Vicepremierul Romaniei a declarat public că i s-a refuzat accesul la documentele privind selecția conducerii Portului Constanța, invocându-se Regulamentul General privind Protecția Datelor (GDPR). Și din câte observ, aceasta este una dintre cele mai răspândite probleme din România: utilizarea abuzivă a GDPR-ului ca pretext pentru blocarea accesului la informații de interes public.
GDPR-ul protejează datele cu caracter personal ale persoanelor fizice
Nu este un instrument de secretizare a documentelor instituționale, a contractelor publice sau a deciziilor administrative. Atunci când o instituție invocă GDPR-ul pentru a refuza furnizarea unor documente care nu conțin date personale sensibile, nu aplică legea — o deturneză.
Această practică nu este nouă. În activitatea mea de consultant GDPR, întâlnesc frecvent situații în care organizații, atât publice cât și private, folosesc GDPR-ul ca scut împotriva transparenței. Motivele variază: uneori este vorba de necunoașterea legislației, alteori de un reflex defensiv, iar în unele cazuri de o strategie deliberată de evitare a responsabilității.
Ce „spune” GDPR-ul?
Regulamentul se aplică prelucrării datelor cu caracter personal — adică informații care permit identificarea directă sau indirectă a unei persoane fizice: nume, CNP, adresă, date biometrice, date de sănătate. Documentele administrative, rapoartele de activitate, minutele ședințelor, contractele comerciale — acestea nu sunt, în sine, date cu caracter personal. Pot conține astfel de date, dar în acel caz soluția este anonimizarea sau pseudonimizarea, nu refuzul total.
Mai mult, GDPR-ul coexistă cu legislația privind accesul la informații de interes public (Legea 544/2001 în România). Cele două nu se exclud reciproc. Instituțiile publice au obligația de a furniza informații de interes public, putând anonimiza doar acele porțiuni care conțin date personale.
Cazul Portului Constanța ar trebui să fie un semnal de alarmă pentru toate organizațiile din România. Folosirea GDPR-ului ca pretext de opacitate nu doar că este ilegală — subminează credibilitatea întregului cadru de protecție a datelor. Cu cât mai mulți oameni aud „nu se poate, GDPR” în contexte în care legea nu se aplică, cu atât mai puțină încredere va avea publicul în regulament.
Recomandarea mea: dacă vi se refuză o informație cu motivația GDPR, întrebați exact ce date cu caracter personal sunt implicate, ce temei legal al prelucrării se invocă și de ce nu se poate face o anonimizare parțială. În cele mai multe cazuri, veți descoperi că GDPR-ul nu are nicio legătură cu refuzul.
