Românii cer să fie informaţi despre datele lor personale

Începând cu 25 mai 2016, a intrat în vigoare Regulamentul UE nr. 679/2016, cunoscut drept Regulamentul General privind Protecţia Datelor Personale (GDPR), care spune în principiu că informaţiile pe care le deţine o companie sau o instituţie despre persoanele fizice sunt date cu caracter personal şi nu pot circula liber, în mod necondiţionat.

Aceste date trebuie protejate, iar responsabilitatea protejării lor revine în întregime operatorilor de date. Regulamentul este foarte strict în acest sens şi prevede sancţiuni aspre pentru abateri. Specialiştii spun că Regulamentul introduce o adevărată revoluţie în domeniu, din prisma impactului pe care îl are asupra bunului mers al tuturor afacerilor, mici sau mari, din Europa şi nu numai.

Termenul de graţie oferit de Uniunea Europeană pentru obţinerea conformităţii faţă de principiile enunţate şi obligaţiile explicite nu a fost folosit decât de un procent mic din operatorii din România, multe dintre instituţii încercând să gasească o soluţie formală, motivând totodată lipsa unui buget pentru a justifica alegerile rapide privind instruirea şi desemnarea obligatorie a Responsabililor privind protecţia datelor.Primele analize realizate de European Data Protection Board asupra breselor de securitate, printre care şi pierderile de date stocate pe platformele online, ne reamintesc care sunt adevăratele riscuri: garantarea tot mai dificila a dreptului la o viata privata, protejarea democraţiei şi asigurarea sustenabilităţii economice bazate din ce in ce mai mult pe o noua moneda: datele cu caracter personal.

Plângerile pot veni de la orice persoană care considera ca drepturile sale au fost încălcate, dar GDPR a introdus de asemenea şi posibilitate pentru ca o organizaţie mandatată de persoanele vizate să introducă astfel de plângeri. Această posibilitate a fost utilizată imediat după intrarea în vigoare a GDPR. Regulamentul se aplica practic oricărei firme, indiferent de domeniul de activitate, conceptul de „date personale“ devenind atât de larg încât orice firmă care lucrează cu astfel de date – fie că e vorba despre datele angajaţilor sau ale clienţilor/pacienţilor – devine instantaneu subiect al Regulamentului.

Un studiu realizat de Asociaţia Specialiştilor în Confidenţialitate şi Protecţia Datelor (ASCPD) în luna februarie 2019 pe un eşantion reprezentativ format din 1191 respondenţi, evidenţiat fatpul că populaţia României are un acces mărit la tehnologie, utilizând frecvent internetul, cu o încredere surprinzător de mare în informaţiile de pe internet (fenomenul Dr.Google), conform studiilor anterioare. Cu toate acestea, la nivel declarativ, respondenţii, în proporţie de 76%, au confirmat că nu au încredere în ştirile şi informaţiile primite prin intermediul reţelelor de socializare, pe o scară a încrederii de la 1 la 10 alocând un maxim de 5.  

Persoanele fizice au un grad redus de conştientizare asupra tuturor tipurilor de date cu caracter personal, dar cu toate acestea au un puternic simţ de proprietate, 97,3% afirmând că doresc să fie informaţi dacă aceste date sunt furate sau pierdute şi 87,4% confirmând importanţa acestor date pentru ei. Mai mult, 

67,9% dintre aceştia declară că este dificil să îşi protejeze propriile date cu caracter personal în condiţiile în care 24,7% nu au auzit încă de Autoritatea din România responsabilă cu protejarea drepturilor privind protecţia datelor cu caracter personal (ANSPDCP). În ceea ce priveşte procesul de informare publică, 47,1% consideră ca sunt informaţi „parţial“ privind drepturile în ceea ce priveşte protecţia datelor personale, 10,8% afirmând că nu sunt informaţi deloc şi astfel gradul de conştientizare asupra tipurilor de date cu caracter personal definite de noul Regulament prin sintagma „ORICE informaţie privind o persoană fizică identificată sau identificabilă («persoana vizată»), direct sau indirect“ este unul scăzut, explicabil prin lipsa unor campanii de informare de impact.

Top 10 date cu caracter personal identificate de respondenţi 

1. CNP-ul 98,81%
2. Datele financiare (salariu, cod bancar) 97,71%
3. Datele medicale - informaţii despre sănătate 95%
4. Amprentele 94,92%
5. Adresa de domiciliu 91,36%
6. Informaţii despre viaţa sexuală sau orientarea sexuală 90,18%
7. Data şi locul naşterii 88,65%
8. Numărul de telefon / Email 87,04%
9. Fotografiile 84,76%
10. Indentificatorul online-IP 81,88%

Top 10 date cu caracter personal care nu au fost identificate de respondenţi 

1. Lucrurile pe care le fac (hobby-uri, sport, locuri pe care le vizitează) 48,94%
2. Lista de prieteni 48,77%
3. Opiniile politice 48,01%
4. Apartenenţa la organizaţii (ONG, sindicate) 47,93%
5. Preferinţele 44,20%
6. Ocupaţia / Locul de muncă 38,10%
7. Website-urile pe care le vizitează 36,07%
8. Confesiunea religioasă 34,38%
9. Activitatea infracţională (condamnări penale, infracţiuni, graţieri) 27,27%
10. Imagini video surprinse de camerele de supraveghere 22,02%

Din această ultimă categorie de date, neidentificate ca date cu caracter personal, fac parte mai multe tipuri considerate de Regulamentul (UE) 2016/679 ca fiind date cu caracter sensibil şi care trebuie protejate prin măsuri suplimentare. 

Lipsa educaţiei populaţiei şi a personalului de specialitate în domeniul protecţiei datelor, în ceea ce priveşte identificarea şi conştientizarea importaţei datelor cu caracter personal, poate fi explicată şi prin lipsa unei campanii de informare de impact, care să îşi propună să crească gradul de cunoştinţe a tuturor persoanelor faţă de modul de indentificare a datelor cu caracter personal şi protejarea lor implicită şi instinctivă. Persoana fizică în sine a devenit o provocare pentru întreg sistemul de protecţie a datelor din România, deoarece prin lipsa de educare întreg corpul profesional se confruntă cu solicitări nejustificate şi insuficient documentate privind ştergeri selective sau rectificări neîntemeiate a informaţiilor înregistrate în documente. Cu siguranţă aceste solicitări nu vor fi soluţionate în favoarea persoanei vizate, existând mai multe reglementări specifice în ceea ce priveşte termenul de retenţie şi posibilităţile de acces restricţionat şi condiţionat. Gardianul modului în care se respectă confidenţialitatea şi mecanismele de protecţie a datelor cu caracter personal rămâne Responsabilul privind protecţia datelor, o meserie nou apărută, care se confruntă probabil cu cele mai mari provocări profesionale datorită caracterului general al Regulamentului (UE) 2016/679 şi lipsei unor repere unitare privind interpretarea şi implementarea lui.

Soluţia poate veni din partea acestei organizaţii nonguvernamentale care, în urma analizei rezultatelor acestui studiu, şi-a propus iniţierea unui proiect de lege pentru introducerea unui nou mesaj de interes public care sa îşi propună creşterea gradului de conştientizare în rândul persoanelor fizice (vizate) a importanţei datelor cu caracter personal.