Consultare pre-pay în pas de defilare
Ieri, 22 august 2019 (pentru că pe 23 august e marea defilare și nu putea fi organizată consultarea de “ziua națională”), a avut loc consultarea privind proiectul de OUG pentru înregistrarea obligatorie a datelor personale ale utilizatorilor de cartele pre-pay.
Preambul - Consultare cu consimțământ “forțat”
Totul a început “bine”, încă dinaintea consultării. Mai precis, înscrierea la consultare a prevestit aspectele tragi-comice care urmau să aibă loc și cu ocazia consultării propriu-zise. Cum așa?
Pentru un pic mai mult context trebuie menționat că ordonanța la care facem referire, în afară de înregistrarea cartelelor SIM pre-pay, mai abordează și alte aspecte, cum ar fi implementarea AML (Advanced Mobile Location) în România. Asta fiind ceva cu care Romania se lăuda că a implementat încă din 2015. Detalii!
Și AML-ul și înregistrarea cartelelor SIM pre-pay, și multe alte detalii din aceasta ordonanța au un numitor comun: toate au de a face cu date cu caracter personal, deci toate având de a face cu GDPR-ul. Aici vroiam să ajungem: la GDPR. Cum au abordat organizatorii consultării problema protecției datelor cu caracter personal a celor care doreau sa participe la consultare?
Simplu: pentru că evenimentul urma să aibă loc (și a și avut loc) la sediul MCSI, accesul trebuia făcut pe bază de buletin. Din acest motiv, organizatorii au considerat de cuviință să ceară ca în email-ul de înregistrare la consultare, potențialii participanți să se înscrie cu nume, prenume și număr și serie de act de identitate. Hopa! Cum asa? GDPR? În ce scop? De ce este nevoie? Vreo informare cf art. 13 din GDPR?
Nimic! Nici o menitune nicaieri. Probabil că vreun cârcotaș le-a atras atenția asupra această stare de fapt (... știm noi cine e persoana respectivă). Ca prin minune, după ce respectivul cârcotaș le-a, cum se zice în popor, "băgat mortu'n casă", organizatorii au luat măsuri în mod prompt.
Au citit ei cumva textul GDPR-ului? Sau poate chiar îl citiseră deja și știau de art. 13 așă că s-au dus repede și l-au recitit doar pe acesta?
Neahhh! Au trimis un formular de "consimțământ" pe care potențialul participant la consultare trebuia să-l completeze pentru a-și da consimțământul ca datele sale să-i fie prelucrate. "[...]declar prin prezenta că sunt de acord ca Ministerul Comunicațiilor și Societății Informaționale (MCSI) să proceseze datele mele personale în cadrul activității de dezbatere publica cu privire la[...]". Deja apar mai multe întrebări decât răspunsuri. Ce înseamna "proceseze datele mele personale în cadrul activității de dezbatere publica"? Acesta e “scopul prelucrării”, probabil. Și mai amuzant devine când vedem ce date, suplimentare, trebuiesc completate în respectivul formular: adresa de domiciliu, adresa de email (pe care o aveau deja pentru că înscrierea se făcea pe email), numărul de telefon și, evident, o semnătură olografă.
Asta fără a intra în detaliile - deja “filosofice” privind dezbaterea a ce înseamnă "consimțământ". Se poate numi "consimțământ" atunci când ești forțat să ți-l dai pentru a-ți exercita un drept (de participarea la o dezbatere publică)? În concluzie, încă dinaintea consultării, statul român ne-a demonstrat cum nu înțelege nici litera și, cu atât mai puțin, spiritul GDPR-ului.
Pe fond - trebuie, și asta e tot ce contează
Apoi a venit dezbaterea. Declaratii grandioase ale domnului Raed Arafat despre cum înregistrarea cartelelor SIM pre-pay vor salva resurse și resursele acestea salvate vor salva vieți. O surpriză plăcută din partea reprezentanților STS-ului, care spre deosebire de predecesorii lor au fost foarte tehnici, la obiect și s-au focalizat mai mult pe aspectele legate de AML. O surpriză mai neplăcută a venit, în schimb, din partea reprezentanților ANCOM, care, dincolo de faptul că au susținut înregistrarea cartelelor SIM pre-pay, au mai furnizat și câteva perle interesante.
Prima perlă a fost că Grupul de lucru 112 a analizat hotărârile Curții Constituționale și că ce se vrea acum nu are legătură cu ce se vroia atunci (vedeți al doilea video de aici, începând cu timestamp-ul 9:15). Cum așa? Simplu: au amestecat retenția datelor de trafic, care era o lege complet separată, cu accesul cu buletinul la hotspot-urile WiFi, care deși, într-adevăr, făcea parte din proiectul de lege de la ultima tentativă de înregistrare a cartelelor SIM pre-pay, era cu totul o altă poveste și cu înregistrarea cartelelor SIM pre-pay. Încercare de dezinformare? Încercare de fake-news? Nu știm. Dar era multă presă la fața locului. Noroc că documentul de poziție ApTI conțiea un citat ad litteram din decizia CCR care făcea referire directă la faptul că înregistrarea obligatorie a cartelelor SIM pre-pay afectează o serie întreagă de drepturi fundamentale (punctul 2 de aici).
O a doua a fost că, unul dintre reprezentații ANCOM ne-a povestit, chiar cu deplină seninătate, cum operatorii de telefonie mobilă deja au desfășurat campanii comerciale de colectare a datelor personale ale cumpărătorilor de cartele SIM pre-pay: ceva de genul "dați-ne datele voastre și vă dăm câțiva EUR credit pe cartelă". Și sigur că mulți le-au dat datele. Pâna aici nimic în afara legii. Mai interesant a devenit când același reprezentant ANCOM ne-a spus cum acele date deja strânse vor fi folosite direct pentru a "amorsa" baza de date de posesori de cartele SIM pre-pay. GDPR? Ce e ăla? Cum adică să nu putem folosi datele strânse într-un scop folosite pentru un alt scop?
În rest, ce a mai ieșit în evidență a fost cum toți susținătorii înregistrării cartelelor SIM pre-pay (domnul Raed Arafat cu precădere, și într-o măsură mai mică reprezentanții ANCOM) ne-au tot povestit ei cum, de fapt, noi suntem aia ciudați pentru că nu avem cartele SIM pre-pay înregistrate. Că 22 de țări din UE și vreo 150 de țări din toată lumea le înregistrează. Da, într-adevăr, exemple de urmat în domeniul respectării drepturilor fundamentale cum ar fi China, Rusia, Iran, Coreea de Nord au înregistrare obligatorie a cartelelor SIM pre-pay. Iar Statele Unite ale Americii, Marea Britanie, Suedia, Finlanda, unde nu exista obligativitatea înregistrării cartelelor SIM pre-pay sunt niște exemple pe care noi nu ar trebui să le urmăm.
Tentantivă de concluzie
Nicio discuție pe fondul problemei - care este scopul exact al prelucrării? De ce nu se poate atinge acest scop prin alte mijloace? Sunt datele personale relevante pentru acest scop? De ce nu s-a făcut un DPIA (Art 35 GDPR)? Etc.? De asemenea, deși s-a spus ca cei de la ANSPDCP ar fi fost printre autoritățile care ar răspunde la întrebări, chiar dacă poate că au fost în sală, nimeni de la ANSPDCP nu a luat nici un fel de poziție sau dat vreun fel de explicație.
Totul pare se învârti în jurul conceptului că trebuie să-i pedepsim pe cei care fac apeluri false la 112. Și ca sa nu scape vreun contravenient nepedepsit, îi tratam pe toți ca potențiali contravenienți. Este aceeași răsturnare a principiului de prezumție a nevinovăției care este foarte la modă în societatea românească în ultima perioada. Referință la 23 august-ul din vremurile de tristă amintire nu este întâmplătoare. Societățile comuniste sunt faimoase, printre altele, prin această răsturnare a prezumției de nevinovăție. Pentru cei înclinați la lectură suplimentară, vă puteți deschide apetitul pe acest subiect aici.
PS: Daca vreti sa cititi si alte opinii despre dezbatere, cititi la APADOR CH si la Hotnews.
Add new comment