În dialog cu avocatul Andreea Lisievici despre problematica protecției datelor cu caracter personal

Interviu cu av. Andreea LISIEVICI, Managing Associate, Țuca Zbârcea & Asociații, realizat de Mihaela Mocanu, redactor-sef al Revistei Romane de Drept al Afacerilor. Publicat in Revista Romana de Drept al Afacerilor nr. 3/2015.

Revista Romana de Drept al Afacerilor: Buna ziua doamna Andreea Lisievici. Dvs. sunteti un avocat avand un mare interes in domeniul tehnologiei informatiei si a securitatii in mediul informatic. In continuarea discutiei pe care am avut-o cu profesorul Sandru, va rog sa ne spuneti care este principiul de la care porneste necesitatea protectiei datelor cu caracter personal.

Andreea Lisievici: Va multumesc pentru invitatie! Asa este, domeniul IT&C capata o importanta tot mai mare inclusiv ca abordare juridica, iar pentru mine (poate si in virtutea faptului ca am absolvit liceul la profil informatic) domeniul este foarte atractiv. Cum serviciile virtuale nu au, in general, o reglementare juridica proprie, acestora li se aplica regimul protectiei datelor cu caracter personal in masura in care serviciile implica acest tip de date – ceea ce se intampla aproape intotdeauna. In materie de principii ale prelucrarii datelor cu caracter personal trebuie spus ca nu exista doar unul, ci mai multe: principiul legalitatii (prelucrarea datelor cu caracter personal nu se poate efectua decat in baza unuia dintre temeiurile legale prevazute de art. 5 al Legii nr. 677/2001 – consimtamant, interes legitim, executarea unui contract, etc.), finalitatii (datele trebuie prelucrate in scopuri determinate, explicite si legitime si sa nu mai fie prelucrate ulterior intr-un mod incompatibil cu acestea), necesitatii si proportionalitatii (datele trebuie sa fie adecvate, relevante si sa nu fie prelucrate excesiv in raport cu scopul specificat, prelucrarea fiind limitata la ceea ce este absolut necesar pentru atingerea scopului in care se realizeaza), transparentei (care presupune informarea persoanei vizate si notificarea autoritatii in domeniu), securitatii (operatorul este obligat sa asigure securitatea datelor pe care le prelucreaza). Este drept ca, in ultima vreme, principiul proportionalitatii a fost adus mai des in prim-plan, in special in cadrul motivarii deciziilor Curtii Constitutionale prin care a fost constatata neconstitutionalitatea anumitor reglementari.

R.R.D.A.: Va rog sa ne spuneti care este stadiul legislatiei romanesti in acest domeniu, avand in vedere ca in ianuarie 2015 Curtea Constitutionala a decis ca legea privind securitatea cibernetica a Romaniei este neconstitutionala si v-as ruga sa ne rezumati si argumentele Curtii.

A.L.: Trebuie mentionat mai intai ca actele normative in domeniul securitatii cibernetice nu sunt, in sine, acte de reglementare a regimului datelor cu caracter personal. Simplu spus, paradigma este tocmai invers, in sensul in care regimul datelor cu caracter personal si protectia garantata vietii private (inclusiv la nivel constitutional) vin sa limiteze actiunile pe care diferite autoritati (chiar cu atributii in domeniul securitatii nationale) le pot lua.

In ceea ce priveste decizia nr. 17 din data de 21 ianuarie 2015 asupra admiterii obiectiei de neconstitutionalitate a dispozitiilor Legii privind securitatea cibernetica a Romaniei, Curtea Constitutionala a retinut 10 categorii de motive dintre care doar doua privesc dreptul la viata privata (toate fiind analizate pe blogul http://dataprivacyblog.tuca.ro/motivarea-deciziei-de-neconstitutionalitate-a-legii-securitatii-cibernetice/). Astfel, sub un prim aspect, art. 17 alin. (1) lit. a) din legea mentionata instituia responsabilitatea detinatorilor de infrastructuri cibernetice de a acorda sprijinul necesar, la solicitarea motivata a anumitor institutii (SRI, Ministerul Apararii Nationale s.a.) de a permite accesul reprezentantilor desemnati ai acestor institutii „la datele detinute, relevante in contextul solicitarii”. Faptul ca legea nu preciza tipul de date la care se permite accesul si nici modalitatea in care se realizeaza accesul, desi astfel de date pot include si date cu caracter personal, inclusiv date care privesc viata privata a persoanelor utilizatoare, au fost retinute de Curtea Constitutionala drept premise ale unor aplicari discretionare din partea autoritatilor competente. In plus, legea nu conditiona accesul autoritatilor nationale la datele stocate de controlul prealabil efectuat de o instanta judecatoreasca si nici nu prevedea criterii obiective care sa limiteze numarul de persoane care au acces la asemenea date, astfel ca instanta constitutionala a ajuns la singura concluzie posibila – aceea ca masurile prevazute de legea securitatii cibernetice nu aveau caracter precis si previzibil si nici nu creau garantii corespunzatoare privind respectarea drepturilor la viata intima, familiala si privata si la secretul corespondentei, incalcand astfel art. 1 alin. (5), art. 26, art. 28 si art. 53 din Constitutie.

In paranteza fie spus, pentru ca am intalnit deja de mai multe ori aceasta intrebare, legea securitatii cibernetice nu instituia o obligatie a vreunei entitati de a stoca orice fel de date, spre deosebire de Legea nr. 82/2012 privind retinerea datelor generate sau prelucrate de furnizorii de retele publice de comunicatii electronice si de furnizorii de servicii de comunicatii electronice destinate publicului, la randul sau constatata ca fiind neconstitutionala prin Decizia nr. 440/2014.

Un al doilea aspect criticat prin decizia de neconstitutionalitate a Legii privind securitatea cibernetica a Romaniei este acela ca legea prevedea dreptul persoanelor desemnate de autoritatile competente ca in cadrul activitatii de monitorizare si control sa solicite declaratii sau orice documente necesare pentru efectuarea controlului, sa faca inspectii, inclusiv inopinate, la orice instalatie, structura, incinta sau infrastructura, destinate infrastructurii cibernetice nationale, fara insa a reglementa garantii care sa permita o protectie eficienta impotriva riscurilor de abuz si fata de orice accesare si utilizare ilicita a datelor cu caracter personal. Pentru acest motiv Curtea a constatat ca sunt incalcate prevederile art. 1 alin. (5), art. 26, art. 28 si art. 53 din Constitutie.

Asa cum se vede din cele ce preced, Curtea Constitutionala nu a interzis limitarea dreptului la viata privata atunci cand aceasta este determinata de cerinte de securitate nationala, insa a afirmat cu claritate faptul ca ceea ce primeaza trebuie sa fie garantiile adecvate pe care legea este chemata sa le instituie pentru a asigura ca aceasta ingerinta nu depaseste principiul fundamental al proportionalitatii si necesitatii (a se vedea in special par. 65 al deciziei nr. 17/2015).

Aceasta orientare nu este nici pe departe singulara, ci vine dupa alte doua decizii de neconstitutionalitate pronuntate anul trecut: decizia nr. 440/2014 referitoare la exceptia de neconstitutionalitate a dispozitiilor Legii nr. 82/2012 privind retinerea datelor generate sau prelucrate de furnizorii de retele publice de comunicatii electronice si de furnizorii de servicii de comunicatii electronice destinate publicului (…), si decizia nr. 461/2014 asupra obiectiei de neconstitutionalitate a dispozitiilor Legii pentru modificarea si completarea Ordonantei de urgenta a Guvernului nr. 111/2011 (cu privire la cartelele pre-pay).

In rest, principalele acte normative ce reglementeaza regimul general al protectiei datelor cu caracter personal sunt Directiva nr. 95/46/CE privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si libera circulatie a acestor date, implementata prin Legea nr. 677/2001 pentru protectia persoanelor cu privire la prelucrarea datelor cu caracter personal si libera circulatie a acestor date, si Directiva nr. 2002/58/CE a Parlamentului European si a Consiliului din 12 iulie 2002 privind prelucrarea datelor personale si protejarea confidentialitatii in sectorul comunicatiilor publice implementata prin Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal si protectia vietii private in sectorul comunicatiilor electronice. Acestea insa nu sunt singurele ci exista mai multe alte acte si internationale si nationale cu incidenta in ce priveste dreptul la viata privata si protectia datelor cu caracter personal, acesta fiind motivul pentru care am editat o culegere ce include o selectie relevanta a actelor normative de interes in domeniu, lucrarea aflandu-se in prezent in curs de publicare.

R.R.D.A.: Va rog sa ne spuneti daca in ansamblul lor actele normative in vigoare la momentul de fata asigura o protectie adecvata.

A.L.: In ansamblul lor, actele normative in vigoare asigura un nivel de protectie adecvat pentru persoanele fizice vizate, si asta in special datorita faptului ca aplicarea lor este adusa constant in actualitate de catre avizele Grupului de Lucru Articolul 29, de deciziile Curtii de Justitie a Uniunii si, nu in ultimul rand, de deciziile instantelor nationale. Insa asta nu inseamna ca domeniul este lipsit de neajunsuri, dintre care am sa mentionez doar cateva:

  • Cadrul normativ specific protectiei datelor cu caracter personal este vechi (anii 2001/2004), astfel ca tehnologiile noi si problemele puse de acestea isi gasesc cu greu un loc potrivit. Ca sa dau doar cateva exemple, in cazul folosirii serviciilor cloud computing exista zone unde viziunea clasica in domeniul protectiei datelor personale nu este adecvata: cunoasterea exacta la orice moment a localizarii datelor, controlul cu privire la masurile de securitate implementate de furnizor ca persoana imputernicita, asigurarea exercitarii drepturilor persoanei vizate direct de catre furnizor etc. Toate acestea au ca sursa faptul ca relatia client-furnizor de cloud nu este o relatie clasica operator-imputernicit si nici o externalizare clasica a unor servicii, desi i se aplica tocmai reglementarile clasice mentionate. Despre unele din aceste inadvertente am scris in articolul „Cateva provocari juridice legate de adoptarea solutiilor bazate pe Cloud”, publicat in numarul 8/2014 al revistei.
  • Faptul ca domeniul protectiei datelor cu caracter personal este reglementat la nivel european prin directive care necesita transpunere in legislatiile nationale a condus la diferente – uneori notabile – de regim juridic de la un stat membru la altul. Cu titlu de exemplu, Legea nr. 677/2001 prevede la art. 5 ca temeiul prelucrarii trebuie sa fie consimtamantul persoanei vizate, mai putin daca sunt aplicabile cu titlu de exceptie celelalte posibile temeiuri (interes legitim, executarea unui contract etc); or, art. 7 al Directivei nr. 1995/46/CE nu prevede o asemenea ierarhie ci, dimpotriva, asa cum a explicat Grupul de Lucru Articolul 29 atat in avizul privind consimtamantul, cat si in cel privind interesul legitim, oricare dintre cele 6 temeiuri este la fel de oportun la nivel principial, iar alegerea intre acestea trebuie facuta in functie de circumstantele concrete. Or, in Romania ceea ce se intampla foarte des este tocmai ca operatorii de date cu caracter personal sunt tentati sa ceara consimtamantul chiar si atunci cand de fapt prelucreaza datele pe cu totul alt temei, ceea ce ii expune riscului ca acel consimtamant sa fie retras. In plus, simpla existenta a unor diferente in legislatia nationala fata de prevederile Directivei nr. 1995/46/CE este contrara atat scopului declarat al acesteia (considerentul 7 mentioneaza ca instituirea si functionarea pietei interne pot fi grav afectate de diferentele dintre regimurile nationale aplicabile prelucrarii datelor cu caracter personal), cat si interpretarii clare date de Curtea de Justitie in decizia in cauzele C-468 si 469/10, unde precizeaza ca armonizarea legislatiilor nationale nu se limiteaza la o armonizare minima, ci are ca rezultat o armonizare care este, in principiu, completa, statele membre avand doar sarcina de a stabili detaliile sau de a alege dintre optiuni, fara insa a putea introduce conditii mai laxe ori mai stricte.

R.R.D.A.: Credeti ca utilizatorii – si astazi suntem tot mai multi – de mediu informatic sunt naivi, ori mai degraba imprudenti in felul in care folosesc aceste facilitati?

A.L.: Cred ca asistam la o sofisticare progresiva a utilizatorilor de mediu online, si ma bucura sa vad ca informatiile referitoare la modalitatile de asigurare a unei navigari confidentiale pe internet sunt din ce in ce mai numeroase si mai usor de gasit. La nivel global, media utilizatorilor a ajuns la nivelul la acestia care au cunostinte de baza cu sau medii cu privire la mijloacele de tracking si hacking online si se asteapta sa fie informati corect, complet, dar si simplu cu privire la modul in care sunt retinute date despre ei de catre site-urile vizitate. In Romania, lucrurile nu sunt atat de avansate deoarece nici penetrarea accesului la internet ori gradul de folosire a platilor online nu este deloc mare (ba chiar suntem pe ultimul loc in Uniune), dar trendul este acelasi. Cu toate acestea, ceea ce cred ca este important de retinut este faptul ca ideea de „prudenta” in mediul online presupune un efort continuu de studiu si de adaptare la realitatea momentului. Aceasta pe de o parte pentru ca si amenintarile cunosc acelasi trend de sofisticare si pentru ca tehnologia creste in complexitate de la o zi la alta, si pe de alta parte pentru ca acolo unde sunt incidenti termeni si conditii de utilizare (social media, webmail, platforme de plati etc. – servicii cloud in general) acestia pot fi modificati de furnizor iar consecintele acestor schimbari pot conduce la necesitatea schimbarii unor practici ale utilizatorilor.

R.R.D.A.: Va multumim doamna avocat pentru explicatiile date cu privire la acest domeniu de pionierat, de asemenea, in incheiere va multumesc in numele colegiului de redactie pentru contributia dvs. valoroasa si constanta la elaborarea Revistei Romane de Drept al Afacerilor!