Despre protecția datelor cu caracter personal și dreptul la viață privată – interviu cu Andreea Lisievici

Interviu cu Andreea Lisievici, Managing Associate al Țuca Zbârcea & Asociații, publicat de Universul Juridic

Nicolae Cîrstea: Doamna Lisievici, profitând de pretextul pe care apariția lucrării dvs PROTECȚIA DATELOR CU CARACTER PERSONAL ȘI DREPTUL LA VIAȚĂ PRIVATĂ ni-l oferă, aș vrea să vă rog, înainte de toate, să ne devoalați măcar în parte CV-ul dvs și modul cum ați ajuns să vă specializați în „protecția datelor și dreptul la viață privată”.

Andreea Lisievici: Sunt avocat de 9 ani (din care 8 în cadrul Țuca Zbârcea & Asociații), iar înainte de Facultatea de Drept am absolvit un liceu de informatică. Poate și din acest motiv am păstrat un interes destul de ridicat pentru lumea IT, iar domeniul juridic al protecției datelor cu caracter personal a fost o consecință firească fiind printre puținele zone de reglementare care ating în mod direct și necesAndreea Lisieviciar lumea tehnologiei (cloud computing, cookies, aplicații mobile, smart metering etc.). Chiar dacă în activitatea profesională nu mă ocup doar de protecția datelor cu caracter personal, în domeniul acesta nu simt că muncesc cu adevărat, tocmai pentru că mi se pare atât de interesant.

Nicolae Cîrstea: Din discuțiile noastre anterioare mi-am dat seama că este un domeniu în care mai degrabă organizațiile fac pași importanți pentru ca activitatea lor să corespundă normelor legale. Cât de prezentă este și unde/cum se aplică această preocupare pentru „protecția datelor” în viața companiilor și în aceea a persoanelor fizice?

Andreea Lisievici: Este adevărat, în primul rând operatorii de date cu caracter personal – atât companii, cât și instituții publice – sunt cei interesați să asigure că prelucrările de date pe care le fac sunt conforme cu prevederile legii. Acest lucru poate să însemne o gamă largă de preocupări în funcție de tipul prelucrării (de exemplu, prelucrarea datelor informatice generate de angajați, plasarea de cookies, folosirea dronelor, CCTV, aplicații mobile de sănătate etc.), însă chestiunile comune se rezumă la identificarea datelor, scopului, mijloacelor și întinderii prelucrării, urmate apoi de stabilirea temeiului legal, de redactarea documentelor necesare (politici interne, notificarea de prelucrare destinată persoanelor vizate) și, nu în ultimul rând, de depunerea notificării de prelucrare pe site-ul autorității de supraveghere. Trebuie spus că orice persoană este, de fapt, un operator de date cu caracter personal, pentru că oricine, fie companie, fie persoană fizică, are măcar un set de date de contact ale unor persoane fizice – cu alte cuvinte prelucrează aceste date cu caracter personal. Asta nu înseamnă și că toată lumea trebuie să depună notificarea aferentă, pentru că există o serie de excepții de la această cerință, între care cele mai des operabile sunt prelucrarea în scop de gestiune economico-financiară și administrativă și evidența datelor de contact (prevăzute în Decizia nr. 100/2007 privind stabilirea cazurilor în care nu este necesară notificarea prelucrării unor date cu caracter personal).

Nicolae Cîrstea: Reglementările în domeniu vin în special pe filieră europeană/a Uniunii Europene în procesul de absorbție a legislației specifice în dreptul intern. Cum se situează România din acest punct de vedere? Suntem „la zi” cu transpunerea în dreptul intern a legislației specifice? Dar cu respectarea/implementarea acesteia.

Andreea Lisievici: Protecția datelor cu caracter personal este un domeniu în principiu armonizat la nivelul Uniunii, ceea ce înseamnă că există o serie de acte europene care ar trebui să asigure o reglementare uniformă, care însă lasă unele aspecte pentru reglementarea națională. În momentul de față reglementarea europeană este asigurată de directive, care au fost transpuse în legislația națională de fiecare stat membru – inclusiv România. Totuși, acest lucru s-a dovedit insuficient, în prezent existând o varietate de implementări naționale ale aceleiași reglementări europene. De exemplu, situațiile în care se face notificarea de prelucrare – în unele state nu se face deloc; modul în care se face notificarea – în funcție de scop, sau în funcție de baza de date constituită; incidența autorizării în cazul transferului de date în temeiul Safe Harbor – în unele state este aplicabilă, în altele nu cum este cazul României etc. Acesta este unul din motivele pentru care reglementarea va fi reformată prin adoptarea unui regulament european, însă chiar și acesta lasă unele aspecte la latitudinea statelor membre.
Din păcate, în România activitatea normativă a autorității de supraveghere este scăzută în comparație cu alte state membre. Având în vedere interesul în creștere pentru cerințele și drepturile decurgând din legislația datelor cu caracter personal, este de dorit ca implicarea autorității prin emiterea unor acte de interpretare ori de aplicare în cazul unor situații specifice să crească. Tocmai de aceea la nivelul AmCham am lucrat la începutul anului la o propunere de ghid cu privire la cloud computing[1], care a fost supus analizei autorității. Abordări similare sunt totuși necesare în multe alte nișe.

Nicolae Cîrstea: Până unde poate merge/până unde pot fi incidente normele din domeniu privind viața privată și protecția datelor cu caracter personal? Ne puteți da câteva exemple de situații unde se aplică/se poate aplica această legislație?

Andreea Lisievici: Răspunsul simplu ar fi că există o componentă de date cu caracter personal aproape peste tot: în achizițiile de societăți sau de afaceri, în externalizarea unor servicii, în publicitatea comportamentală și profilarea online, în indexarea unor informații de pe internet, în afișarea rezultatelor la diverse concursuri și examene, în filmarea cu un GoPro pe șosea, stradă sau pârtie de schi, chiar în simpla deținere a unor contacte în telefonul propriu, ca să nu mai spun de situația aplicațiilor de Facebook care solicită lista prietenilor.

Nicolae Cîrstea: Din răspunsul dvs îmi dau seama că sunt zone cu care lucrăm fiecare dintre noi zi de zi, dar de care nu suntem neapărat conștienți că ar trebui să respecte reglementări specifice. Suntem – ca și companii și persoane care operăm/trăim în Romania – conștienți de aceste reglementări?

Andreea Lisievici: În ultimii ani am văzut o conștientizare și o preocupare tot mai mare pentru respectarea condițiilor în care se prelucrează datele cu caracter personal. Din fericire, atât autoritățile de protecție la nivel național, cât și Grupul de Lucru Art. 29 pun accent din ce în ce mai mare pe obligația de informare, astfel încât persoanele vizate de prelucrare să afle, în termeni simpli și clari, ce date li se cer și în ce scop. Cu toate acestea, există multe zone gri care necesită analiză de la caz la caz.
Ultimele sondaje chiar la nivelul Uniunii Europene arată că persoanele devin din ce în ce mai conștiente de faptul că datele lor cu caracter personal sunt folosite, fiind interesate de întinderea, scopul și durata în care acest lucru are loc. Potrivit eurobarometrului cu privire la protecția datelor dat publicității în iunie 2015[2], 71% din respondenții români au declarat că sunt îngrijorați de faptul că datele lor pot fi folosite într-un alt scop decât cel pentru care au fost colectate, fără a fi informați, iar 30% au declarat că nu cred că dețin niciun control asupra informațiilor pe care le furnizează online. Totuși, 54% au declarat că furnizarea datelor personale nu este o problema majoră, iar 44% au declarat că nu sunt deranjați de furnizarea informațiilor personale în schimbul serviciilor gratuite.

Nicolae Cîrstea: Care este entitatea statală care reglementează această zonă? Au fost aplicate sancțiuni pentru nerespectarea legislației?

Andreea Lisievici: Autoritatea în domeniu este Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP). În iunie Autoritatea tocmai a sărbătorit 10 ani de existență, întrucât până în 2005 competența aparținea Avocatului Poporului.
Sancțiuni sunt, bineînțeles. Chiar recent Autoritatea a făcut o investigație tematică privind utilizarea modulelor cookies și a aplicat amenzi în cuantum total de 68.500 lei pentru lipsa acordului utilizatorului pentru cookie-urile plasate de diverse site-uri și nefurnizarea informațiilor anterior exprimării acordului privind scopul general al procesării informațiilor stocate, durata de viață, ce informații sunt stocate și accesate precum și permiterea stocării și/sau accesului unor terți la informațiile stocate în echipamentul terminal al utilizatorului [art. 13 alin. (1) lit. i) din Legea nr. 506/2004]. Spre deosebire, în tot anul 2013 au fost aplicate amenzi în cuantum de 134.500 de lei.

Nicolae Cîrstea: Care sunt sancțiunile/amenzile aplicate și cuantumul lor? Sunt procese/decizii definitive în România sau în străinătate pe acest segment?

Andreea Lisievici: Din ce am observat în comunicatele Autorității, cea mai mare sancțiune (făcută publică) este în cuantum de 15.000 de lei, și a fost aplicată unui operator persoană fizică care prelucra date prin intermediul site-ului www.clientineseriosi.ro, prin care punea la dispoziția terților, inclusiv a utilizatorilor de Internet, date aparținând unor persoane fizice considerate a fi clienți rău-platnici ai diverselor entități, fără să poată face dovada colectării informațiilor personale cu bună-credință și cu respectarea principiilor de legitimitate a prelucrării datelor, în contextul colectării și ulterior dezvăluirii datelor pe Internet și către terți, fără consimțământul expres al persoanelor vizate și fără respectarea dreptului lor de informare prealabilă. Sancțiunea a avut în vedere, în plus, omisiunea de a notifica prelucrarea, precum și neîndeplinirea obligațiilor de confidențialitate. Pe lângă amendă a fost dispusă încetarea prelucrării datelor cu caracter personal și ștergerea acestora.
De-a lungul timpului sancțiunile nu au privit doar entități private. Dimpotrivă, Autoritatea a sancționat chiar și instituții publice – Direcția Generală Regională a Finanțelor Publice Brașov a fost sancționată pentru că nu a luat măsurile necesare pentru a împiedica pierderea sau accesul neautorizat la datele cu caracter personal pe care le gestionează; Primăria Gherghești (județul Vaslui) a fost sancționată pentru neîndeplinirea obligațiilor determinate de folosirea unui sistem de supraveghere video; Consiliul Superior al Magistraturii a fost sancționat pentru încălcarea dreptului de intervenție al unui magistrat în raporturile cu CSM, întrucât acesta nu a răspuns cererii magistratului de ștergere a datelor sale personale (referiri la trăsături de personalitate și comportament) din Raportul Inspecției judiciare, postat pe site-ul CSM, în condițiile în care dezvăluirea publică a respectivului raport este de natură să aducă atingere vieții private a persoanei respective; Direcția Sanitar Veterinară și Pentru Siguranța Alimentelor Botoșani a fost sancționată pentru prelucrarea nelegală a datelor cu caracter personal, întrucât au fost dezvăluite date cu caracter personal ale unui petent fără acordul acestuia și a fost nerespectat dreptul de intervenție întrucât nu s-a transmis un răspuns petentului în termenul legal de 15 zile; ș.a.
În ceea ce privește litigiile în domeniu, acestea privesc contestarea deciziilor de sancționare emise de Autoritate. În general, sancțiunile dispuse de Autoritate au fost menținute de instanțe.

Nicolae Cîrstea: La Țuca, Zbârcea și Asociații am văzut că ați avut inițiativa organizării unor mese rotunde. Ce v-ați propus când ați programat acest eveniment și ce participanți au onorat invitația?

Andreea Lisievici: Am organizat deja un seminar dedicat protecției datelor cu caracter personal în data de 16 iunie. Fiind primul, nivelul lui nu a fost foarte avansat, ci ne-am axat pe prezentarea obligațiilor și a unor bune practici în diverse domenii (accesul la datele generate de angajați, spam, cloud computing etc.). Ne-am dorit un eveniment la care participanții să poată interveni și să avem discuții deschise, astfel că numărul de locuri a fost strict limitat la 25. Din acest motiv există deja o listă de așteptare cu cei care doresc să fie prezenți la edițiile viitoare ale seminarului. Participanții au reprezentat companii private, atât românești cât și internaționale, din varii sectoare ale industriei, de la societăți active în domeniul energiei, la companii farma, FMCG, IT&C, instituții financiar-bancare și companii de asigurări, evenimentul fiind gândit ca unul de business, adresat operatorilor de date.
Trebuie să spun că seminarul s-a dovedit a fi peste așteptări – participanții au fost foarte activi și au împărtășit inclusiv din activitatea lor, au pus întrebări foarte practice, iar experiența, per ansamblu, a fost una extrem de plăcută.

Nicolae Cîrstea: Care au fost concluziile? Discuțiile/dezbaterile au relevat un interes pentru acest domeniu? Aveți în vedere să reluați acest eveniment?

Andreea Lisievici: Concluzia principală a fost că există o nevoie în creștere de informare și consultanță în domeniul datelor cu caracter personal, fiindcă apar tot mai multe situații practice al căror regim juridic este neclar ori interpretabil, iar companiile diligente caută să stabilească ori să urmeze o bună practică în domeniu. Vom încerca să repetăm evenimentul, având în vedere atât solicitările exprese în acest sens, cât și sugestiile tematice făcute de participanții anteriori. Cu siguranță este mai dificil să punem în acord programul tuturor celor 5 speakeri decât să găsim auditori interesați de domeniul datelor cu caracter personal.

Nicolae Cîrstea: Creșterea interesului pentru protecția datelor cu caracter personal/protecția vieții private se datorează internetului și motoarelor de căutare, rețetelor sociale etc. care activează în interiorul acestuia (internetului)? Care este impactul internetului din acest punct de vedere?

Andreea Lisievici: În prezent asistăm la multiplicarea și intensificarea problematicii datelor cu caracter personal tocmai datorită faptului că internetul devine o utilitate, iar tehnologia cunoaște o zonă de dezvoltare cu totul nouă – Internet of things. Asistăm la conectarea a tot mai multe „lucruri” – telefoane, mașini, case, sisteme de măsurare, cloud computing, social media etc., toate implicând și transmiterea de date cu caracter personal. În momentul de față o simplă navigare pe internet presupune oferirea unor date care pot conduce, indirect și eventual treptat, la identificarea unei persoane. În materia aplicațiilor mobile este deja o realitate că aplicațiile gratuite solicită o sumedenie de date personale tocmai ca un fel de „plată”, iar un număr mare de utilizatori bifează că sunt de acord cu politica de folosire a datelor fără ca, în realitate, s-o citească.
În materie de încredere este interesant de observat că, potrivit eurobarometrului, serviciile online (motoare de căutare, rețele online, webmail) se bucură de cea mai mică încredere – doar 24%, ceea ce înseamnă că aici mai este foarte mult de lucru pentru câștigarea încrederii publicului. Cum serviciile online în sensul cel mai larg, de internet of things, nu fac decât să se amplifice și ramifice, efortul va trebui să privească deopotrivă latura normativă (unde Uniunea este într-un stadiu destul de avansat în ce privește reforma directivei cu privire la prelucrarea datelor personale), latura de implementare (unde va fi nevoie din ce în ce mai mult de implicarea autorității de reglementare), cât și latura de educare și de informare, atât a publicului cât și a operatorilor (parte unde încercăm să participăm și noi).

Nicolae Cîrstea: Vă mulțumesc pentru disponibilitatea dvs de a împărtăși cu noi idei despre un segment existent și anterior pe care însă creșterea internetului l-a făcut să-l conștientizăm mai mult!

Andreea Lisievici: Și eu vă mulțumesc!