Am considerat mereu că „numele și prenumele„ nu sînt date cu caracter personal.

Argumentul folosit: nu identifică în mod direct/unic o persoană. Dacă ne ducem cu discuția spre bazele de date știm că o astfel de înregistrare nu poate fi cheie primară într-o tabelă. De fapt, din cauză că am judecat prin prisma IT-ului acest subiect, am greșit!

Deunăzi am citit însă Decizia 37/2015 a ÎCCJ unde se spune:

„Pe fondul sesizării, soluția propusă este aceea că, în interpretarea și aplicarea art. 2 alin. (1) lit. c) din Legea nr. 544/2001 și art. 3 alin. (1) lit. a) din Legea nr. 677/2001, numele și prenumele unei persoane reprezintă informații referitoare la date cu caracter personal, indiferent dacă, într-o situație dată, sunt sau nu suficiente pentru identificarea persoanei.„

După prima lectură mi-am spus că este o mare eroare. M-am dus imediat la definiția din GDPR fiind convins că am eu dreptate:

date cu caracter personal” înseamnă orice informații privind o persoană fizică identificată sau identificabilă („persoana vizată”); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale;

Decizia ÎCCJ nu face altceva decît să reformuleze definiția din GDPR (de fapt din fosta Directivă)

Să evidențiem cîteva lucruri:

• orice informații privind o persoană identificată sau identificabilă
• direct sau indirect
• nume

Sînt destul de puține situațiile în care o persoană poate fi identificată direct doar pe baza numelui. Dar alte informații asociate numelui (adresa, o fotografie, numărul de telefon – să spunem informații socio-economice, psihologice) vor conduce la identificarea persoanei. Acea persoană devine „identificabilă„.

Spus astfel: pe baza numelui, o persoană nu este identificată în mod direct dar este identificabilă. Acest lucru reiese chiar din definiție: „prin referire la un element de identificare„.

Pentru a se determina dacă o persoană fizică este identificabilă, ar trebui să se ia în considerare toate mijloacele, cum ar fi individualizarea, pe care este probabil, în mod rezonabil, să le utilizeze fie operatorul, fie o altă persoană, în scopul identificării, în mod direct sau indirect, a persoanei fizice respective.- Preambul 26 din GDPR

În fapt decizia ÎCCJ se înscrie în linia deciziilor Curții Europene de Justiție:

referring, on an internet page, to various persons and identifying them by name or by other means, for instance by giving their telephone number or information regarding their working conditions and hobbies, constitutes the processing of personal data within the meaning of Directive 95/46/CE – European Court of Justice C-101/2001of 06.11.2003.

Dacă aș fi avocat aș spune: „„Mi-am încheiat pledoaria.”„

Ce se întîmplă din punct de vedere tehnic? Operatorul, singur sau împreună cu alte entități stabilește „scopul prelucrării„ și are obligația de a pune în practică „măsuri tehnice și administrative„. Măsurile tehnice sînt cele care devin foarte-foarte importante! De ce? Pentru că trebuie luate în calcul toate mijloacele care, odată utilizate, conduc la identificarea unei persoane.

Întrebare: în cîte organizații, „clasificarea informațiilor„ trece dincolo de o procedură scrisă?