Interviu cu dl. comisar-șef Ionuț Cornel SAVU, șeful Oficiului Responsabilului cu Protecția Datelor Personale din cadrul MAI
Monitorizați și coordonați tot ceea ce ține de unele dintre cele mai importante baze de date din România, fiind îndrituit să îndrumați şi să monitorizați aplicarea unitară a legislaţiei în domeniul protecţiei persoanelor cu privire la prelucrarea datelor cu caracter personal, în cadrul structurilor/unităţilor M.A.I. Cât de solicitantă este misiunea dvs., în contextul în care apar des noi legi și norme, iar fluctuația de personal este una dinamică?
Pot să spun că este o misiune foarte solicitantă, având în vedere că, în opinia mea, structurile din cadrul M.A.I. efectuează zilnic cele mai multe și complexe operațiuni de prelucrare. Din păcate, legile și normele care apar în prezent și care instituie prelucrări de date pentru structurile M.A.I. nu sunt întotdeauna în concordanță cu rigorile legislației din domeniul protecției datelor cu caracter personal, fiind rolul nostru de a încerca să implementăm cele mai sigure mijloace de prelucrare, astfel încât să existe un echilibru între scopul urmărit de actele normative și respectarea dreptului la protecția datelor.
De asemenea, misiunea noastră, care urmărește crearea unei culturi organizaţionale menite să asigure respectarea dreptului fundamental la protecţia datelor cu caracter personal, este complexă, având în vedere că scopurile în care structurile M.A.I. prelucrează date sunt diverse și impun atât aplicarea Regulamentului General privind Protecția Datelor, cât și a Legii nr. 363/2018.
În ceea ce privește fluctuația de personal, trebuie recunoscut că acest aspect este unul provocator, deoarece implică din partea noastră alocarea unei mari părți din resurse spre instruirea/formarea personalului.
Aveți în directă coordonare două structuri: Compartimentul legislaţie şi proceduri şi respectiv, Biroul consiliere operatori. Unde sunt cele mai multe provocări și de ce?
Provocări sunt în cadrul ambelor structuri, dar cred că mai multe sunt la Biroul consiliere operatori, deoarece în cadrul acestei structuri activitatea este mai aplicată, personalul din cadrul Biroului având obligația de a organiza, coordona și verifica activităţile, măsurile şi acţiunile operatorilor din cadrul MAI în domeniul protecţiei datelor cu caracter personal.
Mai mult, personalul din cadrul Biroului trebuie să asigure consilierea operatorilor pe orice problematică din domeniul protecției datelor cu caracter personal, fiind în permanentă legătură cu responsabilii cu protecția datelor desemnați la nivelul acestora, cu utilizatorii și chiar cu personalul din conducerea acestora.
Acest aspect implică, totodată, atât o bună cunoaștere a legislației și studiilor de referință, cât și a jurisprudenței CEDO și CJUE, pentru a fi în măsură să recomande acestora aplicarea de măsuri tehnice și organizatorice adecvate, destinate să pună în aplicare principiile de protecție a datelor și să integreze garanțiile necesare în cadrul prelucrărilor pe care aceștia doresc să le instituie.
În ceea ce privește garanțiile și măsurile tehnice sau organizatorice, printre cel mai des recomandate de către aceștia aș aminti pregătirea de bază a personalului, instruirea angajaților cu privire la „igiena cibernetică”, pseudonimizarea datelor cu caracter personal, stocarea datelor cu caracter personal disponibile într-un format structurat, furnizarea de informații privind stocarea datelor cu caracter personal, dezvoltarea unor sisteme de depistare a programelor malware, etc.
Cum se prelucrează datele cu caracter personal la nivelul ministerului – electronic/digital sau și prin documente fizice, dar comunicarea datelor atât intern cât și extern?
La nivelul ministerului, datele sunt prelucrate atât electronic, cât și manual. Într-adevăr, în prezent este în desfășurare un amplu proces care sperăm noi să ducă la digitalizarea completă a fluxurilor de prelucrare a datelor cu caracter personal, dar care cred că va mai dura. Trebuie să precizez că amploarea procesului este dată și de încercarea noastră de a institui tehnici și tehnologii de ultimă generație în asigurarea securității datelor, astfel încât să putem fi luați ca exemplu în respectarea principiilor prelucrării datelor cu caracter personal, în special a principiului ”asigurării protecției datelor începând cu momentul conceperii și în mod implicit”.
În ceea ce privește comunicarea datelor, consider că pe parte internă stăm foarte bine, având în vedere că beneficiem, cu sprijinul structurilor M.A.I. de resort, de servere interne dedicate, comunicații criptate și tehnologii de ultimă oră. În schimb, situația stă altfel în ceea ce privește interacțiunea cu o parte din autoritățile publice centrale sau locale și entități private, având în vedere că nu toate pun accent pe protecția datelor cu caracter personal și nu toate au investit resurse în crearea unor canale de comunicații interne dedicate și securizate, optând pentru utilizarea unor furnizori externi care pun gratuit la dispoziție aceste servicii, fără a asigura însă respectarea dispozițiilor Regulamentului General privind Protecția Datelor.
Aveți în răspundere și prelucrarea și protejarea datelor cu privire la persoanele fizice aflate în anchete și investigații penale sau vă limitați doar la cele care vizează personalul M.A.I.?
Este important este ca toate datele prelucrate să beneficieze de același nivel de protecție. În concret, pentru a răspunde întrebării adresate, precizez faptul că la nivelul operatorilor M.A.I. sunt prelucrate date despre diverse persoane vizate, plecând de la angajați, vizitatori, solicitanți de servicii publice și ajungând, da, chiar la persoane aflate în anchete și investigații penale.
Din păcate, ce nu s-a înțeles foarte clar la nivelul României – și aș vrea să punctez aici – este faptul că pentru cea din urmă categorie enunțată, regulile de prelucrare sunt prevăzute de Legea nr. 363/2018 și nu de Regulamentul General privind Protecția Datelor, Legea nr. 363/2018 conferind anumite excepții pentru prelucrările de date realizate de către autoritățile competente în scopul prevenirii, descoperirii, cercetătii, urmăriri penale şi combaterii a infracţiunilor.
Cum stă M.A.I. la capitolul tehnologii avansate? Aveți la dispoziție software, hardware și comunicații care vă susțin și vă ajută suficient?
Așa cum am precizat și mai devreme, consider că structurile M.A.I. cu atribuții în domeniul IT&C și securității cibernetice, au făcut o treabă foarte bună în a dota ministerul cu tehnologii avansate, ținând pasul cu ultimele dezvoltări în domeniu și având în vedere riscurile tehnologice apărute, sprijinându-ne astfel în asigurarea securității datelor cu caracter personal prelucrate.
Aș menționa că, deși la acest capitol stăm bine. Problema nu este dacă dispunem de astfel de tehnologii, ci faptul că legislația națională aplicabilă instituțiilor publice este insuficientă sau de multe ori neactualizată la cerințele legislației din domeniul protecției datelor cu caracter personal în ceea ce privește utilizarea de astfel de tehnologii.
Și aș da un exemplu: pentru a fi în măsură să utilizăm Inteligența Artificială în diverse operațiuni de prelucrare realizate de instituții publice, acest aspect va trebui să fie legiferat împreună cu garanții corespunzătoare pentru protejarea persoanelor în dreptul național.
Cum apreciați că se situează ministerul de resort în privința protejării datelor cu caracter personal în comparație cu celelalte state din Uniunea Europenă?
Nu aș vrea să cred că există o competiție în acest sens la nivelul statelor membre din Uniunea Europeană, dar pot să spun că, prin prisma experiențelor acumulate de mine și colegii mei, care participăm în misiuni de evaluare Schengen pe domeniul protecției datelor, M.A.I și structurile subordonate, în calitate de operatori de date, pun mare accent pe asigurarea dreptului fundamental la protecția datelor cu caracter personal, fiind considerați de multe ori etalon din punct de vedere al măsurilor organizatorice și tehnice implementate pentru a asigura respectarea acestui drept.
Astfel, cultura organizațională care există în prezent la nivelul ministerului și care a început să fie creată încă din 2008, ne-a adus recunoaștere la nivel european ca fiind una din instituțiile de forță, care acordă importanța cuvenită acestui drept fundamental.
