Impactul RGDP asupra formelor de exercitare a profesiei de avocat și asupra celorlalţi operatori. Cum protejam datele în mediul online din punct de vedere legal?
Dezvoltarea tehnologiei, dar și comunicările în mediul online, bazate pe colectarea, transferul și prelucrarea de date, mai ales de date cu caracter personal, au schimbat total modul de interacțiune între instituții, autorități, cetățeni și formele de exercitare a profesiei de avocat.
Formele de exercitarea a profesiei de avocat sunt cele care se regăsesc astăzi în situația în care colectează, dețin, prelucrează tot mai multe date pentru și despre clienți, ceea ce înseamnă că aceste forme de exercitare a profesiei de avocat trebuie să își revizuiască și să își schimbe modul în care protejează toate aceste date și, implicit, drepturile persoanelor vizate[1].
Tot mai multe operațiuni juridice și administrative se desfășoară prin intermediul programelor electronice și/sau în mediul online, fapt ce aduce atât avantaje – în ceea ce privește accelerarea modului în care pot fi rezolvate diverse situații juridice, dar și dezavantaje – întrucât datele colectate, transmise, prelucrate prin mijloacele electronice, sunt suspuse unui mare risc în ceea ce privește drepturile personalelor vizate, ceea ce poate conduce la încălcarea drepturilor privind protecția datelor cu caracter personal.
Așadar, toate avantajele aduse de mijloacele electronice în desfășurarea profesiei de avocat, vin la pachet și cu o mare responsabilitate în ceea ce privește nevoia de a proteja datele cu caracter personal ale clienților. Astfel că, pentru a asigura protecția adecvată pentru datele clienților, avocații trebuie să își însușească legislația privind protecția datelor cu caracter personal, să își revizuiască și să își modifice (acolo unde este cazul) procedurile interne în baza cărora prelucrează, stochează și colectează date, să implementeze sisteme și măsuri de securitate eficiente, să acorde o atenție mai mare mijloacelor electronice pe care le folosește, dar și să acorde un training adecvat celor cu care colaborează în desfășurarea activității lor, pentru a se asigura că datele clienților sunt în siguranță.
Astfel că, din provocările pe care le aduce mediul online, transferurile de date și stocarea acestora pe servere situate atât în țări din Uniunea Europeană, cât și din afară, caracterul globalizat al fluxurilor de date, dar și din dorința de a proteja datele cu caracter personal ale persoanelor, a fost necesară adoptarea unor principii solide pentru protejarea drepturilor persoanelor vizate, principii care să faciliteze în continuare prelucrarea datelor, dar care sa asigure și un nivel ridicat de protecție[2].
În acest scop a luat naștere Regulamentul General privind Protecția Datelor (denumit in cele de urmează „Regulament”) publicat în Jurnalul Oficial al Uniunii L119 din 4 mai 2016, și care urmează să se aplice în toate statele membre ale Uniunii Europene, începând cu data de 25 mai 2018. Pe lângă un cadru legal modernizat în materia prelucrării datelor cu caracter personal, aduce și o serie de noi obligații în sarcina instituțiilor, societăților, dar și în sarcina formelor de exercitare a profesiei de avocat, care vor fi nevoite să își analizeze și revizuiască securitatea întregului sistem pe care îl folosesc în prelucrarea datelor, dar și să desemneze (dacă este cazul) un Responsabil cu protecția datelor (DPO)[3].
Aceste noi obligații vor ținti inclusiv formele de exercitare a profesiei de avocat, care vor trebui să analizeze categoriile de date prelucrate, mai ales cele susceptibile de a prezenta riscuri datorită naturii lor sensibile deosebite (datele privind sănătatea sau infracțiunile), scopurile în care sunt prelucrate datele, locația sistemului de evidență, perioadele de stocare, precum și măsurile de securitate implementate pentru a reduce la minimum riscurile de acces neautorizat și mai apoi, impactul asupra persoanelor a căror date sunt colectate.
Cu toate acestea, dintre toți operatorii vizați de acest Regulament, formele de exercitare ale profesiei de avocat sunt cele care ar trebui să efectueze cele mai puține modificări în procedurile lor interne, în comparație cu ceilalți operatori, întrucât, avocatul este ținut să respecte prin prisma profesiei pe care o exercită, atât reglementările profesionale cât și cele referitoare la păstrarea secretului profesional – astfel ca formele de exercitare a profesiei de avocat ar trebui să aplice deja sisteme și proceduri în acest scop, în comparație cu ceilalți operatori din alte domenii. Așadar, cel puțin la nivel teoretic, formele de exercitare a profesiei de avocat ar trebui să depună cele mai puține eforturi în aplicarea prevederilor Regulamentului.
Acest Regulament aduce o serie de noutăți în domeniul prelucrării datelor cu caracter personal, dintre care cele mai importante sunt: numirea unui responsabil cu protecția datelor, reglementarea expresă a „dreptului de a fi uitat” și a „dreptului la portabilitate”, eliminarea obligației de notificare, implementarea obligației de a ține evidențe ale activităților de prelucrare, dar și clarificarea noțiunii de „consimțământ” și modalitatea în care acesta este considerat a fi exprimat în „deplină cunoștință de cauză”.
Toate aceste noutăți vin însă si cu înăsprirea semnificativă a sistemului sancționator, astfel că, în cazul unor încălcări în ceea ce privește transferul internațional de date, a principiilor de bază privind prelucrarea datelor sau drepturile persoanelor vizate, amenda prevăzută de Regulament este de 20.000.000 EUR sau, în cazul unei întreprinderi, 4% din cifra de afaceri totală realizată la nivel mondial în cursului exercițiului financiar anterior, iar în cazul altor încălcări ale prevederilor stipulate în Regulament, amenda este în cuantum de 10.000.000 EUR sau, în cazul unei întreprinderi, 2% din cifra de afaceri totală realizată la nivel mondial în cursul exercițiului financiar anterior.
Deși Regulamentul a adus o serie de noutăți, a creat și dificultăți în interpretarea și în aplicarea acestuia în practică, atât în cazul societăților cât și în cazul formelor de exercitare a profesiei de avocat, care doresc să implementeze încă de pe acum măsurile necesare pentru a se conforma cu prevederile Regulamentului.
Astfel că, pentru a facilita înțelegerea și aplicarea acestui Regulament, Grupul de Lucru „Articolul 29” pentru protecția datelor[4] a revizuit și adoptat o serie de trei ghiduri: Ghidul privind Responsabilul cu protecția datelor, Ghidul privind dreptul la portabilitatea datelor, Ghidul privind identificarea autorității de supraveghere lider a unui operator sau împuternicit, iar recent, chiar și Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a publicat un ghid de interpretare a Regulamentului, denumit Ghid referitor la aplicarea Regulamentului General privind Protecția Datelor destinat operatorilor.
Cine trebuie sa desemneze un Responsabil cu protecția datelor (DPO)?
Numirea unui responsabil cu protecția datelor este o obligație în cazul în care va regăsiți în următoarele categorii:
– dacă prelucrarea este efectuată de o autoritate publică sau un organism public (indiferent de datele prelucrate);
– dacă activitățile principale ale operatorului[5] sau ale persoanei împuternicite[6] constau în operațiuni de prelucrare care necesită o monitorizare periodică și sistematică a persoanelor vizate pe scară largă;
– dacă activitățile principale ale operatorului sau ale persoanei împuternicite constau în prelucrarea pe scară largă a unor categorii speciale de date personale privind condamnările penale și infracțiuni.
Responsabilul cu protecția datelor poate fi numit și în mod voluntar, în situația în care nu vă aflați în vreunul din cazurile obligatorii. Cu toate acestea, în cazul în care ați desemnat în mod voluntar un responsabil, vi se vor aplica toate dispozițiile legale ca și cum desemnarea ar fi obligatorie.
Căror activități se aplica, în concret, obligativitatea desemnării unui responsabil cu protecția datelor?
Acele „activități principale” despre care vorbește Regulamentul pot fi considerate ca operațiuni cheie necesare pentru îndeplinirea obiectivelor operatorului sau persoanei împuternicite de operator.
Spre exemplu: Companiile care efectuează supravegherea unui număr mare de centre comerciale, spitalelor care oferă asistență medicală în mod eficient numai prin intermediul prelucrării datelor privind starea de sănătate a pacienților, societăți care operează rețele de telecomunicații, furnizează servicii de telecomunicații, furnizează activități de marketing bazate pe date, profilare și scoring în scopul evaluării de risc – adică Bănci, societăți de asigurare, activități privind urmărirea locației prin diverse aplicații, programe de loialitate, publicitate comportamentală, monitorizarea wellness, fitness și a datelor de sănătate prin intermediul dispozitivelor portabile, dispozitive inteligente – mașini inteligente, casa inteligentă s.a.
Cu toate acestea, organizațiile care efectuează anumite activități, cum ar fi plata angajaților lor sau efectuarea de activități standard de suport IT în cadrul companiei, acestea vor fi considerate drept „funcții sprijin” necesare pentru desfășurarea activității principale a organizației. Pentru aceste funcții „de sprijin” nu va fi necesară desemnarea unui responsabil de protecție a datelor.
Exemple oferite de Grupul de lucru „Articolul 29” care nu necesită numirea unui Responsabil de protecția datelor sunt: prelucrarea datelor pacientului de către un medic individual, prelucrarea datelor personale referitoare la condamnările penale și infracțiuni de către un avocat individual.
Așadar, prin interpretarea Regulamentului de către Grupul de lucru „Articolul 29”[7], se consideră că prelucrarea datelor personale referitoare la condamnările penale și infracțiuni, de către un avocat individual nu reprezintă o prelucrare de date la scară largă, ceea ce înseamnă că în cazul formelor de exercitare a cabinetelor individuale nu ar exista obligația desemnării unui Responsabil cu protecția datelor.
Astfel că, factorii avuți în vedere la considerarea unei prelucrări de date cu caracter personal ca fiind ”pe scara larga”, și care sa atragă obligativitatea desemnării unui responsabil cu protecția datelor sunt: numărul persoanelor vizate, volumul datelor, durata activității de prelucrare, suprafața geografică a activității de prelucrare.
Cu toate acestea, simplul fapt că în cazul cabinetelor individuale nu s-ar aplica obligativitatea Responsabilului cu protecția datelor, nu înseamnă că această formă de exercitare a profesiei nu va trebui să respecte celelalte prevederi și obligații ale Regulamentului, în scopul protejării datelor cu caracter personal ale clienților lor.
Noțiunea de „consimțământ”
Potrivit Regulamentului „consimțământ” al persoanei vizate înseamnă orice manifestare de voința liberă, specifică, informată și lipsită de ambiguitate prin care aceasta acceptă, printr-o declarație sau printr-o acțiune fără echivoc, ca datele cu caracter personal care o privesc sa fie prelucrate.
Consimțământul trebuie acordat în mod explicit, astfel ca absența unui răspuns, căsuțele bifate în prealabil sau absența unei acțiuni nu va constitui consimțământ. În cazul în care consimțământul persoanei vizate trebuie acordat în urma unei cereri transmise pe cale electronică, cererea respectivă trebuie să fie clara și concisa și să nu perturbe în mod inutil utilizarea serviciului pentru care se acordă consimțământul.
Ce înseamnă aceasta schimbare? Înseamnă ca nu vor mai fi permise noțiuni ”accept termenii și condițiile” cu acceptul bifat în prealabil de către operator. Utilizatorul va trebui sa își exprime consimțământul printr-o acțiune fără echivoc, care să arate ca acesta este într-adevăr de acord cu Condițiile prezentate de operator sau printr-o declarație care dovedește faptul ca acest consimțământ a fost acordat în deplină cunoștință de cauză.
Dreptul la portabilitatea datelor – Ce presupune?
Acest drept permite persoanelor vizate să primească datele cu caracter personal pe care le-au furnizat operatorului într-un
format structurat, utilizat in mod curent si care poate fi citit automat si sa transmită respectivele date altui operator. Scopul acestui drept este de a responsabiliza persoana vizată și de a-i oferi acesteia un control mai mare asupra datelor sale personale.
Acest drept va favoriza și concurența între operatori și va facilita schimbarea diferiților furnizori de servicii (telefonie mobilă, servicii internet, s.a.).
Acest drept al persoanelor vizate va avea ca și corespondent o obligație în sarcina furnizorilor de servicii, în sensul că aceștia ar trebui să înceapă să dezvolte mijloace care să îi ajute să răspundă solicitărilor de portabilitate a datelor, cum ar fi spre exemplu instrumente de descărcare și interfețe de programare a aplicațiilor. De asemenea, toți acești furnizori de servicii vor trebui să conlucreze pe un set comun de standarde și formate interoperabile, pentru a evita situațiile în care formatul în care sunt stocate datele care fac obiectul portării este incompatibil cu formatul folosit de un alt furnizor.
Dreptul de a fi uitat – dreptul persoanei vizate la ștergerea datelor
Persoana vizată are dreptul de a solicita operatorului să șteargă datele personale care o privesc. Cazurile în care se aplică și excepțiile de la această obligație sunt detaliate în Regulament, însă ce va fi cu adevărat interesant este aplicarea în practică a obligației operatorului care a făcut publice datele cu caracter personal să ia măsuri rezonabile, inclusiv măsuri tehnice, pentru a informa operatorii care prelucrează datele cu caracter personal, că persoana vizata a solicitat ștergerea de către acești operatori a oricăror linkuri către datele respective sau a oricăror copii sau reproduceri ale acestor date cu caracter personal.
* Este extras din broșura „Baroul Timiș. Avocații în e-voluție. În ce fel poate transformarea digitală să îmbunătățească relația dintre cetățean și avocat”.
[1] Persoanele vizate sunt personale ale căror date sunt prelucrate de către operator sau persoana împuternicită.
[2] Fisa informativă din luna ianuarie 2016, publicată de Comisia Europeană referitoare la ”Cum va contribui reforma UE privind protecția datelor la facilitarea cooperării internaționale?”
[3] Data Protection Officer.
[4] Grup constituit in temeiul articolului 29 din Directiva 95/46/CE, fiind un organ consultativ european independent care se ocupa cu protecția si confidențialitatea datelor. Sarcinile sale sunt descrise in cadrul articolului 30 din Directiva 95/46/CE si la articolul 15 din Directiva 2002/58/CE.
[5] Operator înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal; atunci când scopurile și mijloacele prelucrării sunt stabilite prin dreptul Uniunii sau dreptul intern, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi prevăzute în dreptul Uniunii sau în dreptul intern
[6] Persoană împuternicită de operator înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care prelucrează datele cu caracter personal în numele operatorului
[7] Interpretare prezentată în Ghidul privind Responsabilul cu protecția datelor adoptat în data de 13 decembrie 2016 revizuit și adoptat în data de 5 aprilie 2017 de către Grupul de lucru „Articolul 29” pentru Protecția Datelor.
