Ce sunt datele personale?
În conformitate cu cadrul normativ al Uniunii Europene, noțiunea de „date cu caracter personal” înglobează ansamblul informațiilor care permit identificarea, directă sau indirectă, a unei persoane fizice. Aceste informații, considerate individual sau în coroborare, pot conduce la individualizarea unei persoane specifice.
Exemplificări ale datelor cu caracter personal cuprind, fără a se limita la:
- Numele și prenumele individului;
- Adresa de domiciliu sau de reședință;
- Codul numeric personal sau numărul actului de identitate;
- Informații medicale deținute de unități sanitare sau cadre medicale;
- Adrese de e-mail personalizate (e.g., prenume.nume@entitate.com).
În antiteză, nu vor fi încadrate în categoria datelor cu caracter personal:
- Codul de înregistrare al unei entități juridice;
- Adresele de e-mail generice (e.g., contact@entitate.com);
- Informațiile care au fost supuse unui proces de anonimizare.
Este important de reținut că titularii acestor informații cu caracter personal beneficiază de dreptul de a solicita anonimizarea datelor furnizate către terți. Utilizarea acestor date este condiționată de respectarea unor prevederi legale stricte de către entitățile care intră în posesia lor.
Obligativitatea conformării cu legislația în domeniul protecției datelor personale incumbă atât persoanelor juridice, cât și persoanelor fizice. Legea nr. 667/2001 definește conceptul de „operator” ca fiind orice persoană fizică sau juridică, de drept public sau privat, inclusiv autoritățile și instituțiile publice, care stabilește scopul și mijloacele de prelucrare a datelor cu caracter personal.
Folosirea datelor personale fără acord este infracțiune?
La nivelul Uniunii Europene, instrumentul juridic principal în materia protecției datelor cu caracter personal este Regulamentul General privind Protecția Datelor (GDPR – General Data Protection Regulation). Acest act normativ european a fost transpus în legislația națională prin Legea nr. 190/2018.
GDPR, adoptat prin Regulamentul UE 679/2016, are ca obiectiv primordial asigurarea protecției drepturilor fundamentale ale persoanelor fizice în contextul prelucrării datelor lor cu caracter personal. Dispozițiile acestui regulament se aplică în toate situațiile în care, în cadrul diverselor activități, persoanele fizice sunt solicitate să furnizeze date personale către instituții, persoane juridice sau alte persoane fizice.
Când ne sunt folosite datele personale fără acord?
În eventualitatea în care se constată că operatorii cărora le-au fost încredințate date cu caracter personal le utilizează sau le divulgă terților în absența unui consimțământ prealabil exprimat, persoanele vizate sunt îndreptățite să solicite, în primă instanță, încetarea acestor acțiuni neautorizate. În cazul în care nu se ajunge la o soluționare pe cale amiabilă, pasul următor constă în sesizarea Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP). Dacă nici această cale nu conduce la remedierea situației, există posibilitatea inițierii unei acțiuni în justiție.
În general, utilizarea neautorizată a datelor cu caracter personal nu este încadrată în sfera infracțiunilor, ci face obiectul regimului contravențional. Consimțământul expres al persoanei vizate reprezintă doar unul dintre elementele care determină conformitatea utilizării datelor cu prevederile GDPR.
Folosirea datelor personale fără acord – contravenție
În acest context, este important să facem o distincție clară între noțiunile de infracțiune și contravenție. Infracțiunea presupune comiterea cu vinovăție a unei fapte prevăzute de legea penală, care prezintă un grad ridicat de pericol social și este sancționată prin aplicarea unor pedepse penale, privative sau neprivative de libertate. În contrast, contravenția constituie o încălcare a normelor legale, săvârșită cu vinovăție, dar prezentând un pericol social de intensitate mai redusă comparativ cu infracțiunea. Sancțiunile aplicate în cazul contravențiilor sunt, de regulă, de natură pecuniară.
Legea nr. 190/2018, care transpune în dreptul intern prevederile GDPR, confirmă natura contravențională a utilizării neautorizate a datelor cu caracter personal. Astfel, încălcările în acest domeniu sunt sancționate conform dispozițiilor Capitolului VI al legii menționate. În România, cuantumul amenzilor pentru utilizarea ilegală a datelor personale variază între 500 EUR și 10.000 EUR.
Folosirea datelor personale fără acord – infracțiune
Deși, în general, utilizarea neautorizată a datelor personale este tratată ca o contravenție, există situații specifice, reglementate expres, în care aceasta poate constitui infracțiune. Aceste cazuri sunt prevăzute în mod explicit în Codul penal al României:
- Violarea vieții private (art. 226 Cod penal) – se referă la situațiile în care o persoană este filmată sau înregistrată fără consimțământ într-un spațiu privat.
- Falsul privind identitatea (art. 327 Cod penal) – vizează cazurile în care o persoană își atribuie în mod fraudulos identitatea altei persoane, utilizând datele personale ale acesteia (nume, prenume, copie act de identitate etc.).
- Violarea secretului corespondenței (art. 302 Cod penal) – se referă în special la distrugerea informațiilor conținute în corespondență sau divulgarea neautorizată a conținutului acesteia către terți.
- Frauda informatică (art. 249 Cod penal) – se aplică în situațiile în care credențialele de acces (nume de utilizator, adresă de e-mail, parolă etc.) sunt utilizate pentru accesarea ilegală a unui sistem informatic, în absența unui acord prealabil exprimat de titularul drepturilor.
Utilizarea neautorizată a datelor personale în România face obiectul unui regim juridic complex, care îmbină elementele de drept contravențional cu cele de drept penal. În timp ce majoritatea cazurilor sunt tratate ca și contravenții, existând un cadru sancționator specific prevăzut de Legea nr. 190/2018, anumite forme agravate de încălcare a dreptului la protecția datelor personale sunt încadrate în sfera infracțiunilor, fiind sancționate conform dispozițiilor Codului penal.