Numai mâine nu-i poimâine și se face jumătate de an de când a intrat în vigoare Regulamentul general privind protecția datelor (GDPR). E totuși greșit să ne raportăm doar la intrarea în vigoare a GDPR-ului ca reper temporal, pentru că nu e ca și cum a ieșit, ca panseluța din asfalt, pe 23 mai. Știam de el cu ani înainte, având cam doi la dispoziție să-l pregătim. Entitatea publică responsabilă la noi de domeniul prelucrărilor de date personale este Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP). Am așteptat cu sufletul la gură să văd lucruri - nu mărețe, dar măcar cvasi-folositoare - din partea Autorității, de un an încoace; informații care să încerce să ofere un colac de salvare firmelor care au înotat în lacuri de nedumerire în ultimele luni de zile; informații explicite pentru românul de rând, vizat de prelucrări. Am așteptat de aproape mi-a ieșit sufletul printre dinți - degeaba.
Pe GDPR, mare parte din informațiile, detalierile, exemplele practice și lămuririle pe care eu și colegii mei de redacție le-am oferit și mare parte din explicațiile pe care specialiștii în protecția datelor ni le-au dat s-au inspirat din maculatura și efortul altor autorități de protecția datelor, din alte state europene. Am încercat să le transmit celor pe care i-am informat speranța că ANSPDCP e o instituție pe care se pot baza, dar m-am dezamăgit.
Am trimis Autorității un set de întrebări referitor la planurile pe care le au pentru companiile de la noi: dacă vor începe campanii de informare, dacă vor face ghiduri practice... pe scurt, dacă le vor întinde o mână de ajutor celor cărora le revin atâtea și atâtea obligații pe tema prelucrărilor de date personale. Au trecut luni de zile și niciun răspuns, nici măcar un text de formă, fără substanță. Confirmarea n-a venit, dar se deduce simplu: până acum, nimic util în practică pentru operatorii de date.
Cineva mi-a spus că ridic pretenții prea mari la adresa Autorității. Mi-am permis și îmi permit, în continuare, să-l contrazic: dacă nu de la autoritatea competentă într-un domeniu, cea care va superviza acest domeniu (sper), care va aplica sancțiuni (posibil), atunci de la cine să am pretenții? Cine să le ofere aici ghidare nelămuriților? Cei de la Mediu? De la Finanțe? Cine, dacă nu ANSPDPC?
De luni de zile am văzut cum oamenii au alergat care încotro pentru orientare în GDPR (noroc cu avocații, c-a mai înțeles și antreprenorul ceva!). De exemplu, ANSPDCP ar fi putut să ia poziție și să ofere lămuriri pe tema responsabilului cu protecția datelor (DPO). Când acesta era unul dintre subiectele care-i afecta cel mai tare: firmele nu au înțeles, poate, nici în ziua de azi, dacă le trebuie sau nu acest responsabil, dacă plătesc sau nu degeaba pe cineva în poziția asta. Și de ce oare, mă întreb, s-au impacientat firmele când a venit vorba de DPO? Din cauza amenzilor pe care Autoritatea le-ar putea aplica dacă vine în control. Așa-i românul, face (uneori) numai de frica sancțiunii, nu în asentimentul scopului unei reglementări.
De luni de zile, s-a bagatelizat cumva această funcție, DPO-ul. Așa se face că, mai nou, oricine propune cursuri de acreditare pe așa ceva și oricine se proclamă "doctor-DPO". ANSPDCP ar fi putut să ia o poziție, cum a făcut autoritatea franceză, pentru că s-au făcut abuzuri în marketarea acestei funcții, îmi spune Andreea Lisievici, specialist în protecția datelor.
M-am uitat în ograda altor state membre, ca să constat că s-au făcut mult mai multe lucruri utile pentru companii (de fapt, orice lucru peste nimic e ceva): ghiduri practice, clipuri cu explicații, dosare tematice, modele de documente obligatoriu de întocmit de (unii) operatorii de date ș.a.m.d. Autoritățile de protecția datelor din alte state membre par conectate cumva la realitate, dau comunicate de presă, cheamă lumea la consultări, anunță intenții, critică, sugerează, sfătuiesc... funcționează, mai exact, în baza atribuțiilor pe care le au, la turație mediu spre maximă, în unele cazuri (Franța, Irlanda, Marea Britanie, autoritățile germane etc.).
Am să amintesc aici un exemplu de scurgere de date (sensibile!) în spațiul public, cu privire la care ANSPDCP nu a anunțat desfășurarea vreunei anchete: prin septembrie, un anumit om politic a făcut publică fișa medicală a unui pacient român. În mod normal, Autoritatea ar fi putut mima măcar un interes sporit în această chestiune: o unitate medicală din România, operator de date cu caracter personal, este responsabilă de scurgerea de informații ce reprezintă date cu caracter personal extrem de sensibile ale unui pacient. E luna noiembrie și am tot așteptat un update de la ANSPDCP... În zadar.
I-am întrebat pe alții, mai pricepuți la GDPR, ce s-ar fi așteptat ei să vadă de la ANSPDCP în toată această perioadă sau ce au auzit de la alții că ar fi așteptat: toate răspunsurile se circumscriu ideii de educație pe tema prelucrării datelor personale și protecției drepturilor celor cărora li se prelucrează acele date.
De la începutul anului și până acum, ANSPDCP nu a ținut nici cu operatorii de date, nici cu românii de rând. A adoptat o politică de slabă informare pe seama GDPR-ului, nediscriminatorie între firme și persoane private, întrucât n-a dat nimic nimănui. Cred că am văzut o singură dată un clip de informare pe protecția datelor în autobuz... Din care nu cred că s-a înțeles mare lucru.
Personal, ANSPDPC mi-a dat dovada pe care mi-o dau, din păcate, multe alte autorități din România: de blocare într-un trecut din care nu există nicio sforțare spre prezent, darămite aspirații la viitor. GDPR-ul era și este despre viitor.
Despre viitor, numai de bine!
avocatnet.ro explicăm legislația
Comentarii articol (4)