Ce înseamnă Regulamentul General privind Protecția Datelor

Pe cînd scriu acest articol, mai sînt 29 de zile pînă la aplicarea Regulamentului care ne protejează de indiferența companiilor care prelucrează datele noastre personale. Începînd cu data de 25 mai 2018, persoanele fizice vor avea de partea lor una dintre cele mai puternice pîrghii legislative care reglementează orice tip de prelucrare a datelor personale, o lege care impune principii clare ce trebuie asimilate în activitatea lor de către toate instituțiile publice, autoritățile de stat și companiile private. Persoanele fizice în favoarea cărora se aplică Regulamentul General privind Protecția Datelor sînt fie clienți ai companiilor private, ai autorităților publice sau ale amîndurora, sau sînt angajați în cadrul acestor organizații. Principiile pe care se întemeiază legea europeană sînt: „legalitatea, echitatea și transparența” oricărei activități de prelucrare a datelor personale ale persoanelor fizice, activități care vor fi „limitate la un scop” bine definit, în măsura în care aceste date sînt „reduse la minimum” necesar în raport cu scopul pentru care sînt prelucrate. În continuare, activitățile de prelucrare trebuie să fie desfășurate cu date „exacte”, pentru o perioadă „limitată de timp” și „în condiții adecvate de siguranță”.

Actuala lege care reglementează prelucrarea datelor personale în România, respectiv Legea 677/2001 privind protecția datelor cu caracter personal, nu stabilește aceste principii de prelucrare, iar Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal avea mijloace limitate de supraveghere, control și coerciție a celor care nu respectau prevederile legii. Erau în principal vizate de această lege numai companiile private, așadar nici o vorba despre instituțiile de stat sau autoritățile publice. Legea 677/2001 se întemeiază pe textul Directivei Europene 95/46/CE care reglementează activitățile de prelucrare a datelor personale la nivelul Uniunii (ambele norme vor fi abrogate începînd cu data aplicării Regulamentului). Cu timpul, era informațională a transformat relațiile sociale în așa măsură încît, aducînd informația în prim-planul rețelelor sociale pe care le-am populat cu datele noastre personale (și chiar private!), Directiva Europeană din anul 1995, Legea 677/2001 și alte legi naționale ale statelor din UE, au devenit lipsite de forță juridică.

Amenzile prevăzute de Regulament, au caracter de pionierat în legislația românească. Astfel, plafonul minim pînă la care pot ajunge amenzile pentru încălcarea regulilor de prelucrare a datelor personale este de pînă la 10.000.000 euro sau 2% din cifra de afaceri mondială (dacă organizația face parte dintr-un grup internațional) totală anuală corespunzătoare exercițiului financiar anterior, iar plafonul maxim al amenzilor este de pînă la 20.000.000 euro sau 4% din cifra de afaceri mondială totală anuală corespunzătoare exercițiului financiar anterior, luîndu-se în calcul, așa cum prevede Regulamentul, „cea mai mare valoare” (dintre sumă și procent). Amenzile vizează așadar, atît companiile private, cît și autoritățile de stat, cu precizarea că procentul din cifra de afaceri se aplică numai companiilor private.

Regulamentul se va aplica în România așa cum este publicat de către Comisia Europeană, fără norme metodologice de punere în aplicare și fără a fi transpus în legislația locală de o lege națională. Amenzile prevăzute în Regulament pot conduce la închiderea a trei sferturi din companiile care operează în România, ceea ce ar înseamnă colapsul economiei țării. La nivelul instituțiilor publice, dacă autoritatea desemnată (care rămîne și în contextul Regulamentului Autoritatea Națională de Supraveghere a Prelucrării Datelor Personale), ar controla responsabil aceste organizații, ar putea să afecteze serios bugetele acestora și așa-zisa lor autonomie, ar putea afecta însuși conceptul de autoritate publică. Este clară intenția legiuitorului de a trata cu maximă seriozitate lipsa dezinteresului european pentru activitățile de prelucrare a datelor personale, iar în contextul generat de firma Cambridge Analytica în care este implicată una dintre cele mai puternice companii din lume – Facebook –, și pe fondul lipsei unor norme care să reglementeze decisiv domeniul prelucrării datelor personale în SUA, Regulamentul General privind Protecția Datelor devine un standard global, un reper legislativ mondial.

Norma Europeană a creat un loc de muncă nou, respectiv funcția de Data Protection Officer, sau cum a fost (incorect) tradusă în limba română, Responsabilul cu Protecția Datelor. Autoritățile publice au obligația de a desemna un Responsabil cu Protecția Datelor, specialist care raportează direct celui mai înalt nivel de conducere al organizației, care este și unicul responsabil pentru toate activitățile de prelucrare desfășurate. Orice companie care are peste 250 de angajați (alături de alte condiții expres prevăzute în Regulament), trebuie să încadreze un Reponsabil cu Protecția Datelor.

 În Europa sînt aproximativ 508 milioane de cetăţeni/locuitori. Din anul 2001, cînd a intrat în vigoare Legea 677 în România, pînă astăzi, sînt 17 ani. Din 1995, cînd a intrat în vigoare Directiva Europeană, pînă astăzi, sînt 23 de ani. Atîția ani de indiferență vor fi „acoperiți” cu forța pentru cetățenii europeni de prevederile acestui Regulament. Cetățenii europeni beneficiază de drepturi clar definite, respectiv dreptul de informare și acces la datele cu caracter personal prelucrate, dreptul de rectificare și de ștergere a datelor, dreptul „de a fi uitat“, adică de a fi șters din „evidențele” mediului online, dreptul de a restricționa o activitate de prelucrare, dreptul de a solicita transferul (portabilitatea) datelor personale care vă aparțin și care sînt prelucrate la nivelul organizației, dreptul de a vă opune unui proces decizional automat, prin prelucrarea informațiilor în sisteme IT și dreptul de a vă opune, în condițiile Regulamentului, oricărei activități de prelucrare în general. Nerespectarea acestor drepturi va fi asumată de managementul superior al companiilor private sau de directorii și șefii instituțiilor publice, pînă la nivelul miniștrilor. Această responsabilizare a celui mai înalt for decizional este din nou, o chestiune de pionierat în legislația din România și reprezintă una dintre schimbările acceptate cu dificultate de managementul românesc care, în general, nu-și asumă nimic.

România nu este pregătită pentru schimbările aduse de Regulamentul General pentru Protecția Datelor. Deși acesta a intrat în vigoare la data de 27 aprilie 2016, dată de la care organizațiile vizate au avut doi ani de zile la dispoziție pentru a-și pune la punct procesele și procedurile interne în acord cu normele instituite, Europa s-a trezit tîrziu, iar România, cunoscută că în general tratează superficial orice inițiativă europeană, crede că poate să implementeze Regulamentul în „conștiința naţională”, pe ultima sută de metri…

 Și cum este prea tîrziu pentru nuanțe și ocolișuri, concluzia este una de temut: începînd cu data de 25 mai 2018, se va aplica Regulamentul General privind Protecția Datelor (GDPR, după acronimul titlului englez al legii), care reprezintă o tehnologizare forțată pentru companiile care desfășoară activități de prelucrare a datelor personale ale persoanelor fizice din Europa. Astfel, organizațiile care vor înțelege dimensiunea problemei și care vor aloca resurse pentru a garanta siguranța activităților de prelucrare desfășurate (bani, oameni), vor continua să activeze, iar dacă nu, își vor înceta benevol activitatea sau vor fi închise.