Scurtă analiză cu privire la compatibilitatea dispozițiilor Regulamentului UE privind instituirea Parchetului European cu dispozițiile dreptului Uniunii și a celui intern în domeniul protecției datelor cu caracter personal

Abstract

  Abstract
The present study proposes an analysis of the coherence between the EPPO Regulation’s
provisions on data protection and other norms on that issue applicable according to EU and internal
member state’s law. The importance of such a demarche is significant for the actual time frame,
situated between the moment of the adoption of the EPPO Regulation and the moment of the
complete operationalisation of its activity.
Though the EPPO is defined as an EU body, it has its own provisions applicable in case of the
processing of operational personal data while the processing of administrative data is regulated by the
GDPR. However, the problem of processing operational data has to be regarded from a multipolar,
complex perspective, which includes other EU regulations and directives, such as Council of the
European Union, ”Proposal for a Regulation of the European Parliament and of the Council on the
protection of individuals with regard to the processing of personal data by the Union Institutions,
bodies, offices and agencies and on the dree movement of such data, and repealing Regulation (EC)
no 45/2001 and Decision No.1247/2002/EC and the Directive (UE) 2016/680. The same issue has
also to be evaluated from the perspective of the national law on the matter, which Romania failed to
enact yet, but struggles to pass through parliamentary procedures a project of law for the
transposition of Directive (UE) 2016/680.
There are some problems identified in this analysis which could raise questions about the
interoperability of the legal provisions applicable and, as a consequence, some de lege ferenda proposal
have been made in order to avoid frictions between EU law and the national law that is to be
definitively structured at present.
Neither Romania nor the European Union fully clarify what is the ideal legislative framework
for the protection of personal data in EPPO’s work, and this will happen only in 2022 following
evaluation reports to be drafted by the Commission.

In this context, we ask ourselves the legitimate question whether the sophistication and
complexity of the legal framework on personal data protection, seen in recent years as a Union
priority, has created too much uncertainty compared to the solutioning of the problems it faces.
Keywords: EPPO, data protection, administrative personal data, operational data, strategic
data, EPPO Regulation, associated operators, transfer of data, processing of data, prevention,
investigation, detection or prosecution of criminal offences, execution of criminal penalties, free
movement of personal data. 

Regulamentul (UE) 2017/1939 al Consiliului din 12 octombrie 2017 de punere în aplicare a unei forme de cooperare consolidată în ceea ce privește instituirea Parchetului European (EPPO)[1], conține dispoziții cu privire la protecția datelor cu caracter personal în cadrul capitolului VIII, art. 47-89.

În scopurile operaționalizării Parchetului European[2], cadrul legal, așa cum a fost prezentat anterior trebuie coroborat cu diferite alte acte legislative ale Uniunii Europene, precum și cu acte normative din dreptul național.

Din perspectiva dreptului Uniunii Europene, sunt relevante următoarele:

a) Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor)[3]. Acest regulament are o aplicare limitată raportat la autoritățile ce au atribuții în materia prevenirii, detectării, cercetării, urmăririi penale, executării pedepselor și asigurării securității publice; în principiu, RGPD este aplicabil în materia activității acestor autorități desfășurate doar în ceea ce privește prelucrarea datelor administrative cu caracter personal, cu excluderea prelucrării datelor operative cu caracter personal și cu atât mai mult a celor strategice.

b) Directiva (UE) 2016/680 a Parlamentului European și a Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor și privind libera circulație a acestor date și de abrogare a Deciziei-cadru 2008/977/JAI a Consiliului[4]. Acesta este actul legislativ al Uniunii Europene care reglementează prelucrarea datelor operative cu caracter personal în activitatea polițienească, a jandarmeriei, a parchetului, precum și a altor autorități de tipul celor enumerate în titlul directivei. Fiind vorba despre o directivă, pentru a produce efecte în statele membre, dispozițiile sale având un caracter de norme minime, trebuie transpuse în legea internă a statelor membre. În conformitate cu art. 63 din Directivă, termenul de transpunere al acesteia a expirat la data de 6 mai 2018. Până la data redactării prezentului studiu (12 iulie 2018), statul român nu a transpus prevederile respective.

c) Propunerea de Regulament al Parlamentului European și al Consiliului cu privire la protecția persoanelor fizice față de prelucrarea datelor personale de către instituțiile, organele, oficiile și agențiile Uniunii Europene și cu privire la libera circulație a acestor date, precum și pentru abrogarea Regulamentului (EC) no. 45/2001 și a Deciziei no. 1247/2002/EC. În negocierea regulamentului s-a ajuns la un compromis final între Comisie, Consiliu și Parlamentul European ca urmare a trialogului din data de 23 mai 2018, Bruxelles, 1 iunie 2018[5]. Astfel, în momentul în care va fi adoptat oficial regulamentul de către Consiliu și Parlamentul European, acesta va deveni direct aplicabil în domeniul prelucrării datelor cu caracter personal, atât a celor administrative, cât și a celor operaționale, activității instituțiilor, organelor, oficiilor și agențiilor Uniunii Europene.

În conformitate cu dispozițiile pct. (8a) din proiectul de regulament, un capitol separat al acestuia se va referi la prelucrarea datelor cu caracter personal de tip operațional de către entitățile Uniunii Europene menționate anterior, atunci când prelucrarea se va face în legătură cu dispozițiile capitolelor 4 și 5 din Titlul V, Partea a III-a a Tratatului privind funcționarea Uniunii Europene (TFUE), adică, cooperarea judiciară în materie penală și cooperarea polițienească, indiferent dacă exercitarea acestor atribuții este principală sau accesorie, câtă vreme se referă la activitățile de prevenire, detectare, investigare, urmărire penală sau executare a pedepselor. Cu toate acestea, respectivul capitol nu va fi aplicat Europol și nici EPPO, până când regulamentele ce le reglementează nu vor fi amendate în scopul de a face aplicabil capitolul sus amintit al prezentului regulament.

Pct. (8aa) al propunerii de regulament prevede necesitatea întocmirii de către Comisie a două rapoarte separate: unul cu privire la capitolul distinct din respectivul regulament și un altul cu privire la alte acte legislative ce au ca temei juridic dispozițiile capitolelor 4 și 5 din Titlul V, Partea a III-a a TFUE. Ulterior elaborării acestor două rapoarte, Comisia, în scopul de a asigura reguli uniforme și coerente referitoare la protecția persoanelor fizice față de procesarea datelor, poate supune propuneri legislative, incluzând adoptarea prevederilor capitolului special din regulament, referitor la protecția datelor operaționale, dacă este cazul, astfel încât acest capitol să devină aplicabil și prelucrării datelor operaționale de către Europol și EPPO. Adaptarea ar trebui să ia în considerare, inter alia, prevederile legate de supravegherea independentă a prelucrării datelor, căi de atac, răspundere și sancțiuni aplicabile.

Capitolul special la care se referă preambulul regulamentului este capitolul IX, art. 70a din propunerea de regulament agreată cu ocazia trialogului, ce prevede că „nu mai târziu de 1 mai 2022 și apoi la sfârșitul fiecărei perioade următoare de câte 5 ani, Comisia va prezenta Parlamentului European și Consiliului un raport cu privire la aplicarea prezentului regulament, însoțit, dacă este cazul, de propuneri legislative adecvate”.

În conformitate cu prevederile art. 70b din propunerea de regulament, purtând titlul marginal „Revizuirea actelor legislative ale Uniunii”, până la 1 mai 2022, Comisia va evalua aplicarea actelor legislative ale Uniunii adoptate în baza Tratatelor, care reglementează prelucrarea datelor cu caracter personal operațional ale instituțiilor, organelor, oficiilor și agențiilor atunci când acestea îndeplinesc sarcini ce intră în sfera de aplicare a capitolelor 4 și 5, Titlul V Partea a III-a TFUE, în scopul aprecierii consistenței acestora cu prevederile Directivei (UE) 2016/680 și cu cele ale Capitolului VIII-a al prezentului regulament și pentru a identifica orice discrepanță care poate afecta schimbul de date dintre entitățile Uniunii Europene, atunci când desfășoară activități în acest domeniu și autoritățile competente din statele membre, care ar putea crea o fragmentare a cadrului juridic al protecției datelor personale în Uniune. Pe baza acestui raport, în scopul de a asigura o protecție uniformă și coerentă a persoanelor fizice față de prelucrarea datelor personale, Comisia va putea, în special, să propună măsurile legislative adecvate cu privire la aplicarea prevederilor Capitolului VIII-a la activitățile Europol și EPPO, incluzând modificări ale prevederilor Capitolului VIII-a dacă este necesar.

În ceea ce privește capitolul VIII-a al proiectului de regulament, acesta reia practic dispozițiile esențiale din Directiva (UE) 2016/680.

În concluzie, față de actele legislative ale Uniunii Europene aplicabile materiei prelucrării datelor personale în contextul activităților de prevenire, depistare, cercetare și urmărire penală, precum și de executare a pedepselor și de asigurare a securității publice, Regulamentul UE 45/2001, care reglementa până în prezent problematica, atunci când autoritățile ce prelucrau datele personale erau entități instituționale aparținând Uniunii Europene, va ieși curând din vigoare odată cu adoptarea de Consiliul și de Parlamentul European a propunerii de regulament 9296/18, asupra căruia Comisia, Consiliul și Parlamentul European și-au exprimat acordul de principiu la finalul trialogului din 23 mai 2018. Pe de altă parte, Regulamentul EPPO reglementează aspectele ce țin de protecția datelor cu caracter personal, atât a celor administrative, cât și a celor operaționale, de către EPPO, însă cu titlu provizoriu, până la evaluarea standardelor de protecție a datelor asigurate de acest regulament cât și de regulamentul ce va fi adoptat ca urmare a acordului de la 23 mai 2018. Doar la data de 22 mai 2022, Comisia va propune o soluție juridică definitivă pentru protecția datelor în contextul prelucrării acestora de către EPPO (și, separat, de către Europol).

Cadrul legal intern al protecției datelor cu caracter personal referitoare la prelucrarea acestora de către autoritățile competente în scopul prevenirii, descoperirii, cercetării, urmăririi penale și combaterii infracțiunilor sau al executării pedepselor, măsurilor educative și de siguranță, precum și privind libera circulație a acestor date se caracterizează prin următoarele:

a) Legea nr. 129 din 15 iunie 2018 pentru modificarea și completarea Legii nr. 102/2005 privind înființarea, organizarea și funcționarea Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal, precum și pentru abrogarea Legii nr. 677/2001 pentru protecția persoanelor cu privire la prelucrarea datelor cu caracter personal și libera circulație a acestor date[6]. Conform art. V al acestei legi, începând cu data de 25 mai 2018 se abrogă integral Legea nr. 677/2001 pentru protecția persoanelor cu privire la prelucrarea datelor cu caracter personal și libera circulație a acestor date, urmând ca toate trimiterile efectuate de legislația internă la respectiva lege să se interpreteze ca trimiteri la Regulamentul general privind protecția datelor și la legislația de punere în aplicare a acestuia.

b) Netranspunerea în dreptul intern român, până la data redactării prezentului material (12 iulie 2018), a dispozițiilor Directivei (UE) 2016/680 a Parlamentului European și a Consiliului din 27 aprilie 2016, depășindu-se astfel termenul de transpunere (6 mai 2018). Având în vedere depășirea termenului de transpunere, indivizii, în particular persoanele vizate, au posibilitatea de a invoca efectul direct vertical al directivei față de autoritățile publice române, în conformitate cu o jurisprudență constantă a Curții de Justiție a Uniunii Europene (CJUE) asupra acestui aspect[7].

c) Legislația de transpunere a dispozițiilor Directivei (UE) 2016/680 a Parlamentului European și a Consiliului din 27 aprilie 2016 se află în fază de proiect constând în „Legea pentru aprobarea Legii privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, descoperirii, cercetării, urmăririi penale și combaterii infracțiunilor sau al executării pedepselor, măsurilor educative și de siguranță, precum și privind libera circulație a acestor date”[8]. În mare, acest proiect de lege reproduce textul directivei pe care o transpune, efectuând însă unele precizări, asupra aspectelor lăsate deschise reglementării statelor membre prin directiva menționată anterior. Astfel, proiectul de lege stabilește diferite categorii de termene ce trebuie respectate de autoritățile publice române cu atribuții în domeniile precizate pentru îndeplinirea unor obligații legate de dreptul la informare și acces, contestații, răspundere și căi de atac.

În concluzie, cu privire la dreptul intern aplicabil prelucrării datelor personale în activitatea poliției, jandarmeriei, parchetului și autorităților de executare a sancțiunilor penale, pentru moment există un vid legislativ produs prin abrogarea integrală a Legii nr. 677/2001, realizată prin efectul intrării în vigoare a Legii nr. 129 din 15 iunie 2018. Acest vid legislativ urmează a fi completat cu legislația de transpunere a Directivei (UE) 2016/680, ce nu a fost încă adoptată, aflându-se în prezent pe ordinea de zi a Camerei Deputaților, ca urmare a adoptării acesteia în Senatul României la data de 5 iulie 2018.

Pentru demersul de operaționalizare al EPPO în România, vor trebui analizate, în cadrul prezentului material, compatibilitatea dispozițiilor cuprinse în Capitolul VIII al Regulamentului (UE) 2017/1939 cu proiectul de lege pentru transpunerea Directivei (UE) 2016/680, ținând cont și de faptul că prin proiectul de regulament asupra căruia s-a exprimat acordul cu ocazia trialogului din data de 23 mai 2018, prevederile în materia protecției datelor personale din Regulamentul EPPO vor fi supuse revizuirii până la data de 22 mai 2022.

Revenind la dispozițiile capitolului VIII din Regulamentul (UE) 2017/1939 al Consiliului din 12 octombrie 2017, observăm că acestea disting între protecția datelor cu caracter personal de tip administrativ (art. 48 din Regulament) și protecția datelor cu caracter personal de tip operațional, distincție operată de o manieră obișnuită în această materie de dreptul Uniunii Europene. Datele administrative cu caracter personal, în viziunea art. 48 din Regulament, se prelucrează de către EPPO în conformitate cu dispozițiile Regulamentului (CE) nr. 45/2001, regulament care urmează însă să fie abrogat foarte curând, prin adoptarea de către Parlamentul European și Consiliu a Regulamentului cu privire la protecția persoanelor fizice față de prelucrarea datelor personale de către instituțiile, organele, oficiile și agențiile Uniunii Europene și cu privire la libera circulație a acestor date, precum și pentru abrogarea Regulamentului (EC) no. 45/2001 și a Deciziei no. 1247/2002/EC – dosar interinstituțional 2017/0002 (COD), no.9296/18. După cum am arătat și mai sus, toate trimiterile la Regulamentul (CE) nr. 45/2001 urmează a fi interpretate ca trimiteri la Regulamentul asupra căruia s-a obținut acordul cu ocazia trialogului din 23 mai 2018. Este astfel un exercițiu inutil analizarea compatibilității dispozițiilor în materie între Regulamentul EPPO și Regulamentul (CE) nr. 45/2001.

O chestiune interesantă o reprezintă situația datelor personale cu caracter administrativ referitoare la procurorii delegați europeni, prin faptul că aceștia au dubla calitate de procurori naționali și de procurori al căror statut este asimilat angajaților entităților aparținând Uniunii Europene. Astfel, datele personale cu caracter administrativ referitor la aceștia vor fi prelucrate atât de parchetul național, cât și de EPPO. Din punct de vedere al prelucrării acestor date, parchetul național va aplica Regulamentul general pentru protecția datelor (RGPD), iar EPPO va aplica Regulamentul la care ne-am referit mai sus și care va înlocui în foarte scurt timp Regulamentul (EC) no. 45/2001. Se va pune problema, astfel, despre existența unei compatibilități între prevederile RGPD și prevederile celuilalt regulament. Din studiul celor două, nu au rezultat chestiuni care să evidențieze posibilitatea unor divergențe în aplicarea acestora. Cu toate acestea, contestațiile ce ar putea fi făcute de persoana vizată în legătură cu prelucrarea administrativă a datelor procurorilor delegați europeni români ar urma să fie îndreptate către Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal din România (ANSPDCP) sau către Autoritatea Europeană de reglementare în materie. Practic, autoritatea față de care se va putea face contestația va fi aleasă în funcție de operatorul de date: dacă operatorul este parchetul român, contestația se va putea introduce la ANSPDCP iar dacă operatorul va fi EPPO, contestația se va introduce la autoritatea europeană. Potrivit art. 87 din Regulamentul EPPO, există o formă de cooperare între Autoritatea Europeană pentru Protecția Datelor și autoritățile naționale de supraveghere, printre care și ANSPDCP. Alin. (2) al articolului menționat prevede posibilitatea schimbului de informați relevante, sprijinului reciproc între cele două tipuri de autorități în efectuarea auditurilor și inspecțiilor, precum și elaborarea în comun de propuneri armonizate pentru soluții la orice probleme ar apărea în materia respectării legalității atât la nivel național, cât și la nivelul EPPO referitor la protecția datelor cu caracter personal. Comitetul European pentru Protecția Datelor, instituit în baza RGPD are atribuții de coordonare între cele două nivele, național și european, în materia protecției datelor personale și, în special, a acelor date și prelucrări la care face referire Directiva UE 2016/680 (prelucrări efectuate de poliție, jandarmerie, parchet, autorități de executare a sancțiunilor penale).

Cealaltă categorie de date cu caracter personal ce vor fi prelucrate de către EPPO este cea a datelor operaționale. Acestor prelucrări le sunt dedicate art. 49-84 din Regulamentul EPPO.

Având în vedere posibilitatea preluării dosarelor de către EPPO de la parchetul național (în special prin procedura evocării cauzei de către procurorul delegat european), precum și posibilitatea ca, în anumite situații, dosare ale EPPO să fie trimise către parchetul național, va exista, cu certitudine, un schimb permanent de date cu caracter personal, de natură operativă, între parchetul național și EPPO. Pentru evaluarea modului în care aceste transferuri reciproce de date vor putea fi făcute, este necesară compararea dispozițiilor în materie din regulamentul EPPO și din proiectul de lege de transpunere a Directivei (UE) 2016/680.

Astfel, principiile referitoare la protecția datelor operaționale între cele două acte normative sunt identice, cu excepția prevederilor art. 5 alin. (2) din proiectul de lege (abreviat în continuare: PL). Regulamentul EPPO conține în plus o condiție pentru prelucrarea datelor în alt scop decât cel pentru care s-au colectat. Astfel, în conformitate cu art. 47 alin. (3) lit. (c) din Regulamentul EPPO: „Utilizarea datelor operaționale cu caracter operațional nu este interzisă de prevederile aplicabile din dreptul procedural național privind măsurile de investigare, adoptate în conformitate cu art. 30. Dreptul procedural național este dreptul statului membru în care au fost obținute datele”. Astfel, în ipoteza existenței în legislația română a unor interdicții de prelucrare a datelor cu caracter operațional în legătură cu măsuri de investigare a infracțiunilor ce intră în competența EPPO, acest din urmă organism nu va putea prelucra datele operaționale cu caracter personal la care am făcut referire anterior.

O altă diferență pe care o remarcăm între cele două acte normative constă în aceea că art. 50 alin. (1) din Regulamentul EPPO prevede perioade de reevaluare a necesității stocării datelor colectate de cel mult 3 ani, câtă vreme art. 7 alin. (5) din PL prevede că în cazul sistemelor automate de evidență, termenele de evaluare/reevaluare nu pot fi mai mari de 2 ani din momentul colectării/evaluării necesității stocării datelor. Ținând cont de faptul că textul Regulamentului EPPO stabilește termenul de 3 ani ca fiind un termen maxim, iar termenul prevăzut de PL este mai mic decât termenul Regulamentului, considerăm că în schimbul de date operaționale cu caracter personal între EPPO și parchetul național, ar trebui respectat un termen de 2 ani pentru evaluarea/reevaluarea necesității de stocare a datelor colectate/transferate.

Art. 7 alin. (6) din PL, „Evaluarea calității datelor cu caracter personal este obligatorie înainte ca datele să fie transferate sau puse la dispoziție altui operator” își găsește echivalentul în art. 52 alin. (2) din Regulamentul EPPO.

Art. 9 alin. (3) din PL prevede că: „În situația transferului de date cu caracter personal către destinatarii din state membre ale UE sau către instituții, organe, oficii, agenții ale acesteia în conformitate cu Titlul V, Capitolele 4 și 5 TFUE, nu pot fi impuse condiții specifice de prelucrare în conformitate cu prevederile alin. (1), suplimentare față de cele prevăzute prin lege pentru transferul către autoritățile competente din România”. Textul citat se referă la transferurile de date personale cu caracter operativ direct către destinatari, iar nu către state. Sensul este acela că autoritatea română, atunci când transferă datele către entități ale UE nu poate crea o situație mai defavorabilă Uniunii Europene față de propria sa situație. Ideea se bazează pe o prezumție relativă în sensul că destinatarii individuali prezintă un risc de încălcare a normelor de prelucrare a datelor operaționale cu caracter personal mai mare decât statele membre, acestea din urmă fiind legate juridic prin actele legislative ale Uniunii. Articolul este corespondent cu art. 53 alin. (2) din Regulamentul EPPO.

Cu privire la cererile de furnizare de informații ale persoanei vizate, PL prevede un termen de răspuns de 60 de zile lucrătoare din partea operatorului (în cazul analizat, operatorul putând fi poliția, parchetul național, DLAF, ANAF etc.), în conformitate cu prevederile art. 12 alin. (5) din PL, câtă vreme art. 57 alin. (3) din Regulamentul EPPO stabilește un termen de cel mult 3 luni de la primirea cererii de furnizare de informații pentru răspuns din partea EPPO. Cele două termene sunt apropiate ca durată.

O altă problemă ce ar putea prezenta interes în contextul prezentei analize o constituie cea a operatorilor asociați, reglementați de art. 64 din Regulamentul EPPO. În acest context, considerăm că autoritățile naționale și, în special, parchetul național ar putea încheia un acord cu EPPO pentru a stabili în comun scopurile și mijloacele de prelucrare a datelor cu caracter personal operaționale ce au o legătură cu infracțiunile aflate în competența EPPO. Un astfel de acord ar prezenta utilitate mai ales în contextul în care, competența de efectuare a urmăririi penale între EPPO și parchetul național este duală. Mai mult, pentru exercitarea dreptului de evocare, parchetul național va trebui să transfere către EPPO datele personale din evidențele sale automate sau manuale. O înlesnire în sensul posibilității încheierii unui acord de stabilire de operatori asociați constă în aceea că art. 24 din PL reglementează aproape identic această chestiune.

Transferul de date operaționale către state terțe este reglementat prin Regulamentul EPPO, art. 80, 81, 82, 83 și 84. Textele conțin, în mare, aceleași dispoziții cu cele din art. 43-48 din PL.

Anumite observații referitoare la reglementarea transferului de date operaționale către state terțe se impun:

a) Art. 43 alin. (3) și (4) din PL precizează că autoritățile competente române autorizează transferul datelor cu caracter personal către un stat terț sau o organizație internațională la cererea unei autorități competente dintr-un stat membru numai dacă sunt îndeplinite condițiile prevăzute în legea română. Autorizarea prevăzută de alin. (3) se transmite cu celeritate, dar nu mai târziu de 30 de zile calendaristice de la primirea cererii.

b) Texul corespondent art. 43 alin. (3) și (4) din PL este cel din art. 80 alin. (1) lit. c) din Regulamentul EPPO – acesta nu face decât să trimită la legea națională în privința condițiilor și procedurii de acordare a autorizării; problema este că legea națională nu se referă în niciun fel la instituțiile, organele, oficiile și agențiile Uniunii Europene și nici, în mod distinct, la EPPO.

În contextul celor expuse mai sus, propunem, de lege ferenda, completarea dispozițiilor din PL cu referire și la instituțiile, organele, oficiile și agențiile Uniunii Europene, în special EPPO și Europol.

Din prevederile art. 80 alin. (3) din Regulamentul EPPO rezultă că, în privința mecanismului invers este interzis, ca principiu. Adică, este interzis transferul de date operaționale cu caracter personal de către statele membre, atunci când datele au fost obținute de la EPPO și au ca destinație state terțe sau organizații internaționale. Excepția o constituie situația autorizării prealabile de către EPPO a unui asemenea transfer. O astfel de problemă ar putea apărea, de exemplu, atunci când o anumită cauză este trimisă de EPPO pentru investigare parchetelor naționale.

Art. 82 din Regulamentul EPPO, referitor la transferuri de date operaționale cu caracter personal în baza unor garanții adecvate, atunci când nu există o decizie a Comisiei cu privire la caracterul adecvat al nivelului de protecție, este echivalent cu art. 45 din PL. Mai mult, spre deosebire de Regulamentul EPPO, PL reiterează criteriile în baza cărora un anumit operator evaluează toate circumstanțele aferente transferului, precum și existența unor „garanții adecvate”. Criteriile pornesc de la cele generale, precum situația privind respectarea drepturilor omului și a libertăților fundamentale și ajung la aspecte mult mai particulare, așa cum sunt: drepturile efective și opozabile ale persoanei vizate și existența posibilității de reparații efective pe cale administrativă și judiciară pentru persoanele vizate, ale căror date cu caracter personal sunt transferate.

Art. 83 din Regulamentul EPPO, purtând denumirea marginală „derogări pentru situații specifice”, este echivalent art. 46 din PL. În lipsa unei decizii privind caracterul adecvat al nivelului de protecție sau a unor garanții adecvate, transferul către state terțe sau organizații internaționale este permis numai atunci când este necesar pentru: protejarea intereselor vitale ale persoanei vizate sau ale unei alte persoane, protejarea unor interese legitime ale persoanei vizate, prevenirea unei amenințări imediate și grave la adresa securității publice a unui stat membru al Uniunii Europene sau a unei țări terțe ori, în cazuri individuale, pentru exercitarea atribuțiilor EPPO, cu excepția cazului în care EPPO stabilește că drepturile și libertățile fundamentale ale persoanei vizate în cauză prevalează asupra interesului public în ceea ce privește transferul de date. Posibilitatea de transfer de date operaționale care apare în plus în PL față de Regulamentul EPPO este cea prevăzută de art. 46 alin. (1) lit. e) din PL: „într-un caz individual, pentru descoperirea, exercitarea sau apărarea unui drept în instanță privind scopurile de la art. 1”. Oricum, chiar și în condițiile art. 46 din PL operatorul care transferă datele trebuie să documenteze îndeplinirea condițiilor stabilite de lege cu privire la transferurile în baza unei garanții adecvate.

Art. 84 din Regulamentul EPPO, referitor la transferurile de date operaționale cu caracter personal către destinatari stabiliți în țări terțe este echivalent art. 47 din PL. Acesta din urmă condiționează, în plus, transferul, de un angajament scris al destinatarului individual că nu va prelucra datele operaționale personale ce îi vor fi transferate decât în scopul pentru care i-au fost transmise și doar în condițiile precizate [art. 47 alin. (2) PL].

În situația existenței unui acord internațional, bilateral sau multilateral, în domeniul cooperării judiciare în materie penală sau al cooperării polițienești prevalează prevederile acordului [art. 84 alin. (1) și (4) din Regulamentul EPPO/art. 47 alin. (3) din PL]. Acesta este o dispoziție care poate ridica probleme reale în contextul ce va fi prezentat mai jos.

Scenariul este următorul: o cauză aflată în instrumentarea parchetului național din România este evocată de un procuror delegat european român. Prin preluarea dosarului în vederea efectuării urmării penale de către EPPO, parchetul național din România, în calitate de operator de date operaționale cu caracter personal, transferă către EPPO datele personale necesare instrumentării dosarului. Un stat terț solicită, pe calea unei cereri adresate EPPO, un transfer al datelor cu caracter personal de tip operațional obținute de la parchetul național din România. EPPO respinge cererea de transfer de date formulată de statul terț. Văzând că nu poate obține datele de la EPPO, statul terț adresează aceeași cerere parchetului național român, invocând prevederile unui acord internațional bilateral existent între România și respectivul stat terț. Prin aplicarea art. 47 alin. (3) din PL, parchetul național din România are obligația să transfere datele personale solicitate către statul terț, în aplicarea acordului internațional dintre România și respectivul stat. În aceste condiții, parchetul din România ar trebui să admită cererea de transfer de date personale pentru exact aceleași date, în condițiile în care o cerere identică a fost deja respinsă de EPPO. Situația pune probleme serioase de coordonare între procedurile de transfer de date operaționale realizată în contextul interoperabilității dintre parchetul național din România și EPPO. O posibilă contracarare a unei asemenea situații ar impune introducerea în PL a unei dispoziții prin care ulterior transferului de date personale cu caracter operațional prin preluarea unui dosar de către EPPO de la parchetul național, de exemplu prin procedura exercitării dreptului de evocare, autoritatea română să nu mai poată transfera datele respective către statul terț fără consimțământul EPPO. O asemenea soluție ar încălca totuși principiul fundamental „pacta sunt servanda”, specific dreptului internațional public și, prin urmare, pentru a evita înfrângerea acestui principiu, ar fi necesare renegocierea acordurilor internaționale încheiate de România cu state terțe și care vizează transferurile de date operaționale.

Potrivit art. 99 alin. (3) din Regulamentul EPPO, acesta poate încheia acorduri de lucru cu instituțiile, organele, oficiile și agențiile Uniunii Europene și cu autoritățile competente ale statelor membre. Aceste acorduri de lucru nu pot însă constitui un temei pentru schimbul de date cu caracter personal.

Este de așteptat ca odată cu operaționalizarea Parchetului European în România, acesta să încheie un acord de lucru cu autoritățile publice române ce au atribuții în legătură cu obiectul de activitate al EPPO: Ministerul Public, Consiliul Superior al Magistraturii, MAI, DLAF, ANAF etc. Cu toate acestea, așa cum am văzut anterior, acordul de lucru nu se poate referi la schimbul de date cu caracter personal. Acest domeniu este rezervat exclusiv instrumentelor juridice ale dreptului Uniunii Europene, respectiv legii române. Singura modalitate de a stabili scopuri și condiții comune de transfer și prelucrare a datelor cu caracter personal între EPPO și Ministerul Public din România ar fi încheierea unui acord de operatori asociați, în baza art. 64 din Regulamentul EPPO. Rămâne de analizat problema dacă forma definitivă a PL va reglementa din punctul de vedere al legii române această posibilitate.

În concluzie, apreciem că nu par să existe incompatibilități majore între reglementările din Regulamentul EPPO și cele din alte acte legislative ale Uniunii Europene ori din dreptul intern român, cu anumite excepții, în privința dreptului național aplicabil, ce sa află în acest moment într-o stare lacunară și incertă cauzată de existența doar a unui proiect de lege aflat în procedură parlamentară pentru transpunerea Directivei (UE) no. 2016/680, în privința căreia s-a depășit deja termenul de transpunere.

O altă chestiune ce trebuie reținută în concluziile acestui studiu este aceea că nici Uniunea Europeană nu a clarificat pe deplin care este cadrul legislativ ideal pentru protecția datelor cu caracter personal în activitatea EPPO, acest lucru urmând să se întâmple doar în anul 2022, ca urmare a unor rapoarte de evaluare ce vor fi elaborate de Comisie.

În acest context, ne punem întrebarea legitimă dacă sofisticarea și complexificarea cadrului juridic referitor la protecția datelor cu caracter personal, văzut în ultimii ani ca o prioritate a Uniunii, nu a reușit să creeze mult prea multe incertitudini în comparație cu problemele pe care și le-a propus să le rezolve.


[1] Publicat în Jurnalul Oficial al Uniunii Europene L. 283 din 31 octombrie 2017.

[2] Abreviat în continuare EPPO, respectând acronimul impus de textul oficial în limba română al Regulamentului ce îl înființează.

[3] Abreviat în continuare ca RGPD, publicat în Jurnalul Oficial al Uniunii Europene (JO UE) L. 119 din 4 mai 2016.

[4] Publicată în JO UE L. 119/89 din 4 mai 2016.

[5] Council of the European Union, „Proposal for a Regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data by the UnioniInstitutions, bodies, offices and agencies and on the dree movement of such data, and repealing Regulation (EC) no. 45/2001 and Decision No.1247/2002/EC (First reading) – Confirmation of the final compromise text with a view to agreement”, interintitutional File: 2017/0002 (COD), Brussels, 1 June 2018, 9296/18.

[6] Publicată în M. Of. al României, Partea I, nr. 790 din 12 decembrie 2001, cu modificările și completările ulterioare.

[7] Printre primele hotărâri ale CJUE în acest sens se numără cea din cauza Van Duyn contra Home Office, C-41/74, ECLI:EU:C:1974:133 și cea din cauza Pubblico Ministerio contra Tullio Ratti, C-148/78, ECLI:EU:C:1979:110.

[8] Aprobată de Senatul României, sub nr. L. 386/2018, la data de 5 iulie 2018, trimisă pentru dezbatere la Camera Deputaților, cu aceeași dată, aceasta din urmă fiind camera decizională.

DOWNLOAD FULL ARTICLE

Scurtă analiză cu privire la compatibilitatea dispozițiilor Regulamentului UE privind instituirea Parchetului European cu dispozițiile dreptului Uniunii și a celui intern în domeniul protecției datelor cu caracter personal was last modified: septembrie 14th, 2018 by Gheorghe Bocșan

Numai utilizatorii autentificați pot scrie comentarii