry will react If that approach is taken. The lack of intervention in this industry was the backbone of its growth, so companies in the field might claim that increasing responsibility for their products will slow the growth of an industry which has proved capable of offering many revolutionary benefits over a small period of time.

In its press release on the NIS Directive, the Commission acknowledges that the Directive is the first step in a series of new initiatives to better equip Europe against cyber-attacks and to strengthen the competitiveness of its cybersecurity sector.[4] It remains to be seen what approach will be taken in the future and how efficiently we can secure the remarkable benefits associated with the IOT

[1] https://www.ftc.gov/system/files/documents/reports/federal-trade-commission-staff-report-november-2013-workshop-entitled-internet-things-privacy/150127iotrpt.pdf

[2] https://www.top500.org/news/watson-proving-better-than-doctors-in-diagnosing-cancer/; http://www.hotnews.ro/stiri-inovatie_in_sanatate-21757923-webpr-suntem-pregatiti-pentru-medicina-personalizata.htm

[3] http://www.economist.com/news/science-and-technology/21720268-consequences-pile-up-things-are-starting-improve-computer-security

[4] http://europa.eu/rapid/press-release_IP-16-2321_en.htm

This article was first published in Just in Case, an electronic magazine by Țuca Zbârcea & Asociații. To read the entire article, please go to: http://www.tuca.ro/just_in_case/

Explozia de popularitate a aplicațiilor de social media a înlăturat aproape în totalitate barierele comunicării de masă. Cu un slide și două-trei tap-uri pe ecranul telefonului, utilizatorul Facebook poate distribui gânduri sau imagini de zeci de ori mai repede decât redactorii oricărei publicații și-ar fi închipuit nu cu foarte mulți ani în urmă. Libertatea de exprimare, augmentată de succesul aplicațiilor de social media nu înseamnă totuși renunțarea la sau limitarea protecției valorilor sociale tradiționale, inclusiv a dreptului la ocrotirea vieții private.

I. Dreptul la imagine

La nivel de principiu, captarea imaginii (fotografierea) unei persoane ori utilizarea acestei imagini (inclusiv prin distribuiri pe site-urile de socializare) sunt interzise în absența consimțământului prealabil al persoanei fotografiate, sau, în cazul minorilor, în absența consimțământului prealabil al reprezentanților legali. Totuși, dreptul la imagine nu este un drept absolut, iar fotografierea și utilizarea imaginii unei persoane sunt permise chiar în lipsa unui consimțământ prealabil atunci când acestea se fac cu bună credință în exercitarea altor drepturi fundamentale cum este, de exemplu, dreptul la libera exprimare.

Delimitarea dreptului la imagine de dreptul la liberă exprimare nu este un exercițiu simplu, iar instanțele de judecată sunt de multe ori puse în situația de a cântări atent limitele acestor drepturi fundamentale atunci când sunt chemate să decidă dacă utilizarea imaginii unei persoane satisface sau nu exigențele legale. În efortul de a trasa granița între dreptul la imagine și dreptul la liberă exprimare, legea și practica judiciară au definit câteva reguli principiale.

Fotografierea unei persoane aflate într-un spațiu privat, indiferent că acel spațiu îi aparține ei sau altei persoane, fără acordul acesteia, este de principiu interzisă, indiferent dacă este urmată sau nu de utilizarea acelei imagini sau înregistrări (art. 74 lit. c) din Noul Cod Civil). Mai mult decât atât, în condițiile Codului Penal[1] fotografierea unei persoane aflate în spații private fără consimțământul său ar putea reprezenta infracțiune pedepsită cu amendă sau chiar închisoare.

La polul opus se află situația fotografierii / utilizării imaginii unei persoane surprinse într-un loc public în desfășurarea unei activități publice (artiștii care susțin un concert, sportivii care participă la un eveniment sportiv etc.) caz în care, de principiu, utilizarea imaginii persoanei respective fără acordul său nu încalcă legea dacă nu aduce atingere reputației ori demnității sale.

Situațiile cel mai des întâlnite și care generează conflicte legale sunt acelea când, fără acordul său, se utilizează imaginea unei persoane surprinse într-un loc public, însă în desfășurarea unei activități private (de exemplu, persoanele din publicul unui concert sau unui eveniment sportiv). Legea nu consacră regula conform cu care tot ce se întâmplă pe domeniul public poate fi filmat sau fotografiat. Dreptul la imagine ar suferi o restrângere nejustificată dacă el ar putea fi exercitat numai în limitele spațiilor private. Activitățile curente presupun deplasarea și prezența individului în spații și locuri publice, iar a considera că această alegere reprezintă o opțiune în sensul acceptării unei expuneri către publicul larg ar conduce la concluzia forțată că o persoană va putea să păstreze intimitatea activităților sale zilnice numai dacă ar rămâne în permanență în securitatea unui spațiu privat[2]. Din acest motiv, fotografierea și utilizarea imaginilor cu activități private desfășurate în locuri publice sunt legale numai dacă înregistrările sunt utilizate cu bună-credință. Aceasta impune existența unui interes legitim[3] care să justifice fotografierea și utilizarea, interes care trebuie să existe inclusiv la momentul fotografierii (de ex. surprinderea unor fapte nelegale). În caz contrar, utilizarea cu bună-credință este pusă sub semnul întrebării, iar persoana în cauză se va putea opune utilizării imaginii sale.

Într-o situație specială se află persoanele general cunoscute, fie deoarece ocupă o funcție care implică desfășurarea unor activități publice (de exemplu membrii Parlamentului, Guvernului și ai altor autorități publice), fie datorită domeniului în care profesează (actori, cântăreți sau alte categorii de artiști și persoane larg cunoscute). În primul caz, fotografierea și utilizarea imaginilor sunt mai permisive, notorietatea persoanei conferind o notă de „publicitate” activităților sale, corespunzătoare unei nevoi de informare mai acute a publicului larg. În cel de-al doilea caz, activitățile private ale persoanelor general cunoscute vor putea fi surprinse fără acordul lor dacă există un interes legitim al publicului larg de a cunoaște conduita acestora în timpul nealocat activității ce presupune expunere.

Reglementări similare există și în alte state. De exemplu, în Franța a fost sancționată situația în care imaginea unei persoane, surprinsă în public, a fost utilizată fără acordul său într-un context care urmărește să dea o altă dimensiune imaginii, plasând individul într-o ipostază diferită de cea inițială[4]. De asemenea, instanța supremă franceză a decis[5] că informarea publicului cu privire la consecințele unui eveniment trebuie să se facă cu respectarea demnității persoanei[6].

Jurisprudența franceză recunoaște la rândul său un regim special pentru persoanele publice[7]; este prezumată existența consimțământului ca parte a activității publice sau profesiei, cu condiția ca imaginea să fie utilizată în scopuri de informare și non-comerciale. În aceeași notă, doctrina italiană susține principiul conform cu care publicarea imaginii unei persoane fără consimțământul acesteia este permisă atunci când subiectul este o persoană cunoscută, dacă publicarea este necesară pentru înfăptuirea justiției sau pentru realizarea unor interese generale ale societății[8].

II. Distribuirea portretelor în general

Fotografierea și distribuirea imaginii unei persoane fără acordul acesteia trebuie să se facă cu responsabilitate, astfel încât să se asigure un just echilibru între libertatea de expresie, nevoia publicului de informare și respectarea vieții private. O relație de prietenie între cel care utilizează imaginea și persoana vizată nu este de natură să „legalizeze” utilizarea imaginii primului fără acordul său, însă ar putea să aibă relevanță sub aspectul existenței unui acord implicit al persoanei portretizate.[9] De asemenea, art. 76 din Codul civil prezumă acordul persoanei fotografiate pentru utilizarea imaginii sale atunci când respectiva persoană a oferit fotografia unei persoane despre care cunoștea că își desfășoară activitatea în domeniul informării publicului (de exemplu unui fotoreporter).

În plus față de cele de mai sus, publicarea fotografiei unei persoane constituie prelucrare a datelor cu caracter personal ale persoanei în cauză. În conformitate cu legislația specială în materia prelucrării datelor personale (Legea nr. 677/2001[10]), persoanele vizate au dreptul să se opună prelucrării datelor lor (în cazul de față, utilizarea imaginii), putând obliga pe cel care publică imaginile în cauză să le șteargă. În măsura în care persoana vizată suferă o vătămare morală, iar încetarea utilizării imaginii nu este suficientă pentru a acoperi această vătămare, instanța de judecată poate obliga pe autorul utilizării să plătească daune morale. În plus, refuzul de a șterge imaginile relevante conform dispozițiilor instanței poate atrage obligarea celui în cauză să plătească o amendă stabilită pe zi de întârziere până la conformarea cu decizia instanței de judecată.

III. Distribuirea portretelor în cazul particular al rețelelor de socializare

Pe lângă considerentele de ordin juridic general expuse mai sus, rețelele de socializare au și condiții proprii referitoare la distribuirea de fotografii, inclusiv cele în care sunt portretizate persoane. În cele ce urmează vom analiza situația particulară a distribuirii fotografiilor pe Facebook, fiind rețeaua de socializare cu cei mai mulți utilizatori și, deci, cea mai reprezentativă.

Politica Facebook este, în linii mari, că utilizatorii sunt răspunzători pentru legalitatea conținutului postat. Cu titlu special, Standardele Comunității Facebook[11] prevăd faptul că înainte să distribui conținut pe Facebook trebuie să te asiguri că ai dreptul să faci acest lucru, și totodată că nu trebuie să publici informațiile personale ale altor persoane dacă nu ai consimțământul acestora, ceea ce înseamnă că fiecare utilizator în parte trebuie să aibă consimțământul persoanelor fotografiate pentru a le distribui pe Facebook. Facebook are implementate și remedii pentru situațiile în care cerințele indicate nu sunt respectate. Mai exact, persoanele care se consideră lezate prin publicarea unor imagini fără acordul lor, au la îndemână posibilitatea raportării imaginilor[12]. În cazul în care raportarea se întemeiază pe încălcarea drepturilor de proprietate intelectuală, exista două opțiuni: solicitarea ca utilizatorul să șteargă imaginea, sau raportarea către Facebook pe motiv că imaginea încalcă drepturile persoanei vizate. În cel de-al doilea caz dacă, în urma verificării, Facebook constată că într-adevăr au fost încălcate Standardele Facebook, atunci va înlătura imaginea respectivă fără a solicita implicarea utilizatorului care a distribuit imaginea.

O chestiune mai puțin perceptibilă utilizatorilor obișnuiți ai rețelelor de socializare este faptul că termenii și condițiile serviciilor respective pot prevedea faptul că utilizatorii acordă deținătorilor rețelei dreptul de a utiliza fotografiile postate. De exemplu, în 2013 s-a creat ceva vâlvă atunci când Facebook a propus modificarea condițiilor sale pentru a dobândi dreptul de a folosi conținutul utilizatorilor în legătură cu publicitatea făcută de terți pe rețeaua de socializare, însă limbajul foarte invaziv a fost modificat. La fel, termenii Instagram se doreau modificați în așa fel încât rețeaua (deținută tot de Facebook) să poată folosi fotografiile postate.

Este important de precizat că Facebook poate fi considerat spațiu public, cu unele nuanțări. Cea mai clară situație este cea în care postările au setarea de audiență ca „public”. Aceasta deoarece postarea respectivă devine accesibilă oricui, fie că vorbim de prieteni sau followeri cărora postarea le apare în fluxul de știri, de alți utilizatori care au un link direct la postarea respectivă, sau chiar persoane care nu sunt logate sau nu au cont de Facebook, și care găsesc postarea respectivă prin motoare de căutare sau linkuri postate pe alte pagini de internet. Practic, în momentul în care un utilizator distribuie ceva pe Facebook cu setare de audiență publică, diseminarea informației respective este teoretic nelimitată.

Situația mai puțin clară este cea în care utilizatorul are setarea de audiență limitată la prieteni. Într-o decizie recentă[13], Curtea de Apel Mureș a decis că „rețeaua de socializare Facebook nu poate echivala, sub aspectul controlului mesajelor difuzate cu o căsuță poștală electronică”, iar profilul personal pe Facebook „chiar dacă este accesibil doar prietenilor adică unui grup restrâns de persoane, tot public este, oricare dintre „prieteni” putând distribui informațiile postate de titularul paginii, aspecte pe care reclamantul îl cunoștea”. Cu alte cuvinte, în opinia instanței nici setarea de audiență limitată la prieteni nu modifică publicitatea conținutului distribuit, pentru simplul motiv că oricare dintre acei prieteni poate re-distribui conținutul în cauză. Raționamentul este însă discutabil pentru că, în cazul redistribuirii de către un prieten (B) unei poze pe care titularul (A) a distribuit-o prietenilor săi, redistribuirea lui B va fi vizibilă numai prietenilor comuni ai celor doua persoane (care aveau acces la conținutul cu pricina după prima distribuire), pentru toți ceilalți prieteni doar ai lui B apărând cel mult un mesaj care anunță că respectivul conținut nu este disponibil. Totuși, din motivarea Curții de Apel Mureș putem întrevedea și posibila rezolvare a problemei: dacă titularul restricționează audiența, în așa fel încât din punct de vedere tehnic să dispară posibilitatea redistribuirii[14], ar rezulta că acel conținut nu mai are caracter public.

IV. Remedii pentru încălcarea dreptului la imagine prin distribuire pe rețele de socializare

În măsura în care un terț folosește fără drept datele personale și/sau fotografiile unei persoane, există mai multe remedii de ordin juridic la care se poate recurge. Mai întâi, în ce privește protecția datelor cu caracter personal, persoana poate face plângere la Autoritatea Națională pentru Supravegherea Prelucrării Datelor cu Caracter Personal, care poate face controale și aplica sancțiuni operatorilor din România care prelucrează contrar legii date cu caracter personal (cum este imaginea). În măsura în care operatorul de date este în străinătate însă, lucrurile se complică, mai ales dacă este în afara Uniunii Europene.

Pe de altă parte, Legea nr. 8/1996 privind dreptul de autor și drepturile conexe[15] prevede că utilizarea unei opere (inclusiv fotografie) care conține un portret fără consimțământul persoanei reprezentate în acest portret și fără ca acest consimțământ să fie implicit, constituie contravenție și se sancționează cu amendă de la 3.000 lei la 30.000 lei (suma se dublează în cazul persoanelor juridice care folosesc fără drept portrete în scop comercial). Constatarea și sancționarea contravenției intră în sarcina Poliției, către care trebuie înaintată plângerea de către persoana care se consideră lezată.

Bineînțeles, în toate cazurile persoana care consideră că a suferit un prejudiciu prin folosirea unei fotografii în care este portretizată se poate adresa instanței pentru a solicita încetarea vătămării și acoperirea prejudiciului suferit. Poate fi vorba atât de un prejudiciu material (cum este cazul în care fotografia ar fi folosită în scop comercial) cât și de un prejudiciu moral (atingeri aduse reputației, de exemplu).

 _____________________

[1]   Conform art. 226 alin (1) din Noul Cod Penal: „Atingerea adusă vieții private, fără drept, prin fotografierea, captarea sau înregistrarea de imagini, ascultarea cu mijloace tehnice sau înregistrarea audio a unei persoane aflate într-o locuință sau încăpere ori dependință ținând de aceasta sau a unei convorbiri private se pedepsește cu închisoare de la o lună la 6 luni sau cu amendă.”

[2]   În același sens, Curtea de Apel București reține în cuprinsul Deciziei 119/R/2009 că „a considera că persoanele publice aflate în spații publice desfășoară în mod obligatoriu activități publice ar conduce la o limitare a prevederilor Legii 8/1996 [decizia este dată în contextul reglementării anterioare, n.n.] deoarece ar echivala cu protecția acestei categorii de persoane numai cât timp ele se află într-un spațiu privat, chiar dacă în mod obiectiv acestea sunt nevoite să iasă din aceste spații (private) pentru desfășurarea unor activități necesare derulării vieții lor private”.

[3]   În ceea ce privește analiza interesului legitim al persoanei care ar folosi fotografia și balanța între acesta și interesele persoanei portretizate, este relevant Avizul Grupului de Lucru Art. 29 nr. 06/2014 cu privire la noțiunea de interese legitime ale operatorului în temeiul articolului 7 din Directiva 95/46/CE (WP 217), disponibil la http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2014/wp217_en.pdf.

[4]   Fotografierea unui copil în cadrul unui festival de folk este posibilă, chiar și fără acordul părinților, dacă el este surprins în acel context, în acea ipostază. În momentul în care poza inițială este transformată într-un portret, fotografia capătă o valență cu totul nouă, ce nu putea fi anticipată în mod rezonabil la momentul luării deciziei de a participa la festival, pentru care este nevoie de acordul părinților – Cour de Cassation, Chambre civile 1, 12 decembrie 2000, 98-21.311.

[5]   Cour de Cassation, Chambre civile 1, 20 februarie 2001, 98-23.471.

[6]   Această limitare este consacrată expres în alin. (6) al art. 30 din Constituția României.

[7]   Cour de Cassation, 1ère Chambre Civile, 3 aprilie 2002, apel nr. 99-19852.

[8]   Luigi Tramontano, „Codice Civile spiegato”, decima edizione, pag. 81.

[9]   „Le consentement donné par l’intéressé sur la diffusion de son image doit être interprété de façon restrictive. Ainsi, constitue une atteinte à la vie privée la publication de photographies ne respectant pas la finalité visée dans l’autorisation donnée par l’intéressé”. Cass. Civ. 1ère, 30 mai 2000 (JCP 2001.II.10524, note Montels). Chiar daca in speță nu se menționează modul in care a fost dat acordul, considerăm ca raționamentul este pertinent pentru oricare din cazuri: utilizarea fotografiei trebuie să se păstreze în limita definită prin autorizare, fie ea expresă sau tacită; cu privire la cea tacită nu putem considera că ea ar avea un caracter general deoarece codul circumstanţiază scopul prin calitatea persoanei beneficiare, „în domeniul informării publicului”.

[10] Legea nr. 677/2001 pentru protecția persoanelor cu privire la prelucrarea datelor cu caracter personal si libera circulație a acestor date, publicată în Monitorul Oficial nr. 790 din 12 decembrie 2001, cu modificările și completările ulterioare.

[11] https://www.facebook.com/communitystandards.

[12] Mai multe informații se pot găsi pe pagina dedicată https://www.facebook.com/help/428478523862899.

[13] Curtea de Apel Târgu Mureș, Secția a II-a civilă de contencios administrativ și fiscal, sentința nr. 21 din 17 ianuarie 2013, disponibilă la http://storage0.dms.mpinteractiv.ro/media/1/186/3927/10654636/1/decizie-mircea-muntean.pdf. Decizia a fost menţinută şi în calea de atac de către Înalta Curte de Casaţie şi Justiţie, printr-o decizie din 27 noiembrie 2014, încă nepublicată.

[14] Acest lucru se poate realiza prin restrângerea audienței la liste de prieteni sau la anumiți prieteni, cazuri în care (cel puțin în prezent) nici persoanele respective nu mai au posibilitatea redistribuirii.

[15] Legea 8/1996 privind dreptul de autor si drepturile conexe, publicată în Monitorul Oficial nr. 60 din 26 martie 1996, cu modificările și completările ulterioare.