Pe măsură ce „fatidica„ zi de 25 mai 2018 se apropie crește puțin și „agitația„: spețe mai mult sau mai puțin „exotice„, sfaturi și opinii diverse, oferte de tot felul. Dar și exagerări….

Puține sînt organizațiile care nu vor fi afectate de cerințele GDPR. În sectorul public situația este chiar sublimă. Dar nici în cazul „persoanelor vizate„ nu cred că stăm mai bine la capitolul „conștientizare„: notorietatea, comoditatea, banii…sînt (încă ?) pentru mulți mai importante decît  datele personale.

Dar „efectul„ pentru operatori/persoane împuternicite este diferit în funcție de „natura contextul, domeniul de aplicare și scopurile prelucrării„.

Cîteva exemple care nu țin cont de măsurile de securitate care ar exista în fiecare caz în parte și prin urmare nu spun nimic despre verosimilitatea scenariilor.

1. Listele electorale

listă electorală – listă ce cuprinde toţi alegătorii care îşi exercită dreptul de vot în cadrul unei secţii de votare – Legea 35/2008

Un exemplar al listei electorale permanente care cuprinde alegătorii din secţia de votare este pus la dispoziţia alegătorilor pentru consultare şi un exemplar este utilizat în ziua alegerilor. Pe situl https://www.registrulelectoral.ro, pe bază de CNP și nume poți verifica circumscripția electorală unde ești arondat: situl nu „întoarce„ nici o dată cu caracter personal.

Listele electorale permanente vor cuprinde, în ordinea numărului imobilelor în care locuiesc alegătorii, numele şi prenumele, domiciliul acestora, codul numeric personal, seria şi numărul actului de identitate, seria şi numărul cărţii de alegător, numărul circumscripţiei electorale pentru fiecare tip de scrutin, sau, după caz, al colegiului uninominal şi numărul secţiei de votare. – Art. 26 (4) Legea 35/2008

Nu avem nici un dubiu că o astfel de listă conține date cu caracter personal. Există recomandări ale ANSPDCP care precizează că aceste liste nu trebuie să fie afișate în afara secției de votare. Acest lucru nu înseamnă însă că, atunci cînd vei consulta lista, nu vei vedea și datele altor alegători, date care sînt în acest context publice.

Dar a colecta datele de pe aceste liste și a le folosi în alt context decît cel precizat în lege nu este legal. Argumentul că într-un anumit context au fost publice nu cred că este unul valid.

2. Codul de client al companiei de apă

Este un identificator unic/pseudonim, o dată cu caracter personal. În cazul celor care locuiesc la casă îl găsim de multe ori „afișat„ în locuri publice: stîlpul din fața casei, gard, capacul de la căminul de acces la branșament etc.

Dar ce spune despre „persoana vizată„, pentru public, acest cod? Are el vreo semnificație? Cum îi afectează „drepturile și libertățile„, inclusiv „dreptul la protecția datelor„? Ce riscuri produce prin afișare? Angajații companiei, pe baza acestui cod „ce știu„ despre persoana vizată comparativ cu publicul?

3. Nume prenume, cont de email

Am făcut subscribe pe un site pentru a avea acces la anumite resurse. Singurele informații solicitate au fost: nume prenume și adresă de email. Numele de utilizator este identic cu adresa de email. Ce impact va avea divulgarea acestor informații asupra mea?

4. Nume, prenume, CNP, adresă și cont de email

4.1 Card fidelitate pizzerie

Am un card de fidelitate la o pizzerie. Pentru emiterea sa am furnizat Nume, prenume, adresă, telefon și adresă email. Să presupunem că datele clienților „dispar„ de pe server.  Se va vedea cîte pizza am comandat într-o anumită perioadă. Ce impact va avea această situație asupra mea? Dar dacă în lista ajunsă publică vor fi și clienți care au comandat doar „pizza vegetariană„?

4.2 Magazin online ce vinde produse de mercerie

Cumpăr, pentru mama mea, de pe un site, următoarele: 3 bucăți fir tricotat tip Mohair, 2 seturi de andrele și o cutie nasturi. Pentru asta trebuie să plasez o comandă și  să plătesc. Comanda presupune să furnizez nume prenume, telefon (pentru a fi contactat de curier) și o adresă de livrare. Plata pot să o fac online (printr-un procesator terț) sau ramburs. Să presupunem că datele furnizate de clienți devin publice. Ce impact va avea această situație asupra persoanei vizate?

4.3 Card fidelitate farmacie

Am un card de fidelitate la un lanț farmaceutic: nume prenume, CNP, telefon. Lista cu clienți și produsele comandate devine publică. Ce impact va avea această situație asupra persoanei vizate?

5. Medicina muncii și abonamente de sănătate

Compania la care lucrez îmi oferă un abonament de servicii de medicină a muncii. Evaluare psihologică pe care am făcut-o la cabinetul privat devine publică, din neglijența angajatorului meu. Ce impact va avea această situație asupra persoanei vizate?

De la furnizorul de servicii medicale la care am un abonament „dispare„ o listă cu rezultatele consultațiilor dintr-o zi: datele de identificare ale abonaților și diagnosticul prezumtiv. Ce impact va avea această situație asupra persoanei vizate?

6. Scoringul FICO

O persoană a aplicat pentru un credit la un IFN/bancă. Datele analizate și rezultatul evaluării preliminare sînt salvate într-un fișier Excel care este …pierdut și devin publice. Ce impact va avea această situație asupra persoanei vizate?

7. Infracțiuni

Acesta nu mai este un caz ipotetic ci real. O persoană care a ispășit o condamnare s-a dus să se înscrie la un medic de familie și să obțină un card de asigurări de sănătate. Respectivul medic l-a refuzat pentru că avea cazier!

Concluzie

Impactul pe care îl are afectarea securității datelor cu caracter personal asupra persoanei vizate diferă în funcție de „natură, context, scop„, chiar și pentru aceleași date.

PS: între posibilitatea de fi amendat și „o limitare temporară sau definitivă, inclusiv o interdicție asupra prelucrării„ este posibil ca unii operatori/persoane împuternicite să prefere prima variantă…..