Despre corelarea protecției datelor cu caracter personal cu reglementările referitoare la protecția informațiilor clasificate
29 iunie 2023 | Andrei SĂVESCU
Andrei Săvescu
Rezumat
Coexistența reglementărilor privitoare la protecția datelor cu caracter personal și a reglementărilor privind informațiile clasificate ridică probleme juridice cum sunt, de exemplu, raportul dintre legea generală și legea specială, aplicarea legii în timp, proporționalitatea restrângerii drepturilor persoanelor, dar și depistarea criteriului esențial de departajare a reglementării care precumpănește atunci când există contradicții între cele două corpuri de reglementări.
Abstract
The coexistence of regulations regarding the protection of personal data and regulations regarding classified information raises legal issues such as, for example, the relationship between the general law and the special law, the application of the law over time, the proportionality of the restriction of the rights of individuals, but also the detection of the essential criterion for dividing the regulation that prevails when there are contradictions between the two bodies of regulation.
1. Problematica informațiilor clasificate a generat jurisprudență[1], însă deocamdată nu în corelație cu problematica protecției datelor cu caracter personal. Este firesc, așa cum vom arăta în continuare.
Domeniul de aplicare material al GDPR
2. Potrivit art. 2 alin. 2 lit. c) GDPR[2], regulamentul nu se aplică prelucrării datelor cu caracter personal de către autoritățile competente în scopul protejării împotriva amenințărilor la adresa siguranței publice și prevenirii acestora[3]. Potrivit art. 15 din Legea nr. 182/2002 privind protecția informațiilor clasificate[4], informațiile încadrate în clasa secretelor de stat sunt de natură să producă daune securității naționale. Întrucât GDPR nu se aplică cu privire la prelucrările de date cu caracter personal destinate protejării împotriva amenințărilor[5] la adresa siguranței publice, cu atât mai mult el nu se aplică în privința securității naționale, care este un serviciu public de importanță maximă[6].
Informațiile clasificate secret de stat
3. Limitarea domeniului de aplicare material al GDPR, prevăzută de art. 2 alin. 2 lit. c), este o măsură de protecție juridică a informațiilor[7], alături de normele constituționale și alte norme legale, întrucât GDPR reglementează drepturi ale persoanelor vizate care sunt incompatibile cu protecția informațiilor clasificate care sunt secrete de stat.
4. Firește, este interzisă clasificarea ca secrete de stat a informaţiilor, datelor sau documentelor în scopul restrângerii ilegale a exerciţiului unor drepturi, cum ar fi dreptul la protecția datelor cu caracter personal[8]. În cazul în care apreciază că a fost încălcată o asemenea interdicție, orice persoană vizată poate face contestaţie la autorităţile care au clasificat informaţia respectivă, criticând clasificarea informaţiilor, sau doar durata pentru care acestea au fost clasificate, sau doar modul în care s-a atribuit un nivel sau altul de secretizare. Contestaţia va fi soluţionată în condiţiile legii contenciosului administrativ[9]. Din pricină că GDPR nu este aplicabil, ANSPDCP nu are atribuții de control[10]. Mai mult decât atât, din păcate ANSPDCP nu are atribuții de control nici cu privire la măsurile procedurale de protecție fizică și protecție a personalului care are acces la informațiile clasificate ca secret de stat, căci instituţiile deţinătoare de informaţii secrete de stat poartă întreaga răspundere[11] cu privire la elaborarea şi aplicarea acestor măsuri[12]. Controlul măsurilor privitoare la protecţia informaţiilor secrete de stat se realizează de către instituții specializate[13].
5. Reglementarea informațiilor clasificate, mai aspră decât cea referitoare la protecția datelor cu caracter personal, contribuie la scopurile reglementării protecției datelor cu caracter personal, dar fără a permite ca drepturile persoanelor vizate să stânjenească satisfacerea exigențelor de securitate. Astfel, de exemplu, chiar dacă accesul publicului este în mod obișnuit permis în instituțiile publice, accesul în clădirile în care se desfăşoară activităţi cu informaţii clasificate ori sunt păstrate sau stocate informaţii cu acest caracter este permis numai în cazuri autorizate special[14]. Bunăoară, accesul este permis doar persoanelor ale căror atribuții de serviciu fac necesar accesul[15]. În același sens, la nivelul UE, măsurile de securitate fizică sunt instituite pentru toate incintele, imobilele, birourile, încăperile și alte zone în care sunt gestionate sau păstrate[16].
Informațiile clasificate secret de serviciu
6. În vreme ce informațiile clasificate secret de stat sunt stabilite de Președintele României, primul ministru și alte persoane împuternicite de aceștia sau prevăzute de lege[17] în ce privește informațiile clasificate secret de serviciu, acestea se stabilesc de conducătorul persoanei juridice. Firește, și în acest caz este interzisă clasificarea ca secrete de serviciu a informaţiilor care, prin natura sau conţinutul lor, sunt destinate să asigure informarea cetăţenilor asupra unor probleme de interes public sau personal, pentru favorizarea ori acoperirea eludării legii sau obstrucţionarea justiţiei[18], iar contestațiile sunt de competența instanțelor de contencios administrativ. Și în cazul secretelor de serviciu, la fel ca în cazul secretelor de stat, avizarea și supravegherea acţiunilor întreprinse de autorităţile publice și operatorii privați revin organelor statului prevăzute de legea specială, inclusiv analizarea şi stabilirea măsurilor în legătură cu reclamaţiile sau cu sugestiile legate de modul în care sunt aplicate programele de protecţie a informaţiilor clasificate[19].
Concluzie
7. În concluzie, protecția informațiilor clasificate excede domeniul de aplicare al GDPR, astfel încât ANSPDCP nu are atribuții în acest domeniu[20]. Analiza conflictului[21] dintre reglementarea protecției informațiilor clasificate și reglementarea protecției datelor cu caracter personal este de competența instanțelor de contencios administrativ, care au datoria să analizeze, potrivit jurisprudenței constante a CEDO, necesarul echilibru[22] între protecția informațiilor clasificate și protecția datelor cu caracter personal[23].
[1] Pentru jurisprudență comentată în privința informațiilor clasificate în corelație cu alte materii decât protecția datelor cu caracter personal a se vedea Mădălina Jebelean, Informațiile clasificate: practică judiciară comentată, București, Editura Hamangiu, 2022.
[2] GDPR (en) sau RGPD (ro) – Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016, privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor), publicat în Jurnalul Oficial al Uniunii Europene L 119 din 4 mai 2016.
[3] Pentru Curtea Europeană a Drepturilor Omului, posibilitatea ca un stat să invoce motive care țin de securitatea națională pentru a reduce protecția care trebuie asigurată drepturilor omului, bunăoară dreptului la protecția datelor cu caracter personal, este o sursă de îngrijorare, întrucât nu poate fi exclus în totalitate riscul de abuz. Deși a apreciat în mod repetat că marja de care dispune statul pentru a alege mijloacele de a proteja securitatea națională este largă, tot în mod repetat Curtea a pus în balanță interesul statului de a-și proteja securitatea națională și gravitatea atingerilor aduse drepturilor omului, cântărind fiecare speță.
[4] Publicată în Monitorul Oficial al României, Partea I, nr. 248 din 12 aprilie 2002.
[5] Pentru dezvoltări terminologice privind amenințările a se vedea Nicolae Dolghin, Alexandra Sarcinschi, Mihai-Ștefan Dinu, Riscuri și amenințări la adrese securității României. Actualitate și perspective, Bucureşti, Editura Universităţii Naţionale de Apărare, 2004, p. 17 și urm.
[6] Pentru dezvoltări privind securitatea națională ca serviciu public a se vedea David Pădurariu, Securitatea națională – Serviciu public, JURIDICE.ro, 26 noiembrie 2019, disponibil aici. Ultima consultare: 28 iunie 2023.
[7] Protecția juridică este menționată de art. 9 nr. 182/2002, alături de protecția protecţia prin măsuri procedurale, protecţia fizică, protecţia personalului care are acces la informaţiile clasificate ori este desemnat să asigure securitatea acestora și protecţia surselor generatoare de informaţii.
[8] Cf. art. 24 alin. 5 din Legea nr. 182/2002 privind protecția informațiilor clasificate.
[9] Cf. art. 20 din Legea nr. 182/2002 privind protecția informațiilor clasificate.
[10] Autoritatea de supraveghere are competența să îndeplinească sarcinile și să exercite competențele care îi sunt conferite de GDPR. A se vedea art. 55 alin. 1 GDPR.
[11] Cf. art. 23 alin. 1 din Legea nr. 182/2002.
[12] Cf. art. 23 alin. 2 din Legea nr. 182/2002, măsurile menţionate vor fi conforme standardelor naţionale de protecţie a informaţiilor clasificate, astfel încât ele se sustrag unei eventuale verificări din partea ANSPDCP.
[13] Cf. art. 25 din Legea nr. 182/2002, coordonarea generală a activităţii şi controlul măsurilor privitoare la protecţia informaţiilor secrete de stat se realizează de către unitatea specializată din cadrul Serviciului Român de Informaţii. Ministerul Apărării Naţionale, Ministerul de Interne, Ministerul Justiţiei, Serviciul Român de Informaţii, Serviciul de Informaţii Externe, Serviciul de Protecţie şi Pază şi Serviciul de Telecomunicaţii Speciale stabilesc, pentru domeniile lor de activitate şi responsabilitate, structuri şi măsuri proprii privind coordonarea şi controlul activităţilor referitoare la protecţia informaţiilor secrete de stat, potrivit legii. Coordonarea activităţii şi controlul măsurilor privitoare la protecţia informaţiilor secrete de stat pentru Oficiul Central de Stat pentru Probleme Speciale şi Administraţia Naţională a Rezervelor de Stat se realizează de structura specializată a Ministerului Apărării Naţionale. Parlamentul, Administraţia Prezidenţială, Guvernul şi Consiliul Suprem de Apărare a ţării stabilesc măsuri proprii privind protecţia informaţiilor secrete de stat, potrivit legii. Serviciul Român de Informaţii asigură acestor instituţii asistenţă de specialitate. Protecţia informaţiilor nedestinate publicităţii, transmise României de alte state sau de organizaţii internaţionale, precum şi accesul la informaţiile acestora se realizează în condiţiile stabilite prin tratatele internaţionale sau înţelegerile la care România este parte. Cf. art. 26, pentru reprezentanţele României în străinătate coordonarea activităţii şi controlul măsurilor privitoare la protecţia informaţiilor secrete de stat se realizează de Serviciul de Informaţii Externe, iar coordonarea şi controlul măsurilor referitoare la protecţia informaţiilor secrete de stat privind activitatea specifică a ataşaţilor militari din cadrul misiunilor diplomatice ale României şi a reprezentanţilor militari pe lângă organismele internaţionale se realizează de către structura specializată a Ministerului Apărării Naţionale.
[14] Cf. art. 11 din Legea nr. 182/2002 privind protecția informațiilor clasificate.
[15] Atunci când persoanele au atribuții nemijlocite în domeniul protecţiei informaţiilor clasificate, certificatul de securitate este obligatoriu. A se vedea, în acest sens, art. 13 din Legea nr. 182/2002 privind protecția informațiilor clasificate.
[16] Cf. art. 8 alin. 3 din Decizia Consiliului Uniunii Europene 2013/488/UE din 23 septembrie 2013 privind normele de securitate pentru protecția informațiilor UE clasificate, publicată în Jurnalul Oficial al Uniunii Europene L274/1 din 15 octombrie 2013.
[17] Acestea sunt prevăzute de art. 19 din Legea nr. 182/2002 privind protecția informațiilor clasificate: preşedintele Senatului şi preşedintele Camerei Deputaţilor, membrii Consiliului Suprem de Apărare a ţării, membrii Guvernului şi secretarul general al Guvernului, guvernatorul Băncii Naţionale a României, directorii serviciilor naţionale de informaţii, directorul Serviciului de Protecţie şi Pază, directorul Serviciului de Telecomunicaţii Speciale, secretarul general al Senatului şi secretarul general al Camerei Deputaţilor, preşedintele Institutului Naţional de Statistică și, directorul Administraţiei Naţionale a Rezervelor de Stat.
[18] Cf. art. 33 din Legea nr. 182/2002 privind protecția informațiilor clasificate.
[19] A se vedea în cuprinsul art. 34 din Legea nr. 182/2002 privind protecția informațiilor clasificate atribuțiile Serviciului Român de Informații în aces sens.
[20] Un alt domeniu în care GDPR nu are aplicare este arbitrajul. A se vedea în acest sens Andrei Săvescu, Despre arbitraj din perspectiva protecției datelor cu caracter personal: GDPR – nu, protecția datelor cu caracter personal – da, JURIDICE.ro, 21 mai 2023, disponibil aici. Ultima consultare: 28 iunie 2023.
[21] Bineînțeles, această analiză nu este necesară în privința prelucrării datelor cu caracter personal care nu au legătură cu informațiile clasificate, întrucât în această privință dispozițiile GDPR rămân aplicabile iar competențele ANSPDCP depline.
[22] Informațiile clasificate întotdeauna «contaminează» datele cu caracter personal.
[23] Pentru o discuție despre principiul proporționalității a se vedea Andrei Săvescu, Balena principială și rechinii procedurali, JURIDICE.ro, 20 iunie 2023, disponibil aici. Ultima consultare: 28 iunie 2023.
Av. dr. Andrei Săvescu, SĂVESCU & ASOCIAȚII
* Idei expuse în cadrul conferinței internaționale „Afaceri publice și private: Drept, Business și Administrație Publică. Dreptul și provocările sale în domeniile socio-economic și administrativ„, 28-30 iunie 2023, Târgu Mureș & Reghin, organizate de Societatea Română de Cercetare pentru Afaceri Publice și Private, Primăria Municipiului Târgu Mureș, Universitatea 1 Decembrie din Alba Iulia și Primăria Municipiului Reghin
