O perspectivă și analiză critică a GDPR. Protecția intimității, drept sau iluzie. Apel la conștientizarea riscurilor mediului digital asupra dreptului la intimitate și viața privată
Oxana Chironda - iulie 2, 2019I. Premisele GDPR. Lumea noastră digitală
În discursul privind starea Uniunii Europene din 14 septembrie 2016, președintele Jean Claude Juncker a subliniat: „A fi european înseamnă a avea dreptul ca datele tale cu caracter personal să fie protejate de legi puternice, europene. Pentru că europenilor nu le plac dronele care zboară pe deasupra lor și le înregistrează fiecare mișcare, nici companiile care contabilizează fiecare click pe mouse. De aceea, Parlamentul, Consiliul și Comisia au convenit în mai anul acesta un regulament comun privind protecția datelor cu caracter personal. Acest regulament este o lege europeană fermă aplicabilă companiilor, indiferent de locul în care își au sediul și ori de câte ori prelucrează datele dumneavoastră cu caracter personal. Pentru că, în Europa, păstrarea confidențialității datelor personale contează. Această chestiune ține de demnitatea umană”.
Regulamentul (UE) 679 din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor, denumit în continuare GDPR) vine deloc întâmplător după dezvăluirile lui Edward Snowdon (2013), cauza Maximillian Schrems c. Data Protection Commissioner EU:C:2015, C-362/14, scandalul Cambridge Analitica, publicațiile Wikileaks și arestarea lui Julian Assange, jurnalistului și activistului pentru drepturile omului, invalidarea de către CJUE a Directivei 2006/24/CE[1] în cauza cunoscută sub denumirea Digital Rights Ireland[2] etc., când s-a întețit presiunea dintre activismul democratic și sistemele guvernamentale. Sistemul guvernamental a replicat printr-un set de instrumente legislative și măsuri de control.
Decizia pronunțată în cauza Schrems (pe care o vom analiza mai detaliat în Capitolul al VI-lea al prezentului articol) reprezintă o piatră de temelie care a scandalizat și revoluționat abordarea și implementarea principiilor de bază, a standardelor de evaluare a aplicării efective a politicilor și măsurilor de protecție a datelor și respectare a dreptului fundamental la viață privată atât în UE, cât și în SUA. A fost factorul declanșator al revoluției în materia protecției datelor în UE și catalizatorul legislației în acest domeniu pe continentul nord-american și nu numai.
Volumul de date create și colectate peste tot în lume a crescut exponențial în ultimii ani. Prin studiul realizat de către IBM se arată că aproximativ 90% din volumul actual al datelor au fost create și colectate în doar ultimii 2 ani (2016-2018), reprezentând aproximativ 2.5 quintilioane de bytes produse în fiecare zi, în aproape fiecare industrie și sector de activitate economică. International Data Corporation se așteaptă că până în 2020, în lume vor fi create și replicate circa 163 zetabytes sau 163 trilioane gigabytes în fiecare an.
II. Motivarea demersului și considerentele
Curiozitatea intelectuală și provocarea profesională mă determină să mă aplec cu pasiune asupra modului în care instituțiile europene și cele mondiale abordează intimitatea persoanei și cum înțeleg acestea să instituționalizeze controlul datelor personale. La programul centrului de cercetare privind protecția datelor cu caracter personal, desfășurat în martie 2019 de către European Center of Privacy and Cybersecurity al Universității de la Maastricht, profesorul P. Breitbarth[3] en passant a atins subiectul delicat al dreptului persoanei de a se opune comercializării datelor sale personale („do-not-sell” right) reglementat expres de către legiuitorul american (californian) prin California Consumer Privacy Act[4] (CCPA).
Așa cum știm, regulamentul GDPR nu reglementează și nu recunoaște expres acest drept persoanei, legiuitorul european omițând să reglementeze acest drept. Având o sensibilitate specială cu privire la acest subiect, am profitat de ocazie să întreb cum în Europa democratică se dă eficacitate acestui drept (de a ne opune vânzării), în mod efectiv și real. Sau și mai simplu: care prevedere din GDPR ar putea fi invocată de către o persoană în Europa, pentru a se opune a priori vânzării și comercializării datelor sale?
Simplă sau nu, întrebarea exprimă esențialul: are sau nu o persoana în Europa control asupra datelor sale sub umbrela GDPR? Putem sau nu proactiv să ne opunem vânzării datelor noastre personale? Poate o persoană să oblige operatorul[5] să o informeze sau să-i ceară acordul înainte de a vinde datele sale? Și aici ne referim, nu la o informare generică privind un eventual transfer al datelor către terți (alături de celelalte informații care se vor furniza potrivit dispozițiilor art. 13 din GDPR). Ci o informare explicită și expresă, operatorul să fie obligat să ceară a priori acordul de a vinde (de a obține venit din tranzacționarea datelor), indicând explicit cui dorește să le vândă, valoarea tranzacției, durata pentru care se vinde, scopul în care vor fi utilizate de către cumpărător, riscurile sau avantajele pentru persoana vizată. De relevanță pentru prezenta analiză nu este totuși întrebarea, ci răspunsul.
Spre uimirea mea, fără ezitare, aproape imediat am primit răspunsul că GDPR nu urmărește să dea control persoanei asupra datelor sale, că nu este reglementată o astfel de instituție precum controlul persoanei asupra datelor sale.
Un astfel de răspuns chiar dacă intuit într-un mod foarte timid, acum venea dintr-un mediu academic credibil. Și a pus la îndoială însăși raison d’être al acestui regulament? Oare nu am fost învățați că Regulamentul privind protecția datelor GDPR este o reglementare destinată protejării intereselor cetățenilor? Oare nu asta urmăresc eu însămi prin aprofundarea acestor studii, să ajut cetățenii să navigheze în acest cadru instituțional european?
Nefiind tocmai o persoana naivă, eu cu sinceritate cred și militez pentru adevăr și bine. Acesta este și motivul pentru care am îmbrățișat meseria de avocat, să ajut semenii în nevoie. Regulamentul GDPR îmi apărea ca o cauză justă, care merită lupta, un succes pentru drepturile omului și un instrument eficient în protejarea persoanei. Să ne amintim de campaniile de informare lansate și susținute de media („Data back to people!”), reiterate inclusiv în mesajul video publicat de către EDPB pe pagina sa: https://edpb.europa.eu/about-edpb/about-edpb_en (secunda 00:50). Instituțiile europene și naționale din Europa prin care se indica explicit că GDPR este o reglementare detaliată a dreptului la intimitate și protecția datelor recunoscut prin art. 8 al Convenției 108 (28 ianuarie 1981)? Calea către GDPR părea să fie rezultatul unei lupte pentru drepturile persoanei pentru libertatea și intimitatea fiecăruia din noi?
Aproape imediat mi-a răsărit în minte articolul profesorului Woodrow Hartzog publicat în European Data Protection Law Review (EDPL) nr. 4/2018 „The Case Against Idealising Control”[6]. Inițial, la prima lectură, am considerat că profesorul Hartzog exprimă o opinie personală ușor subiectivă. Însă, în contextul răspunsul primit la ECPC în martie 2019, articolul profesorului Hartzoog și considerentele dezvoltate de profesorul Christopher Kuner[7], toate trei opinii exprimate în medii academice de încredere au zdruncinat crezul meu și m-au determinat să aprofundez și să cercetez cu atenție subiectul care mă frământa de o vreme: este regulamentul GDPR și măsurile instituțiilor europene orientate să ofere persoanei controlul real asupra datelor sale?
Este persoana centrul gravitațional al acestui regulament? Și dacă nu, cui folosește GDPR?
De ce instituțiile europene au reglementat acest domeniu prin GDPR? Cui prodest?
La o analiză mai atentă, răspunsul care s-a impus: Adevărat este. GDPR nici pe departe nu este despre a da vreun control persoanei asupra datelor sale[8].
Desigur, GDPR reglementează controlul. Dar nu un control exercitabil de persoană. Per a contrario, în fapt, persoana este marfa[9].
III. Cui prodest?
Trebuie să admitem că pentru a putea trata în prezenta lucrare regimul juridic al protecției datelor așa cum a fost acesta elaborat și legiferat de către Comisia Europeană și cum a trecut prin 2 lecturi în Parlamentul European, nu putem să omitem poate cel mai important capitol în care să analizăm și răspundem cu onestitate dacă prin acest Regulament GDPR legiuitorul european a dat controlul persoanei asupra datelor sale, să încercăm să identificăm și să răspundem argumentat și obiectiv cine este de fapt beneficiarul real al GDPR, Cui prodest? Care este cadrul instituțional european în care acest regulament a fost conceput și dezbătut, pentru a ajunge al noi, în forma pe care o cunoaștem astăzi?
IV. Datele sunt bunuri. Oamenii sunt marfă
Retrăgându-ne și privind cu atenție în urmă procesele și modificările care au avut loc în ultimele 2-3 decade, oamenii, demosul, s-a dovedit a fi o marfă, care furnizează (sau de la care se poate extrage) nu doar muncă, dar și identitatea, intelectul însuși. Poate suna provocator. Dar, vă invit prin această lucrare să dați o șansă analizei acestei teze. Cum se știe, datele au valoare pecuniară. Având valoare financiară, ele se comercializată pe piață. Fac obiectul intermedierilor și a unui comerț intens. Analytics, big data, market profiling, inteligența artificială (AI), blockchain, IoT (internet-of-things) etc. – sunt doar câteva domenii notorii și prezente pe piața digitală.
Toate domeniile economiei și finanțelor în activitatea curentă, gestionează baze masive de date (banking, asigurări, servicii medicale private, contabilitate etc.) și își construiesc strategiile pe baza unor intense și din ce în ce mai sofisticate operațiuni de profilare și prelucrare a datelor personale.
Datelor personale le este recunoscută valoarea comercială în mod explicit inclusiv prin dispozițiile art. 3, primul paragraf din Directiva privind Contractele de furnizare de conținut digital și de servicii digitale 26 martie 2019, recunoscându-se datelor personale valoare de plată, prin care se achită un serviciu: „Prezenta directivă se aplică și atunci când comerciantul furnizează sau se angajează să furnizeze consumatorului conținut digital sau un serviciu digital, iar consumatorul furnizează sau se angajează să furnizeze comerciantului date cu caracter personal (…)”. Monetizarea, inclusiv pe cale legislativă a valorii datelor personale, este o realitate juridică. Această formă consolidată a textului legislativ european a trecut în lectura Parlamentului European și a fost agreată de către Consiliul European[10], în pofida opoziției Autorității de Supraveghere Europeană a Datelor (EDPS) care a exprimat critici și rezerve prin Opinia nr. 4/2017 din 14.03.2017[11].
EDPS solicita reformularea acestui paragraf sau cel puțin eliminarea cuvântului „contraprestație”, care în versiunea anterioară (din 9 decembrie 2015[12]) era inclus în text în mod explicit. Parlamentul a eliminat sintagma „în contraprestație”, dar din analiza semantică a textul acestui alineat exact acest lucru se desprinde, chiar dacă sintagma este reformulată voalat.
În lucrarea sa „The use of big data as a risk for individual self-determination and the implementation of competition law in the digital market – A comparative approach between the European Union and the United States of America” publicată în revista italiană de specialitate Eurojus[13], Fiorela Deal Monte arată „Se crede cu fermitate în rândul cadrelor universitare că datele cu caracter personal sunt materia primă pe baza căreia funcționează în prezent cea mai mare parte a economiei globale, dar este, de asemenea, un fel de monedă care poate fi oferită în schimbul altor servicii sau bunuri aparent libere”[14].
[1] Directiva 2006/24/CE privind păstrarea datelor generate sau prelucrate în legătură cu furnizarea serviciilor de comunicații electronice accesibile publicului sau de rețele de comunicații publice și de modificare a Directivei 2002/58/CE.
[2] Cauzele reunite C-293/12 and C-594/12 Digital Rights Ireland Ltd c. Minister for Communications, Marine and Natural Resources and Others and Kärntner Landesregierung and Others, EU:C:2014:238. 21.
[3] Prezentarea și cursul ținut de către profesorului Paul Breitbarth privind prezentarea sistemelor și mecanismelor de gestionarea securității datelor (Executive Week – Martie 2019).
[4] The California Consumer Privacy Act (CCPA) este o act legislativ (bill) care reglementează protecția datelor și a intimității (privacy) consumatorilor (spre deosebire de termenul folosit în Europa – a persoanelor) rezidenți în California, SUA. Actul a fost adoptat și a trecut de Consiliul statului California și semnat de către dl Jerry Brown, Guvernatorul statului California, în data de 28 iunie 2018. CCPA urmează să intre în vigoare în data de 1 Ianuarie 2020.
[5] „Operator înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal; atunci când scopurile și mijloacele prelucrării sunt stabilite prin dreptul Uniunii sau dreptul intern, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi prevăzute în dreptul Uniunii sau în dreptul intern” – art. 4 pct. 7 din GDPR.
[6] https://edpl.lexxion.eu/article/EDPL/2018/4/5.
[7] În lucrarea Reality and Illusion in EU Data Transfer Regulation Post Schrems; https://germanlawjournal.com/volume-18-no-04/.
[8] You probably recall the picture form Mrs. Leena Kuusniemi presentation „One Regulation to rule them all, One stop-shop to find them, One DPA to bring them all and in the darkness fine them” stating Data-Power to the people.
https://www.theguardian.com/commentisfree/2017/oct/03/data-tech-giants-trail-digital-age.
https://www.rug.nl/rechten/news/in-de-media/archief/2018/jonida-milaj-weishaar-will-we-get-back-control-of-our-data.
https://www.cbsnews.com/news/gdpr-the-law-that-lets-europe-take-back-their-data-from-big-tech-companies-60-minutes/.
[9] Ne duce cu gândul la sclavie, nu-i așa?
[10] http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+TA+P8-TA-2019-0232+0+DOC+XML+V0//RO.
[11] 4 https://edps.europa.eu/sites/edp/files/publication/17-03-14_opinion_digital_content_en.pdf.
[12] „Prezenta directivă se aplică și atunci când comerciantul furnizează sau se angajează să furnizeze consumatorului conținut digital sau un serviciu digital, iar consumatorul în contraprestație îi furnizează sau se angajează să furnizeze comerciantului date cu caracter personal (…)”; https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:52015PC0634&from=EN.
[13] http://rivista.eurojus.it/wp-content/uploads/pdf/I.2-FIORELLA-DAL-MONTE-The-use-of-big-data-as-a-risk-for-individual-self-determination-and-the-implementation-of-competition-law-in-the-digital-market..-.pdf.
[14] „It is strongly believed among academics that personal data is the raw material upon which most part of global economy currently works, but it also is a sort of currency that can be given in exchange for other services or goods that are apparently free”, făcându-se referire în special la F. Panagopoulou-Koutnatzi, Facebook as a challenge to privacy, în M. Bottis (ed.), Privacy and Surveillance, Current aspects and future perspectives, Atena, 2013, p. 217; A. Acquisti.
Arhive
- martie 2024
- februarie 2024
- ianuarie 2024
- decembrie 2023
- noiembrie 2023
- octombrie 2023
- septembrie 2023
- august 2023
- iulie 2023
- iunie 2023
- mai 2023
- aprilie 2023
- martie 2023
- februarie 2023
- ianuarie 2023
- decembrie 2022
- noiembrie 2022
- octombrie 2022
- septembrie 2022
- august 2022
- iulie 2022
- iunie 2022
- mai 2022
- aprilie 2022
- martie 2022
- februarie 2022
- ianuarie 2022
- decembrie 2021
- noiembrie 2021
- octombrie 2021
- septembrie 2021
- august 2021
- iulie 2021
- iunie 2021
- mai 2021
- aprilie 2021
- martie 2021
- februarie 2021
- ianuarie 2021
- decembrie 2020
- noiembrie 2020
- octombrie 2020
- septembrie 2020
- august 2020
- iulie 2020
- iunie 2020
- mai 2020
- aprilie 2020
- martie 2020
- februarie 2020
- ianuarie 2020
- decembrie 2019
- noiembrie 2019
- octombrie 2019
- septembrie 2019
- august 2019
- iulie 2019
- iunie 2019
- mai 2019
- aprilie 2019
- martie 2019
- februarie 2019
- ianuarie 2019
- decembrie 2018
- noiembrie 2018
- octombrie 2018
- septembrie 2018
- august 2018
- iulie 2018
- iunie 2018
- mai 2018
- aprilie 2018
- martie 2018
- februarie 2018
- ianuarie 2018
- decembrie 2017
- noiembrie 2017
- octombrie 2017
- septembrie 2017
- august 2017
- iulie 2017
- iunie 2017
- mai 2017
- aprilie 2017
- martie 2017
- februarie 2017
- ianuarie 2017
- decembrie 2016
- noiembrie 2016
- octombrie 2016
- septembrie 2016
- august 2016
- iulie 2016
- iunie 2016
- mai 2016
- aprilie 2016
- martie 2016
- februarie 2016
- ianuarie 2016
- decembrie 2015
- noiembrie 2015
- octombrie 2015
- septembrie 2015
- august 2015
- iulie 2015
- iunie 2015
- mai 2015
- aprilie 2015
- martie 2015
- februarie 2015
- ianuarie 2015
Calendar
L | Ma | Mi | J | V | S | D |
---|---|---|---|---|---|---|
1 | 2 | 3 | 4 | 5 | 6 | 7 |
8 | 9 | 10 | 11 | 12 | 13 | 14 |
15 | 16 | 17 | 18 | 19 | 20 | 21 |
22 | 23 | 24 | 25 | 26 | 27 | 28 |
29 | 30 |
Lasă un răspuns
Trebuie să fii autentificat pentru a publica un comentariu.