Opoziția SUA față de propunerile legislative UE privind protectia datelor cu caracter personal

Posted on: 19 January 2012
By: Redacția ApTI

Articol preluat din Newsletter-ul EDRi 10.1

După ce, într-o notă informală din decembrie 2011, SUA se plângea în legătură cu faptul că propunerea de regulament UE privind protecția datelor se va distanța de standardele internaționale și chiar va fi contraproductivă pentru protecția datelor, Departamentul pentru Comerț al SUA (DoC) a circulat o a doua notă informală care conține comentarii în legătură cu propunerea de regulament privind protecția datelor și propunerea de directivă privind protecția datelor în cadrul cooperării polițienești și judiciare. Dacă în prima notă erau criticate prevederile referitoare la notificarea privind încălcarea securității datelor, viața privată a copiilor și dreptul de a fi uitat, în această a doua notă criticile se concentrează asupra următoarelor aspecte: regulamentul ar putea afecta interoperabilitatea comercială și ar putea fi contraporductivă pentru protecția vieții private a consumatorilor, ar putea avea un impact negativ asupra libertății de exprimare și altor drepturi ale omului, asupra cooperării polițienești și judiciare, asupra cooperării între autoritățile de reglementare precum și asupra litigiilor civile.

Interferența la nivel înalt a SUA în procesele interne ale Comisiei Europene este extraordinară. Fără îndoială, un anumit nivel de îngrijorare poate fi exprimat în mod legitim, având în vedere faptul că este vorba despre o propunere legislativă care are semnificație internațională. Însă o astfel de interferență, înainte chiar ca Parlamentul European și Consiliul să-și fi exprimat punctul de vedere, denotă o lipsă de respect semnificativă față de instituțiile Uniunii Europene și față de abilitatea acestora de a soluționa orice probleme legate de această primă versiune a unei propuneri legislative care va face parte dintr-un proces legislativ ce va dura între doi și trei ani.

Potrivit notei informale a Departamentului pentru Comerț, Acordul Safe Harbour permite transferul de date cu caracter personal și reprezintă o “componentă vitală a comerțului transatlantic”. DoC ignoră însă complet concluziile rezultate în urma unor evaluări externe ale principiilor privind viața privată incluse in Acord, considerat astăzi a fi lipsit de credibilitate în întregime.

În notă este exprimată aprecierea față de art. 40 al propunerii de regulament și prevederile sale referitoare la regulile corporatiste obligatorii (“Binding Corporate Rules – BCR”) ca bază legală pentru transferurile de date cu caracter personal către state terțe, dar sunt solicitate, în același timp, mai multe detalii privind tipurile de verificări pe care autoritățile pentru protecția datelor le vor considera suficiente. Potrivit documentului, codurile de conduită (coduri care nu au putut fi dezvoltate în cadrul creat de actuala Directivă, dar care sunt luate în considerare în SUA) pot conduce la o creștere a interoperabilității, precum și a protecției consumatorilor; în acest context, i se sugerează Uniunii Europene să analizeze mecanisme de transformare a codurilor de conduită în reguli corporatiste obligatorii. Însă prevederea referitoare la consimțământul explicit cu un standard unic este puternic criticată, considerându-se că, dacă nu este simplificată și semnificativă, îi poate copleși ușor pe indivizi. DoC afirmă că un standard unic este nepotrivit pentru instituțiile și tipurile de comerț care oferă produse și servicii financiare.

DoC critică apoi prevederile Regulamentului referitoare la principiul “privacy by design”, precum și larga autoritate conferită Comisiei Europene în ceea ce privește stabilirea de standarde tehnice, fără să prezinte însă niciun argument valid împotriva principiului “privacy by design”.

Nota informală califică anumite prevederi ale propunerii UE ca fiind nefezabile, întrucât ar impune obligații suplimentare asupra sectorului privat, fără să se consolideze însă protecția consumatorilor; astfel de obligații includ notificarea încălcării securității datelor cu caracter personal și dreptul de a fi uitat (right to be forgotten).

În contrast cu prima notă din decembrie 2011, DoC admite acum faptul că în SUA există mai multe legi federale care conțin prevederi referitoare la notificarea încălcării securității, dar reia critica din prima notă informală în legătură cu obligața notificării persoanelor vizate în termen de 24 de ore, considerând că perioada este “pur și simplu prea scurtă”, iar acest lucru ar putea conduce la “amenzi masive” pentru companii și la “alarme false” pentru consumatori. Propunerea de regulament este considerată a fi inconsistentă cu natura globală a Internetului, întrucât ar revendica juridicție asupra persoanelor care operează site-uri web fără să aibă o legătură juridică cu Europa (adică exact ceea ce propune SUA în proiectele de lege referitoare la protecția proprietătii intelectuale în mediul online: Protect IP Act - PIPA și Stop Online Piracy Act - SOPA). Potrivit DoC, termenul “directed to” din recitalul 15 ("In order to determine whether a processing activity can be considered to be ‘directed to’ a data subject residing in the Union ...") al propunerii de regulament nu este definit suficient de clar, iar principiul limitării nu merge suficient de departe. Ciudat este faptul că formularea “directed to residents of the US” din Protect IP Act nu generează aceleași îngrijorări pentru SUA.

În notă se arată că “dreptul de a fi uitat” subminează libertatea de exprimare, este impracticabil din punct de vedere tehnic și ignoră caracterul deschis și descentralizat al Internetului. DoC își exprimă îngrijorarea cu privire la faptul că excepțiile din art.80 sunt mai limitate decât libertatea de exprimare și că dreptul de a fi uitat nu este un drept recunoscut la nivel internațional. DoC pare să ignore însă faptul că acest articol are la bază un drept deja existent, așa cum acesta a fost stabilit de către UE în art.12b al Directivei 1995/46/CE, iar îngrijorările exprimate por fi abordate prin clarificarea prevederilor propunerii de regulament.

DoC își exprimă, de asemenea, îngrijorarea și în legătură cu propunerea de Directivă privind protecția datelor cu caracter personal în sectorul polițienesc și penal, considerând că aceasta ar limita schimbul de informații la acele informații “minim necesare” – afirmație care reprezintă o confimare utilă, deși neintenționată, a faptului că propunerea este legală în raport cu Carta Drepturilor Fundamentale. SUA iși exprimă nemulțumirea și cu privire la faptul că alte instrumente legale care permit schimbul de informații cu statele membre UE trebuie să îndeplinească anumite cerințe specifice și “problematice” referitoare la protecția vieții private. Mai mult, DoC se teme că “puternicul sistem al protecției vieții private” existent în SUA (care, accidental, nu include și cetățenii UE) ar dispărea, întrucât SUA ar fi obligate să adopte stilul europen privind protecția datelor.

DoC critică prevederile din propunerea de regulament referitoare la transferul datelor (art.37-41), considerând că acestea ar submina procesele de cooperare și schimb de date între autoritățile de reglementare din SUA, UE și statele membre UE.

Documentul se referă apoi la art.42 al propunerii de regulament (referitor la cazurile în care divulgarea datelor cu caracter personal nu este permisă de către legislația UE), arătând că restricțiile incluse în acest articol ar putea bloca sau întârzia accesul la informații deținute de către companii americane și ar putea afecta negativ investigațiile asupra firmelor și cetățenilor UE. În mod ciudat, DoC este îngrijorat în legătură cu reglementarea unei situații nereglementate în momentul de față, care ar permite schimbul de date în lipsa unui cadru legal și a unor garanții legale. Potrivit notei, art.42 ar putea afecta chiar și companiile înregistrate în SUA și localizate în UE, precum și abilitatea acestora de a-și desfășura activitățile comerciale în SUA. Este important de menționat faptul că SUA folosește în prezent instrumente precum Foreign Intelligence Surveillance Act pentru a obține, prin intermediul companiilor care activează în SUA, date despre activitățile politice ale unor indivizi străini, care însă este posibil să nu aibă niciun contact cu SUA. Acest vid juridic ar urma să fie soluționat prin art.42.

Un număr neobișnuit de mare de servicii ale Comisiei a dat avize negative propunerii legislative (de exemplu, avizul negativ al Directoratului pentru Comerț și avizul negativ al Directoratului pentru Societate Informațională), întârziind astfel procesul legislativ la nivelul Comisiei. Acest lucru se datorează, parțial, semnificativei campanii de lobby inițiate de către Departamentul pentru Comerț și Comisia Federală pentru Comerț din SUA (campanie care a inclus și apeluri telefonice la nivel înalt către Comisia Europeană) împotriva versiunii neoficiale a propunerii de regulament. Versiunea oficială a acestei propuneri ar urma să fie publicată în februarie/martie.

Informații suplimentare:

Chris Connolly (Galexia), US Safe Harbor - Fact or Fiction?, Privacy Laws and Business International, issue 96, December 2008
The implementation of Commission Decision 520/2000/EC on the adequate protection of personal data provided by the Safe Harbour privacy Principles and related Frequently Asked Questions issued by the US Department of Commerce SEC(2004)1323

Articol de Kirsten Fiedler - EDRi

Licenţă: Creative Commons Atribuire 3.0

Tags:

regulament

protecţia datelor

SUA

opozitie

drepturi

Add new comment

Susține activitatea noastră:

Susține Activitatea ApTI!

Resurse 2023/2024

Resurse educationale deschise 2023-2024:

Urmărește activitatea noastră:

Manifest

ApTI este o asociație nonguvernamentală care susține și promovează o lume digitală liberă și deschisă prin respectarea drepturilor fundamentale ale omului. Un Internet liber este un mediu în care libertatea de exprimare și viața privată sunt respectate și garantate. O lume digitală deschisă reprezintă o garanție a accesului legal și sigur la beneficiile aduse de tehnologia informației.