ActiveNews se confruntă cu cenzura pe rețele sociale și pe internet. Intrați direct pe site pentru a ne citi și abonați-vă la buletinul nostru gratuit. Dacă doriți să ne sprijiniți, orice DONAȚIE este binevenită. Doamne, ajută!


Cât de mincinoasă poate fi dna VP Oana Gheorghiu! Chiar că Aprindem Lumina, dar suntem nevoiți să o stingem repede cât sunt ei la conducere pentru că au scumpit-o mult.

Explicații aici:

Joi seară, vicepremierul României, doamna Oana Gheorghiu, a transmis un mesaj de la cabinetul său din Palatul Victoria către parlamentari, în contextul votului pe Moțiunea de Cenzură apropiat în Parlament. Mesajul nu a fost trimis pe adresele oficiale ale acestora, cele cu extensiile @cdep.ro și @senat.ro, ci pe adresele de e-mail personale — de tip Gmail, Yahoo și altele asemenea. Unele dintre acele adrese figurează pe paginile oficiale ale Camerei Deputaților sau ale Senatului, însă altele nu, ceea ce ridică întrebarea de unde au fost obținute. Posibil de pe paginile de Facebook ale parlamentarilor, posibil din alte locuri publice de pe internet, posibil chiar primite pe filieră internă de la Parlament. Nu știm.

La prima vedere pare un detaliu tehnic. În realitate, este o problemă serioasă de protecție a datelor cu caracter personal.

Punctul de plecare este simplu: o adresă de e-mail personală rămâne o dată cu caracter personal, chiar dacă apare într-o postare publică pe Facebook sau pe site-ul Parlamentului. Faptul că poate fi găsită online nu o transformă într-un bun comun la care orice instituție se poate servi după bunul-plac. GDPR cere ca orice prelucrare, inclusiv simpla folosire a unei adrese pentru a trimite un mesaj, să aibă un temei legal, să fie necesară pentru un scop precis și să respecte obligația de transparență față de persoana vizată.

Prima problemă este absența unui temei juridic clar pentru folosirea adreselor private.

Aici GDPR este chiar mai strict cu autoritățile publice decât cu privații: așa-numitul „interes legitim” din art. 6 alin. (1) lit. f), pe care un privat îl poate invoca relativ ușor, nu se aplică autorităților publice în îndeplinirea atribuțiilor lor. Cu alte cuvinte, Guvernul nu se poate ascunde după argumentul „am avut un interes legitim să le scriu”. Trebuie să arate exact pe ce se sprijină: o obligație legală, o sarcină de interes public sau exercitarea autorității publice. Și nu este suficient să existe un temei generic, formulat pe trei rânduri, trebuie demonstrat concret de ce folosirea adreselor personale, în locul celor oficiale, era necesară pentru atingerea scopului. De vreme ce există canale instituționale ale Camerei Deputaților și Senatului, create tocmai pentru comunicarea cu parlamentarii în calitatea lor oficială, justificarea folosirii adreselor private devine ne-necesară.

De aici decurge a doua problemă: principiul minimizării datelor.

GDPR cere ca un operator să prelucreze numai datele strict necesare pentru scopul declarat, nimic în plus. Dacă mesajul vicepremierului era unul instituțional, despre o procedură de vot, atunci folosirea adreselor personale, în loc de cele oficiale, dedicate tocmai acestui tip de comunicare, depășește ceea ce era necesar. Nu contează că adresele puteau fi găsite ușor; contează dacă, pentru scopul respectiv, erau indispensabile. Este greu de susținut că da.

A treia problemă privește modul în care au fost obținute adresele.

Dacă unele dintre ele au fost luate de pe Facebook, de pe pagini publice sau primite de la Parlament, intervine art. 14 din GDPR, care impune obligația de informare atunci când datele nu sunt obținute direct de la persoana vizată. Dna VP Gheorghiu trebuie să spună ce prelucrează, în ce scop, pe ce temei și, foarte important, din ce sursă, inclusiv dacă sursa este una publică. CJUE a tranșat acest aspect în cauza Bara, unde a reținut că transmiterea de date între două autorități publice și prelucrarea lor ulterioară nu sunt compatibile cu cerințele de informare dacă persoanele vizate nu au știut despre ele și dacă nu există o bază legală publică și clară. Este exact tipul de raționament care se aplică aici.

Trebuie spus apăsat un lucru, pentru că în dezbaterea publică se confundă des: faptul că o adresă de e-mail a fost publicată pe Facebook sau pe site-ul Parlamentului nu echivalează cu un consimțământ general pentru orice reutilizare ulterioară. „Era pe internet” nu este un argument juridic. În logica GDPR, sursa publică este doar un element de transparență, nu o derogare de la legalitate, nu o scutire de la principiul minimizării și nu o acoperire pentru lipsa informării.

În esență, problema nu este că vicepremierul a vrut să comunice cu parlamentarii. Comunicarea instituțională este firească, ba chiar de dorit.

Problema este că o autoritate publică a folosit date de contact personale fără să arate, în mod transparent, pe ce temei legal a făcut-o, de ce nu erau suficiente adresele oficiale și cum a ajuns în posesia acelor adrese atunci când ele nu apar în spațiul public al Parlamentului.

Acesta este, până la urmă, miezul problemei: faptul că o instituție a statului a tratat ușor o obligație pe care GDPR o așază chiar mai apăsat în sarcina autorităților publice decât în sarcina oricărui privat.