„Societatea descrisă în «1984» este coșmarul fiecărei persoane îndrăgostite de libertate”

Legal Magazin: Sunteți doctor în drept al Universității „Babeș-Bolyai” din Cluj Napoca, titulatură pe care ați obținut-o cu teza „Plata electronică”. Subiect sensibil, pentru că interferența unor infractori cibernetici în aceste operațiuni poate cauza pagube financiare utilizatorilor. În ce măsură protecția datelor personale este protejată, sub acest aspect?

Conf. univ. av. dr. Raul-Felix Hodoș: Cercetarea asupra plății electronice am început-o încă din anii facultății, atunci când, sub coordonarea dnei prof. univ. dr. Ioana Vasiu, am descoperit interesul pentru interdisciplinaritate în studiul unor astfel de subiecte. La acel moment, în România sfârșitului de secol XX, comerțul electronic își făcea cu greu loc alături de cel tradițional, iar abordarea acestuia din perspectiva dreptului părea, la o primă vedere cel puțin, exotică. Dialogurile cu profesorii Ion Turcu și Dan Chirică și, ulterior, cu profesorul Mircea N. Costin, care mi-a acordat onoarea de a-i fi doctorand, au creionat calea de urmat pentru un tânăr avocat la acea vreme și au deschis apetitul pentru cunoaștere.

De la studiul plății electronice la exigențele protecției datelor cu caracter personal nu a mai fost decât un pas. Anul 2018, an de cotitură la nivel european în domeniul protecției datelor, având în vedere aplicabilitatea începând cu data de 25 mai 2018 a Regulamentului (UE) nr. 679/2016, a însemnat și necesitatea dezvoltării unei noi direcții în zona profesională, respectiv cea a responsabilului cu protecția datelor. Din această cale, vă pot spune că încă suntem la începutul unei noi ere, în care valuta forte este reprezentată de datele personale, referindu-mă aici nu doar la cele ale consumatorilor, ci mai ales la cele ale cetățenilor care aleg și sunt aleși. Regulamentul (UE) nr. 679/2016 (GDPR) face un mare pas înainte în protejarea datelor personale, prin concretizarea dreptului la viață privată într-o lume în care realul și virtualul se confundă în ceea ce mai nou se numește metaverse.

Legal Magazin: Erau mai liniștiți oamenii (patroni, manageri, simple persoane fizice) pe vremea când totul se derula sub formă cash sau prin tranzacții bancare clasice, pentru că atunci răufăcătorii aveau la dispoziție mijloace de acțiune mai puține, și mai puțin sofisticate?

Conf. univ. av. dr. Raul-Felix Hodoș: Moneda fiduciară asigura intimitatea tocmai prin faptul că plățile rămâneau în cea mai mare măsură anonime. Sistemul bancar clasic asigura și el confidențialitatea prin aplicarea strictă a respectării secretului bancar. Modernizarea acestuia, în primă fază prin informatizare și ulterior prin deschiderea dată de ghișeele electronice de pe fiecare telefon conectat la internet, a condus la o universalizare a plăților electronice și, implicit, la o creștere a numărului infracțiunilor legate de plăți. Măsurile de siguranță implementate nu au fost doar de natură tehnică, ci au fost adoptate și norme legale restrictive. Ne putem gândi aici la celebrele Directive AML (Anti Money Laundering), la modul restrictiv de transpunere a acestora în legislațiile naționale, în special în cea românească, scopul declarat fiind cel al trasabilității plăților. În aceste condiții, nu mai putem vorbi de anonimizarea tranzacțiilor, ci doar de o anumită confidențialitate asigurată timid de normele bancare, dar mai ales de cele ale GDPR și ale legislației conexe.

Răspunsul la întrebare este: cred că da, oamenii erau mai liniștiți, atât din perspectiva securității tranzacțiilor, chiar dacă acestea erau mai puține și realizarea lor presupunea un timp mai îndelungat, cât mai ales în ce privește lipsa multiplelor obligații de raportare către diverse autorități publice.

Legal Magazin: Cum au evoluat lucrurile la acest capitol, în ultimii ani, în România și în Uniunea Europeană? Ce schimbări a adus Regulamentul din domeniu, GDPR, adoptat la nivelul spațiului comunitar?

Conf. univ. av. dr. Raul-Felix Hodoș: Regulamentul (UE) nr. 679/2016 (GDPR) a venit să echilibreze interesul privat cu interesul public în domeniul vieții private. Societatea descrisă în celebrul roman al lui George Orwell, „1984”, este coșmarul fiecărei persoane îndrăgostite de libertate, libertatea manifestându-se în primul rând prin respectarea libertății de gândire și a dreptului la viață privată. Or, tendința naturală a statelor de exercitare a unui control asupra vieții individului trebuie să fie îngrădită, astfel încât interesul public să fie într-un permanent echilibru cu interesul privat. Regulamentul stabilește la nivel de principiu acest test al echilibrului, încurajându-ne să credem că o societate liberă poate să se dezvolte în pofida evoluției tehnologice care facilitează controlul absolut asupra vieții cetățeanului.

În ce privește România, putem spune că se află în trendul adoptat de celelalte state europene, în ultimii trei ani fiind pe locul 3, după Spania și Italia, într-un top al amenzilor aplicate pentru încălcarea GDPR în funcție de numărul acestora. Spiritul latin se conservă și în acest domeniu, după câte observăm, însă legea trebuie aplicată chiar dacă presupune de multe ori luarea unor măsuri oneroase și cronofage, într-un cuvânt, nepopulare. Din acest punct de vedere, rigurozitatea europeană este binevenită, apărându-ne drepturile uneori chiar împotriva voinței noastre.

Legal Magazin: Susțineți cursuri de pregătire prin care abordați, din perspectivă practică, problemele cele mai frecvente cu care se confruntă operatorii de date din serviciile financiare. Care sunt aceste probleme?

Conf. univ. av. dr. Raul-Felix Hodoș: Conștientizarea importanței datelor cu caracter personal este probabil cea mai grea dintre încercările la care este supus un responsabil cu protecția datelor. Fiind o profesie nouă, reglementată doar la nivel de principiu, este cu atât mai greu ca membrii acesteia să convingă reprezentanții operatorilor de date cu caracter personal că legislația specifică nu protejează doar persoanele vizate, ci este benefică și întreprinderilor, prin îndeplinirea exigențelor pe care orice afacere de succes le are.

Conformarea cu GDPR nu presupune doar cunoștințe juridice sau de IT, ci deopotrivă și înțelegerea noțiunilor economice, de administrație publică și, mai ales, a celor de management. Domeniul protecției datelor este un domeniu inter și pluridisciplinar, în care organismele vii ale mediului socio-economic trebuie să fie îndrumate adecvat, fără a le împiedica dreptul de a-și atinge obiectivele în măsura în care drepturile persoanei vizate sunt respectate. Nici îngrădirea activităților acestora și nici birocratizarea excesivă nu pot fi permise, decât în măsura în care legea prevede obligativitatea unor măsuri necesare pentru protecția persoanelor vizate. Utilizarea universală a formularului de consimțământ pentru prelucrarea datelor, atât timp cât există alte temeiuri legale, este un astfel de exemplu de utilizare nejustificată a resurselor. În ce privește serviciile financiare, cel mai des întâlnite erori de aplicare a GDPR în conexiune cu legislația AML sunt cele referitoare la încălcarea confidențialității tranzacțiilor financiare și expunerea nejustificată de date cu caracter personal.

Legal Magazin: Cine sunt persoanele cărora vă adresați? Puteți contura un profil al cursantului interesat să își îmbunătățească bagajul de cunoștințe, preluând din experiența dumneavoastră?

Conf. univ. av. dr. Raul-Felix Hodoș: În calitatea mea de profesor de dreptul tehnologiei informației, incluzând aici și protecția datelor cu caracter personal, mă bucur când în fața mea se află persoane care doresc să-și dezvolte cunoștințele, indiferent dacă sunt studenți sau practicieni în domeniu. Abordarea trebuie să fie diferită, în funcție de categoria din care fac parte cursanții. Astfel, limbajul juridic fiind deja cunoscut de studenții de la Drept anul IV sau de avocații și consilierii juridici participanți la cursurile de pregătire profesională, dialogul este mai fluent și se focusează mai ales pe nuanțele în aplicarea dreptului european în spațiul juridic românesc. În ce privește practicienii protecției datelor care nu au studii juridice, cursurile dedicate acestora sunt construite în jurul efervescenței opiniilor create pe temelia pregătirii lor fundamentale, cel mai frecvent în științe economice, IT, medicină.

Legal Magazin: „Vă rugăm să rețineți că este posibil ca anumite prelucrări ale datelor dvs. cu caracter personal să nu necesite consimțământul dvs., dar aveți dreptul de a refuza o astfel de prelucrare”. Ne apare deseori în față un astfel de text, când deschidem un site. De multe ori nu îl mai parcurgem, apăsăm direct pe butonul „sunt de acord”, din graba de a citi ceea ce ne interesează. Procedăm corect? Ce ar trebui să facem într-o asemenea situație? Vă întrebăm pentru că sunteți un specialist în ce privește „Consimțământul și condițiile sale în domeniul protecției datelor”.

Conf. univ. av. dr. Raul-Felix Hodoș: Într-adevăr, după cum spuneam anterior, consimțământul trebuie să fie ultimul dintre temeiurile legale pe care trebuie se le utilizeze un operator de date cu caracter personal în justificarea activității sale. Trebuie să înțelegem că unele prelucrări de date, cum ar fi cele legale de încheierea contractului individual de muncă, sunt obligatorii atât din perspectiva legală, cât și cea contractuală. În alte cazuri, pot fi invocate ca temei de prelucrare a datelor interesul public, interesul legitim al operatorului sau interesul vital al persoanei vizate. Consimțământul rămâne doar ca un temei legal subsidiar, pe care îl regăsim cu excelență în marketing și publicitate.

Parcurgerea notei de informare relative la protecția datelor este recomandată pentru că respectul acordat protecției datelor de către operator se reflectă în textul său. O informare neglijentă sau standardizată ne va revela dezinteresul operatorului pentru protecția datelor noastre personale, care au însă o valoare economică deosebită pentru acesta și fără de care afacerea lui nu ar prospera. În lumea digitală mai ales, nimic nu este „free”, gratis, ci totul se plătește prin moneda forte despre care vorbeam la începutul acestei discuții, datele cu caracter personal. Aflându-ne pe o poziție de negociere contractuală atunci când ni se solicită consimțământul, este necesar ca acesta să fie întotdeauna acordat doar ca urmare a unei decizii libere și bazate pe o informare prealabilă corectă și completă.

Legal Magazin: În 2018, Anul Centenarului, ați susținut o prezentare la Conferința „100 de ani de servicii financiare în România”, care a avut loc la Târgu Mureș. Chiar în acel an a intrat în vigoare GDPR, elaborat încă din 2016. Ne-a găsit pregătiți, puteam face mai multe în acești 100 de ani pentru a ține pasul cu „lumea bună” a serviciilor financiare, inclusiv din perspectiva evoluției tehnologice? Riscăm o astfel de întrebare deși, evident, răspunsul se poate întinde pe tomuri întregi.

Conf. univ. av. dr. Raul-Felix Hodoș: Regulamentul (UE) nr. 679/2016 (GDPR), cu aplicabilitate din data de 25 mai 2018, a modernizat și a armonizat la nivel european legislația protecției datelor. Acest fapt nu înseamnă că viața privată și datele cu caracter personal nu au fost protejate și anterior în România nu doar prin legislație specifică, ci și prin norme constituționale și de drept comun. Îmbunătățirea legislației privind protecția datelor la nivel european a părut o surpriză pentru majoritatea statelor, deși asupra formei Regulamentului s-a negociat timp de mai mulți ani, iar doi ani de la publicarea lui în Jurnalul Oficial al Uniunii Europene au reprezentat o perioadă suficientă pentru conformarea legislațiilor naționale cu principiile acestuia. În ce privește serviciile financiare, România este racordată la sistemul european și, cu sprijinul Băncii Naționale a României și al Autorității de Supraveghere Financiară, transpunerea reglementărilor Uniunii Europene la nivel național s-a făcut rapid și adecvat pentru nivelul de dezvoltare a societății românești. Evoluția tehnologică impune actualizarea continuă a legislației de la Blockchain la criptomonede și de la inteligență artificială la Fintech.

Legal Magazin: Pentru încheiere, o întrebare scurtă: care este principala calitate pe care trebuie s-o avem pentru a ne proteja confidențialitatea datelor personale?

Conf. univ. av. dr. Raul-Felix Hodoș: Răspunsul este la fel de scurt: curiozitatea, chiar dacă pare paradoxal.

* Interviu cu conf. univ. av. dr. Raul-Felix Hodoș, extras din Revista LEGAL MAGAZIN nr. 34 – GDPR.