În dialog cu avocatul Andreea Lisievici despre problematica protecției datelor cu caracter personal

Interviu cu av. Andreea LISIEVICI, Managing Associate, Țuca Zbârcea & Asociații, realizat de Mihaela Mocanu, redactor-şef al Revistei Române de Drept al Afacerilor.
Publicat în Revista Română de Drept al Afacerilor nr. 3/2015.

Revista Română de Drept al Afacerilor: Bună ziua doamna Andreea Lisievici. Dvs. sunteți un avocat având un mare interes în domeniul tehnologiei informației și a securității în mediul informatic. În continuarea discuției pe care am avut-o cu profesorul Șandru, vă rog să ne spuneți care este principiul de la care pornește necesitatea protecției datelor cu caracter personal.

Andreea Lisievici: Vă mulțumesc pentru invitație! Așa este, domeniul IT&C capătă o importanță tot mai mare inclusiv ca abordare juridică, iar pentru mine (poate și în virtutea faptului că am absolvit liceul la profil informatic) domeniul este foarte atractiv. Cum serviciile virtuale nu au, în general, o reglementare juridică proprie, acestora li se aplică regimul protecției datelor cu caracter personal în măsura în care serviciile implică acest tip de date – ceea ce se întâmplă aproape întotdeauna. În materie de principii ale prelucrării datelor cu caracter personal trebuie spus că nu există doar unul, ci mai multe: principiul legalității (prelucrarea datelor cu caracter personal nu se poate efectua decât în baza unuia dintre temeiurile legale prevăzute de art. 5 al Legii nr. 677/2001 – consimțământ, interes legitim, executarea unui contract, etc.), finalității (datele trebuie prelucrate în scopuri determinate, explicite și legitime și să nu mai fie prelucrate ulterior într-un mod incompatibil cu acestea), necesității și proporționalității (datele trebuie să fie adecvate, relevante și să nu fie prelucrate excesiv în raport cu scopul specificat, prelucrarea fiind limitată la ceea ce este absolut necesar pentru atingerea scopului în care se realizează), transparenței (care presupune informarea persoanei vizate și notificarea autorității în domeniu), securității (operatorul este obligat să asigure securitatea datelor pe care le prelucrează). Este drept că, în ultima vreme, principiul proporționalității a fost adus mai des în prim-plan, în special în cadrul motivării deciziilor Curții Constituționale prin care a fost constatată neconstituționalitatea anumitor reglementări.

R.R.D.A.: Vă rog să ne spuneți care este stadiul legislației românești în acest domeniu, având în vedere că în ianuarie 2015 Curtea Constituțională a decis că legea privind securitatea cibernetică a României este neconstituțională și v-aș ruga să ne rezumați și argumentele Curții.

A.L.: Trebuie menționat mai întâi că actele normative în domeniul securității cibernetice nu sunt, în sine, acte de reglementare a regimului datelor cu caracter personal. Simplu spus, paradigma este tocmai invers, în sensul în care regimul datelor cu caracter personal și protecția garantată vieții private (inclusiv la nivel constituțional) vin să limiteze acțiunile pe care diferite autorități (chiar cu atribuții în domeniul securității naționale) le pot lua.

În ceea ce privește decizia nr. 17 din data de 21 ianuarie 2015 asupra admiterii obiecției de neconstituționalitate a dispozițiilor Legii privind securitatea cibernetică a României, Curtea Constituțională a reținut 10 categorii de motive dintre care doar două privesc dreptul la viață privată (toate fiind analizate pe blogul http://dataprivacyblog.tuca.ro/motivarea-deciziei-de-neconstitutionalitate-a-legii-securitatii-cibernetice/). Astfel, sub un prim aspect, art. 17 alin. (1) lit. a) din legea menționată instituia responsabilitatea deținătorilor de infrastructuri cibernetice de a acorda sprijinul necesar, la solicitarea motivată a anumitor instituții (SRI, Ministerul Apărării Naționale ș.a.) de a permite accesul reprezentanților desemnați ai acestor instituții „la datele deținute, relevante în contextul solicitării”. Faptul că legea nu preciza tipul de date la care se permite accesul și nici modalitatea în care se realizează accesul, deși astfel de date pot include și date cu caracter personal, inclusiv date care privesc viața privată a persoanelor utilizatoare, au fost reținute de Curtea Constituțională drept premise ale unor aplicări discreționare din partea autorităților competente. În plus, legea nu condiționa accesul autorităților naționale la datele stocate de controlul prealabil efectuat de o instanță judecătorească și nici nu prevedea criterii obiective care să limiteze numărul de persoane care au acces la asemenea date, astfel că instanța constituțională a ajuns la singura concluzie posibilă – aceea că măsurile prevăzute de legea securității cibernetice nu aveau caracter precis și previzibil și nici nu creau garanții corespunzătoare privind respectarea drepturilor la viață intimă, familială și privată și la secretul corespondenței, încălcând astfel art. 1 alin. (5), art. 26, art. 28 și art. 53 din Constituție.

În paranteză fie spus, pentru că am întâlnit deja de mai multe ori această întrebare, legea securității cibernetice nu instituia o obligație a vreunei entități de a stoca orice fel de date, spre deosebire de Legea nr. 82/2012 privind reţinerea datelor generate sau prelucrate de furnizorii de reţele publice de comunicaţii electronice şi de furnizorii de servicii de comunicaţii electronice destinate publicului, la rândul său constatată ca fiind neconstituțională prin Decizia nr. 440/2014.

Un al doilea aspect criticat prin decizia de neconstituționalitate a Legii privind securitatea cibernetică a României este acela că legea prevedea dreptul persoanelor desemnate de autoritățile competente ca în cadrul activității de monitorizare și control să solicite declarații sau orice documente necesare pentru efectuarea controlului, să facă inspecții, inclusiv inopinate, la orice instalație, structură, incintă sau infrastructură, destinate infrastructurii cibernetice naționale, fără însă a reglementa garanții care să permită o protecție eficientă împotriva riscurilor de abuz și față de orice accesare și utilizare ilicită a datelor cu caracter personal. Pentru acest motiv Curtea a constatat că sunt încălcate prevederile art. 1 alin. (5), art. 26, art. 28 și art. 53 din Constituție.

Așa cum se vede din cele ce preced, Curtea Constituțională nu a interzis limitarea dreptului la viață privată atunci când aceasta este determinată de cerințe de securitate națională, însă a afirmat cu claritate faptul că ceea ce primează trebuie să fie garanțiile adecvate pe care legea este chemată să le instituie pentru a asigura că această ingerință nu depășește principiul fundamental al proporționalității și necesității (a se vedea în special par. 65 al deciziei nr. 17/2015).

Această orientare nu este nici pe departe singulară, ci vine după alte două decizii de neconstituționalitate pronunțate anul trecut: decizia nr. 440/2014 referitoare la excepţia de neconstituţionalitate a dispoziţiilor Legii nr. 82/2012 privind reţinerea datelor generate sau prelucrate de furnizorii de reţele publice de comunicaţii electronice şi de furnizorii de servicii de comunicaţii electronice destinate publicului (…), și decizia nr. 461/2014 asupra obiecției de neconstituționalitate a dispozițiilor Legii pentru modificarea și completarea Ordonanței de urgență a Guvernului nr. 111/2011 (cu privire la cartelele pre-pay).

În rest, principalele acte normative ce reglementează regimul general al protecției datelor cu caracter personal sunt Directiva nr. 95/46/CE privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date, implementată prin Legea nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date, și Directiva nr. 2002/58/CE a Parlamentului European și a Consiliului din 12 iulie 2002 privind prelucrarea datelor personale și protejarea confidențialității în sectorul comunicațiilor publice implementată prin Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice. Acestea însă nu sunt singurele ci există mai multe alte acte și internaționale și naționale cu incidență în ce privește dreptul la viață privată și protecția datelor cu caracter personal, acesta fiind motivul pentru care am editat o culegere ce include o selecție relevantă a actelor normative de interes în domeniu, lucrarea aflându-se în prezent în curs de publicare.

R.R.D.A.: Vă rog să ne spuneți dacă în ansamblul lor actele normative în vigoare la momentul de față asigură o protecție adecvată.

A.L.: În ansamblul lor, actele normative în vigoare asigură un nivel de protecție adecvat pentru persoanele fizice vizate, și asta în special datorită faptului că aplicarea lor este adusă constant în actualitate de către avizele Grupului de Lucru Articolul 29, de deciziile Curții de Justiție a Uniunii și, nu în ultimul rând, de deciziile instanțelor naționale. Însă asta nu înseamnă că domeniul este lipsit de neajunsuri, dintre care am să menționez doar câteva:

  • Cadrul normativ specific protecției datelor cu caracter personal este vechi (anii 2001/2004), astfel că tehnologiile noi și problemele puse de acestea își găsesc cu greu un loc potrivit. Ca să dau doar câteva exemple, în cazul folosirii serviciilor cloud computing există zone unde viziunea clasică în domeniul protecției datelor personale nu este adecvată: cunoașterea exactă la orice moment a localizării datelor, controlul cu privire la măsurile de securitate implementate de furnizor ca persoană împuternicită, asigurarea exercitării drepturilor persoanei vizate direct de către furnizor etc. Toate acestea au ca sursă faptul că relația client-furnizor de cloud nu este o relație clasică operator-împuternicit și nici o externalizare clasică a unor servicii, deși i se aplică tocmai reglementările clasice menționate. Despre unele din aceste inadvertențe am scris în articolul „Câteva provocări juridice legate de adoptarea soluţiilor bazate pe Cloud”, publicat în numărul 8/2014 al revistei.
  • Faptul că domeniul protecției datelor cu caracter personal este reglementat la nivel european prin directive care necesită transpunere în legislațiile naționale a condus la diferențe – uneori notabile – de regim juridic de la un stat membru la altul. Cu titlu de exemplu, Legea nr. 677/2001 prevede la art. 5 că temeiul prelucrării trebuie să fie consimțământul persoanei vizate, mai puțin dacă sunt aplicabile cu titlu de excepție celelalte posibile temeiuri (interes legitim, executarea unui contract etc); or, art. 7 al Directivei nr. 1995/46/CE nu prevede o asemenea ierarhie ci, dimpotrivă, așa cum a explicat Grupul de Lucru Articolul 29 atât în avizul privind consimțământul, cât și în cel privind interesul legitim, oricare dintre cele 6 temeiuri este la fel de oportun la nivel principial, iar alegerea între acestea trebuie făcută în funcție de circumstanțele concrete. Or, în România ceea ce se întâmplă foarte des este tocmai că operatorii de date cu caracter personal sunt tentați să ceară consimțământul chiar și atunci când de fapt prelucrează datele pe cu totul alt temei, ceea ce îi expune riscului ca acel consimțământ să fie retras. În plus, simpla existență a unor diferențe în legislația națională față de prevederile Directivei nr. 1995/46/CE este contrară atât scopului declarat al acesteia (considerentul 7 menționează că instituirea și funcționarea pieței interne pot fi grav afectate de diferențele dintre regimurile naționale aplicabile prelucrării datelor cu caracter personal), cât și interpretării clare date de Curtea de Justiție în decizia în cauzele C-468 și 469/10, unde precizează că armonizarea legislațiilor naționale nu se limitează la o armonizare minimă, ci are ca rezultat o armonizare care este, în principiu, completă, statele membre având doar sarcina de a stabili detaliile sau de a alege dintre opțiuni, fără însă a putea introduce condiții mai laxe ori mai stricte.

R.R.D.A.: Credeți că utilizatorii – și astăzi suntem tot mai mulți – de mediu informatic sunt naivi, ori mai degrabă imprudenți în felul în care folosesc aceste facilități?

A.L.: Cred că asistăm la o sofisticare progresivă a utilizatorilor de mediu online, și mă bucură să văd că informațiile referitoare la modalitățile de asigurare a unei navigări confidențiale pe internet sunt din ce în ce mai numeroase și mai ușor de găsit. La nivel global, media utilizatorilor a ajuns la nivelul la aceștia care au cunoștințe de bază cu sau medii cu privire la mijloacele de tracking și hacking online și se așteaptă să fie informați corect, complet, dar și simplu cu privire la modul în care sunt reținute date despre ei de către site-urile vizitate. În România, lucrurile nu sunt atât de avansate deoarece nici penetrarea accesului la internet ori gradul de folosire a plăților online nu este deloc mare (ba chiar suntem pe ultimul loc în Uniune), dar trendul este același. Cu toate acestea, ceea ce cred ca este important de reținut este faptul că ideea de „prudență” în mediul online presupune un efort continuu de studiu și de adaptare la realitatea momentului. Aceasta pe de o parte pentru că și amenințările cunosc același trend de sofisticare și pentru că tehnologia crește în complexitate de la o zi la alta, și pe de altă parte pentru că acolo unde sunt incidenți termeni și condiții de utilizare (social media, webmail, platforme de plăți etc. - servicii cloud în general) aceștia pot fi modificați de furnizor iar consecințele acestor schimbări pot conduce la necesitatea schimbării unor practici ale utilizatorilor.

R.R.D.A.: Vă mulțumim doamnă avocat pentru explicațiile date cu privire la acest domeniu de pionierat, de asemenea, în încheiere vă mulțumesc în numele colegiului de redacție pentru contribuția dvs. valoroasă și constantă la elaborarea Revistei Române de Drept al Afacerilor!

Comentează pe blog >>

Sursă foto