Comentariile EDRi asupra propunerii de Regulament privind protecția datelor

Articol preluat din Newsletter-ul EDRi 10.2

EDRi salută propunerea de Regulament privind protecția datelor publicată de către Comisia Europeană. Europa are nevoie de o reformă cuprinzătoare a cadrului legislativ, care să asigure protecția vieții private și a datelor cu caracter personal ale cetățenilor săi și care să consolideze, în același timp, certitudinea juridică și concurența pe piața digitală unică. După publicarea unei versiuni neoficiale a propunerii de Regulament, în decembrie 2011, au fost inițiate semnificative acțiuni de lobby de către anumite companii și guverne străine. Deși, ca rezultat al acestor acțiuni, unele dintre prevederile propunerii de Regulament par să se fi atenuat și deși încă există chestiuni îngrijorătoare, este de apreciat faptul că propunerea subliniază în continuare importanța principiilor esențiale, cum ar fi necesitatea existenței unor “motive legitime” pentru prelucrarea datelor, transparență, corectitudine, limitarea scopurilor, “privacy by design” și minimalizarea datelor.

Acesta este un prim pas pozitiv într-un lung proces legislativ care să garanteze, în final, o mai puternică respectare a drepturilor fundamentale la protecția vieții private și a datelor cu caracter personal, precum și o mai bună conștientizare a acestor drepturi în rândul cetățenilor europeni.

De ce avem nevoie de un Regulament (și nu de o Directivă)?Trebuia asigurată de mult o abordare unitară, la nivelul UE, a modalităților de garantare a unui nivel înalt de protecție a datelor cu caracter personal și a elementelor esențiale ale democrației, cum ar fi viața privată și libertatea de exprimare. O astfel de abordare unitară este esențială într-un mediu digital aflat într-o rapidă schimbare.

Jurisprudența Curții Europene de Justiție din ultimii 15 ani arată că multe state membre nu au respectat pe deplin cerințele sau procedurile de aplicare ale legislației europene privind protecția datelor. Această legislație este puternic fragmentată la nivel european: autoritățile legislative și cele de reglementare din cele 27 de state membre ale UE au transpus și implementează Directiva în 27 de moduri diferite. Armonizarea acestora sub forma unui instrument unic și direct aplicabil este necesară pentru a se asigura o certitudine juridică în piața unică europeană – atât pentru cetățeni cât și pentru sectorul privat.

Domeniul de aplicare. Potrivit art.3(2) al propunerii de Regulament, prevederile acestuia se vor aplica și activităților de prelucrare a datelor desfășurate de către entități din afara UE, dacă aceste activități sunt legate de furnizarea de produse și servicii către cetățeni europeni sau de monitorizarea comportamentului cetățenilor europeni. Această regulă înlocuiește prevederea neclară din Directiva 95/46/CE  privind testul “utilizării echipamentului”. 

Dreptul de a fi uitat și libertatea de exprimare. Dreptul de a fi uitat (art.17) reprezintă, de fapt, o reafirmare și o consolidare a dreptului deja existent referitor la ștergerea datelor personale după atingerea scopului pentru care acestea au fost prelucrate (art.12 din Directiva 95/46/CE). Propunerea de Regulament extinde această prevedere a Directivei, prin accea că propune dreptul la ștergerea datelor dacă acestea nu mai sunt necesare sau dacă persoana vizată își retrage consimțământul și include reguli menite să asigure ștergerea oricărei legături de Internet (link), copie sau replicare a datelor personale pe care persoana vizată dorește să le elimine. Această prevedere se aplică în special “cu privire la datele cu caracter personal care au fost publicate sau puse la dispoziție de către persoana vizată atunci când aceasta a fost copil”. Prevederea a fost însă atenuată față de versiune din decembrie a propunerii de Regulament, astfel că acum i se solicită operatorului doar să “ia măsuri rezonabile” pentru a informa terții în legătură cu faptul că utilizatorul dorește să fie șterse orice copii ale materialului sau orice legături către acesta.

EDRi este de părere că, în forma actuală, articolul poate avea implicații serioase (poate neintenționate) pentru libertatea de exprimare. De aceea articolul trebuie atent elaborat astfel încât să se evite o potențială utilizare a sa ca instrument de cenzură.

În concluzie, EDRi consideră că articolul referitor la dreptul de a fi uitat nu este foarte bine formulat și consideră necesară clarificarea și consolidarea acestuia, deși recunoaște faptul că ideea care stă la baza articolului este un pas în direcția corectă.

Portabilitatea datelor în general(art.18). Indivizii vor avea dreptul de a solicita unei organizații să transfere o parte sau totalitatea informațiilor pe care respectiva organizație le deține despre ei cățre o terță parte, într-un format stabilit de către solicitanți. Această posibilitate sporește controlul pe care indivizii îl au asupra datelor care îi identifică, facilitându-le astfel transferul în cadrul relațiilor comerciale sau de muncă. Textul articolului nu specifică însă asupra cui vor fi impuse costurile asociate transferului de date. În opinia EDRi, costurile nu ar trebui suportate de către persoana vizată.

Dreptul la portabilitatea datelor în cazul rețelelor sociale. Dreptul la protabilitatea datelor menționat anterior include și dreptul utilizatorului de a muta informațiile asociate unui cont dintr-o rețea socială în altă rețea socială, astfel încât să poată beneficia de servicii alternative care acordă mai multă atenție protecției vieții private. Acest drept este limitat de o cerință (destul de slab formulată) referitoare la formatul care trebuie folosit pentru datele stocate. Este însă important faptul că utilizatorii au dreptul de a obține datele (stocate electronic) într-un format electronic care este utilizat la scară largă, și nu doar dreptul de a obține datele dacă acestea sunt stocate într-un astfel de format. Acesta este un început foarte bun pentru abordarea chestiunilor referitoare la monopolurile platformelor de relaționare de tipul rețelelor sociale. Dar EDRi consideră că ar trebui incluse și prevederi referitoare la interconectare și interoperabilitate.

Privacy by design/privacy by default. EDRi apreciază și includerea in propunerea de Regulament a noilor prevederi referitoare la principiile privacy by design și privacy by default (art.23), întrucât este foarte important ca industria să ia în considerare protecția vieții private în fiecare etapă a creării unui produs. Însă EDRi consideră că este necesar un mecanism eficient de implementare a  principiului “privacy by design”, iar acest lucru ar putea fi realizat prin introducerea obligației de a se realiza analize cu privire la impactul asupra vieții private, astfel încât să se asigure faptul că aspectele referitoare la protecția vieții private sunt luate în considerare în fiecare etapă a ciclului de viață a unui produs sau serviciu.

EDRi salută și susținerea acordată prin propunerea de Regulament proceselor europene de certificare, dar atrage atenția asupra faptului că în cadrul acestor procese trebuie să se se aplice cele mai înalte și stricte standard europene referitoare la protectia datelor (așa cum este se întâmplă în cazul European Privacy Seal, EuroPriSe).

Notificarea privind încălcarea securității datelor. Art.31 și 32 introduc obligația notificării autorității de supraveghere în cazul încălcării securității datelor cu caracter personal, în principiu într-un interval de 24 de ore (exisă și o anumită flexibilitate în această privință). Mai mult, utilizatorii  individuali trebuie să fie informați cu privire la încălcarea securității datelor, dacă există posibilitatea ca această încălcare să afecteze protecția vieții private și a datelor cu caracter personal ale acestora. EDRi consideră că este esențial ca utilizatorii să fie informați în cazul în care datele lor personale au fost compromise, astfel încât să poată lua măsuri de protecție, cum ar fi schimbarea parolelor sau solicitarea unor noi carduri bancare. Această obligație de raportare a cazurilor de încălcare a securității datelor este foarte important, dar cele două articole nu conțin nicio prevedere referitoare la existența unui registru central public cu informații despre astfel de cazuri. În acest context, EDRi este de părere că prevederile referitoare la notificare ar putea fi îmbunătățite.

Transferul datelor cu caracter personal către un stat terț (art.42). Propunerea de Regulament, la fel ca și Directiva în vigoare, prevede că datele cu caracter personal pot fi transferate către un stat terț numai dacă sunt îndeplinite anumite criterii care să asigure un nivel adecvat de protecție a respectivelor date. Totuși, art.42 a fost modificat față de versiunea anterioară a propunerii de Regulament, devenind, în opinia EDRi, aproape lipsit de semnificație; versiunea anterioară indica faptul că barierele impuse autorităților judecătorești străine cu privire la accesarea datelor europene depășeau domeniul de aplicare al cadrelor legislative aprobate. Se prevedea că, în cazul în care un stat terț solicita furnizarea de date cu caracter personal, operatorul sau persoana care realiza procesarea respectivelor date trebuia să obțină o autorizație prealabilă pentru transferul datelor de la autoritatea de supraveghere locală. Scopul inițial al acestui articol era de a aborda problema acțiunilor extrateritoriale inițiate de state terțe, cum ar fi exemplul SUA care acționează în baza Patriot Act sau Foreign Intelligence Surveillance Act. Articolul a fost însă modificat substanțial, astfel că în versiunea actuală impune doar condiția ca statul terț „să aibă prevăzute, într-un instrument cu forță juridică, suficiente garanții cu privire la protecția datelor cu caracter personal”. EDRi și alte organizații ale societății civile se opun acestei noi versiuni a art.42.

Potrivit recentelor acțiuni de lobby desfășurate de cățre Departamentul pentru Comerț al SUA, art.42 al propunerii de Regulament poate afecta companiile americane localizate în UE, precum și abilitatea aceastora de a derula afaceri în SUA. Este important de menționat faptul că SUA folosește în momentul de față instrumente de tipul Foreign Intelligence Surveillance Act și Patriot Act pentru a obține date prin intermediul companiilor cu subsidiare în SUA; astfel de date pot viza, spre exemplu, activitățile politice ale cetățenilor străini care este posibil să nu aibă absolut nicio legătură cu SUA. Problema existenței acestui vid legislativ urma să fie abordată prin art.42, dar acest lucru nu s-a întâmplat. EDRi consideră că această chestiune va reprezenta unul dintre cele mai importante subiecte de dezbatere. Reglementările UE trebuie să asigure respectarea deplină a drepturilor civile și politice ale cetățenilor UE, inclusiv împotriva încălcărilor din partea autorităților SUA.

Amenzi. EDRi salută ideea existenței unui unor sancțiuni diferite pentru tipuri specifice de încălcări ale prevederilor privind protecția datelor (art.79). Ca urmare a armonizării la nivel european a legislației privind protecția datelor, autoritățile naționale vor avea puteri sporite pentru a impune sancțiuni în cazul încălcării prevederilor legale. Amenzile trebuie să aibă în mod clar efecte de intimidare, ceea ce face extrem de importantă chestiune raportării lor la cifra de afaceri anuală brută a unei companii. EDRi observă însă că, față de versiunea anterioară a propunerii de Regulament, valoarea maximă a amenzii a fost redusă de la 5% din cifra de afaceri la 2%, iar prevederile referitoare la valorile minime ale amenzilor au fost eliminate. EDRi consideră că reducerea valorii amenzilor maxime este nejustificată.

EDRi intenționează să publice o analiză cuprinzătoare a întregului cadru de reglementare propus: propunerea de Regulament privind protecţia indivizilor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestora date și propunerea de Directivă privind protecţia indivizilor cu privire la prelucrarea datelor cu caracter personal de către autorităţile competente în scopul prevenirii, investigării, descoperirii şi urmăririi infracţiunilor şi libera circulaţie a acestora date. Însă, până atunci, EDRi salută propunerile prezentate de către comisarul european Viviade Reding și consideră că acestea reprezintă un prim pas pozitiv în îndelungatul proces de actualizare a cadrului de reglementare privind protecția vieții private și a datelor cu caracter personal ale cetățenilor UE în mediul digital.

Licenţă: Creative Commons Atribuire 3.0