Nu putem sa nu remarcam proactivitatea Autoritatii de Supraveghere din Romania (ANSPDPC), cu privire la afirmatiile lansate de Rise Project pe Facebook, aferente datelor cu potential caracter personal din valiza notorie deja, din asa zisul “Teleormanleaks”.

articol de Serban Popa

In principiu, aceasta actiune ar putea sa fie extrem de apreciata pe o piata care inca (dupa multe luni de la intrarea in vigoare) desconsidera implicatiile generate de inceperea aplicarii  GDPR (Regulamentul UE 2016/679 din 27 aprilie 2016). Totusi, ar fi bine sa privim cu atentie situatia si sa incercam sa analizam identificand toate aspectele fie pro, fie contra, ce trebuie considerate in situatia actuala, dar in acelasi timp si pentru orice speta relativ similara, care ar putea sa apara in viitor.

Ar trebui inceput cu recunoasterea faptului ca avem de a face cu prelucrarea unor date cu caracter personal (date de identificare, poze, situatii financiare, conversatii de tip email, documente), date apartinand unor persoane fizice (subiectii vizati), lucru care, fara indoiala,  ne aduce sub incidenta GDPR.

Trebuie de asemenea luata in considerare si metoda prin care aceste date cu caracter personal au intrat in posesia celor de la Rise Project, respectiv nu direct de la subiectii vizati ci intr-un mod care ridica unele dubii, fiind cert ca nu a existat  acordul subiectilor vizati.

Totusi, daca incercam sa analizam legalitatea utilizarii acestor date (utilizare ce reprezinta o forma de “prelucrare” de date cu caracter personal), remarcam ca GDPR  permite, potrivitarticolului 6 litera e, prelucrarea de date personale daca “este necesară pentru îndeplinirea unei sarcini care servește unui interes public”. S-ar putea, deci, considera legala o astfel de prelucrare realizata in scop journalistic, fiind vorba de o ancheta jurnalistica a unor persoane publice, aflata deja in atentia mass-media din Romania.

In plus, prelucrarea de date in acest scop intra sub incidenta capitolului III al legii 190/2018, cuprinzand masurile de punere in aplicare a GDPR, care prevede o serie de derogari atunci cand prelucrarea se face in  scop jurnalistic sau in scopul exprimarii academice, artistice si literare, cuprinzand, desigur, si o serie de clarificari in acest sens, astfel:

“În vederea asigurării unui echilibru între dreptul la protecţia datelor cu caracter personal, libertatea de exprimare şi dreptul la informaţie, prelucrarea în scopuri jurnalistice sau în scopul exprimării academice, artistice sau literare poate fi efectuată, dacă aceasta priveşte date cu caracter personal care au fost făcute publice în mod manifest de către persoana vizată sau care sunt strâns legate de calitatea de persoană publică a persoanei vizate ori de caracterul public al faptelor în care este implicată, prin derogare de la următoarele capitole din Regulamentul general privind protecţia datelor: capitolul II – Principii; capitolul III – Drepturile persoanei vizate;  capitolul IV – Operatorul şi persoana împuternicită de operator; capitolul V – Transferurile de date cu caracter personal către ţări terţe sau organizaţii internaţionale; capitolul VI – Autorităţi de supraveghere independente; capitolul VII – Cooperare şi coerenţă; capitolul IX – Dispoziţii referitoare la situaţii specifice de prelucrare.”

Daca prima conditie (“care au fost facute publice in mod manifest”) nu este indeplinita, urmatoarele doua conditii sunt mai mult decat indeplinite.

Nu putem considera ca derogarea mai sus mentionata priveste toate persoanele implicate in scandalul Teleormanleaks, pentru ca nu toate sunt persoane publice si cel mai probabil nici faptele in care sunt implicate nu pot fi considerate publice; de aceea opinam ca Rise Project trebuie sa efectueze o analiza atenta si coerenta a datelor pe care le publica, avand in spate o analiza privind conformarea la conditiile derogarilor premise de lege, privind expunerea informatiilor cu caracter personal.

In acelasi timp, presiunea semnificativa pusa de ANSPDCP in acest context este cel putin interesanta, fiind de un real interes urmarirea cu atentie a derularii faptelor si activitatii Autoritatii de Supraveghere, cat si metodele pe care Rise Project le va lua in aceasta cauza, fiind insa clar ca Rise Project trebuie sa pregateasca un raspuns foarte bine documentat la solicitarea Autoritatii de supraveghere.

Remarcam si comunicatul de presa al Autoritatii de Supraveghere de astazi 09.11.2018, care vine sa completeze premisele inceperii activitatii de evaluare a acestui caz, mentionand ca s-a plecat de la solicitarea unei persoane fizice, deci exista o premisa corecta si concreta de analiza din partea Autoritatii.

Serban Popa este consultant in tehnologia informatiei cu o experienta de peste 10 ani. Este interesat de sectorul financiar si bancar, specializat in proiectele bancare greenfield, implementarea ERP, optimizarea infrastructurii. Este manager de proiect intr-o mare varietate de aplicatii cu implicatii profunde in afacerile cotidiene. Este de asemenea si Managing Partner Unity Solutions Romania.