Capcanele proiectului de lege privind protecţiei datelor
O sperietoare se ridică la orizont pentru IT-işti şi avocaţi. O sperietoare care poartă numele de GDPR (General Data Protection Regulation) şi care care va intra în vigoare pe 25 mai 2018.
Nu cred că există avocat, IT-ist sau organizaţie procesatoare de date care să nu fi auzit de GDPR.
Ce este, până la urmă, GDPR?
Este un regulament european de protecție a datelor personale. Orice entitate care îți știe numele, adresa de email, adresa poștală, data nașterii sau orice altfel de informație personală trebuie să respecte acest regulament. Adică, printre alții: angajatorul, casa de asigurări de sănătate, casa de pensii, poliția, spitalul în care intri, școala la care-ți dai copilul, farmacia care-ți eliberează rețeta compensată, jurnalistul care publică date personale despre persoane publice. Practic toată lumea.
Și ce obligații aduce?
Multe dintre obligațiile instituite unei firme sau autorități publice sunt de bun simț: să nu dezvăluie datele cu caracter personal către alte entități fără acordul persoanei. Să șteargă datele dacă nu mai este nevoie de ele. Să permită transferul datelor către alte entități (la cererea persoanei interesate). Să nu colecteze date cu caracter personal nenecesare. Să ceară consimțământul persoanei ale cărei date le procesează (atunci când legea nu impune procesarea de date). Cu toții știm însă că ”diavolul se ascunde în detalii”.
Cu toate că este un Regulament European (drept urmare intră automat în vigoare pe 25 mai) statul român poate reglementa suplimentar GDPR în anumite marje. De asemenea, are obligaţia de a asigura punerea în aplicare a acestui regulament.
Cu alte cuvinte, statul român poate şi trebuie să dea o lege de implementare a GDPR. Şi de aici începe povestea noastră.
Există în acest moment în Parlament 2 proiecte de lege pentru implementarea GDPR. Una propusă de doamna Carmen Dan în calitate de ministru al afacerilor interne: http://www.cdep.ro/pls/proiecte/upl_pck2015.proiect?cam=2&idp=17000 şi o alta propusă de doamna Carmen Dan (alături de Şerban Nicolae) în calitate de senator http://www.cdep.ro/pls/proiecte/upl_pck2015.proiect?cam=2&idp=16976.
Dacă prima lege s-a aflat în dezbatere publică la Ministerul Afacerilor Interne o perioadă suficientă, cea de-a doua nu a avut aceeaşi expunere. Iar pentru această lege, cvasi-necunoscută, termenul de depunere a amendamentelor a fost 13.04.2018.
Problemele
Domnul senator Șerban și doamna senator Dan fac praf legea de implementare a GDPR, introducând nu mai puțin de 6 prevederi absolut toxice pentru mediul de afaceri și pentru binele cetățeanului, în general. O lege care pare făcută pe genunchi, care nu a stat în consultare publică și al cărei principal scop este să crească controlul statului asupra unor segmente importante din business, scăzând în același timp amenzile pentru stat în cazul unor abuzuri.
Din 15 articole, câte are legea, 6 introduc prevederi cu consecinţe care pot duce până la intrarea în ilegalitate a medicinei private, a telefoanelor cu autentificare prin amprentă, precum şi alte cazuri incredibile. Alte 4 articole sunt controversate şi ar trebui cel puţin reformulate.
Doar 5 articole sunt fără probleme, şi acelea sunt articole fără substanţă (art 1, 8, 9,10 şi 14).
În schimb, reglementări absolut necesare, cum ar fi vârsta consimțământului sau desemnarea membrilor ANSPDCP nu sunt abordate.
Să le luăm în ordinea gravităţii:
- Articolul 3
Se interzice procesarea datelor privind sănătatea pentru crearea de profiluri, cu excepţia celor făcute de către autorităţile publice, indiferent dacă pacientul îşi dă acceptul sau nu. Spitalele private, asiguratorii privaţi de sănătate, medicii de familie creează profiluri de pacienţi pentru a-și desfășura activitatea. Mă întreb cum vor mai putea face acest lucru de la promulgarea legii.
De asemenea, se interzice procesarea datelor biometrice în scopul realizării unui proces decizional automat. Te autentifici pe propriul telefon prin amprentă? Ghinion! Nu vei mai putea face acest lucru, chiar dacă ai vrea să-ţi dai acordul. Mergi la serviciu unde ţi se permite accesul în clădire pe bază de amprentă? Ghinion!
- Articolul 4
Pentru prelucrarea datelor care privesc CNP-ul (dar şi nr paşaportului, seria şi nr de la buletin) se prevede, printre altele, numirea unui responsabil de protecţia datelor, precum şi aderarea la un cod de conduită aprobat de către autoritatea de supraveghere (ANSPDCP).
Asta înseamnă că fiecare cabinet de medicină individual privat (care își păstrează pacienții organizați după CNP), fiecare policlinică privată, fiecare instituţie care permite accesul pe bază de carte de identitate (Parlamentul, de exemplu), fiecare agenție de turism trebuie să adere la un cod de conduită aprobat de către ANSPCDP. Nu există absolut nicio analiză de impact care să arate câte coduri de conduită vor trebui aprobate până pe 25 mai. Estimarea mea este că nu va fi aprobat niciunul. Drept urmare, toate aceste instituţii s-ar afla în ilegalitate pe 25 mai 2018, dacă această lege ar intra în vigoare.
- Articolul 11
Teoretic, articolul 58 din GDPR prevede o serie de sancţiuni care pot fi dispuse de către ANSPDCP. În mod absolut uluitor, articolul 11 din legea doamnei Dan elimină posibilitatea ANSPDCP de a institui amenzi administrative (art 58.2.i) în cazul autorităţilor publice. Entităţile private vor putea fi în continuare amendate conform GDPR, dar nu şi autorităţile publice. Este practic o uşa larg lăsată deschisă pentru abuzurile autorităţilor publice.
- Articolul 12
Deşi GDPR prevede pentru autorităţile publice amenzi de până la 20 de milioane de euro (art 83, alin 4,5,6), legea doamnei senator Dan este mult mai prietenoasă: 20 de milioane s-au transformat, în legea dumneaei, în 200.000 lei. Desigur, doar în cazul autorităţilor publice. Entităţile private ”beneficiază” în continuare de cuantumul european (de până la 4% din cifra de afaceri)
- Articolul 13
La aliniatul 1, acest articol prevede că regulamentului se poate aplica şi faptelor dinaintea intrării lui în vigoare (dacă fapta nu a fost trimisă încă în judecată)! Cu toate astea, la aliniatul 3 se prevede că, deşi se judecă conform GDPR, dacă acesta prevede o sancţiune mai gravă, se va aplica sancţiunea mai blândă a legii anteriorare.
Într-un mod alambicat, deducem că doamna senator Dan vrea să pedepsească mai blând încălcările actualei ale legii de protecție a datelor cu caracter personal. Oportun ar fi, în opinia mea, ca pentru faptele comise înainte de 25 mai 2018 să se judece după legea ”veche”, iar cele comise după 25 mai să fie judecate după legea cea nouă.
- Articolul 15
Prevede că trimiterile la legea 677/2001 vor fi interpretate ca trimiteri către prezenta lege (asta e normal). Cu toate astea, legea 677/2001 nu este abrogată! Vom avea, deci, 2 legi în acelaşi timp care reglementează acelaşi domeniu!
Cam astea au fost articolele pe care le consider toxice. Mai sunt 4 articole pe care le consider “doar” controversate.
- Articolul 2
Este un articol de definiţii, teoretic nu ar avea de ce să fie problematic.
Şi totuşi.
În conjuncţie cu articolul 5, care vorbeşte de monitorizare prin mijloace electronice, putem avea o potenţială problemă, deoarece nu este definit ce înseamnă monitorizare prin mijloace electronice, cea ce lasă la latitudinea ANSPDCP această definiţie. (vezi şi art următor).
Citeste intreg articolul si comenteaza pe contributors.ro