Revista romana pentru protectia si securitatea datelor cu caracter personal Nr.1-2 din 2025

Arheologia dreptului protecției datelor ne duce doar până în perioada apusului celei de-a doua conflagrații mondiale. În anul 1949, autorul britanic Eric Arthur Blair publica, sub pseudonimul literar George Orwell, cartea 1984. Șocul produs de acest roman și-a definit amplitudinea maximă în anii ’90, când opera a devenit profetică. Căderea regimurilor socialiste și nevoia de Big Brother, cum numește Orwell sistemul de supraveghere video, au imaginat o lume în care riscul folosirii datelor personale în alte scopuri decât cele pentru care au fost colectate devine un prezent periculos. După recomandări, decizii și directive, în 25 mai 2018 a intrat în vigoare cea mai importantă schimbare privind reglementarea confidențialității persoanelor fizice din interiorul Uniunii Europene, anume Regulamentul 2016/679 denumit generic GDPR (în engleză „General Data Protection Regulation”) privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal, afectând toate companiile și profesiile liberale. Sancțiunile prevăzute de noul Regulament reprezintă o componentă principală, deoarece acestea prevăd o amendă de 20 de milioane de euro sau 4% din cifra de afaceri pe grup pentru nerespectarea sau neadaptarea procedurilor interne la cerințele noii legislații. Deja autoritatea de supraveghere din Franța a sancționat cu 50 de milioane de EUR grupul GOOGLE. Regulamentul definește „datele personale” ca fiind orice informații privind o persoană fizică identificată sau identificabilă, denumită persoana vizată. O persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale. În cadrul art. 6 din Regulament sunt prevăzute cazurile în care prelucrarea datelor cu caracter personal este considerată legală: (1) persoana vizată și-a dat consimțământul; (2) este necesară prelucrarea pentru executarea unui contract în care persoana vizată este parte; (3) este necesară pentru respectarea unei obligații legale; (4) este necesar să se protejeze interesul vital al persoanei vizate sau al altei persoane fizice; (5) este necesar pentru îndeplinirea unei sarcini îndeplinite în interes public; (6) este necesar, în scopul intereselor legitime urmărite de operator sau de un terț. Astfel, avem paliere diferite de interes pentru companii și profesii liberale și aș îndrăzni să spun că și în cadrul profesiilor liberale sunt diferențe semnificative între diferite ordine profesionale. Fiecare profesionist, indiferent de dimensiunea acestuia, este obligat să realizeze o implementare GDPR care va implica anumite proceduri care să clarifice modalitatea de utilizare a datelor în conformitate cu noile reguli (procedura de verificare a conflictului de interese, procedura video, procedura arhivare, procedura ștergere date etc.), registre noi pentru prelucrarea datelor cu caracter personal și documente standard adaptate potrivit cerințelor GDPR (fișa consimțământ prelucrare date la notar, de exemplu). Pentru a respecta cerințele menționate în regulament, profesioniștii trebuie să elaboreze modalități de cartografiere a datelor cu caracter personal adaptate cu planul de management al operatorului. Profesioniștii din domeniu vor fi nevoiți să investească în soluții de securitate pentru criptarea datelor, asigurarea confidențialității, detectarea posibilelor amenințări și gestionarea răspunsurilor către persoanele vizate (clienți). Dosarele în format fizic sau înregistrările audio-video trebuie să răspundă unor obiective sau finalități specifice, explicite și legitime. Datele colectate în sistemul juridic (date despre părți, acte de stare civilă, contracte de societate etc.) cu privire la clienți trebuie să fie păstrate pentru o durată care nu depășește timpul necesar utilizării, dacă nu există o prevedere legală în vigoare care să impună o anumită durată de păstrare. Există o cerere foarte mare pe piață și sunt mulți ofertanți în această zonă de interes. Adaptarea la normele GDPR nu trebuie privită ca având implicații negative asupra planului financiar al entităților. Profesioniștii pot folosi această ocazie pentru a proiecta și implementa o strategie eficientă de gestionare a datelor și pentru a se îndrepta către o gestionare bazată pe transparență și pentru a obține un echilibru eficient între rezultatele juridice și obiectivele de business. Aceste măsuri reprezintă pentru consumatorii de servicii/bunuri, adică persoanele identificate/identificabile, o măsură suplimentară de protecție, iar pentru sistemul juridic conturează o modalitate de a identifica riscurile prelucrării neconforme a datelor.