Tradiţie şi inovaţie în materia protecţiei datelor cu caracter personal
Călina Jugastru - februarie 5, 2017The new Regulation no. 679/2016 regarding the processing of the personal character data and the free movement of such data shall apply starting with May 2018, substituting the old Directive 1995/46. The arduous and lengthy debates that preceded the current form of the Regulation ended with keeping some provisions from the Directive, improving others and introducing some novel elements. By way of example, the phrase „personal character data” has been enriched, so as to include the genetic, the biometric information and the information generated in the digital environment (which identifies the person or which has the ability to make it identifiable). The new rights of the persons concerned are the right to data portability and the right to limit data processing. Le droit à l’oubli was expressly enshrined (Directive 1995/46 only evokes it), and the set of obligations of those responsible was consolidated.
O reformă necesară a marcat anul 2016, iar materia datelor cu caracter personal a beneficiat de finalizarea dezbaterilor de peste patru ani, pe marginea unor acte normative aflate în atenţia comisiilor de specialitate şi a societăţii civile. „La pachet”, Regulamentul nr. 679 şi Directiva nr. 680 au ca obiect operaţiunile de prelucrare a datelor personale şi reflectă procesul de revizuire (a Directivei 1995/46), de adaptare (la noile realităţi generate de utilizarea masivă a noilor tehnologii) şi de armonizare (a numeroaselor propuneri formulate). Cele aproximativ 3999 de amendamente la proiectul Regulamentului[1] demonstrează interesul pentru materia datelor personale, intenţia reală de reformare şi, mai ales, impactul prelucrării datelor asupra drepturilor şi libertăţilor fundamentale ale persoanelor fizice.
Formula regulamentului este inspirată pentru reglementarea regimului de protecţie a persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date. Directiva 1995/46 a prezentat dezavantajul (inerent directivelor, în general) aplicării neuniforme a dispoziţiilor sale în legislaţiile naţionale)[2]. Regulamentul îndeplineşte misiunea de armonizare normativă şi beneficiază de aplicarea imediată, directă şi prioritară în dreptul statelor europene. Nu numai Directiva 1995/46 a suferit de acest neajuns. Un alt exemplu este Directiva 2006/24, ale cărei legi de transpunere au fost semnificativ diferite[3]. În plus, problemele originare ale Directivei privind retenţia datelor de trafic au condus la invalidarea acesteia de către legiuitorul european în anul 2014.
Necesitatea legiferării pe calea regulamentului este larg motivată şi are ca prim fundament asigurarea unui nivel consecvent, ridicat şi uniform de protecţie a drepturilor şi libertăţilor în spaţiul Uniunii. Înlăturarea obstacolelor din calea circulaţiei datelor are ca formulă optimă regulamentul. În timp ce reglementarea-cadru va înlocui aplicarea Directivei 1995/46 începând cu mai 2018, prelucrarea datelor pe segmentul prevenirii infracţiunilor, urmăririi penale şi executării sancţiunilor penale este cuprinsă în noua Directivă 680/2016, în vigoare din mai 2016[4]. Aceasta din urmă înlocuieşte Decizia-cadru 2008/977/JAI a Consiliului şi se preocupă de aspectele specifice dreptului penal şi dreptului procesual-penal. În ce măsură realitatea cotidiană a prelucrării datelor personale va concilia cele două reglementări – pe cale de regulament şi pe cale de directivă – aceasta este o chestiune ce va fi dezlegată de viitorul aplicării acestora.
Interesează, în acest context al analizei, doar cadrul regulamentar, care, faţă în faţă cu Directiva 1995/46, relevă progrese incontestabile, dar şi aspecte pe care practica viitoare a prelucrării datelor personale ar putea să le califice ca imperfecţiuni. Subliniem, în cele ce urmează, câteva dintre elementele semnificative de apropiere, respectiv de diferenţiere, care se impun de la prima lectură a noului act normativ. Detaliile şi, mai ales, explicaţiile complexe pe textele legale, aparţin unor analize distincte.
Dacă ar fi să privim, într-un survol, structura celor două acte normative (noul Regulament şi vechea Directivă), observaţia imediată are în vedere întinderea deosebită a Regulamentului nr. 679/2016. O compoziţie de aproape 100 de pagini particularizează 173 de considerente şi 99 de articole, cu explicaţii vaste de vocabular, cu dezvoltări în arsenalul drepturilor şi obligaţiilor persoanelor vizate/ responsabililor, precum şi în aria competenţelor autorităţilor de profil.
Regulamentul debutează cu consacrarea dreptului la protecţia datelor cu caracter personal ca drept fundamental (considerentul 1). Beneficiarele protecţiei sunt persoanele fizice, pentru care Regulamentul creează spaţiul de libertate, securitate şi justiţie necesar în raport cu activităţile de prelucrare a datelor personale şi cu libera circulaţie a acestor date. Directiva 1995/46 a vizat armonizarea nivelului de protecţie a drepturilor şi libertăţilor fundamentale ale persoanelor fizice, fără să discute însă în termenii unui drept fundamental la protecţia datelor cu caracter personal. Pasul înfăptuit de Regulament este semnificativ şi tranşează dezbaterile doctrinei cu privire la (eventuala) existenţă a unui drept subiectiv la protecţia datelor personale[5].
Terminologia utilizată de Regulament necesită precizări. Principalele noţiuni dobândesc un plus cantitativ şi calitativ în cuprinsul acestuia, grefându-se pe terminologia consacrată în Directiva 1995/46. Completările, respectiv adaptările conţinutului noţiunilor includ aspecte validate în aplicarea Directivei şi înlătură anumite dificultăţi de interpretare, anterioare Regulamentului. Un exemplu este calificarea legală a noţiunii-cheie „date cu caracter personal”[6], care, în enumerarea art. 4 pct. 1 din Regulament, abordează identificatorii online, datele genetice şi datele de localizare. Toate aceste explicitări erau necesare, întrucât cei peste 20 de ani de aplicare a vechii Directive au născut interogaţii, pe fondul expansiunii unor mijloace de comunicare ce nu erau palpabile la momentul adoptării acesteia[7]. Doctrina de specialitate vorbeşte despre vocaţia Directivei din 1995 de a se aplica internetului şi extrage din textele Directivei acele prevederi care conţin aluzii la aplicarea în mediul virtual (spre exemplu, art. 17), care stabileşte că responsabilul prelucrării implementează măsurile adecvate protejării datelor, mai ales atunci când prelucrarea presupune transmiterea acestora într-o reţea. Caracterul transnaţional al internetului explică faptul că Directiva a avut ca obiect şi transferurile internaţionale de date personale[8].
Regulamentul aduce certitudinea că dispoziţiile sale sunt incidente acelor elemente din mediul virtual ce identifică persoana fizică sau care au aptitudinea de a o face identificabilă. Nu mai este niciun dubiu că adresa email, corespondenţa electronică, protocoalele internet (protocoalele IP[9]), martorii conexiunilor internet (cookies), prelucrările efectuate de motoarele de căutare după numele persoanelor, sunt supuse prevederilor Regulamentului.
Datele genetice nu au fost menţionate în Directiva 1995/46 şi nici în Legea nr. 677/2001[10], care a transpus prevederile acesteia. Totuşi, genomul uman conţine informaţii referitoare la caracteristicile speciei umane şi la identitatea fiecărui individ, astfel că datele pe care le oferă trebuie calificate ca date cu caracter personal. Regulamentul nr. 679/2016 este cel care le defineşte ca fiind „datele cu caracter personal referitoare la caracteristicile genetice moștenite sau dobândite ale unei persoane fizice, care oferă informații unice privind fiziologia sau sănătatea persoanei respective și care rezultă în special în urma unei analize a unei mostre de material biologic recoltate de la persoana în cauză” (art. 4 pct. 13).
Datele de localizare sunt la ordinea zilei, în condiţiile în care tehnologiile de comunicare la distanţă permit identificarea coordonatelor spaţiale sub care acţionează individul. Toate informaţiile care privesc localizarea persoanei fizice îşi găsesc protecţia în legislaţia datelor personale. Nici datele biometrice nu au fost precizate în vechea reglementare, dar se bucură de o definiţie clară (art. 4 pct. 14 din Regulament), incluzând date cu caracter personal ce rezultă în urma unor tehnici de prelucrare specifice referitoare la caracteristicile fizice, fiziologice sau comportamentale ale unei persoane fizice care permit sau confirmă identificarea unică a respectivei persoane, cum ar fi imaginile faciale sau datele dactiloscopice.
Tot la categoria precizărilor terminologice, „consimţământul” (persoanei vizate) are o definiţie calitativ superioară faţă de cea din Directiva 1995/46. Manifestarea de voinţă trebuie să fie liberă, specifică, informată şi lipsită de ambiguitate[11]. Menţiunea că acceptarea din partea persoanei vizate are loc prin declaraţie sau printr-o acţiune fără echivoc este utilă pentru a înlătura prezumţia de consimţământ. În absenţa declaraţiei sau a conduitei pozitive, clare, neechivoce, voinţa subiectului vizat nu se prezumă. Aceasta este, de altfel, soluţia optimă pentru realizarea obiectivelor propuse de Regulament. Unul dintre aceste obiective corespunde progreselor tehnologice şi constă în crearea climatului de încredere care va permite economiei digitale să se dezvolte pe piaţa internă (marché unique du numérique)[12]. Consimţământul minorilor este un aspect inedit, întrucât Directiva 1995/46 nu a particularizat problema consimţământului în raport de vârsta persoanei vizate. Pentru ipoteza în care prelucrarea datelor personale necesită consimţământul, persoana minoră vizată trebuie să aibă vârsta de 16 ani împliniţi, altfel operaţiunile nu se desfăşoară în mod legal. Pentru minorul care nu a împlinit 16 ani, respectiva prelucrare este legală numai dacă și în măsura în care consimțământul respectiv este acordat (în lipsa capacităţii de exerciţiu a minorului) sau autorizat de titularul răspunderii părintești asupra copilului (în cazul minorului cu capacitate restrânsă de exerciţiu)[13].
Apoi, repartiţia topografică a explicaţiilor noţionale trebuie căutată atât în partea legislativă, cât şi în expunerea de motive a Regulamentului. Cu menţiunea că nu au forţă juridică, unele considerente conţin definiţii care nu se regăsesc în articolele 1-99 ori completează anumite definiţii ale termenilor (de exemplu, definiţiile datelor genetice – considerentul 34, datelor referitoare la sănătate – considerentul 35, stabilimentului principal – considerentul 36).
Din perspectiva cetăţenilor, persoane vizate de prelucrări – garantarea exercitării unui număr de drepturi este indispensabilă. Regulamentul menţine şi îmbogăţeşte conţinutul unora dintre drepturile consacrate în Directivă şi introduce drepturi noi, adaptate protecţiei eficiente a vieţii private. Dreptul la informare (inclusiv pe cale de notificare), dreptul de opoziţie şi dreptul de rectificare, fără întârzieri nejustificate, au ca sursă prevederile Directivei.
Noutăţile „absolute” în materia drepturilor sunt dreptul la portabilitatea datelor şi dreptul la limitarea (restrângerea) prelucrării, în condiţii strict determinate. De asemenea, dreptul la ştergerea datelor sau „dreptul de a fi uitat”, a fost consacrat ca atare prin Regulament (art. 17). În Directiva 1995/46, această prerogativă a fost doar evocată în contextul dreptului de acces al celui vizat. Se prevedea că statele membre garantează persoanei vizate dreptul de a obţine, din partea responsabilului, după caz, rectificarea sau ştergerea datelor, atunci când prelucrarea acestora nu este conformă Directivei, mai ales în cazul datelor incomplete sau inexacte (art. 12 lit. b).
[1] http://www.usine-digitale.fr/article/reglement-europeen-sur-la-protection-des-donnees-personnelles-un-texte-unique-mais-non-isole.N389562 (pagină accesată la 30 ianuarie 2017).
[2] Împrejurarea că Directiva a fost aplicată fragmentat este menţionată în considerentele noului Regulament.
[3] Directiva 2006/24/CE din 15 martie 2006 privind păstrarea datelor generate sau prelucrate în legătură cu furnizarea serviciilor de comunicații electronice accesibile publicului sau de rețele de comunicații publice și de modificare a Directivei 2002/58/CE a fost publicată în JO L105/54 din 13 aprilie 2006. Curtea de Justiţie a Uniunii Europene a stabilit că Directiva este invalidă, întrucât contravine dreptului la viaţă privată şi dreptului la protecţia datelor cu caracter personal, consacrate prin prevederile art. 7 şi art. 8 din Carta Drepturilor Fundamentale a Uniunii Europene (Digital Rights Ireland Ltd, 8 aprilie 2014).
[4] Directiva 2016/680 are ca obiect protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor și privind libera circulație a acestor date (a fost publicată în JO L119/89 din 4 mai 2016).
[5] A se vedea O. Ungureanu, C. Munteanu, Dreptul la protecţia datelor cu caracter personal, un drept autonom?, în Revista Română de Drept Privat nr. 1/2014, p. 166-179.
[6] Noţiunea de „date cu caracter personal” include orice informaţie referitoare la o persoană fizică identificată sau identificabilă. Codul civil român prevede că „Orice prelucrare a datelor cu caracter personal, prin mijloace automate sau neautomate, se poate face numai în cazurile şi condiţiile prevăzute de legea specială”. A se vedea comentariul art. 77, în F.-A. Baias, E. Chelaru, R. Constantinovici, I. Macovei, Noul Cod civil. Comentariu pe articole, vol. I, Ed. C.H. Beck, Bucureşti, 2012, p. 88.
[7] A se vedea, J.A. Cannataci, Lex personalitatis: personality, law and technology in the 21st century, în Acta Universitatis Lucian Blaga, Seria Iurisprudentia, nr. 1/2008, p. 215-220.
[8] A. Lepage, Libertés et droit fondamentaux à l’épreuve de l’internet, Litec, Paris, 2002, p. 30.
[9] Curtea Europeană de Justiţie a decis, în cauza Breyer c/a Bundesrepublik Deutschland (2016), că o adresă de protocol internet dinamică, înregistrată de un furnizor de servicii de comunicații electronice cu ocazia consultării de către o persoană a unui site internet pe care acest furnizor îl pune la dispoziția publicului, constituie, pentru furnizorul respectiv, o dată cu caracter personal, în cazul în care acesta dispune de mijloace legale care îi permit să identifice persoana vizată cu ajutorul informațiilor suplimentare de care dispune furnizorul de acces la internet al acestei persoane (http://curia.europa.eu/juris/document/document.jsf?text=&docid=184668&pageIndex=0&doclang=FR&mode=lst&dir=&occ=first&part=1&cid=1025819, pagină consultată la data de 20 ianuarie 2017).
[10] Legea nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date a fost publicată în M.Of. nr. 790/12 decembrie 2001.
[11] Calificarea doctrinară a consimţământului este aceea de manifestare de voinţă a subiectului de drept „de a fi legat prin actul juridic la care consimte (o manifestare unilaterală de voinţă). Altfel spus, consimţământul este hotărârea exteriorizată de a încheia un anumit act juridic. Într-un alt sens (în cazul actelor bilaterale sau multilaterale) consimţământul (cum sentire) înseamnă acordul de voinţă al părţilor la încheierea unui contract; consimţământul înseamnă deci întâlnirea celor două voinţe concordante (consensus) […]” (O. Ungureanu, C. Munteanu, Drept civil. Partea generală, Ed. Hamangiu, Bucureşti, 2013, p. 199).
[12] Pentru definiţii şi explicaţii în ce priveşte digitalizarea, a se vedea F. Dehousse, Th. Verbiest, T. Zgajewski, Introduction au droit de la société de l’information, Larcier, Bruxelles, 2007, p. 54.
[13] Regulamentul prevede că responsabilul va depune toate eforturile rezonabile pentru a verifica în astfel de cazuri că titularul răspunderii părintești a acordat sau a autorizat consimțământul, ținând seama de tehnologiile disponibile (art. 8 parag. 2).
Arhive
- martie 2024
- februarie 2024
- ianuarie 2024
- decembrie 2023
- noiembrie 2023
- octombrie 2023
- septembrie 2023
- august 2023
- iulie 2023
- iunie 2023
- mai 2023
- aprilie 2023
- martie 2023
- februarie 2023
- ianuarie 2023
- decembrie 2022
- noiembrie 2022
- octombrie 2022
- septembrie 2022
- august 2022
- iulie 2022
- iunie 2022
- mai 2022
- aprilie 2022
- martie 2022
- februarie 2022
- ianuarie 2022
- decembrie 2021
- noiembrie 2021
- octombrie 2021
- septembrie 2021
- august 2021
- iulie 2021
- iunie 2021
- mai 2021
- aprilie 2021
- martie 2021
- februarie 2021
- ianuarie 2021
- decembrie 2020
- noiembrie 2020
- octombrie 2020
- septembrie 2020
- august 2020
- iulie 2020
- iunie 2020
- mai 2020
- aprilie 2020
- martie 2020
- februarie 2020
- ianuarie 2020
- decembrie 2019
- noiembrie 2019
- octombrie 2019
- septembrie 2019
- august 2019
- iulie 2019
- iunie 2019
- mai 2019
- aprilie 2019
- martie 2019
- februarie 2019
- ianuarie 2019
- decembrie 2018
- noiembrie 2018
- octombrie 2018
- septembrie 2018
- august 2018
- iulie 2018
- iunie 2018
- mai 2018
- aprilie 2018
- martie 2018
- februarie 2018
- ianuarie 2018
- decembrie 2017
- noiembrie 2017
- octombrie 2017
- septembrie 2017
- august 2017
- iulie 2017
- iunie 2017
- mai 2017
- aprilie 2017
- martie 2017
- februarie 2017
- ianuarie 2017
- decembrie 2016
- noiembrie 2016
- octombrie 2016
- septembrie 2016
- august 2016
- iulie 2016
- iunie 2016
- mai 2016
- aprilie 2016
- martie 2016
- februarie 2016
- ianuarie 2016
- decembrie 2015
- noiembrie 2015
- octombrie 2015
- septembrie 2015
- august 2015
- iulie 2015
- iunie 2015
- mai 2015
- aprilie 2015
- martie 2015
- februarie 2015
- ianuarie 2015
Calendar
L | Ma | Mi | J | V | S | D |
---|---|---|---|---|---|---|
1 | 2 | 3 | 4 | 5 | 6 | 7 |
8 | 9 | 10 | 11 | 12 | 13 | 14 |
15 | 16 | 17 | 18 | 19 | 20 | 21 |
22 | 23 | 24 | 25 | 26 | 27 | 28 |
29 | 30 |
Lasă un răspuns
Trebuie să fii autentificat pentru a publica un comentariu.