expertă în legislaţia mass-media
Sfârşitul lunii mai a surprins cu două evenimente care au atras atenţia opiniei publice asupra protecţiei datelor cu caracter personal: brusc, două instituţii care ofereau date publicului au fost obligate de către Centrul Naţional pentru Protecţia Datelor cu Caracter Personal (CNPDCP) să nu le mai ofere pentru că acestea conţin date cu caracter personal. Este vorba de Camera Înregistrării de stat (CÎS), care furniza publicului, contra plată, datele despre fondatorii companiilor, şi Comisia Electorală Centrală (CEC), care pe 30 mai 2015 anunţa că suspendă activitatea site-urilor sale, după ce CEC a fost ţinta unui control inopinat din partea Centrului Național pentru Protecția Datelor cu Caracter Personal, care s-a autosesizat în baza unui pretins fapt de prelucrare ilegală a datelor cu caracter personal.
În comunicatul său de presă CEC menţiona că “decide să suspende utilizarea, pe o perioadă nedeterminată, începând cu 30 mai 2015, ora 14.00, a paginilor web administrate de instituție (www.cec.md, www.voteaza.md, www.alegator.md), care, pînă în prezent, au informat toate părțile interesate despre: transmisiunile video, în direct, ale ședințelor CEC; hotărârile aprobate și procesele verbale ale ședințelor CEC; rapoartele financiare ale concurenților electorali în campania electorală; cadrul normativ aferent alegerilor și rezultatele acestora (inclusiv grafice); arhiva funcțională, inclusiv baza de date a alegerilor organizate și desfășurate până în prezent; corespondența de intrare-ieșire (cereri și petiții din partea cetățenilor, demersuri oficiale ș.a.); contestațiile depuse de concurenții electorali și alegători în perioada electorală; alte informații relevante în interes public. În zilele următoare CEC va examina procedura de retragere, până în ziua alegerilor, a listelor electorale afișate în cele circa 2000 de birouri electorale, unde se află la moment, pentru a putea fi verificate de către alegători, pe motiv că acestea conțin date cu caracter personal și deschiderea lor către public este strict vegheată de Centrul Național pentru Protecția Datelor cu Caracter Personal”. În scurt timp, însă, CEC şi CNPDCP au ajuns la o înţelegere şi lucrurile, totuşi, n-au degenerat într-atât de mult în ajunul alegerilor locale.
În cazul CÎS, Centrul Naţional pentru Protecţia Datelor cu Caracter Personal (CNPDCP) a intervenit după inițiativa Guvernului de a oferi publicului acces gratuit la datele despre fondatorii întreprinderilor (numele și prenumele), care să fie încărcate pe portalul datelor guvernamentale. La început a fost doar un aviz negativ de la CNPDCP, care era preocupat, printre altele, de ștergerea și corectarea datelor de pe Internet, atunci când acestea nu vor mai fi veridice și se vor referi la o situație din trecut. Asta în condițiile în care aceleași date erau furnizate publicului până acum, doar că nu gratuit, ci contra plată. Însă, ulterior, evoluţia a fost fulminantă: CNPDCP a adoptat decizia de sancționare a CÎS, obligându-i să nu mai dezvăluie date. Adică, de la ideea de a fi publice, acestea nu vor mai putea fi accesate nici cu bani.
Aceste evenimente au reprezentat un duş rece în contextul faptului că, în sfârşit, opinia publică s-a sesizat asupra problemei cum este scrisă şi interpretată Legea Nr. 133 din 08.07.2011 privind protecţia datelor cu caracter personal. Ideea este următoarea: specialiştii de la CNPDCP nu ştiu decât că toate datele trebuie protejate şi dezvăluite doar cu consimţământul persoanei vizate. Pentru ei nu există conceptul de interes public sau prioritatea dezvăluirii informaţiei în raport cu interesul persoanei de a o ţine închisă. Presa a reacţionat imediat cu o Declaraţie, iar CNPDCP a bătut puţin în retragere, începând să se justifice şi să afirme că jurnaliştilor accesul nu le va fi restricţionat.
Acţiunile CNPDCP nu au găsit susţinere nici în reacţiile altor autorităţi publice care, într-o formă sau alta, au arătat o reacţie dezaprobatoare. În mod special, o analiză a legislaţiei şi standardelor europene a făcut-o Ministerul Justiţiei care, în concluzia sa afirmă că în cadrul normativ-juridic nu există niciun impediment pentru publicarea numelui și prenumelui fondatorilor - companiilor din Republica Moldova - persoane fizice. La capitolul standarde europene, Ministerul Justiţiei invocă Directiva 2009/101/CE a Parlamentului European şi a Consiliului din 16 septembrie 2009 care, în capitolul 2, prevede publicitatea obligatorie cu privire la „numirea, încetarea funcției, precum și identitatea persoanelor care, în calitate de organ constituit în temeiul legii sau ca membri ai unui astfel de organ: (i) au competența de a angaja societatea față de terți și de a o reprezenta în justiție; măsurile de publicitate trebuie să precizeze dacă persoanele care au competența de a angaja societatea pot face acest lucru individual sau trebuie să acționeze împreună; (ii) participă la administrarea, supravegherea sau controlul societății” (art. 2 lit d), i) şi ii)).
Legea privind protecţia datelor cu caracter personal definește datele cu caracter personal drept orice informaţie referitoare la o persoană fizică identificată sau identificabilă (subiect al datelor cu caracter personal). Persoana identificabilă este persoana care poate fi identificată, direct sau indirect, prin referire la un număr de identificare sau la unul ori mai multe elemente specifice identităţii sale fizice, fiziologice, psihice, economice, culturale sau sociale. Această definiție, preluată, e adevărat, din legislaţia europeană, ridică următoarea întrebare: există măcar vreo informație despre persoana fizică care nu intră sub regimul de date cu caracter personal? Din definiție înțelegem că absolut orice informație, indiferent de natură și conținut, atât timp cat este raportată la nume și prenume (identificarea), sau la numărul de identificare (IDNP), și/sau la alte particularități specifice identității (identificabilitatea), reprezintă date cu caracter personal.
O interpretare literală a definiţiei datelor cu caracter personal ne duce la absurdul că trebuie să uităm că omul se naşte în societate, că pe parcursul vieţii interacţionează social şi tot ceea ce-i aparţine omului aparţine implicit şi societăţii. Nu există date cu caracter personal în mod absolut, există doar informaţii care se doresc a fi private, intime şi neabuzate prin diseminare largă. Toate datele „cu caracter personal” sunt cunoscute de un anumit cerc de oameni. Iar cel mai important fapt este că aceste date sunt adevărate, şi dacă se fac publice, nu se fac publice falsuri.
În momentul în care se naşte omul se nasc datele cu caracter personal. Acestea îl definesc şi sunt un element al societăţii. Societatea se dezvoltă prin oameni, adică prin prelucrarea datelor cu caracter personal care se acumulează în fiecare zi: grădiniță, şcoală, note, lucru, salariu, căsătorie, copii etc. Fără să arăţi buletinul nu poţi face aproape nimic, fără să anunţi despre copii, nu poţi obţine scutiri fiscale pentru ei etc. Deci absolut toate unităţile de drept prelucrează date cu caracter personal şi asta n-ar trebui să fie o problemă.
Problema este ce poate şi trebuie să fie public. Şi aici răspunsul trebuie să fie simplu: tot ceea ce prezintă interes public real (adică nu este o simplă curiozitate). Dacă este un conflict cu interesul privat, atunci se cântăresc ambele interese şi prioritate are cel cu greutatea mai mare din perspectiva impactului şi necesităţilor societăţii. Acest principiu este valabil în legislaţia internă a Republicii Moldova din 2000, prin adoptarea Legii privind accesul la informaţie, şi din 2010 prin adoptarea Legii privind libertatea de exprimare. Ambele legi tratează problema informaţiei cu caracter personal şi reglementează problema pornind de la ceea ce este de interes public, rezonabil şi de bun simţ.
Dar în interpretarea Legii privind protecţia datelor cu caracter personal CNPDCP nu prea ţine cont de aceste legi, adoptate anterior şi nici de oricare altele, care se referă la domeniile specifice – aşa cum este şi legislaţia electorală sau cu privire la antreprenoriat. Este adevărat că odată cu adoptarea Legii Nr. 133 s-a ţinut neapărat să se modifice nişte legi, inclusiv Legea privind accesul la informaţie a cărei text înainte de 2012 stabilea că nu constituie informaţie confidenţială datele ce ţin exclusiv de identitatea persoanei (se are în vedere datele cuprinse în buletinele de identitate). În 2012 însă această prevedere s-a exclus şi a fost înlocuită cu o trimitere la Legea nr. 133 din 2011 (art. 8 alin (2)).
Dar este logic şi rezonabil ca nu toate informaţiile despre persoană să fie considerate „cu caracter personal” din perspectiva regimului restrictiv de utilizare: spre exemplu, datele din buletin – nume, prenume, locul naşterii, patronimic şi IDNP. Fără ele nu se poate trăi în societate, deci ele nu sunt un atribut al persoanei, ci al societăţii. Restul informaţiei, raportată la acestea, va fi cu regim de confidenţialitate în dependenţă de conţinut, dar nu în mod absolut. Astfel, în legea generală trebuie stabilite nişte principii ale confidenţialităţii şi, respectiv, publicităţii. Iar aspectele speciale, adică de conţinut, vor fi reglementate de legile speciale, şi nu de legea generală. Respectiv, aspectele electorale se reglementează de Codul electoral, cele ce ţin de domeniul medical, educaţional, comercial de legile din domeniu ş.a.m.d. Or, atunci când se adoptă aceste legi speciale se cântăreşte în mod concret importanţa publică sau delicateţea conţinutului unei informaţii, ținându-se cont de principiile legii generale, şi această evaluare este una mai apropiată de ideea de interes public, căci se face din perspectiva unei situaţii specifice.
După cum am încercat să sugerez, cele de mai sus sunt nişte situaţii rezonabile, dezirabile. Or lectura Legii privind protecţia datelor cu caracter personal te lasă mai curând confuz. De aceea, ea şi se interpretează în defavoarea interesului public. De aceea, ea şi trebuie modificată în sensul adaptării acesteia la rezonabil, normalitate şi bun simţ, incluzând nişte prevederi clare şi mult mai multe nuanţe. Pentru că informaţiile raportate la persoană sunt nuanţate: există informaţii esenţiale – cele din buletin, folosite în mod curent peste tot, există informaţii delicate ca cele despre sănătate, adopţie, care trebuie să fie confidenţiale, există informaţii neutre, există informaţii care trebuie să fie publice, pentru a fi evitat abuzul, corupţia şi pentru a înlesni exercitarea drepturilor celorlalţi. Deci există interes public/interes legitim vs. curiozitate. Iar în ceea ce privește analiza interesului legitim de a publica/prelucra anumite informaţii și balanța între acesta și interesele persoanei pentru confidenţialitate, sugerăm CNPDCP să analizeze atent Avizul Grupului de Lucru Art. 29 nr. 06/2014 cu privire la noțiunea de interese legitime ale operatorului în temeiul articolului 7 din Directiva 95/46/CE şi să transpună aceste recomandări în legislaţia şi practica Republicii Moldova.
______________
Acest material este publicat în cadrul proiectului “Campanii de advocacy pentru asigurarea transparenței proprietății media, a accesului la informație, promovarea valorilor și integrării europene”, implementat de CJI, care la rândul său face parte din proiectul „Parteneriate pentru o Societate Civilă Durabilă în Moldova”, implementat de FHI 360.
Elaborarea acestui material este posibilă datorită ajutorului generos al poporului american oferit prin intermediul Agenției SUA pentru Dezvoltare Internațională (USAID). Opiniile exprimate în cadrul materialului aparţin autorilor şi nu reflectă în mod necesar poziţia USAID sau a Guvernului SUA.