Educatie si formare
1985-1989: Universitatea din Bucuresti – Facultatea de Drept (media generala – 9,54; diploma de licenta cu nota 10 pentru lucrarea „Expertizele judiciare”).
2013: Curs mediatori “Centrul de mediere Craiova”
1981-1985: Colegiul National „Iulia Hasdeu” din Bucuresti
Experienta relevanta
Experienta profesionala ca avocat
2004-in prezent: avocat partner al Livescu si Asociatii SCA
2002-2004: avocat asociat Livescu & Livescu, Cabinete asociate de avocati
1995-2002: avocat titular Cabinet de avocat Livescu Elena Monica
1989-in prezent: avocat
Experienta in organele alese ale profesiei de avocat
2015-in prezent: Comisia Permanenta a UNBR, membru ales pentru un mandat de 4 ani
2015-in prezent: Consiliul UNBR, membru reales pentru un mandat de 4 ani
2007-2015: Consilier UNBR
2011-2015: Decan al Baroului Valcea
2007-2011: Prodecan al Baroului Valcea
1997-2011: Consilier al Baroului Valcea
1997: prima alegere ca delegat la Congresul Uniunii Avocatilor
Experienta la I.N.P.P.A.
2004-in prezent: formator al I.N.P.P.A.
Conferința Data Protection Experts
Înregistrarea video
Transcriptul
Monica Livescu: Bună ziua! Mă bucur să fim împreună într-o zi ca aceasta. Deşi fiul meu spune că nu am simţul umorului, am să urmez sfatul domnului Andrei Săvescu, căruia îi mulţumesc pentru invitaţia de a fi aici, şi am să încep, spunându-vă că, de obicei, mă îmbrac în alb şi negru, într-o ţinută office, în care încerc de fiecare dată să-mi reamintesc că, de fapt, trebuie să tindem măcar spre alb şi negru, chiar dacă viaţa e de cele mai multe ori gri şi nu îmi place chestia aceasta. M-am îmbrăcat astăzi în această culoare absolut electrizantă, despre care, când am luat-o, soţul meu mi-a spus: ”ai o singură certitudine, nu te va călca maşina!” și m-am gândit că ar fi mai adecvat să mă îmbrac în această culoare şi nu în alb şi negru şi nici în gri, poate în ideea de a trage un semnal roşu: că suntem totuşi în ziua în care intră în vigoare un regulament despre care unii ştim că există din 2016, că un domeniu – cum este cel al protecţiei datelor – nu e deloc nou, ci are aproape 40 de ani în Europa. Am să revin şi să explic de ce trebuie să facem să fie cunoscut.
Ieri mi s-a întâmplat să mă întâlnesc cu un client care lucrează într-un domeniu agro-business și, încercând să îi aduc în atenţie subiectul, îmi spune: ”Doamnă, eu până în iulie nu am timp de aşa ceva. Vine autoritatea peste mine, nici nu îi primesc!”. Am zis: ”Bine, revenim în iulie şi discutăm”.
O a doua discuţie, absolut deconcertantă, a fost cu o juristă care lucrează în cadrul unei bănci, o sucursală în ţară şi pe care o întreb, aşa, ca şi cum era ceva de la sine înţeles: ”Cum aţi implementat Regulamentul?” ”Ce regulament?” Și i-am zis: ”OK„ Ea: ”Vă rog frumos transmiteţi-mi-l şi mie!”. Am zis: ”Doamne, nu e posibil!” Evident i-am transmis cu toată bunăvoinţa Regulamentul.
Iată două extreme care m-au făcut ca astăzi să vin în faţa domniilor voastre cu un discurs atipic faţă de modul în care de obicei îmi pregătesc astfel de intervenţii. Cred că e bine ales momentul de a discuta. Ne-am întâlnit să discutăm despre acest Regulament, despre impactul lui asupra întregii societăţi româneşti, europene şi a tuturor în general.
Spuneam că subiectul Data Protection nu este un subiect nou pentru că acest domeniu specific de drept, îl putem numi aşa, s-a dezvoltat în ultimele patru decenii la nivel european, pornind de la Convenţia Consiliului Europei din 1981 pentru protecţia persoanelor faţă de Prelucrarea Automată a Datelor cu Caracter Personal. Este o Convenţie la care au aderat 46 de state membre ale Consiliului şi non-membre, evident şi membre UE, astfel încât cred că dacă ne întoarcem în acest moment în timp, vom vedea că lucrurile în acest domeniu ar trebui să fie văzute într-o altă cheie şi nu restrictiv, limitat la Regulament. Evident că Regulamentul are impactul cel mai mare, cum spuneau foarte mulţi antevorbitori, prin raportare cel puţin la impactul lui financiar sub aspectul punitiv, dar Regulamentul trebuie citit de toţi şi într-o altă cheie. In sensul că, dacă alin. (73) din Preambul face o trimitere, sub aspectul limitelor restricţiilor pe care le-ar impune în acest domeniu, la conformitatea cu cerinţele prevăzute de Carta Drepturilor Fundamentale a Uniunii Europene şi de art. 8 din Convenţia Europeană a Drepturilor Omului, vom înţelege cu toţii că, în realitate, trebuie să înţelegem să gândim să aplicăm Regulamentul într-o cheie, într-o interpretare şi într-o sferă mult mai largă, cu trimitere la aceste norme cuprinse şi în alte Convenţii sau, cum am spus, Cartă, Convenţia Europeană a Drepturilor Omului, care excede sau nu excede limitelor sistemului de drept european, în condiţiile în care ea devine normă internă a dreptului european prin trimiterea din art. 52 din Carta Drepturilor Fundamentale.
Prin urmare, nivelul de protecţie al unui astfel de drept fundamental va trebui raportat la jurisprudenţa Curţii Europene a Drepturilor Omului şi, în acest sens, am făcut o paralelă în volumul pe care îl găsiţi la stand, în sensul că am abordat problematica supravegherii la locul de muncă, un domeniu extrem de delicat, modalitatea de evaluare a conformităţii cu standardele din Regulament printr-o raportare cel puţin la cauza Bărbulescu contra României. Revenind, dacă acestea sunt standardele de protecţie, ne punem problema în ce măsură acest nou Regulament va aduce o mai bună protecţie a dreptului la viaţă privată, din perspectiva dreptului la protecţia datelor cu caracter personal, în raport de standardele europene.
Protecția depinde, cred, de noi toţi, dar şi de autorităţile de supraveghere şi, nu în ultimul rând, chiar şi de ”verificatorul” final, instanţele, atunci când vor începe şi ele să aibă pe rolul lor acţiuni îndreptate împotriva actelor emise în cadrul acestei proceduri.
Legiuitorul român, în urmă cu o zi, a adoptat normele de reglementare a procedurii concrete de contestare a sancţiunilor aplicate în acest domeniu, sancţiuni care, evident, nu sunt reduse din punct de vedere al cuantumului. Sunt zorii unei noi etape atât pentru cetăţeni, cât şi pentru operatorii de astfel de date vizaţi de sancţiuni extrem de mari, din punct de vedere financiar.
Pe slide-ul proiectat vedeți ”Today`s menu: ”take it or leave it!” și o întrebare retorică ”Protecţie reală a dreptului sau ”take it or leave it”. De ce ? Pentru că astăzi s-a făcut vorbire foarte mult și cu toții ne-am confruntat în ultimele zile cu ceea ce primim, ca întrebare formală sau non-formală, dacă vrem, dacă suntem de acord pentru mai departe cu prelucrarea datelor. Dar avem opțiune? O colegă spunea: nu mai pot să accesez, în baza abonamentului de la ONRC, să-mi comunice informații, decât dacă îmi dau acceptul pentru prelucrarea datelor. Avem deci o opțiune? Nu. Și atunci, din acest punct de vedere, întrebarea mea: avem o protecție reală sau de fapt nu avem încotro și ne vom supune și ne vom da acordul?! Sau, așa cum s-a întâmplat odată să mă duc să cumpăr un scăunel de copil și mi s-a spus: ”nu vindem decât dacă ne dați integral toate datele inclusiv părinții, loc de naștere”… Din acel moment nu am mai călcat în acel magazin, dar e o chestiune anterioară Regulamentului. Poate că acum se va întâmpla altceva.
Trecând mai departe, cred că, în realitate, cetăţeanul are varianta de a alege până la un punct sau de a fi constrâns în cele mai banale aspecte ale vieţii sale să-şi dea un consimţământ formal pentru prelucrarea datelor sale. Schimbarea de paradigmă trebuie înţeleasă bine de societate, în ansamblul său, dar ne întrebăm: este societatea românească pregătită cu adevărat pentru ceea ce urmează? Suntem noi, avocaţii şi consultanţii în general din această zonă pregătiţi?! Putem să spunem că suntem cu adevărat experţi tehnici şi sfătuitori înţelepţi în acest domeniu pentru cei care ne solicită o astfel de opinie de consultanţă?! Cred că numai dacă vom înţelege cu adevărat că, pe cât încerci să înveţi, pe cât încerci să descifrezi sensurile acestei noi materii de drept aş numi-o, şi nu numai, cu atât mai mult înţelegi că, de fapt, ştii foarte puţin şi chestiunea aceasta poate că a creat aşa un pic de panică, însă faptul că astăzi suntem aici împreună şi că ne punem aceste întrebări spune ceva despre dorinţa tuturor de a înţelege şi de a învăţa pentru mai departe.
În luna mai se împlineşte un an de când Uniunea Naţională a Barourilor din România a iniţiat primul curs GDPR în România printr-o conlucrare cu Consiliul Europei, atunci am fost un reprezentant al Uniunii trimis la Consiliu pentru cu totul altă problemă. Am aflat că există programul HELP al Consiliului care asigura formare inclusiv în această chestiune şi am zis că e necesar şi în România. A fost, într-adevăr, aproape o imposibilitate de a satisface toate cererile, pentru că a fost un program la care au participat magistraţi şi avocaţi, deopotrivă, şi cele 80 de locuri disponibile au fost insuficiente. În ceea ce mă priveşte, chiar susţin nevoia formării, cursul îl găsiţi pe site-ul Consiliului Europei în cadrul programului ”HELP in the 28”, vă recomand să îl accesaţi, este un curs online, atunci a fost şi cu asistenţă din partea unor specialişti, dar el poate fi parcurs şi în mod direct. Susţin, prin urmare, nevoia unei aprofundări a acestei problematici în cadrul activităţii de formare continuă a avocaţilor, mi se pare că este esenţial să organizăm în cadrul barourilor, în cadrul Institutului Naţional de Pregătire şi Perfecţionare a Avocaţilor, astfel de activităţi de formare continuă care să aibă în vedere nevoia adaptării rapide a avocaţilor la necesităţile pieţei de consultanţă în acest domeniu.
Nu putem să vorbim despre GDPR, fără să avem în vedere că Regulamentul a fost conceput ca urmare a avansului tehnologic şi al necesităţii protejării datelor personale, dar şi pentru a realiza o piaţă digitală unică în Europa pentru a stimula economia prin inovaţie şi cercetare. Regulamentul consacră principii (făcea şi domnul Șandru trimitere la principii). Evident că întotdeauna principiile sunt esenţiale şi atunci trebuie să reţinem că vorbim de: legalitate, echitate, transparenţă, limitare la scopul procesării, minimizarea colectării, exactitate, limitarea stocării, integritate şi confidenţialitate. Nu în ultimul rând, reținem că e vorba de responsabilitatea pentru aceste date. Totodată, Regulamentul consacră drepturi ale persoanelor, şi aici vorbim de informare şi transparenţă, acces, rectificare, restricţionare, dreptul de a fi uitat, portabilitate, refuz la prelucrarea datelor, refuz de a fi evaluat exclusiv în bază automată. Și atunci, în mod necesar, cred că ne putem pune problema dacă, în concepţia Regulamentului (cu trimitere şi la legea recent adoptată), se are în vedere în primul rând un scop sancţionator sau un scop preventiv în acest domeniu?!
Regulamentul are menirea nu de a acorda preponderent sancţiuni (şi am în vedere aici reglementările din capitolul 6 şi 7), ci de a sublinia nevoia de a educa, în primul rând, în spiritul transparenţei, demnităţii, libertăţii şi interesului persoanelor, în balans cu interesul social, atunci când se impune.
Având în vedere domeniul de aplicare al GDPR, ne putem aştepta, însă, în România, la o supraveghere excepţională, care să reacţioneze la notificări, plângeri multiple, grave, la fel ca şi la alte aspecte ale legii care se aplică tuturor. Și am putea, făcând aşa o paralelă, să ne gândim că, pe de altă parte, aşa cum Poliţia nu verifică în fiecare zi toate locuințele, gospodăriile, să vadă dacă cineva a fost ucis, ci reacţionează doar la persoane dispărute şi apoi începe un caz, să nu ne trezim că în acest domeniu să avem o Poliţie omniprezentă… Ascultând astăzi atâtea opinii mă gândesc dacă supravieţuim Regulamentului, nu mai zic Autorităţii! Ce poate să facă Autoritatea? Evident că autorităţile naţionale au la dispoziţie posibilitatea de a suspenda procesarea datelor, ceea ce pentru multe companii poate avea consecinţe foarte serioase, sau de a acorda amenzi administrative substanţiale. Impactul, m-am gândit şi la impact. Toate domeniile vor fi afectate, atât domeniul public, cât şi cel privat. Cel mai mare va fi asupra celor care evident gestionează date personale sensibile şi aici avem în vedere sănătate, cercetare, dar şi cele care folosesc algoritmi şi automatizare, marketing, în domeniul financiar, asigurare, sănătate.
Evident, însă, că trebuie să privim Regulamentul ca pe un organism care va evolua în următorii ani pentru că și tehnologia evoluează dramatic, numai dacă ne uităm la inteligenţa artificială, robotică sau genomică, realizăm cât de aproape este viitorul şi atunci poate că acest semnal roşu de trezire este absolut necesar. Mai bine mai târziu decât deloc.
Nu putem să vorbim de Regulament, dacă nu ne uităm şi la reglementarea internă. Da, şi o aveţi aici, am selectat doar câteva. Am citit proiectul adoptat. Rămâne de văzut ce se va întâmpla la promulgare. Cum zicea şi doamna Alexe, într-adevăr, sunt nişte probleme de retroactivitate evidentă a legii, care nu se vor putea trece cu vederea. Sunt referinţe în lege chiar la data de 25 mai, astfel încât evident că lucrurile deja s-au întâmplat. Însă, ce mi-a atras atenţia şi aici mă gândeam cu îngrijorare la ce sunt expuşi cei vizați şi cât va aplica Autoritatea doar funcţia de prevenţie sau funcţia de sancţionare în aplicarea Regulamentului? După cum vedeţi, la art. 14 alin. (3) se spune atunci când cuantumul amenzii depăşeşte 300.000 euro, aplicarea amenzii se efectuează prin decizia preşedintelui Autorităţii Naţionale de Supraveghere. Păi, dacă e doar la îndemâna şi la decizia unei persoane, ne punem serios problema dacă va lăsa loc abuzului o astfel de reglementare sau, dimpotrivă, reglementarea are în vedere impactul pe care l-ar putea avea asupra companiilor româneşti aplicarea într-o primă etapă a Regulamentului, doar sub aspectul laturii punitive. Însă, realităţile româneşti ne îndreptăţesc să credem şi să fim îngrijorați că va fi mai degrabă această a doua variantă. Deci e un tip de reglementare în care, sincer, nici nu vreau să interpretez ce s-a urmărit. O să rămână regula generală a celui care constată prin proces-verbal şi aplică sancţiunea indiferent cine este acel aplicator și cel căruia i se aplică?! De asemenea, cred că avem o problemă de retroactivitate şi în ceea ce priveşte acea dispoziţie care spune că Regulamentul se va aplica şi situaţiilor anterioare datei de 25 mai şi aflate în curs de soluţionare.
Am să mă apropii de încheiere. Avem în sensul acesta de făcut un apel: că avem nevoie de informare şi de formare. Am făcut anterior referire la acest aspect, nevoia de informare ar fi trebuit să fie un imperativ, în primul rând pentru autorităţile statului preocupate să facă această trezire, această cunoaştere de către toate entităţile vizate, nu am perceput-o până acum, nu e încă târziu, dar experienţa ne-a arătat că până la ghiduri traduse în limba română şi nu să le găsim pe site-ul Comisiei Europene, mai e cale lungă. Evident că tot mediul privat e mai preocupat de această chestiune şi încearcă să ţină pasul cu aceste aspecte care ţin de aplicarea directă a Regulamentului. Am avut situaţii în care în materia achiziţiilor, degeaba legea internă era în urmă sau era în contradicţie cu norma europeană, când au venit cu corecţiile, au spus: ”Se aplică direct Regulamentul European. Ce dacă norma internă nu e în concordanţă cu norma europeană?!”
Noi, ca avocaţi, să ne gândim atunci când dăm o opinie cu privire la modalitatea în care se va aplica cu prioritate o normă europeană. V-am arătat într-o imagine mai sugestivă, cel puţin aşa o percep eu, cum e cu domeniul GDPR – un mare aisberg din care noi azi vorbim atâtica, dedesubt în ocean este foarte mult, ceea ce nu înseamnă că nu putem încerca să-l aducem undeva la lumină şi să încercăm să îl înţelegem, cu răbdare, cu bunăvoinţă, cu străduință, cu ajutorul unor organizatori ca, domnul Săvescu şi Societatea de Știinţe Juridice care s-a preocupat în ultima, cel puţin, în ultima jumătate de an, să aducă împreună oameni care pot împărtăşi din experienţe, din dorinţa de a învăţa, din informaţiile pe care le deţin şi, împreună să ajungem, într-adevăr, să spunem că nu ne sperie Regulamentul şi domeniul în cauză.
Cred că, în primul rând pentru avocaţi, conformitatea cu GDPR-ul şi cu Regulamentul în sine nu trebuie să fie neapărat percepută ca o obligaţie pentru noi, pentru clienţii noştri, ci trebuie să fie o manifestare naturală a responsabilităţii şi a respectului individual pentru imaginea, viața şi informaţiile personale ale celor din jur, pentru că noi înşine putem fi expuşi unor astfel de încălcări. Și aceste aspecte capătă o dimensiune importantă pentru mine, ca avocat şi cred că pentru toţi cei aflaţi într-o astfel de situaţie, în raport de cele patru responsabilităţi etice de importanţă fundamentală pentru avocaţi: responsabilităţi faţă de clienţi şi persoane interesate, faţă de sistemul judiciar, faţă de propriile instituţii, faţă de societate în ansamblu. Și problema de a defini ce este just în acest domeniu, în sensul de ceea ce ar trebui să fie, poate atinge temeiuri prudenţiale, respectiv ce este în interesul propriu, reprezentativ al clientului sau poate fi o combinaţie a unor elemente prudenţiale şi concepte morale, cum ar fi: loialitatea, transparenţa, puterile de administrare, respectul pentru demnitatea personală. Aceasta va presupune cu siguranţă identificarea unei soluţii de mijloc, corespunzătoare între fezabil şi dezirabil. Mulțumesc frumos!