Sergiu Bozianu: „Despre protecția datelor se vorbește foarte mult, însă și mai mult se duce în eroare, decât să se ofere soluții corecte”

Mădălin Necșuțu
2020-01-28 10:50:00

Juristul Sergiu Bozianu a oferit un interviu complet portalului internațional Balkan Insight despre ce anume sunt datele cu caracter personal, când și în ce cazuri pot fi ele utilizate. De asemenea, el ne-a vorbit despre reticențele funcționarilor de a oferi astfel de date și despre cum anume jurnaliștii le pot cere pentru a le folosi în interes public. Totul pe larg, în interviul ce urmează.

R: Ce sunt datele cu caracter personal și cum le definim?

Datele cu caracter personal reprezintă orice informație despre persoana fizică care o identifică direct sau indirect. Cu alte cuvinte, orice informație care ar putea duce la identificarea unei persoane fizice sau unui subiect de date în sensul legii reprezintă date cu caracter personal.

Aici intră nume, prenume, adresă de domiciliu, număr de contact, datele din buletin, starea de sănătate, viziunile politice, ip (inclusiv cel dinamic), practic orice element identificator care în lumea digitală sau reală ne poate identifica.

Este aceeași situație când polițiștul ajunge la locul unei infracțiuni și începe a colecta probe despre infractori, martori sau persoanele vizate pentru a-i identifica prin diferite mijloace.

R: Cât de bine protejate sunt datele personale de legislația R. Moldova? Cât de mult este respectată legislația în vigoare atât de instituțiile statului, cât și de alți operatori de date personale?

Ca și scurt istoric, protecția datelor cu caracter personal a fost fundamentată în R. Moldova în anul 2007-2008, atunci când a apărut prima lege și când statul Republica Moldova a ratificat și a pus în aplicare Convenția 108 pentru protecția persoanelor fizice în ceea ce privește prelucrarea automatizată a datelor cu caracter personal.

Cu alte cuvinte, mai întâi noi am aderat la această convenție, apoi convenția ne-a obligat să avem instrumentele necesare. Mă refer aici la legea națională, autoritatea care să reglementeze acest lucru. Noi am întrunit aceste condiții abia în 2008, atunci a apărut prima lege. Apoi a fost abrogată prin legea actuală, Legea 133 pentru protecția datelor personale care este în vigoare până în prezent.

Sancțiuni au fost instituite în R. Moldova pentru încălcarea legii privind protecția datelor abia în anul 2012 – sancțiuni contravenționale.

Există cinci fapte contravenționale, iar amenda maximă este de 15.000 de lei, aplicabilă pentru persoane fizice, persoane cu funcții de răspundere și persoane juridice.

Mai există și posibilitatea de a priva de dreptul de a exercita o anumită activitatea de la trei la 12 luni. Cu alte cuvinte, orice întreprindere poate fi privată de a dreptul de a-și desfășura activitatea în acest interval.

R: Dar nu există nicio sancțiune penală?

Sancțiunea penală se regăsește la articolul 177, Cod Penal privind inviolabilitatea vieții personale. Este obiectul tezei mele de doctor pe subiectul dat, iar eu am declarat caducă această normă, inclusiv legea privind protecția datelor personale, deoarece ele au fost transpuse din legislația Federației Ruse, mă refer aici la articolul 177, iar legea actuală privind protecția datelor personale a fost transpusă din legislația UE, mai exact Directivă 9546.

Am încercat să facem un hibrid care nu funcționează. Noi am introdus ceva specific național și dintr-un act european previzibil, noi am făcut o lege imprevizibilă care este învechită, demodată și inaplicabilă.

Pe 25 mai 2018 a intrat în vigoare Regulamentul general pentru protecția datelor, mai bine zis GDPR-ul european.

Noi ne-am obligat să transpunem acest regulament și am elaborat două proiecte de lege, care de fapt sunt cinci – două fiind de bază. Mă refer aici la Legea privind protecția datelor în redacția GDPR sau cu alte cuvinte GPDR-ul european a fost transpus în legislația națională prin elaborarea unui proiect de lege.

Și a doua lege se referă la Centrul Național pentru Protecția Datelor și activitatea sa.

Aceste proiecte de lege au fost înaintate în 2018 în Parlament. Apoi au fost votate în primă lectură la sfârșitul anului 2018 și până în prezent se află pe rol în Parlament pentru a fi votate în a doua lectură.

În 2019, se zvonea că vor fi retrase deoarece nu ar fi bine făcute, că este o viziune a fostei guvernări.

Eu sunt unul dintre co-autorii acestui proiect de lege, am lucrat de la zero la acesta. Proiectul de lege este unul foarte important pentru noi, deoarece vine cu o nouă reglementare în domeniul protecției datelor din perspectivă europeană, însă vreau să zic că am constatat foarte multe inadvertențe, scăpări sau interpretări eronate și chiar am venit cu unele completări la acest proiect de lege, prin care am propus fortificarea acestei legi și îmbunătățirea ei, prin diferite amendamente.

Aceste amendamente au fost înaintate în Parlament. Nu știu în ce măsură sunt ele examinate. Dacă vorbim despre cum sunt respectate în acest moment cerințele de protecție a datelor, avem aproximativ 10 ani de când încercăm să implementăm protecția datelor în R. Moldova.

Suntem încă la început și nu avem acel lux de timp, așa cum au avut țările europene, de circa 30-50 de ani. Noi avem doar 10 ani de zile. Am încercat cu pași rapizi să implementăm aceste cerințe.

Pe unele aspecte ne-a reușit, pe altele nu și cred că suntem la etapa zero.

Aici mă refer inclusiv la interceptări telefonice, măsuri speciale de investigație, filaje sau alte activități polițienești, noi suntem mai mult decât restanțieri.

Deoarece nimeni nu este niciodată informat despre faptul că a fost interceptat. Nu avem dreptul de a contesta sau nu cunoaștem că și când anume am fost interceptați.

Și tot acest scandal dezvăluit de investigația jurnalistică „Ministerul Interceptărilor” a celor de la RISE Moldova ne-a scos în evidență faptul că protecția datelor pe segmentul dat nu funcționează. Cu toate că unul dintre scopurile primordiale ale Legii privind protecția datelor personale este limitarea eventualelor abuzuri ale forțelor de ordine publică în raport cu persoana fizică.

R: Ar fi o problemă și de legislație și de formulare a ei, dar și de aplicare a ei?

În primul rând este vorba de aplicarea ei. Cât timp am activat la Autoritatea pentru protecția datelor personale, am participat în mai multe tentative de implementare a acestor cerințe de către sectorul polițienesc.

În mare, scopul a fost să se creeze subdiviziuni de protecție a datelor în aceste structuri: Procuratură, SIS, IGP, MAI și ulterior ei, pe intern, să-și adapteze procesele la cerințele legale.

Unele instituții au făcut, mă refer aici la IGP, MAI, mai nou și Procuratura Generală, însă procesul sau inerția pe noi ne împing prea tare și procesele nu corespund cu legislația.

Nu sunt informate persoanele, se accesează excesiv date, se utilizează în scopuri meschine. Cred că nu este o noutate că, atunci când se solicită interceptarea convorbirilor telefonice, foarte des se mai adaugă și numere de telefoane ale soției, soților, amanților, cunoscuților, cumetrilor și tot așa.

R: Ca să înțelegem, în procesul de interceptare există și victime colaterale care nu ar trebui amestecate în această poveste?

Exact. Mai mult, pe lângă sectorul public, mai intervine și sectorul privat cu aceleași mijloace de interceptare. Vorbim aici de agențiile private de pază și detectivii care „încurcă” activitatea lor de securitate din sectorul privat cu activitatea polițienească de interceptare. Fac ce fac și polițiștii, dar nu au voie, conform legii. De regulă, acolo activează foști polițiști sau angajați ai serviciilor secrete și ei fac aceeași activitate.

R: Dar acestea sunt fapte de natură penală, nu?

Da, exact. Dar și aici avem un viciu, deoarece și aici foarte multe instituții private dispun de mijloace speciale de investigații, ceea ce ar trebui să fie interzis în totalitate.

Mai este un segment foarte deschis. Dacă intrăm pe orice site de comercializare de produse, putem găsi produse de spionaj profesioniste. Pornind de la pixuri prin care se filmează ascuns și chiar dispozitive performante care pot intercepta discuțiile telefonice, fixe sau mobile și traficul de internet.

R: A existat vreodată un caz de pedepsire a unor astfel de activități?

Articolul 177 din Codul Penal spune următoarele: este interzisă colectarea ascunsă a datelor despre viața personală fără consimțământul persoanei. Am făcut apoi și o serie de adresări oficiale către Procuratura Generală în care am întrebat câte cazuri sunt de tragere la răspundere pe acest articol.

Procuratura mi-a răspuns că nu ține o asemenea evidență și că nu cunoaște și mi-a spus să mă adresez la Ministerul de Interne. De acolo, am fost redirecționat la o altă subdiviziune și nu am reușit în final să obțin vreo cifră.

Am încercat să verific pe portalul instanțelor de judecată, după acest articol 177.

Am găsit doar două cazuri. Ambele erau denaturate. Primul era un caz în care soțul pusese camere de filmat în aparamentul în care locuia cu soția cu care se afla în proces de divorț. Persoana a fost trasă la răspundere penală. Soțul a pus camera cu dorința de a prezenta în instanță eventuale filmări cu soția sa care îl înșela. Soțul a fost atunci condamnat.

În al doilea caz a fost efectuată o înregistrare video într-o saună având ca protagoniști două persoane, iar apoi această informație a fost utilizată de o persoană terță împotriva soțului femeii care l-a înșelat pe acesta în saună.

Alte cazuri nu se cunosc de către Procuratură.

Dar mai este de exemplu cazul jurnalistei Mariana Rață, când ea a făcut o investigație jurnalistică împotriva unui fost demnitar și acest demnitar s-a plâns că i s-au colectat datele despre viața personală și a solicitat tragerea la răspundere penală.

În acel caz, din fericire, nu s-a ajuns la urmări penale, deoarece nu a existat o componență penală și era vorba de interesul public care prima.

Dar există mai multe tentative de genul acesta de a pune în aplicare norma penală în cazul când nu trebuie aplicată.

În loc să li se aplice celor care interceptează sau persoanelor cu funcție de răspundere care dispun de mijloace de interceptare, aceste norme se aplică persoanelor care investighează interesul public.

R: Este cineva cercetat în urma investigației jurnalistice legate de „Ministerul Interceptărilor”?

Din ce cunosc din media, deorece nu există reacții oficiale, s-au pornit câteva procese penale. Ținând cont de interesul public față de această activitate, eu cred că organele în cauză trebuiau să iasă cu declarații pe marginea subiectului, să spună clar ce s-a întreprins și care sunt rezultatele.

Încă un subiect foarte sensibil este faptul că, în acest moment, nu există niciun registru unic în care să fie indicate toate interceptările, filajele sau măsurile speciale de investigație.

Măsurile speciale de investigație sunt cu caracter secret. Nimeni nu trebuie să știe, altfel nu o să mai prindem hoți. Dar fiecare măsură specială de investigație trebui înregistrată undeva. Trebuie să fie un registru și acest registru trebuie să fie automatizat și mai trebuie să aibă un termen care să explice în cât timp persoana trebuie să fie anunțată că a fost interceptată.

R: Așa se întâmplă și în UE?

Da, există un registru în care se indică toate măsurile speciale de investigație și un procuror din nordul țării cunoaște că un prucuror din sud a dispus măsuri speciale asupra aceluiași subiect pe care ambii îl cercetează și ar putea face punte între aceste două investigații.

Dar la noi nu există așa ceva. Noi avem multe cazuri când sunt dispuse măsuri speciale de investigație în privința aceleiași persoane de către organe diferite de urmările penală și acestea investighează în paralel.

R: Cât de fină este linia între protecția datelor personale pentru funcționari publici și netransparență și lipsă de comunicare a instituțiilor publice, în special pentru mass-media?

Aici eu văd două probleme. Nu tot timpul cererile de acces la bazele de date sunt formulate legal și foarte des furnizorii de informații utilizează abuziv și excesiv legea privind datele. Cu alte cuvinte, avem și de o parte și de cealaltă parte unele neclarități, dar în ultima perioadă de timp este la modă să invoci regimul datelor cu caracter personal. Una-două, toate sunt date personale.

De exemplu, un ministru nu se prezintă, deoarece spune că sunt date cu caracter personal. Un alt exemplu, un minister nu comunică numărul de anagajați pe motiv că acest lucru ar reprezenta date cu caracter personal.

În primul rând, trebuie să înțelegem că numele, prenumele, salariul, reședința, IDNP-ul și alte informații asememătoare reprezintă date cu caracter personal. Dar, chiar dacă acestea sunt date cu caracter personal, nu înseamnă că ele nu trebuie publicate și afișate, pe motiv că ele sunt de interes public, de demnitate publică, bani publici și funcție publică. Prin urmare, acestea trebuie să fie publice.

Acest lucru trebuie să se aplice în privința tuturor funcționarilor publici, pentru că ei dețin o demnitate publică, așadar informația trebuie să fie publică.

Altfel stau lucruri în cazul adresei de domiciliu sau IDNP-ul funcționarului public, care nu interferează cu abilitățile lui de exercitare a funcției publice. Cu cât funcția sa este mai înaltă, cu atât trebuie să se publice mai mult despre ea și cu atât ingerința în viața privată este mai justificată din perspectiva datelor cu caracter personal.

Dar acest lucru este distorsionat atunci când trebuie să publicăm, de exemplu, hotărârea de judecată a fostului prim-ministru (Vlad Filat). Aceasta a fost depersonalizată aproape complet. Mă refer aici la suma pretinsei mite și persoanele care au dat mită. La fel, când vorbim de divorțul a doi soți, totul este publicat, despre cum s-a înșelat, cu cine, dacă s-au lovit și așa mai departe.

Astăzi avem o problemă majoră cu publicarea hotărârilor de judecată. Noi publicăm datele atunci când ele nu sunt necesare și nu publicăm datele atunci când ar fi necesar. Cazurile de corupție sunt toate anonimizate.

Legea trebuie să prevadă că implicarea în acte de corupție, atunci când sunt bani publici, cu atât mai mult trebuie redată în detalii. Atunci când este vorba despre activități administrative și publice, atunci când sunt vizați banii publici, toate aceste hotărâri trebuie să fie publice. Dar când ține de hotărâri private – divorțuri, datorii etc – atunci nu cred că este interesant pentru publicul larg.

R: Ce ați întreprins până acum privind promovarea normelor GDPR în sensul unei largi informări?

Am pornit cu elaborarea și am contribuit și eu la aceste proiecte de lege. Ele au fost transmise în Parlament, iar ulterior au fost desfășurate mai multe activități de instruire și de promovare a cerințelor acestui regulament.

Noi nu putem avea raporturi comerciale cu UE, dacă nu respectăm GDPR-ul. Este o componentă esențială pentru a ajunge pe piețele de desfacere ale UE, noi avem nevoie de transpunerea acestui GDPR.

R: Așadar, nu vorbim numai de o componentă umană, ci și de una comericială în cazul aplicării normelor GDPR?

Exact. De asemenea, GPDR-ul european se aplică în multe situații din R. Moldova, chiar dacă noi nu avem teoretic contact cu piața UE. Atunci când noi stocăm în cloud pe serverul de la Facebook, noi de fapt stocăm în UE. Toată informația despre utilizatorii Facebook este în UE și acolo se aplică GDPR-ul.

Dacă noi facem anumite acțiuni pe Facebook, noi putem fi sancționați în temeiul GDPR-ului european.

Explicarea a ceea ce înseamnă GDPR s-a făcut atât cu publicul larg prin intermediul instruirilor publice, cât și cu sectorul privat. Mă refer aici la asociațiile de business, mă refer la instituțiile care oferă consiliere pentru agenții economici de la noi din țară sau din UE. Am explicat acolo care sunt avantajele și care sunt beneficiile acestui reglementări GDPR față de care deja nu ne mai putem opune.

Mai mult ca atât, s-a specificat necesitatea de a avea un act care să ne ofere o concurență loială în raport cu alți agenți economici. Să vă dau un exemplu: dacă o companie din Moldova vrea să intre pe piața europeană sau să presteze servicii acolo, ea trebuie să corespundă cerințelor europene.

Și atunci când noi suntem pregătiți sau nu avem un cadru corespunzător de aplicare în Republica Moldova, noi avem unele interdicții. Cu alte cuvinte, companiile străine aleg alte țări să-și desfășoare activitatea decât în R. Moldova, din motiv că unele aspecte de la noi nu corespund cu legislația Uniunii Europene.

R: Credeți că ar fi util un ghid de utilizare a datelor personale, atât de către instituții, cât și de către companii și chiar de cetățeanul de rând?

Aceste ghiduri sunt prevăzute de proiectul de lege care se află în Parlament, ghiduri sectoriale pentru fiecare sector: jurnalistic, medical, educațional etc. Aceste ghiduri sunt absolut necesare pentru a explica foarte clar și simplu cum este necesar să se procedeze în anumite situații.

Noi avem o reticență față de acest domeniu, din motiv că foarte puțini înțeleg cum trebuie să pună în aplicare legea. Ajung la primul conflict sau la prima interdicție atunci când un funcționar nu are alternativă și nu vor să facă nimic mai departe.

Așa se întâmplă de exemplu cu multe birouri de comunicare din instituțiile publice. Tocmai de aceea noi avem nevoie de ghiduri, de instrucțiuni, de instruiri și schimb de experiență cu țările care au implementat deja GDPR-ul.

Despre protecția datelor se vorbește foarte mult, însă și mai mult se duce în eroare, decât să se ofere soluții corecte. Noi nu avem nevoie de extreme în oferirea/cererea de informații despre datele personale, noi avem nevoie de o înțelegere adecvată a ceea ce ține de protecția datelor personale.

Vă mulțumim!

Mădălin Necșuțu
2020-01-28 10:50:00

Comentarii