Decizia ANSPDCP nr. 200/2015, între legalitate și oportunitate

Prin Decizia nr. 200/2015 („Decizia 200”), Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a stabilit, printre altele, cazurile de prelucrare a datelor cu caracter personal pentru care nu este necesară notificarea. Scopul Deciziei 200, așa cum reiese chiar din preambulul acesteia, și anume evitarea formalităților administrative „inadecvate” (a se citi „inutile”), este, fără îndoială, lăudabil.

Deci, la prima vedere, toate bune și frumoase. Doar că, prin Decizia 200, ANSPDCP a stabilit că notificarea prelucrărilor de date cu caracter personal nu este, ca regulă, necesară, cu excepția anumitor cazuri expres și limitativ prevăzute în decizie. O atare manieră de reglementare ridică discuții cu privire la conformitatea Deciziei 200 cu prevederile Legii nr. 677/2001 și ale reglementarilor europene în materie.

Potrivit art. 22 alin. (1) din Legea nr. 677/2001, operatorul este obligat să notifice ANSPDCP efectuarea oricărei prelucrări. Totuși, art. 22 alin. (2) din Legea nr. 677/2001 indică o serie de prelucrări care nu trebuie notificate ANSPDCP; potrivit art. 22 alin. (9) din același act normativ, ANSPDCP poate stabili şi alte situaţii în care notificarea nu este necesară, în afara celor prevăzute la alin. (2).

Așadar, în sistemul Legii nr. 677/2001, ca regulă, prelucrările de date cu caracter personal trebuie notificate ANSPDCP; prin excepție, nu vor trebui notificate prelucrările indicate la art. 22 alin. (2) din Legea nr. 677/2001, precum și alte prelucrări stabilite de către ANSPDCP. De altfel, sistemul de notificare instituit prin Legea nr. 677/2001 a fost preluat din Directiva 95/46/ CE (art. 18).

Raportat la sistemul de notificare a prelucrărilor de date cu caracter personal instituit prin Legea nr. 677/2001, observăm că Decizia 200 a inversat practic regula cu excepția. Astfel, potrivit Deciziei 200, regula este că prelucrările de date cu caracter personal nu trebuie notificate ANSPDCP, operatorii fiind obligați să notifice doar prelucrările expres și limitativ indicate în decizie.

Pe de altă parte, conform ierarhiei actelor normative, normele secundare emise de autoritățile administrației publice centrale și locale trebuie să fie conforme cu legile (ca acte normative adoptate de Parlament). Un act normativ de nivel secundar (cum este Decizia 200) nu ar putea deroga de la, modifica sau completa o lege (cum este Legea nr. 677/2001).

În același sens, este discutabilă și conformitatea sistemului de notificare a prelucrărilor instituit prin Decizia 200 cu prevederile europene. Directiva 95/46/CE (art. 18) a reglementat (limitativ) două alternative pentru asigurarea controlului prelucrărilor de date cu caracter personal, anume fie (1) controlul pe bază de notificare, fie (2) controlul prin intermediul unei entități specializate (așa numitul „ofițer de conformitate” – “data protection officer”).

Anumite State Membre (Germania, Franța, Portugalia) au optat pentru controlul prin „ofițerul de conformitate”), astfel încât obligația de notificare nu există în nicio situație. Întrucât România a optat pentru sistemul de control bazat pe notificare (a se vedea art. 22 din Legea nr. 677/2001), considerăm că, potrivit cadrului normativ actual, acest sistem nu ar putea fi reglementat decât în maniera avută în vedere de Directiva 95/46/CE (Art. 18). Or, Directiva 95/46/CE (art. 18) prevede un sistem de notificare similar celui reglementat prin art. 22 din Legea nr. 677/2001. Anume că, de regulă, prelucrările de date cu caracter personal trebuie notificate autorității competente, care însă are dreptul de a institui excepții punctuale de la obligația notificării prelucrărilor.

În concluzie, în viziunea noastră, conformitatea cu Legea nr. 677/2001 a noului mecanism de notificare a prelucrărilor datelor cu caracter personal instituit prin Decizia 200 este cel puțin discutabilă.

Raportat la operațiunile de prelucrare a datelor cu caracter personal privite individual, nu întrevedem consecințe practice deosebite. Riscul ca ANSPDCP să sancționeze un operator pentru neefectuarea notificării conform prevederilor Legii nr. 677/2001 (deși respectiva prelucrare nu trebuia notificată conform Deciziei 200) este probabil foarte redus, dacă nu inexistent.

Pe de altă parte, sistemul instituit prin Decizia 200 ar putea diminua/afecta protecția intereselor persoanelor ale căror date sunt prelucrate. Astfel, rațiunea obligației operatorilor de notificare a ANSPDCP este evidentă: protecția adecvată a intereselor persoanelor vizate, prin luarea la cunoștință de către ANSPDCP a existenței prelucrărilor și a caracteristicilor acestora.

În viziunea noastră, sistemul Legii nr. 677/2001 răspundea dezideratului sus-menționat: din multitudinea prelucrărilor efectuate de operatori, ANSPDCP le selecta pe acelea care nu prezentau riscuri semnificative pentru interesele persoanelor vizate și le excepta de la obligația de notificare.

În sens invers, mecanismul instituit prin Decizia 200 s-ar putea dovedi mai vulnerabil și mai susceptibil să genereze breșe în necesitatea asigurării unei protecții adecvate a intereselor persoanelor vizate. Bunăoară, deși prezintă riscuri semnificative, anumite prelucrări, care să nu fi fost indicate în Decizia 200, ar putea scăpa „radarului” ANSPDCP. De asemenea, ar putea fi posibil (dacă nu chiar probabil) ca în viitor să se efectueze prelucrări care să prezinte riscuri semnificative pentru viața privată a persoanelor vizate (de exemplu, prelucrări prin mijloace deosebit de intruzive, ca urmare a dezvoltării accelerate a tehnologiei) și care nu au fost acoperite de Decizia 200. Or, până la reglementarea lor expresă, respectivele prelucrări (susceptibile de a prezenta riscuri speciale pentru interesele persoanelor vizate) nu ar cădea sub umbrela obligației de notificare (deși spiritul reglementărilor relevante este că prelucrările susceptibile să prezinte riscuri speciale trebuie notificate autorității).

Mai mult, în intervalul de timp ce ar trece până la includerea noii prelucrări în categoriile ce trebuie notificate, s-ar aplica un tratament diferențiat nejustificat din punctul de vedere al protecției adecvate a intereselor persoanelor vizate de astfel de prelucrări. Astfel, s-ar ajunge ca anumite operațiuni ce prezintă un pericol mai mare pentru viața privată a persoanelor în cauză să nu fie notificate (cel puțin până la includerea lor formală în categoria prelucrărilor ce trebuie notificate), în timp ce prelucrările deja vizate de decizie, care prezintă un nivel de intruziune mai redus, să fie notificate. Altfel spus, s-ar ajunge ca, în fapt, să nu fie protejate adecvat interesele celor vizați.

Menționăm că, cel mai probabil, Decizia 200 va fi aplicabilă până la intrarea în vigoare a Regulamentului european privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal și libera circulație a acestor date (preconizat a intra în vigoare în 2018). Acest Regulament UE va elimina integral obligația de notificare, instituind însă mecanisme alternative de asigurare a protecției intereselor persoanelor vizate. Cu privire la aceste mecanisme alternative reglementate de noul Regulament UE vom discuta pe larg cu o altă ocazie.