ApTI trimite plângere către Comisia Europeană despre implementarea GDPR în România
ApTI files complaint to the European Commission on the national implementation of the GDPR
-- full text of the complaint is available in attachment below --
Anul trecut, în cazul RISE Project, am văzut cum Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) nu este pregătită să reacționeze în cazuri ce privesc libertatea de exprimare și dreptul la viață privată. #TeleormanLeaks ne-a arătat că Regulamentul pentru protecția datelor (GDPR) poate fi folosit pentru a limita libertatea de exprimare și a opri subiecte de interes public să iasă la iveală.
Reactiile au fost imediate. GDPR nu poate fi folosit ca o modalitate pentru a limita libertatea presei si a cere sursele jurnalistice. Comisia Europeană, Comitetul European pentru Protecția Datelor, societatea civilă, au reamintit ANSPDCP ca dreptul la viata privata nu este un drept absolut si ca aplicarea Articolului 85 din Regulament presupune reconcilierea drepturilor fundamentale.
Exceptia legata de prelucrarea datelor pentru scopuri jurnalistice din legea de implementare GDPR este doar parte din problema. Derogarile pe care le introduce Legea 190/2018 ridica probleme grave in ceea ce priveste respectarea principiilor de prelucrare a datelor, asigurarea protectiei individului si respectarea valorilor democratice. Astazi, 14 februarie 2019, ApTI a trimis o plangere impotriva exceptiilor problematice pe care le aduce legea romaneasca de implementare.
Punctele majore adresate in plangere sunt:
1. Partidele politice si organizatiile non-guvernamentale primesc un cec in alb pentru prelucrarea nerestrictionata a datelor personale
Cambridge Analytica ne-a aratat cum opinii politice pot fi influentate prin microtargeting si cum cursul alegerilor democratice poate fi manipulat. Legea de implementare ofera partidelor politice din Romania posibilitatea de a prelucra date personale, inclusiv date sensibile, doar cu simpla notificare a persoanelor, incalcand principiile europene de baza (articolul 9 din Legea 190/2018). Practic, asta duce la legitimizarea activitatilor de tip Cambridge Analytica si expune riscuri majore nu numai pentru protectia individuala, dar si pentru asigurarea unor procese democratice, neinfluentate. Romania va avea alegeri prezidentiale toamna aceasta, iar in luna mai se vor desfasura alegeri la nivel european.
2. Prelucrarea datelor personale in scopuri jurnalistice este limitata si pune in pericol libertatea de exprimare
România a adoptat doar 3 situații alternative in care prelucrarea datelor personale poate avea loc in scopuri jurnalistice (articolul 7 din Legea 190/2018):
• dacă aceasta priveşte date cu caracter personal care au fost făcute publice în mod manifest de către persoana vizată;
• care sunt strâns legate de calitatea de persoană publică a persoanei vizate;
• ori de caracterul public al faptelor în care este implicată.
A reduce discuția doar la cele 3 derogări din art. 7 din Legea 190/2018 reprezintă o abordare simplistă, câtă vreme este clar că scopul Regulamentul general privind protecția datelor (GDPR) nu este de a limita libertatea de exprimare. Astfel, derogarea din legea romaneasca nu ofera gradul de protectie vizat de Regulament si limiteaza prelucrarea datelor in scopuri jurnalistice in detrimentul dezvaluirilor ce reprezinta un interes public.
3. Vid de aplicare in cazul autoritatilor publice
In cazul autoritatilor publice se prevede ca masura de corectare a potentialelor abuzuri efectuarea unui plan de remediere din partea Autoritatii pentru Protectia Datelor. Doar dupa 10 zile dupa ce acest plan este prezentat si autoritatea publica nu se conformeaza, aceasta poate fi amendata. Insa amenzile pentru autoritatile publice sunt mult sub limitele prevazute de Regulament (articolele 13 si 14 din Legea 190/2018).
Tarile membre pot modifica sumele pe care se aplica autoritatilor publice, insa decizia de a introduce un plan de remediere inseamna practic ca autoritatile publice nu o sa aiba nicio motivatie de a respecta prevederile regulamentului ci vor astepta mura in gura “remedii”. Asta va pune presiune enorma pe Autoritate care este oricum suprasolicitata si din punct de vedere al expertizei si din punct de vedere al resurselor. Ca rezultat, indiferent de cat de mare va fi incalcarea produsa de autoritatile publice, nu se va trece la sanctiuni, decat dupa ce un plan de remediere va fi prezentat de autoritate. Iar aceasta, va putea conduce in viitor la reticenta Autoritatii de a reveni cu investigatii in cadrul aceleieasi institutii.
Toate aceste aspecte ridica semne majore de intrebare daca Romania poate asigura independenta si impartialitatea ANSPDCP. Felul in care autoritatea a intervenit in cazul RISE Project este criticabil si scoate la iveala probleme sistemice, precum si suspiciunea unei intervenii ordonate politic. Mai mult, procedura lipsita de transparenta prin care Presedintele ANSPSCP a fost numit pentru inca un mandat, peste noapte si fara ca membrii Comisiei Parlamentare sa cunoasca anterior candidaturile si numele propuse, intareste indoielile legate de independenta si competenta autoritatii.
Cerem Comisiei sa porneasca o investigatie impotriva Romaniei si sa asigure o implementare corecta a GDPR.
Add new comment