Revista romana pentru protectia si securitatea datelor cu caracter personal Nr.1/2022
Descriere
Arheologia dreptului protectiei datelor ne duce doar pana in perioada apusului celei de-a doua conflagratii mondiale. In anul 1949, autorul britanic Eric Arthur Blair publica, sub pseudonimul literar George Orwell, cartea 1984. Socul produs de acest roman si-a definit amplitudinea maxima in anii '90, cand opera a devenit profetica. Caderea regimurilor socialiste si nevoia de "Big Brother", cum numeste Orwell sistemul de supraveghere video, au imaginat o lume in care riscul folosirii datelor personale in alte scopuri decat cele pentru care au fost colectate devine un prezent periculos. Dupa recomandari, decizii si directive, in 25 mai 2018 a intrat in vigoare cea mai importanta schimbare privind reglementarea confidentialitatii persoanelor fizice din interiorul Uniunii Europene, anume Regulamentul 2016/679 denumit generic GDPR (in engleza "General Data Protection Regulation") privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal, afectand toate companiile si profesiile liberale. Sanctiunile prevazute de noul Regulament reprezinta o componenta principala, deoarece acestea prevad o amenda de 20 de milioane de euro sau 4% din cifra de afaceri pe grup pentru nerespectarea sau neadaptarea procedurilor interne la cerintele noii legislatii. Deja autoritatea de supraveghere din Franta a sanctionat cu 50 de milioane de EUR grupului GOOGLE. Regulamentul defineste "datele personale" ca fiind orice informatii privind o persoana fizica identificata sau identificabila, denumita persoana vizata. O persoana fizica identificabila este o persoana care poate fi identificata, direct sau indirect, in special prin referire la un element de identificare, cum ar fi un nume, un numar de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identitatii sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale.
In cadrul art. 6 din Regulament sunt prevazute cazurile in care prelucrarea datelor cu caracter personal este considerata legala: (1) persoana vizata si-a dat consimtamantul; (2) este necesara prelucrarea pentru executarea unui contract in care persoana vizata este parte; (3) este necesara pentru respectarea unei obligatii legale; (4) este necesar sa se protejeze interesul vital al persoanei vizate sau al altei persoane fizice; (5) este necesar pentru indeplinirea unei sarcini indeplinite in interes public; (6) este necesar, in scopul intereselor legitime urmarite de operator sau de un tert. Astfel, avem paliere diferite de interes pentru companii si profesii liberale si as indrazni sa spun ca si in cadrul profesiilor liberale sunt diferente semnificative intre diferite ordine profesionale. Fiecare profesionist, indiferent de dimensiunea acestuia, este obligat sa realizeze o implementare GDPR care va implica anumite proceduri care sa clarifice modalitatea de utilizare a datelor in conformitate cu noile reguli (procedura de verificare a conflictului de interese, procedura video, procedura arhivare, procedura stergere date etc.), registre noi pentru prelucrarea datelor cu caracter personal si documente standard adaptate potrivit cerintelor GDPR (fisa consimtamant prelucrare date la notar, de exemplu). Pentru a respecta cerintele mentionate in regulament, profesionistii trebuie sa elaboreze modalitati de cartografiere a datelor cu caracter personal adaptate cu planul de management al operatorului.
Profesionistii din domeniu vor fi nevoiti sa investeasca in solutii de securitate pentru criptarea datelor, asigurarea confidentialitatii, detectarea posibilelor amenintari si gestionarea raspunsurilor catre persoanele vizate (clienti). Dosarele in format fizic sau inregistrarile audio-video trebuie sa raspunda unor obiective sau finalitati specifice, explicite si legitime. Datele colectate in sistemul juridic (date despre parti, acte de stare civile, contracte de societate etc.) cu privire la clienti trebuie sa fie pastrate pentru o durata care nu depaseste timpul necesar utilizarii, daca nu exista o prevedere legala in vigoare care sa impuna o anumita durata de pastrare. Exista o cerere foarte mare pe piata si sunt multi ofertanti in aceasta zona de interes.
Adaptarea la normele GDPR nu trebuie privita ca avand implicatii negative asupra planului financiar al entitatilor. Profesionistii pot folosi aceasta ocazie pentru a proiecta si implementa o strategie eficienta de gestionare a datelor si pentru a se indrepta catre o gestionare bazata pe transparenta si pentru a obtine un echilibru eficient intre rezultatele juridice si obiectivele de business. Aceste masuri reprezinta pentru consumatorii de servicii/bunuri, adica persoanele identificate/identificabile, o masura suplimentara de protectie, iar pentru sistemul juridic contureaza o modalitate de a identifica riscurile prelucrarii neconforme a datelor.
Ideile prezentate mai sus vor reprezenta scheletul noii Reviste pe care v-o propunem. Credem ca aceasta va fi un mijloc eficient de comunicare intre specialistii din domeniu si practicieni si consideram ca este necesara realizarea unei structuri de dialog stiintific. Multumim Editurii Universul Juridic si directorului Nicolae Cirstea pentru demersurile realizate! - Conf. univ. dr. Ciprian Paun