Interviu cu Cătălin GIULESCU, director general, Direcția pentru Evidența Persoanelor și Administrarea Bazelor de Date din cadrul M.A.I.
Protejați, supervizați și gestionați uneia dintre cele mai mari și mai importante baze de date din România – datele privind persoanele fizice din țară. Este o misiune critică, de mare răspundere. Care sunt principalele provocări cu care vă confruntați în această direcție?
Principalele provocări cu care ne confruntăm în prezent sunt legate de trecerea la furnizarea de servicii digitale. Această migrare presupune reconsiderarea tuturor procedurilor pe care le avem în prezent, presupune reconsiderarea modului în care interacţionăm cu cetăţeanul, concomitent cu fluidizarea anumitor fluxuri şi flexibilizarea serviciilor pe care le prestăm cetăţeanului.
În aceste condiţii, provocările țin, pe de o parte, de dezvoltarea infrastructurii existente şi pe de altă parte de creşterea nivelului de securitate, în special la nivelul modului în care interacţionăm cu cetăţeanul.
Respectarea Regulamentului GDPR pare o povară pentru cei care pun aceste măsuri pe seama unui zel demn de cauze mai bune. De ce trebuie, până la urmă, protejate unele date personale uzuale (adrese fizice, coduri numerice personale) câtă vreme, de facto, esențiale sunt datele financiar-bancare deja puse la adăpost de instituțiile financiar-bancare, cele privind starea de sănătate și, poate, cele privind orientarea sexuală și religioasă?
Trebuie să recunosc că impementarea normelor GDPR în România a condus la creşterea birocraţiei şi, în special, la crearea unui formalism excesiv în anumite domenii. În nici un caz nu a existat intenţia ca formalismul să crească la nivelul la care s-a ajuns în prezent. În opinia mea, este vorba, de multe ori, despre o neînţelegere a principiilor prelucrării datelor cu caracter personal.
În ceea ce priveşte datele cu caracter personal, ar trebui să nu desconsiderăm anumite categorii de date şi să considerăm că altele ar avea o importanţă deosebită. Într-adevăr, datele financiar bancare au importanţă, oarecum specială, având în vedere consecinţele negative pe care le putem suporta în măsura în care pierdem anumite informaţii. Totuşi, în ceea ce priveşte categoriile de date cu caracter personal, ne putem referi în special la cele antropice, adică la cele create de om, cum ar fi Codul Numeric Personal.
Prelucrarea Codului Numeric Personal presupune în sine o prelucrare care implică un anumit nivel de depăşire a ceea ce este necesar în anumite situaţii, având în vedere că această informaţie, Codul Numeric Personal, relevă despre cetăţean, prin simpla prelucrare, mai multe categorii de date: data naşterii, sexul, şi o anumită doză de geolocalizare în ceea ce priveşte înregistrarea naşterii acestei persoane.
În aceste condiţii, printr-o simplă prelucrare, intruziunea în viaţa privată creşte uneori, depăşind ceea ce este necesar. O astfel de prelucrare apare ca necesară în măsura în care vorbim de prelucrare de date prin sisteme informatice, având în vedere că este necesar ca cetăţeanul să fie identificat unic. Astfel, de foarte multe ori, când vorbim de prelucrări informatice, prelucrarea CNP-ului este considerată ca o necesitate.
Sunteți datori să fiți conformi cu toate legile, hotărârile și normele în vigoare – unele care țin de perimetrul național, altele care sunt impuse de Uniunea Europeană, al cărui stat membru suntem. Cât de mult vă afectează schimbările de direcție, actualizările dictate periodic la nivel local și continental?
În ceea ce priveşte schimbările legislative, în opinia mea, la nivel european suntem în prezenţa unei evoluţii coerente, nu avem schimbări de direcţie. Totuşi, în ceea ce priveşte reglementările adoptate la nivel naţional, aşa cum am spus de fiecare dată, critic acea situaţie în care, invariabil, actele normative adoptate intern se termină cu o expresie, cu un articol în care se spune „Prelucrările realizate în temeiul prezentei legi, hotărâri de guvern, ordonanţe, se realizează în conformitate cu dispoziţiile Regulamentului GDPR.” Or, o astfel de normă nu aduce nimic nou, se limitează doar la a face trimitere la GDPR pe care foarte mulţi îl aplică, puţini îl înţeleg.
Astfel, ar fi nevoie de norme aplicate prin care să se explice în concret cum se realizează aplicarea dispoziţiilor, cel puţin a acelor principii prevăzute la articolul 5 din Regulamentul GDPR. În opinia mea, ar trebui principiu cu principiu să fie abordat şi să fie arătat în concret cum trebuie să se realizeze aplicarea în ceea ce priveşte prelucrările realizate pentru atingerea scopurilor prevăzute de actele normative interne.
