Tradiţie şi inovaţie în materia protecţiei datelor cu caracter personal

Abstract

The new Regulation no. 679/2016 regarding the processing of the personal character data and the free movement of such data shall apply starting with May 2018, substituting the old Directive 1995/46. The arduous and lengthy debates that preceded the current form of the Regulation ended with keeping some provisions from the Directive, improving others and introducing some novel elements. By way of example, the phrase „personal character data” has been enriched, so as to include the genetic, the biometric information and the information generated in the digital environment (which identifies the person or which has the ability to make it identifiable). The new rights of the persons concerned are the right to data portability and the right to limit data processing. Le droit à l’oubli was expressly enshrined (Directive 1995/46 only evokes it), and the set of obligations of those responsible was consolidated.

O reformă necesară a marcat anul 2016, iar materia datelor cu caracter personal a beneficiat de finalizarea dezbaterilor de peste patru ani, pe marginea unor acte normative aflate în atenția comisiilor de specialitate și a societății civile. „La pachet”, Regulamentul nr. 679 și Directiva nr. 680 au ca obiect operațiunile de prelucrare a datelor personale și reflectă procesul de revizuire (a Directivei 1995/46), de adaptare (la noile realități generate de utilizarea masivă a noilor tehnologii) și de armonizare (a numeroaselor propuneri formulate). Cele aproximativ 3999 de amendamente la proiectul Regulamentului[1] demonstrează interesul pentru materia datelor personale, intenția reală de reformare și, mai ales, impactul prelucrării datelor asupra drepturilor și libertăților fundamentale ale persoanelor fizice.

Formula regulamentului este inspirată pentru reglementarea regimului de protecție a persoanelor cu privire la prelucrarea datelor cu caracter personal și libera circulație a acestor date. Directiva 1995/46 a prezentat dezavantajul (inerent directivelor, în general) aplicării neuniforme a dispozițiilor sale în legislațiile naționale)[2]. Regulamentul îndeplinește misiunea de armonizare normativă și beneficiază de aplicarea imediată, directă și prioritară în dreptul statelor europene. Nu numai Directiva 1995/46 a suferit de acest neajuns. Un alt exemplu este Directiva 2006/24, ale cărei legi de transpunere au fost semnificativ diferite[3]. În plus, problemele originare ale Directivei privind retenția datelor de trafic au condus la invalidarea acesteia de către legiuitorul european în anul 2014.

Necesitatea legiferării pe calea regulamentului este larg motivată și are ca prim fundament asigurarea unui nivel consecvent, ridicat și uniform de protecție a drepturilor și libertăților în spațiul Uniunii. Înlăturarea obstacolelor din calea circulației datelor are ca formulă optimă regulamentul. În timp ce reglementarea-cadru va înlocui aplicarea Directivei 1995/46 începând cu mai 2018, prelucrarea datelor pe segmentul prevenirii infracțiunilor, urmăririi penale și executării sancțiunilor penale este cuprinsă în noua Directivă 680/2016, în vigoare din mai 2016[4]. Aceasta din urmă înlocuiește Decizia-cadru 2008/977/JAI a Consiliului și se preocupă de aspectele specifice dreptului penal și dreptului procesual-penal. În ce măsură realitatea cotidiană a prelucrării datelor personale va concilia cele două reglementări – pe cale de regulament și pe cale de directivă – aceasta este o chestiune ce va fi dezlegată de viitorul aplicării acestora.

Interesează, în acest context al analizei, doar cadrul regulamentar, care, față în față cu Directiva 1995/46, relevă progrese incontestabile, dar și aspecte pe care practica viitoare a prelucrării datelor personale ar putea să le califice ca imperfecțiuni. Subliniem, în cele ce urmează, câteva dintre elementele semnificative de apropiere, respectiv de diferențiere, care se impun de la prima lectură a noului act normativ. Detaliile și, mai ales, explicațiile complexe pe textele legale, aparțin unor analize distincte.

Dacă ar fi să privim, într-un survol, structura celor două acte normative (noul Regulament și vechea Directivă), observația imediată are în vedere întinderea deosebită a Regulamentului nr. 679/2016. O compoziție de aproape 100 de pagini particularizează 173 de considerente și 99 de articole, cu explicații vaste de vocabular, cu dezvoltări în arsenalul drepturilor și obligațiilor persoanelor vizate/ responsabililor, precum și în aria competențelor autorităților de profil.

Regulamentul debutează cu consacrarea dreptului la protecția datelor cu caracter personal ca drept fundamental (considerentul 1). Beneficiarele protecției sunt persoanele fizice, pentru care Regulamentul creează spațiul de libertate, securitate și justiție necesar în raport cu activitățile de prelucrare a datelor personale și cu libera circulație a acestor date. Directiva 1995/46 a vizat armonizarea nivelului de protecție a drepturilor și libertăților fundamentale ale persoanelor fizice, fără să discute însă în termenii unui drept fundamental la protecția datelor cu caracter personal. Pasul înfăptuit de Regulament este semnificativ și tranșează dezbaterile doctrinei cu privire la (eventuala) existență a unui drept subiectiv la protecția datelor personale[5].

Terminologia utilizată de Regulament necesită precizări. Principalele noțiuni dobândesc un plus cantitativ și calitativ în cuprinsul acestuia, grefându-se pe terminologia consacrată în Directiva 1995/46. Completările, respectiv adaptările conținutului noțiunilor includ aspecte validate în aplicarea Directivei și înlătură anumite dificultăți de interpretare, anterioare Regulamentului. Un exemplu este calificarea legală a noțiunii-cheie „date cu caracter personal”[6], care, în enumerarea art. 4 pct. 1 din Regulament, abordează identificatorii online, datele genetice și datele de localizare. Toate aceste explicitări erau necesare, întrucât cei peste 20 de ani de aplicare a vechii Directive au născut interogații, pe fondul expansiunii unor mijloace de comunicare ce nu erau palpabile la momentul adoptării acesteia[7]. Doctrina de specialitate vorbește despre vocația Directivei din 1995 de a se aplica internetului și extrage din textele Directivei acele prevederi care conțin aluzii la aplicarea în mediul virtual (spre exemplu, art. 17), care stabilește că responsabilul prelucrării implementează măsurile adecvate protejării datelor, mai ales atunci când prelucrarea presupune transmiterea acestora într-o rețea. Caracterul transnațional al internetului explică faptul că Directiva a avut ca obiect și transferurile internaționale de date personale[8].

Regulamentul aduce certitudinea că dispozițiile sale sunt incidente acelor elemente din mediul virtual ce identifică persoana fizică sau care au aptitudinea de a o face identificabilă. Nu mai este niciun dubiu că adresa email, corespondența electronică, protocoalele internet (protocoalele IP[9]), martorii conexiunilor internet (cookies), prelucrările efectuate de motoarele de căutare după numele persoanelor, sunt supuse prevederilor Regulamentului.

Datele genetice nu au fost menționate în Directiva 1995/46 și nici în Legea nr. 677/2001[10], care a transpus prevederile acesteia. Totuși, genomul uman conține informații referitoare la caracteristicile speciei umane și la identitatea fiecărui individ, astfel că datele pe care le oferă trebuie calificate ca date cu caracter personal. Regulamentul nr. 679/2016 este cel care le definește ca fiind „datele cu caracter personal referitoare la caracteristicile genetice moștenite sau dobândite ale unei persoane fizice, care oferă informații unice privind fiziologia sau sănătatea persoanei respective și care rezultă în special în urma unei analize a unei mostre de material biologic recoltate de la persoana în cauză” (art. 4 pct. 13).

Datele de localizare sunt la ordinea zilei, în condițiile în care tehnologiile de comunicare la distanță permit identificarea coordonatelor spațiale sub care acționează individul. Toate informațiile care privesc localizarea persoanei fizice își găsesc protecția în legislația datelor personale. Nici datele biometrice nu au fost precizate în vechea reglementare, dar se bucură de o definiție clară (art. 4 pct. 14 din Regulament), incluzând date cu caracter personal ce rezultă în urma unor tehnici de prelucrare specifice referitoare la caracteristicile fizice, fiziologice sau comportamentale ale unei persoane fizice care permit sau confirmă identificarea unică a respectivei persoane, cum ar fi imaginile faciale sau datele dactiloscopice.

Tot la categoria precizărilor terminologice, „consimțământul” (persoanei vizate) are o definiție calitativ superioară față de cea din Directiva 1995/46. Manifestarea de voință trebuie să fie liberă, specifică, informată și lipsită de ambiguitate[11]. Mențiunea că acceptarea din partea persoanei vizate are loc prin declarație sau printr-o acțiune fără echivoc este utilă pentru a înlătura prezumția de consimțământ. În absența declarației sau a conduitei pozitive, clare, neechivoce, voința subiectului vizat nu se prezumă. Aceasta este, de altfel, soluția optimă pentru realizarea obiectivelor propuse de Regulament. Unul dintre aceste obiective corespunde progreselor tehnologice și constă în crearea climatului de încredere care va permite economiei digitale să se dezvolte pe piața internă (marché unique du numérique)[12]. Consimțământul minorilor este un aspect inedit, întrucât Directiva 1995/46 nu a particularizat problema consimțământului în raport de vârsta persoanei vizate. Pentru ipoteza în care prelucrarea datelor personale necesită consimțământul, persoana minoră vizată trebuie să aibă vârsta de 16 ani împliniți, altfel operațiunile nu se desfășoară în mod legal. Pentru minorul care nu a împlinit 16 ani, respectiva prelucrare este legală numai dacă și în măsura în care consimțământul respectiv este acordat (în lipsa capacității de exercițiu a minorului) sau autorizat de titularul răspunderii părintești asupra copilului (în cazul minorului cu capacitate restrânsă de exercițiu)[13].

Apoi, repartiția topografică a explicațiilor noționale trebuie căutată atât în partea legislativă, cât și în expunerea de motive a Regulamentului. Cu mențiunea că nu au forță juridică, unele considerente conțin definiții care nu se regăsesc în articolele 1-99 ori completează anumite definiții ale termenilor (de exemplu, definițiile datelor genetice – considerentul 34, datelor referitoare la sănătate – considerentul 35, stabilimentului principal – considerentul 36).

Din perspectiva cetățenilor, persoane vizate de prelucrări – garantarea exercitării unui număr de drepturi este indispensabilă. Regulamentul menține și îmbogățește conținutul unora dintre drepturile consacrate în Directivă și introduce drepturi noi, adaptate protecției eficiente a vieții private. Dreptul la informare (inclusiv pe cale de notificare), dreptul de opoziție și dreptul de rectificare, fără întârzieri nejustificate, au ca sursă prevederile Directivei.

Noutățile „absolute” în materia drepturilor sunt dreptul la portabilitatea datelor și dreptul la limitarea (restrângerea) prelucrării, în condiții strict determinate. De asemenea, dreptul la ștergerea datelor sau „dreptul de a fi uitat”, a fost consacrat ca atare prin Regulament (art. 17). În Directiva 1995/46, această prerogativă a fost doar evocată în contextul dreptului de acces al celui vizat. Se prevedea că statele membre garantează persoanei vizate dreptul de a obține, din partea responsabilului, după caz, rectificarea sau ștergerea datelor, atunci când prelucrarea acestora nu este conformă Directivei, mai ales în cazul datelor incomplete sau inexacte (art. 12 lit. b).

DOWNLOAD FULL ARTICLE


[1] http://www.usine-digitale.fr/article/reglement-europeen-sur-la-protection-des-donnees-personnelles-un-texte-unique-mais-non-isole.N389562 (pagină accesată la 30 ianuarie 2017).

[2] Împrejurarea că Directiva a fost aplicată fragmentat este menționată în considerentele noului Regulament.

[3] Directiva 2006/24/CE din 15 martie 2006 privind păstrarea datelor generate sau prelucrate în legătură cu furnizarea serviciilor de comunicații electronice accesibile publicului sau de rețele de comunicații publice și de modificare a Directivei 2002/58/CE a fost publicată în JO L105/54 din 13 aprilie 2006. Curtea de Justiție a Uniunii Europene a stabilit că Directiva este invalidă, întrucât contravine dreptului la viață privată și dreptului la protecția datelor cu caracter personal, consacrate prin prevederile art. 7 și art. 8 din Carta Drepturilor Fundamentale a Uniunii Europene (Digital Rights Ireland Ltd, 8 aprilie 2014).

[4] Directiva 2016/680 are ca obiect protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor și privind libera circulație a acestor date (a fost publicată în JO L119/89 din 4 mai 2016).

[5] A se vedea O. Ungureanu, C. Munteanu, Dreptul la protecția datelor cu caracter personal, un drept autonom?, în Revista Română de Drept Privat nr. 1/2014, p. 166-179.

[6] Noțiunea de „date cu caracter personal” include orice informație referitoare la o persoană fizică identificată sau identificabilă. Codul civil român prevede că „Orice prelucrare a datelor cu caracter personal, prin mijloace automate sau neautomate, se poate face numai în cazurile și condițiile prevăzute de legea specială”. A se vedea comentariul art. 77, în F.-A. Baias, E. Chelaru, R. Constantinovici, I. Macovei, Noul Cod civil. Comentariu pe articole, vol. I, Ed. C.H. Beck, București, 2012, p. 88.

[7] A se vedea, J.A. Cannataci, Lex personalitatis: personality, law and technology in the 21st century, în Acta Universitatis Lucian Blaga, Seria Iurisprudentia, nr. 1/2008, p. 215-220.

[8] A. Lepage, Libertés et droit fondamentaux à l’épreuve de l’internet, Litec, Paris, 2002, p. 30.

[9] Curtea Europeană de Justiție a decis, în cauza Breyer c/a Bundesrepublik Deutschland (2016), că o adresă de protocol internet dinamică, înregistrată de un furnizor de servicii de comunicații electronice cu ocazia consultării de către o persoană a unui site internet pe care acest furnizor îl pune la dispoziția publicului, constituie, pentru furnizorul respectiv, o dată cu caracter personal, în cazul în care acesta dispune de mijloace legale care îi permit să identifice persoana vizată cu ajutorul informațiilor suplimentare de care dispune furnizorul de acces la internet al acestei persoane (http://curia.europa.eu/juris/document/document.jsf?text=&docid=184668&pageIndex=0&doclang=FR&mode=lst&dir=&occ=first&part=1&cid=1025819, pagină consultată la data de 20 ianuarie 2017).

[10] Legea nr. 677/2001 pentru protecția persoanelor cu privire la prelucrarea datelor cu caracter personal și libera circulație a acestor date a fost publicată în M.Of. nr. 790/12 decembrie 2001.

[11] Calificarea doctrinară a consimțământului este aceea de manifestare de voință a subiectului de drept „de a fi legat prin actul juridic la care consimte (o manifestare unilaterală de voință). Altfel spus, consimțământul este hotărârea exteriorizată de a încheia un anumit act juridic. Într-un alt sens (în cazul actelor bilaterale sau multilaterale) consimțământul (cum sentire) înseamnă acordul de voință al părților la încheierea unui contract; consimțământul înseamnă deci întâlnirea celor două voințe concordante (consensus) […]” (O. Ungureanu, C. Munteanu, Drept civil. Partea generală, Ed. Hamangiu, București, 2013, p. 199).

[12] Pentru definiții și explicații în ce privește digitalizarea, a se vedea F. Dehousse, Th. Verbiest, T. Zgajewski, Introduction au droit de la société de l’information, Larcier, Bruxelles, 2007, p. 54.

[13] Regulamentul prevede că responsabilul va depune toate eforturile rezonabile pentru a verifica în astfel de cazuri că titularul răspunderii părintești a acordat sau a autorizat consimțământul, ținând seama de tehnologiile disponibile (art. 8 parag. 2).

Tradiție și inovație în materia protecției datelor cu caracter personal was last modified: martie 20th, 2017 by Călina Jugastru

Numai utilizatorii autentificați pot scrie comentarii