O perspectivă și analiză critică a GDPR. Protecția intimității, drept sau iluzie. Apel la conștientizarea riscurilor mediului digital asupra dreptului la intimitate și viața privată

I. Premisele GDPR. Lumea noastră digitală

În discursul privind starea Uniunii Europene din 14 septembrie 2016, președintele Jean Claude Juncker a subliniat: „A fi european înseamnă a avea dreptul ca datele tale cu caracter personal să fie protejate de legi puternice, europene. Pentru că europenilor nu le plac dronele care zboară pe deasupra lor și le înregistrează fiecare mișcare, nici companiile care contabilizează fiecare click pe mouse. De aceea, Parlamentul, Consiliul și Comisia au convenit în mai anul acesta un regulament comun privind protecția datelor cu caracter personal. Acest regulament este o lege europeană fermă aplicabilă companiilor, indiferent de locul în care își au sediul și ori de câte ori prelucrează datele dumneavoastră cu caracter personal. Pentru că, în Europa, păstrarea confidențialității datelor personale contează. Această chestiune ține de demnitatea umană”.

Regulamentul (UE) 679 din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor, denumit în continuare GDPR) vine deloc întâmplător după dezvăluirile lui Edward Snowdon (2013), cauza Maximillian Schrems c. Data Protection Commissioner EU:C:2015, C-362/14, scandalul Cambridge Analitica, publicațiile Wikileaks și arestarea lui Julian Assange, jurnalistului și activistului pentru drepturile omului, invalidarea de către CJUE a Directivei 2006/24/CE[1] în cauza cunoscută sub denumirea Digital Rights Ireland[2] etc., când s-a întețit presiunea dintre activismul democratic și sistemele guvernamentale. Sistemul guvernamental a replicat printr-un set de instrumente legislative și măsuri de control.

Decizia pronunțată în cauza Schrems (pe care o vom analiza mai detaliat în Capitolul al VI-lea al prezentului articol) reprezintă o piatră de temelie care a scandalizat și revoluționat abordarea și implementarea principiilor de bază, a standardelor de evaluare a aplicării efective a politicilor și măsurilor de protecție a datelor și respectare a dreptului fundamental la viață privată atât în UE, cât și în SUA. A fost factorul declanșator al revoluției în materia protecției datelor în UE și catalizatorul legislației în acest domeniu pe continentul nord-american și nu numai.

Volumul de date create și colectate peste tot în lume a crescut exponențial în ultimii ani. Prin studiul realizat de către IBM se arată că aproximativ 90% din volumul actual al datelor au fost create și colectate în doar ultimii 2 ani (2016-2018), reprezentând aproximativ 2.5 quintilioane de bytes produse în fiecare zi, în aproape fiecare industrie și sector de activitate economică. International Data Corporation se așteaptă că până în 2020, în lume vor fi create și replicate circa 163 zetabytes sau 163 trilioane gigabytes în fiecare an.

II. Motivarea demersului și considerentele

Curiozitatea intelectuală și provocarea profesională mă determină să mă aplec cu pasiune asupra modului în care instituțiile europene și cele mondiale abordează intimitatea persoanei și cum înțeleg acestea să instituționalizeze controlul datelor personale. La programul centrului de cercetare privind protecția datelor cu caracter personal, desfășurat în martie 2019 de către European Center of Privacy and Cybersecurity al Universității de la Maastricht, profesorul P. Breitbarth[3] en passant a atins subiectul delicat al dreptului persoanei de a se opune comercializării datelor sale personale („do-not-sell” right) reglementat expres de către legiuitorul american (californian) prin California Consumer Privacy Act[4] (CCPA).

Așa cum știm, regulamentul GDPR nu reglementează și nu recunoaște expres acest drept persoanei, legiuitorul european omițând să reglementeze acest drept. Având o sensibilitate specială cu privire la acest subiect, am profitat de ocazie să întreb cum în Europa democratică se dă eficacitate acestui drept (de a ne opune vânzării), în mod efectiv și real. Sau și mai simplu: care prevedere din GDPR ar putea fi invocată de către o persoană în Europa, pentru a se opune a priori vânzării și comercializării datelor sale?

Simplă sau nu, întrebarea exprimă esențialul: are sau nu o persoana în Europa control asupra datelor sale sub umbrela GDPR? Putem sau nu proactiv să ne opunem vânzării datelor noastre personale? Poate o persoană să oblige operatorul[5] să o informeze sau să-i ceară acordul înainte de a vinde datele sale? Și aici ne referim, nu la o informare generică privind un eventual transfer al datelor către terți (alături de celelalte informații care se vor furniza potrivit dispozițiilor art. 13 din GDPR). Ci o informare explicită și expresă, operatorul să fie obligat să ceară a priori acordul de a vinde (de a obține venit din tranzacționarea datelor), indicând explicit cui dorește să le vândă, valoarea tranzacției, durata pentru care se vinde, scopul în care vor fi utilizate de către cumpărător, riscurile sau avantajele pentru persoana vizată. De relevanță pentru prezenta analiză nu este totuși întrebarea, ci răspunsul.

Spre uimirea mea, fără ezitare, aproape imediat am primit răspunsul că GDPR nu urmărește să dea control persoanei asupra datelor sale, că nu este reglementată o astfel de instituție precum controlul persoanei asupra datelor sale.

Un astfel de răspuns chiar dacă intuit într-un mod foarte timid, acum venea dintr-un mediu academic credibil. Și a pus la îndoială însăși raison d’être al acestui regulament? Oare nu am fost învățați că Regulamentul privind protecția datelor GDPR este o reglementare destinată protejării intereselor cetățenilor? Oare nu asta urmăresc eu însămi prin aprofundarea acestor studii, să ajut cetățenii să navigheze în acest cadru instituțional european?

Nefiind tocmai o persoana naivă, eu cu sinceritate cred și militez pentru adevăr și bine. Acesta este și motivul pentru care am îmbrățișat meseria de avocat, să ajut semenii în nevoie. Regulamentul GDPR îmi apărea ca o cauză justă, care merită lupta, un succes pentru drepturile omului și un instrument eficient în protejarea persoanei. Să ne amintim de campaniile de informare lansate și susținute de media („Data back to people!”), reiterate inclusiv în mesajul video publicat de către EDPB pe pagina sa: https://edpb.europa.eu/about-edpb/about-edpb_en (secunda 00:50). Instituțiile europene și naționale din Europa prin care se indica explicit că GDPR este o reglementare detaliată a dreptului la intimitate și protecția datelor recunoscut prin art. 8 al Convenției 108 (28 ianuarie 1981)? Calea către GDPR părea să fie rezultatul unei lupte pentru drepturile persoanei pentru libertatea și intimitatea fiecăruia din noi?

Aproape imediat mi-a răsărit în minte articolul profesorului Woodrow Hartzog publicat în European Data Protection Law Review (EDPL) nr. 4/2018 „The Case Against Idealising Control”[6]. Inițial, la prima lectură, am considerat că profesorul Hartzog exprimă o opinie personală ușor subiectivă. Însă, în contextul răspunsul primit la ECPC în martie 2019, articolul profesorului Hartzoog și considerentele dezvoltate de profesorul Christopher Kuner[7], toate trei opinii exprimate în medii academice de încredere au zdruncinat crezul meu și m-au determinat să aprofundez și să cercetez cu atenție subiectul care mă frământa de o vreme: este regulamentul GDPR și măsurile instituțiilor europene orientate să ofere persoanei controlul real asupra datelor sale?

Este persoana centrul gravitațional al acestui regulament? Și dacă nu, cui folosește GDPR?

De ce instituțiile europene au reglementat acest domeniu prin GDPR? Cui prodest?

La o analiză mai atentă, răspunsul care s-a impus: Adevărat este. GDPR nici pe departe nu este despre a da vreun control persoanei asupra datelor sale[8].

Desigur, GDPR reglementează controlul. Dar nu un control exercitabil de persoană. Per a contrario, în fapt, persoana este marfa[9].

III. Cui prodest?

Trebuie să admitem că pentru a putea trata în prezenta lucrare regimul juridic al protecției datelor așa cum a fost acesta elaborat și legiferat de către Comisia Europeană și cum a trecut prin 2 lecturi în Parlamentul European, nu putem să omitem poate cel mai important capitol în care să analizăm și răspundem cu onestitate dacă prin acest Regulament GDPR legiuitorul european a dat controlul persoanei asupra datelor sale, să încercăm să identificăm și să răspundem argumentat și obiectiv cine este de fapt beneficiarul real al GDPR, Cui prodest? Care este cadrul instituțional european în care acest regulament a fost conceput și dezbătut, pentru a ajunge al noi, în forma pe care o cunoaștem astăzi?

IV. Datele sunt bunuri. Oamenii sunt marfă

Retrăgându-ne și privind cu atenție în urmă procesele și modificările care au avut loc în ultimele 2-3 decade, oamenii, demosul, s-a dovedit a fi o marfă, care furnizează (sau de la care se poate extrage) nu doar muncă, dar și identitatea, intelectul însuși. Poate suna provocator. Dar, vă invit prin această lucrare să dați o șansă analizei acestei teze. Cum se știe, datele au valoare pecuniară. Având valoare financiară, ele se comercializată pe piață. Fac obiectul intermedierilor și a unui comerț intens. Analytics, big data, market profiling, inteligența artificială (AI), blockchain, IoT (internet-of-things) etc. – sunt doar câteva domenii notorii și prezente pe piața digitală.

Toate domeniile economiei și finanțelor în activitatea curentă, gestionează baze masive de date (banking, asigurări, servicii medicale private, contabilitate etc.) și își construiesc strategiile pe baza unor intense și din ce în ce mai sofisticate operațiuni de profilare și prelucrare a datelor personale.

Datelor personale le este recunoscută valoarea comercială în mod explicit inclusiv prin dispozițiile art. 3, primul paragraf din Directiva privind Contractele de furnizare de conținut digital și de servicii digitale 26 martie 2019, recunoscându-se datelor personale valoare de plată, prin care se achită un serviciu: „Prezenta directivă se aplică și atunci când comerciantul furnizează sau se angajează să furnizeze consumatorului conținut digital sau un serviciu digital, iar consumatorul furnizează sau se angajează să furnizeze comerciantului date cu caracter personal (…)”. Monetizarea, inclusiv pe cale legislativă a valorii datelor personale, este o realitate juridică. Această formă consolidată a textului legislativ european a trecut în lectura Parlamentului European și a fost agreată de către Consiliul European[10], în pofida opoziției Autorității de Supraveghere Europeană a Datelor (EDPS) care a exprimat critici și rezerve prin Opinia nr. 4/2017 din 14.03.2017[11].

EDPS solicita reformularea acestui paragraf sau cel puțin eliminarea cuvântului „contraprestație”, care în versiunea anterioară (din 9 decembrie 2015[12]) era inclus în text în mod explicit. Parlamentul a eliminat sintagma „în contraprestație”, dar din analiza semantică a textul acestui alineat exact acest lucru se desprinde, chiar dacă sintagma este reformulată voalat.

În lucrarea sa „The use of big data as a risk for individual self-determination and the implementation of competition law in the digital market – A comparative approach between the European Union and the United States of America” publicată în revista italiană de specialitate Eurojus[13], Fiorela Deal Monte arată „Se crede cu fermitate în rândul cadrelor universitare că datele cu caracter personal sunt materia primă pe baza căreia funcționează în prezent cea mai mare parte a economiei globale, dar este, de asemenea, un fel de monedă care poate fi oferită în schimbul altor servicii sau bunuri aparent libere”[14].


[1] Directiva 2006/24/CE privind păstrarea datelor generate sau prelucrate în legătură cu furnizarea serviciilor de comunicații electronice accesibile publicului sau de rețele de comunicații publice și de modificare a Directivei 2002/58/CE.

[2] Cauzele reunite C-293/12 and C-594/12 Digital Rights Ireland Ltd c. Minister for Communications, Marine and Natural Resources and Others and Kärntner Landesregierung and Others, EU:C:2014:238. 21.

[3] Prezentarea și cursul ținut de către profesorului Paul Breitbarth privind prezentarea sistemelor și mecanismelor de gestionarea securității datelor (Executive Week – Martie 2019).

[4] The California Consumer Privacy Act (CCPA) este o act legislativ (bill) care reglementează protecția datelor și a intimității (privacy) consumatorilor (spre deosebire de termenul folosit în Europa – a persoanelor) rezidenți în California, SUA. Actul a fost adoptat și a trecut de Consiliul statului California și semnat de către dl Jerry Brown, Guvernatorul statului California, în data de 28 iunie 2018. CCPA urmează să intre în vigoare în data de 1 Ianuarie 2020.

[5] „Operator înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal; atunci când scopurile și mijloacele prelucrării sunt stabilite prin dreptul Uniunii sau dreptul intern, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi prevăzute în dreptul Uniunii sau în dreptul intern” – art. 4 pct. 7 din GDPR.

[6] https://edpl.lexxion.eu/article/EDPL/2018/4/5.

[7] În lucrarea Reality and Illusion in EU Data Transfer Regulation Post Schrems; https://germanlawjournal.com/volume-18-no-04/.

[8] You probably recall the picture form Mrs. Leena Kuusniemi presentation „One Regulation to rule them all, One stop-shop to find them, One DPA to bring them all and in the darkness fine them” stating Data-Power to the people.

https://www.theguardian.com/commentisfree/2017/oct/03/data-tech-giants-trail-digital-age.

https://www.rug.nl/rechten/news/in-de-media/archief/2018/jonida-milaj-weishaar-will-we-get-back-control-of-our-data.

https://www.cbsnews.com/news/gdpr-the-law-that-lets-europe-take-back-their-data-from-big-tech-companies-60-minutes/.

[9] Ne duce cu gândul la sclavie, nu-i așa?

[10] http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+TA+P8-TA-2019-0232+0+DOC+XML+V0//RO.

[11] 4 https://edps.europa.eu/sites/edp/files/publication/17-03-14_opinion_digital_content_en.pdf.

[12]Prezenta directivă se aplică și atunci când comerciantul furnizează sau se angajează să furnizeze consumatorului conținut digital sau un serviciu digital, iar consumatorul în contraprestație îi furnizează sau se angajează să furnizeze comerciantului date cu caracter personal (…)”; https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:52015PC0634&from=EN.

[13] http://rivista.eurojus.it/wp-content/uploads/pdf/I.2-FIORELLA-DAL-MONTE-The-use-of-big-data-as-a-risk-for-individual-self-determination-and-the-implementation-of-competition-law-in-the-digital-market..-.pdf.

[14] „It is strongly believed among academics that personal data is the raw material upon which most part of global economy currently works, but it also is a sort of currency that can be given in exchange for other services or goods that are apparently free”, făcându-se referire în special la F. Panagopoulou-Koutnatzi, Facebook as a challenge to privacy, în M. Bottis (ed.), Privacy and Surveillance, Current aspects and future perspectives, Atena, 2013, p. 217; A. Acquisti.

O perspectivă și analiză critică a GDPR. Protecția intimității, drept sau iluzie. Apel la conștientizarea riscurilor mediului digital asupra dreptului la intimitate și viața privată was last modified: august 6th, 2019 by Oxana Chironda

Numai utilizatorii autentificați pot scrie comentarii