GDPR făcut ferfeniță, sub numele Digital Omnibus

Posted on: 13 November 2025
By: Redacția ApTI

În Uniunea Europeană, Regulamentul GDPR este principala legislație prin care cetățenii au dreptul să exercite control și autonomie asupra datelor cu caracter personal. Acum, Comisia Europeană ne arată semne că are planuri concrete de a slăbi protecția pe care GDPR ne-o oferă, într-un fel care pare să favorizeze exclusiv marile companii de tehnologie, în special cele care produc algoritmi de inteligență artificială generativă.

Numeroase mecanisme de colectare și folosire a datelor personale, de pe website-uri sau din aplicații, s-au adaptat la acest Regulamentul GDPR pentru a putea funcționa în continuare în Uniunea Europeană. Ca efect, în unele cazuri, chiar și persoanele din afara Uniunii au avut de câștigat de pe urma faptului că platformele online au ales să colecteze mai puține date în general, mai degrabă decât să implementeze versiuni diferite de servicii: „pentru cei cu GDPR (sau legi similare)” și „pentru restul țărilor”.

O scurgere de date de la Comisia Europeană a dat în vileag un document în stadiul de „ciornă”, o propunere de „simplificare” a unei serii de Regulamente. Un ONG cu expertiză în legislația drepturilor digitale, NOYB, din Austria, a publicat o analiză amănunțită a acestei „ciorne”, alături de un rezumat al schimbărilor și interpretarea lor asupra situației.

O scrisoare deschisă semnată de peste 100 de organizații cu expertiză în drepturi digitale, inclusiv ApTI, cere Comisiei să schimbe direcția în care duce acest efort de „simplificare” a unor Regulamente. Cadrul legislativ construit deja în Uniunea Europeană, spune scrisoarea, e cea mai bună apărare pe care o avem împotriva inechității algoritmice, a exploatării digitale și a supravegherii în masă.

La rândul nostru, vrem să trecem prin aceste schimbări propuse și să clarificăm care ar putea să fie efectul lor. Din capul locului, ce-i cel mai important de subliniat e că aceste schimbări au implicatii majore, nu sunt doar „mici simplificări”, așa cum menționase Comisia Europeană că plănuiește să facă. Apoi, ne este foarte clar că cei care au de suferit în urma acestor schimbări, dacă ele ar fi trecute în forma actuală, sunt cetățenii, dar și firmele europene. Procedura prin care se încearcă trecerea acestor modificări e una de urgență.

Pretinzând că ajută IMM-urile, Comisia întinde covorul roșu pentru marile companii AI

În septembrie 2025, Comisia Europeană trâmbița intenția sa de a simplifica Regulamentul GDPR și alte Regulamente europene, pentru a degreva micile business-uri și antreprenorii de proceduri greoaie și complicate. Astfel de simplificări reale ar fi fost bine-venite, căci GDPR-ul, așa util cum ne-a fost uneori poate crea birocrație și mărește costurile pentru companii mici și mijlocii, fără a aduce mari beneficii. Totuși, ce vedem în „ciorna” denumită Digital Omnibus nu are aproape nimic în comun cu viziunea asta, a simplificării care să ajute micile companii. „Ciorna” aduce beneficii aproape exclusiiv marilor companii de tehnologie, în detrimentul autonomiei cetățenilor Uniunii Europene.

„Ciorna” Digital Omnibus va face din definiția „datelor personale” ceva subiectiv, la latitudinea fiecărui operator de date personale (de exemplu, o companie sau o instituție). Propunerea este ca fiecare operator de date să decidă dacă poate să identifice o persoană în mod unic folosind anumite date. Dacă nu poate, atunci Digital Omnibus propune ca acele date să nu mai fie considerate „personale”, deci să nu mai fie protejate de GDPR.

Asta înseamnă că anumite tipuri de date, considerate, acum, pseudonime, dar protejate în continuare de GDPR ar putea să piardă această protecție. Exemple de astfel de date ar fi adresele IP (declarate de Curtea de Justiție UE a fi protejate de GDPR în decizia Breyer) sau orice identificator unic.

Apoi, tot pe subiectul datelor în sine, Digital Omnibus caută să scoată de sub protecția GDPR datele personale din categorii speciale, dacă acestea nu au fost „dezvăluite în mod direct” celui care colectează și procesează date. În momentul de față, enorm de multe date personale din categorii speciale, precum starea de sănătate, apartenența la o religie sau la o mișcare politică, genul sau informații despre preferințele sexuale pot fi deduse din alte seturi de date. Însă, chiar dacă ele pot fi deduse, folosirea lor ca atare este interzisă de GDPR. De exemplu, Curtea de Justiție a UE a decis deja în favoarea lui Max Schrems atunci când acesta a dat în judecată Facebook, deținută de Meta. Max a susținut că Facebook nu ar fi trebuit să proceseze date despre orientarea sa sexuală, date pe care le-a dedus din contextul postărilor sale.

Practic, Digital Omnibus deschide ușa pentru profilarea utilizatorilor cu privire la datele pe care nu le declară în mod direct, scoțând totodată aceste date din sfera de protecție și garanții prevăzute acum de GDPR: orientarea sexuală, preferințele politice, starea de sănătate (inclusiv mentală), credința.

Să punem în perspectivă cât de părtinitoare este „ciorna” asta: conform propunerilor, prelucrarea datelor cu caracter personal pentru a antrena și operaționaliza algoritmi de inteligență artificială generativă devine permisă. Apoi, când vine vorba de prelucrarea datelor din categorii speciale pentru a antrena AI-ul, „ciorna” formulează foarte vag o datorie a operatorului să elimine aceste date extrem de sensibile, dacă nu cumva necesită un efort „disproporționat”. Adică, dacă se poate, dacă nu e cu supărare...

Dacă același set de date e stocat într-un Excel amărât, sau prelucrat pentru alte scopuri (de exemplu, îmbunătățirea serviciilor unei platforme), nu beneficiază de acest covor roșu pe care Digital Omibus în întinde la picioarele companiilor de AI generativă.

Ce drepturi mai pierdem

Digital Omnibus mai conține și alte schimbări îngrijorătoare:

permite până la multiple temeiuri juridice pentru extragerea de informații dintr-un dispozitiv personal sau urmărirea deținătorului dispozitivului folosind tehnologii de monitorizare la distanță (cookie-urile sunt un astfel de exemplu, deși ne-am obișnuit cu ele);
persoanele care cer acces la datele lor personale colectate și procesate, sau cer ștergerea acestora, pot fi refuzate dacă operatorul datelor sau entitatea care le-a colectat consideră că cererea este „excesivă”;
obligația celor care colectează și prelucrează date cu caracter personal de a notifica Autoritatea pentru prelucrarea datelor cu caracter personal în cazul unei breșe care expune datele public, sau le scurge către alte entități, a fost modificată să se aplice doar în cazuri de „risc înalt”, ceea ce înseamnă că vor fi recunoscute și făcute publice și mai puține astfel de cazuri.

Din analiza pe care a făcut-o NOYB, reiese că unele dintre modificările pe care le propune „ciorna” Digital Omnibus încalcă convențiile europene în domeniul protecției datelor, Carta drepturilor fundamentale sau jurisprudența Curții de Justiție. Asta înseamnă și că degeaba e procedura prin care se încearcă adoptarea una accelerată, că tot riscă întreaga propunere să fie respinsă de Curtea de Justiție a UE.

Cine sunt câștgiătorii și pierzătorii?

În momentul de față, Comisia lucrează la această „ciornă” Digital Omnibus și, în paralel, se discută - din nou! - și propunerea de Regulament de monitorizare în masă supranumită #ChatControl despre care noi am mai scris.

Deși cele două direcții ar fi în aparență opuse, ambele au consecințe directe și clare asupra cetățenilor: erodează drepturile digitale. Sub pretextul simplificării și reducerii poverii pentru companiile mici, Digital Omnibus slăbește regulile pentru colectarea datelor personale de către toate corporațiile, inclusiv pentru cele mari din domeniul AI, și le permite să colecteze și proceseze mai multe date cu mai puțină respnsabilitate. Pe de altă parte, sub pretextul siguranței publice, #ChatControl propune supravegherea și monitorizarea în masă a comunicațiilor și slăbește confidențialitatea și drepturile privind viața privată. Împreună, cele două inițiative conturează o viziune periculoasă pentru viitor, în care guvernele preiau mai multe prerogative de monitorizare și acces la comunicațiile noastre private, iar companiile primesc acces mai larg și mai puțin strict la datele noastre personale. Toată lumea câștigă, mai puțin cetățenii care pierd controlul asupra datelor personale, protecția sporită pentru datele sensibile, și le este restrâns dreptul de a afla ce date s-au colectat și dreptul de a solicita ștergerea lor.

În aceste condiții, munca de protejarea a drepturilor fundamentale ale omului de toate aceste încercări de a le constrânge și a le submina este mai importantă ca oricând.

European Digital Rights, rețeaua de organizații cu expertiză în drepturi digitale din care face parte și ApTI, a adresat o scrisoare deschisă către Henna Virkkunen (Comisarul pe Tehnologie) și Michael McGrath (Comisarul pe Justiție), alături de NOYB și Irish Council of Civil Liberties. Scrisoarea se încheie cu un avertisment puternic: simplificarea legislativă nu îmseamnă subminarea drepturilor fundamentale.

Add new comment

Susține activitatea noastră:

Susține Activitatea ApTI!

Resurse 2023/2024

Resurse educationale deschise 2023-2024:

Urmărește activitatea noastră:

Manifest

ApTI este o asociație nonguvernamentală care susține și promovează o lume digitală liberă și deschisă prin respectarea drepturilor fundamentale ale omului. Un Internet liber este un mediu în care libertatea de exprimare și viața privată sunt respectate și garantate. O lume digitală deschisă reprezintă o garanție a accesului legal și sigur la beneficiile aduse de tehnologia informației.