Bianca CHIRILĂ
În perioada pandemiei SARS‑CoV‑2 ne-am expus datele mai mult decât oricând din motive raționale. În acest context, se ridică întrebarea: Mai există însă viață privată în cadrul societăților contemporane atât de interconectate și într-o lume ce trăiește, în același timp, preponderent în spațiul virtual și cu obsesia transparenței?
Protecția persoanei și a drepturilor acesteia ocupă un loc esențial în cadrul apărării valorilor sociale, în condițiile existenței statului de drept.
Dreptul la viață privată protejează din punct de vedere juridic nucleul existenței umane, acele potențialități care individualizează ființa umană și îi permit să se manifeste fără constrângeri tocmai pentru că se știe la adăpost și fără de care interacțiunea socială nu ar avea niciun sens dacă toate manifestările ființei umane ar fi publice. Posibilitatea de a dispune de sine, de imaginea de sine și de informațiile despre sine rămâne una din coordonatele esențiale ale calității intrinseci de ființă umană caracterizată prin conștiință.
Odată cu conceputul de „drepturi fundamentale” a apărut, chiar dacă nenumit ca atare, și dreptul la viața privată, încadrat în categoria de drepturi inviolabile, indiferent că a fost vorba despre intimitatea persoanei, despre integritatea fizică sau psihică, despre dezvoltarea liberă a personalității sale în relație cu semenii sau despre protejarea informațiilor care pot duce la identificarea unei persoane.
Astfel, Convenția Europeană a Drepturilor Omului consacră în articolul 8 dreptul la respectarea vieții private și de familie, similar art. 71 Noul Cod Civil. Totodată, dreptul la viața intimă, familială și privată este garantat de Constituție, prin dispozițiile art. 26, iar la art. 27 dreptul la inviolabilitatea domiciliului și la art. 28 dreptul la secretul corespondenței.
Având în vedere contextul actual, al digitalizării și al spațiului virtual, consider că dreptul la viață privată ar putea cuprinde și aspecte ce țin, de exemplu, de libertatea de gândire, de conştiinţă şi de religie, precum și de libertatea de întrunire şi de asociere, toate acestea neputând fi tratate separat.
În acest sens, vine în ajutor Uniunea Europeană prin adoptarea Regulamentului General privind Protecția Datelor (GDPR), regulament ce se aplică în mod direct în România. RGPD stabilește cerințele detaliate pentru companii și organizații în ceea ce privește colectarea, stocarea și gestionarea datelor cu caracter personal. Se aplică atât în cazul organizațiilor europene care prelucrează datele cu caracter personal ale cetățenilor din UE cât și în cazul organizațiilor din afara UE care vizează cetățeni din UE.
Totuși, nu trebuie să uităm de puterea digitalizării, care ne influențează din toate punctele de vedere. Se creează o aparentă siguranță prin aceste reglementări, anonimizarea datelor nefiind tocmai cea mai sigură modalitate de protecție a vieții private. Pct. 26 și 30 din Preambul aduc câteva clarificări, prin care descoperim că o persoană poate fi ușor identificabilă prin agregarea mai multor date, respectiv: Persoanele fizice pot fi asociate cu identificatorii online furnizați de dispozitivele, aplicațiile, instrumentele și protocoalele lor, cum ar fi adresele IP, identificatorii cookie sau alți identificatori precum etichetele de identificare prin frecvențe radio. Aceștia pot lăsa urme care, în special atunci când sunt combinate cu identificatori unici și alte informații primite de servere, pot fi utilizate pentru crearea de profiluri ale persoanelor fizice și pentru identificarea lor.
GDPR-ul oferă și câteva indicii referitoare la adevăratul scop al acestuia (pct. 15 sau 25), dar cel mai relevant este cel cuprins la pct. 71: „Persoana vizată ar trebui să aibă dreptul de a nu face obiectul unei decizii, care poate include o măsură, care evaluează aspecte personale referitoare la persoana vizată, care se bazează exclusiv pe prelucrarea automată şi care produce efecte juridice care privesc persoana vizată sau o afectează în mod similar într-o măsură semnificativă, cum ar fi refuzul automat al unei cereri de credit online sau practicile de recrutare pe cale electronică, fără intervenţie umană. O astfel de prelucrare include „crearea de profiluri”, care constă în orice formă de prelucrare automată a datelor cu caracter personal prin evaluarea aspectelor personale referitoare la o persoană fizică, în special în vederea analizării sau preconizării anumitor aspecte privind randamentul la locul de muncă al persoanei vizate, situaţia economică, starea de sănătate, preferinţele sau interesele personale, fiabilitatea sau comportamentul, locaţia sau deplasările, atunci când aceasta produce efecte juridice care privesc persoana vizată sau o afectează în mod similar într-o măsură semnificativă. Cu toate acestea, luarea de decizii pe baza unei astfel de prelucrări, inclusiv crearea de profiluri, ar trebui permisă în cazul în care este autorizată în mod expres în dreptul Uniunii sau în dreptul intern care se aplică operatorului, inclusiv în scopul monitorizării şi prevenirii fraudei şi a evaziunii fiscale, desfăşurate în conformitate cu reglementările, standardele şi recomandările instituţiilor Uniunii sau ale organismelor naţionale de supraveghere, şi în scopul asigurării securităţii şi fiabilităţii unui serviciu oferit de operator sau în cazul în care este necesară pentru încheierea sau executarea unui contract între persoana vizată şi un operator sau în cazul în care persoana vizată şi-a dat în mod explicit consimţământul. În orice caz, o astfel de prelucrare ar trebui să facă obiectul unor garanţii corespunzătoare, care ar trebui să includă o informare specifică a persoanei vizate şi dreptul acesteia de a obţine intervenţie umană, de a-şi exprima punctul de vedere, de a primi o explicaţie privind decizia luată în urma unei astfel de evaluări, precum şi dreptul de a contesta decizia. O astfel de măsură nu ar trebui să se refere la un copil. Pentru a asigura o prelucrare echitabilă şi transparentă în ceea ce priveşte persoana vizată, având în vedere circumstanţele specifice şi contextul în care sunt prelucrate datele cu caracter personal, operatorul ar trebui să utilizeze proceduri matematice sau statistice adecvate pentru crearea de profiluri, să implementeze măsuri tehnice şi organizatorice adecvate pentru a asigura în special faptul că factorii care duc la inexactităţi ale datelor cu caracter personal sunt corectaţi şi că riscul de erori este redus la minimum, precum şi să securizeze datele cu caracter personal într-un mod care să ţină seama de pericolele potenţiale la adresa intereselor şi drepturilor persoanei vizate şi să prevină, printre altele, efectele discriminatorii împotriva persoanelor pe motiv de rasă sau origine etnică, opinii politice, religie sau convingeri, apartenenţă sindicală, caracteristici genetice, stare de sănătate sau orientare sexuală sau prelucrări care să ducă la măsuri care să aibă astfel de efecte. Procesul decizional automatizat şi crearea de profiluri pe baza unor categorii speciale de date cu caracter personal ar trebui permise numai în condiţii specifice.”
În România, Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal primește, analizează și soluționează plângeri legate de prelucrarea datelor cu caracter personal ce intră sub incidența Regulamentului UE 2016/679, adică RGPD sau a altor dispoziţii legale aplicabile în domeniul protecţiei dreptului la viaţă intimă, având drept obiectiv apărarea drepturilor şi libertăţilor fundamentale ale persoanelor fizice, în special a dreptului la viaţă privată, în legătură cu prelucrarea datelor cu caracter personal şi cu libera circulaţie a acestor date. Persoana prejudiciată, care consideră că prelucrarea datelor sale cu caracter personal încalcă prevederile legale, poate formula plângere conform procedurii prevăzute pe site-ul oficial dataprotection.ro.
Care sunt datele cu caracter personal?
Datele cu caracter personal includ orice informații despre o persoană identificată sau identificabilă, precum: numele, adresa, numărul cărții de identitate/pașaportului, venitul, profilul cultural, adresa IP, datele deținute de medici sau spitale (care identifică o persoană în scopuri medicale).
Nu puteți procesa date care se referă la: originea rasială sau etnică, orientarea sexuală, opiniile politice, convingerile religioase sau filosofice, apartenența sindicală, datele genetice, biometrice sau medicale, cu excepția unor cazuri specifice (de exemplu, când persoana și-a dat consimțământul explicit sau când procesarea este necesară din motive care țin de un interes public major, definit de legislația europeană sau națională), datele personale referitoare la infracțiuni sau condamnări penale, cu excepția cazului în care acest lucru este autorizat de legislația națională sau europeană.
Când este permisă prelucrarea datelor cu caracter personal?
Potrivit normelor UE privind protecția datelor, se pot prelucra datele în limitele legale, cu scop specific și legitim și anumite date care sunt necesare pentru îndeplinirea respectivului scop. Prelucrarea datelor cu caracter personal presupune îndeplinirea unor condiții:
- consimțământul persoanei vizate;
- onorarea unei obligații contractuale față de persoana în cauză;
- îndeplinire unei obligații legale;
- protejarea unor interese esențiale ale persoanei vizate;
- îndeplinirea unei sarcini în interesul publicului;
- îndeplinirea unui interes legitim al companiei, atâta timp cât nu sunt afectate drepturile și libertățile fundamentale ale persoanelor ale căror date sunt prelucrate. În cazul în care drepturile persoanei prevalează asupra intereselor companiei, nu se pot prelucra datele cu caracter personal.
Care este domeniul de aplicare a RGPD?
- se aplică prelucrării datelor cu caracter personal, efectuată total sau parţial prin mijloace automatizate, precum şi prelucrării prin alte mijloace decât cele automatizate a datelor cu caracter personal care fac parte dintr-un sistem de evidenţă a datelor sau care sunt destinate să facă parte dintr-un sistem de evidenţă a datelor.
- Se aplică prelucrării datelor cu caracter personal în cadrul activităţilor unui sediu al unui operator sau al unei persoane împuternicite de operator pe teritoriul Uniunii, indiferent dacă prelucrarea are loc sau nu pe teritoriul Uniunii. Regulamentul se aplică prelucrării datelor cu caracter personal ale unor persoane vizate care se află în Uniune de către un operator sau o persoană împuternicită de operator care nu este stabilit(ă) în Uniune, atunci când activităţile de prelucrare sunt legate de:
- oferirea de bunuri sau servicii unor astfel de persoane vizate în Uniune, indiferent dacă se solicită sau nu efectuarea unei plăţi de către persoana vizată; sau
- monitorizarea comportamentului persoanelor vizate dacă acesta se manifestă în cadrul Uniunii.
Când nu se aplică RGPD?
- în cadrul unei activități care nu intră sub incidența dreptului Uniunii;
- de către statele membre atunci când desfășoară activități legate de politica externă și de securitatea comună a Uniunii;
- de către o persoană fizică în cadrul unei activități exclusiv personale sau domestice;
- de către autoritățile competente în scopul prevenirii, investigării, depistării sau urmăririi penale a infracțiunilor, al executării sancțiunilor penale, inclusiv al protejării împotriva amenințărilor la adresa siguranței publice și al prevenirii acestora.
