O perspectivă și analiză critică a GDPR. Protecția intimității, drept sau iluzie. Apel la conștientizarea riscurilor mediului digital asupra dreptului la intimitate și viața privată
Oxana Chironda - iulie 2, 2019Cu aceste informații, ei nu doar că pot determina preferințele persoanei de achiziționare a unui produs (spre exemplu, laptop), dar chiar să determine un comportament și o decizie la nivel social, să mergi sau să nu mergi la referendum, cum să votezi, să ai sau nu un copil etc. Iar atunci când analytics chiar se străduie cu pricepere, în doar câteva luni va putea transforma o persoană ortodoxă apolitică într-un admirator înfocat al lui Putin.
Potrivit AEPD p. 3 a Opiniei nr. 2/2018 „Cercetările sugerează că manipularea fluxului de știri sau a rezultatelor căutărilor persoanelor le-ar putea influența conduita electorală”[31]. Cert este, că astăzi, avem entități care au acumulat și în continuarea cumulează un imens volum de date, la scară mondială. Și într-un termen relativ scurt au ajuns să fie nu doar foarte bogate, dar și cu influență largă. Și aici nu ne gândim doar la speța Cambridge Analitica. De fapt, această speță relevă doar vârful aisbergului. Mult mai multe se află sub ape…
Oficialitățile UE au admis și recunoscut oficial aceste realități, Autoritatea Europeană a Protecției Datelor exprimându-și în Opinia nr. 3/2018[32] privind Manipularea on-line și datele personale emisă: „Digitalizarea societății și a economiei are un impact mixt asupra angajamentului civic în luarea deciziilor și asupra barierelor în calea implicării publice în procesele democratice. Big data și sistemele de inteligență artificială (AI) au permis colectarea, combinarea, analizarea și stocarea pe termen nelimitat a unor volume masive de date. În ultimele două decenii, a apărut un model dominant de afaceri pentru majoritatea serviciilor bazate pe web, care se bazează pe urmărirea on-line a persoanelor și culegerea de date despre caracterul lor, despre sănătate, relații, gânduri și opinii, în vederea generării veniturilor din publicitatea digitală”[33].
Dar de ce sistemul instituțional european are nevoie de GDPR? Oare sistemul guvernamental nu avea acces liber și nelimitat la date și până la GDPR? Oare sistemul instituțional guvernamental nu este el însuși un Big Data[34]? Toate sistemele guvernamentale au acces la toate datele cetățenilor și cu certitudine monitorizează populația, inclusiv sub pretextul securității de stat, așa cum am arătat în Capitolul al III-lea al prezentei lucrări, în concluziile aferente analizei Cauzei Schrems. Cu toți suntem conștienți că instituțiile guvernamentale au capacitate tehnologică de monitorizarea masivă a cetățenilor și asta firește nu doar în China (și poate că nu ne vom fi gândit doar la programul guvernamental SUA de monitorizare masivă PRISM).
Operatorii, așa cum sunt aceștia definiți conform art. 26 din GDPR (dar și persoanele împuternicite – art. 28 din GDPR), sunt stăpânii datelor (data owners). Amintim, așa cum am arătat anterior, persoanele sunt marfă (nu proprietari). Paradoxal sau nu, însuși legiuitorul european denumește persoana, omul a cărui date fac obiectul raportului juridic (operațiunii de colectare sau prelucrare) îi definește conform art. 4 pct. 1 din GDPR, persoană vizată. Și mai plastic este termenul original, din limba engleză – Subject Data. Care în traducere directă este subiectul.
Astfel, persoana ale cărei date fac obiectul raportului juridic, despre ale cărei date este vorba în operațiunea de colectare, nu acționează în calitate de titular/proprietar/stăpân al datelor, ci în calitate de persoană vizată de raport, obiect al raportului, marfă. Persoana despre al cărei teren vorbim este proprietară a terenului, în timp ce persoana despre ale cărei date vorbim – este obiect al raportului (de prelucrare sau colectare a datelor sale), nu proprietară a datelor. În timp ce, entitatea care colectează sau prelucrează datele – este proprietara datelor (Data Owner)[35].
Prin Comunicarea Comisiei către Parlamentul european, Consiliu, Comitetul economic și social european și Comitetul Regiunilor denumită „Construirea unei Economii Europene A Datelor”, la pagina 11 a comunicatului Comisia Europeană admite că Big Data devin și exercită atribuțiile de „proprietari” ale datelor utilizatorilor: „În anumite cazuri, fabricanții sau furnizorii de servicii pot deveni de facto «proprietari» ai datelor generate de calculatoarele sau procesele lor, chiar dacă respectivele calculatoare se află în proprietatea utilizatorului. Un control de facto asupra acestor date poate constitui pentru fabricanți o sursă de diferențiere și de avantaje concurențiale”.
Mai multe instituții și operatori (GD Connect, ESOMAR etc.) caută să primească de la autoritățile europene răspuns la întrebarea cine este proprietarul datelor. Se pare că instituțiile europene nu sunt încă pregătite să dea un răspuns oficial și nici entuziasmate de întrebarea vădit incomodă.
De curând, ESOMAR[36] a întocmit un raport[37] pe baza analizelor și informațiilor și sondajelor desfășurate atât în UE, UK cât și SUA, din care a rezultat ca aproximativ 68% din entitățile intervievate se consideră proprietari ai datelor.
De ce legiuitorul european nu a reglementat și nu a definit expres cine este proprietarul datelor personale? Este aceasta o omisiune e legiuitorului european? Evident, nu.
Regulamentul este rezultatul unei negocieri și dezbateri de peste 5 ani și a trecut prin 2 lecturi în Parlamentul European. Nu încape îndoială că dacă legiuitorul de la Bruxelles nu a recunoscut persoanei vreun drept de proprietate asupra datelor sale, este pentru că nu a dorit acest lucru.
GDPR, de fapt, nu este un instrument prin care să ofere persoanei vreun control real asupra datelor sale, ci are ca scop să reglementeze un mecanism de control al celor care sunt proprietarii datelor (Data owner), respectiv operatorii și persoanele împuternicite. Temeo danones et dona ferentes. Aceasta se întâmplă în contextul în care giganții Big data au acumulat și au acces la volume uriașe de date, exercitând nu doar putere economică dar și politică fără precedent (scandalul Cambridge Analitica, Facebook, Google, Microsoft).
În acest context, legiuitorul European are nevoie de o legislație unitară, eficientă, care să îi asigure un sistem de control al fluxului datelor cu prerogative și puteri efective și extinse pe întreg teritoriul UE, inclusiv cu efecte de extrateritorialitate (art. 3 din GDPR).
VI. Jurisprudența CEDO și a CJUE în materia respectării intimității și protecția datelor. Cauza Schrems
Jurisprudența în protecția vieții private a intimității și datelor cu caracter personale este creată atât prin hotărârile Curții de la Strasbourg (CEDO), cât și în special cele ale CJUE.
Amintim printre cele mai relevante, cauzele ale CJUE: cauza C‑582/14, Patrick Breyer c. Germania; cauzele C-203/15 și C-698/15, Tele2 Sverige AB c. Post-och telestyrelsen and Secretary of State for the Home Department c. Davis and Others EU:C:2016:970; Szabó și Vissy c. Ungariei nr. 37138/14 (ECtHR, 12 January 2016) par. 68-70. O decizie cu impact deosebit asupra dreptului persoanei de a îi fi șterse datele sau dreptul persoanei de a fi uitat (right to be forgotten) este C-131/12, cauza Mario Costeja Gonzalez.
Printre hotărârile CEDO enunțăm, în principal: Weber și Saravia c. Germaniei, nr. 54934/00 (CEDO, 29 Junie 2006); Huvig c. Franței, nr. 11105/84 (CEDO, 24 Aprilie 1990) par. 34; Kopp c. Elveției, nr. 23224/94 (CEDO, 25 Martie 1998) par. 55; Amann c. Elveției, nr. 27798/95 (CEDO, 16 Februarie 2000) par. 76; Valenzuela Contreras c. Spainiei, nr. 27671/95 (CEDO, 30 July 1998) par. 46; Prado Bugallo c. Spainiei, nr. 58496/00 (CEDO, 18 Februarie 2003) parag. 30, Rotaru c. României, nr. 28341/95 (CEDO, 4 Mai 2000) par. 55; Huvig c. Franței, nr. 11105/84 (CEDO, 24 Aprilie 1990) par. 29; Zakharov c. Rusiei, nr. 47143/06 (CEDO, 4 Decembrie 2015).
Geografia cauzelor indică o intoxicare cu abuzuri a întregului spațiu european.
Acest studiu nu va fi complet dacă nu ne facem puțin timp și loc să discutăm cauza Schrems.
Vă propun respectuos să ne aplicăm asupra analizei cauzei studentului austriac Maximilian Schrems, C-362/14 c. Data Protection Commissioner, cerere de decizie preliminară formulată de High Court (Irland) – pentru că aceasta este, fără îndoială, cauza care a marcat și a schimbat fundamental protecția datelor cu caracter personal, și care a avut cel mai mare răsunet și cele mai aspre critici din mediul politic, presiuni ale marilor grupuri economice nord americane, dar și un val fără precedent de admirație și susținere populară.
Piatra din capul unghiului, pe care nu au luat-o în seamă ziditori[38]. Cauza studentului Maximillian Schrems, C-362/14, Schrems a fost buturuga care a răsturnat carul Safe Harbour[39], care până la acea data părea imbatabil. Astfel, după 6 octombrie 2015 transferurile datelor către companii SUA sunt subiect de dezbatere, critică și se află sub lupa și controlul de legalitate a autorităților UE.
În data de 6 octombrie 2015 s-a întâmplat ceea ce părea de necrezut, Curtea de Justiție a Uniunii Europene a declarat invalidă Decizia 2000/520/CE a Comisiei Europene, adoptată în temeiul Directivei 95/46/CE, decizie care reglementa transferul de date cu caracter personal din state membre ale Uniunii Europene către entități din Statele Unite ale Americii, ca urmare a adeziunii acestor entități la principiile acordului Safe Harbour. Urmare a hotărârii Curții de Justiție a Uniunii Europene, Decizia 2000/520/CE a Comisiei Europene (Safe Harbour) nu a mai constituit temei legal pentru efectuarea transferurilor de date cu caracter personal în Statele Unite ale Americii.
În încercarea de a salva situația și a continua afacerile companiilor afectate, Safe Harbour a fost înlocuit cu o nouă decizie privind sfera de siguranță UE-SUA denumită Privacy Shield, care niciodată nu a avut o poziție cimentată legal și fost atacat chiar de la „naștere”, inclusiv de către EDPS, prin critici dur exprimate. Principalele atacuri vin de la trei asociații non-profit franceze activiste în zona digitală a protecției drepturilor (La Quadrature du Net, French Data Network and Fédération FDN), dar și în continuare prin cauza C-311/18, inițiată iarăși de insistentul austriac Maximillian Schrems, cauza C-311/18, (care pe lângă acțiunile împotriva Facebook, Google cu prejudicii reclamate de circa €3,9 bilioane din ianuarie 2019 a acționat în justiție inclusiv titani precum Amazon, Apple Music, DAZN, Filmmit, Netflix, SoundCloud, Spotify și YouTube.
[31] Într-unul din experimente, li s-a spus utilizatorilor platformei sociale cum au spus prietenii lor că au votat, ceea ce a determinat la nivel statistic o creștere semnificativă a segmentului de populație (0,14 % din populația cu vârsta legală pentru a putea vota sau circa 340.000 votanți) care a votat la alegerile de la jumătatea mandatului pentru Congres din 2010; H. Allcott, M. Gentzkow, Social Media and Fake News in the 2016 Election (primăvara 2017), Stanford University, Journal of Economic Perspectives, vol. 31, nr. 2, pp. 211-236., p. 219). Într-un alt studiu, cercetătorii au susținut că diferențele din rezultatele căutărilor pe Google au reușit să influențeze preferințele de vot ale alegătorilor indeciși cu 20 %; Zuiderveen Borgesius, F. & Trilling, D. & Möller, J. & Bodó, B. & de Vreese, C. & Helberger, N. (2016), Should we worry about filter bubbles? (Ar trebui să ne îngrijorăm din cauza bulelor filtrante?) internet Policy Review, 5(1). DOI: 10.14763/2016.1.401, p. 9. Autoritatea de supraveghere Britanică, ICO, a derulat o serie de investigații și a publicat concluzii rezultate privind influenta și utilizarea manipulatorie a data analytics in scopuri politice și de manipulare electorală în următoarele rapoarte oficiale: Investigation into data analytics for political purposes, The Future of Political Campaigning , Democracy disrupted? Personal information and political influence, Investigationin to the use of data analytics in political campaigns pot fi studiate rapoartele aici https://ico.org.uk/action-weve-taken/investigation-into-data-analytics-for-political-purposes/.
[32] https://edps.europa.eu/sites/edp/files/publication/18-03-19_online_manipulation_summary_ro.pdf.
[33] „The digitisation of society and the economy is having a mixed impact on civic engagement in decision-making and on the barriers to public involvement in democratic processes. Big data analytics and artificial intelligence systems have made it possible to gather, combine, analyse and indefinitely store massive volumes of data. Over the past two decades, a dominant business model for most web-based services has emerged which relies on tracking people online and gathering data on their character, health, relationships and thoughts and opinions with a view to generating digital advertising revenue”. Aceste piețe digitale au ajuns să fie concentrate în jurul câtorva companii care acționează ca gardieni eficienți ai internetului și dețin valori de capitalizare bursieră ajustate la inflație mai mari decât orice alte companii din istorie. Opinia nr. 3/2018 EPDS privind manipularea digital și datele personale, p. 1; https://edps.europa.eu/sites/edp/files/publication/18-03-19_online_manipulation_summary_ro.pdf.
[34] Definiția oficială a UE privind Big Data publicată de către EPDS https://edps.europa.eu/node/3671: Big data means large amounts of different types of data produced at high speed from multiple sources, requiring new and more powerful processors and algorithms to process and to analyse. These practices and technologies could offer major benefits for economic growth and various sectors including energy transportation and health. Not all of this information is personal, but businesses and governments are more and more using big data to understand, predict and shape human behaviour. Big data is therefore a long term strategic concern.
[35] Privacy policies etc.
[36] ESOMAR; https://www.esomar.org/ is a membership organization representing the interests of the data, research and insights profession at an international level. While it started as a European associations, ESOMAR is the global association for the industry, with members based in 130 countries.
[37] Raportul ESOMAR din 2018.
[38] Evanghelia după Matei 21,42.
[39] Acordul UE-SUA elaborat în perioada 1998-2000 având ca obiect reglementarea măsurilor de protecție adecvate în ce privește transferul datelor cu caracter personal din UE către SUA. Acest acord reprezintă Decizia privind sfera de siguranță adoptată de către Comisia Europeană în temeiul art. 25 alin. (6) din Directiva 95/46/CE prin care Comisia a atestat în 2000 faptul că principiile sferei de siguranță privind protecția vieții private și întrebările frecvente aferente publicate de Departamentul Comerțului al SUA asigură un nivel de protecție adecvat în scopul transferurilor de date cu caracter personal din UE. Drept urmare, a devenit posibil transferul liber al datelor cu caracter personal din state membre ale UE către societăți din Statele Unite ale Americii care s-au angajat să respecte principiile respective, în pofida faptului că în Statele Unite ale Americii nu există o lege privind protecția datelor în general. Funcționarea mecanismului sferei de siguranță se baza pe angajamentele și autocertificarea societăților care aderau la acesta. Așa au stat lucrurile până pe 6 octombrie 2015 când CJUE a invalidat decizia privind sfera de siguranță a Comisiei, respectiv Acord UE-SUA Safe Harbor în cauza Schrems.
Arhive
- martie 2024
- februarie 2024
- ianuarie 2024
- decembrie 2023
- noiembrie 2023
- octombrie 2023
- septembrie 2023
- august 2023
- iulie 2023
- iunie 2023
- mai 2023
- aprilie 2023
- martie 2023
- februarie 2023
- ianuarie 2023
- decembrie 2022
- noiembrie 2022
- octombrie 2022
- septembrie 2022
- august 2022
- iulie 2022
- iunie 2022
- mai 2022
- aprilie 2022
- martie 2022
- februarie 2022
- ianuarie 2022
- decembrie 2021
- noiembrie 2021
- octombrie 2021
- septembrie 2021
- august 2021
- iulie 2021
- iunie 2021
- mai 2021
- aprilie 2021
- martie 2021
- februarie 2021
- ianuarie 2021
- decembrie 2020
- noiembrie 2020
- octombrie 2020
- septembrie 2020
- august 2020
- iulie 2020
- iunie 2020
- mai 2020
- aprilie 2020
- martie 2020
- februarie 2020
- ianuarie 2020
- decembrie 2019
- noiembrie 2019
- octombrie 2019
- septembrie 2019
- august 2019
- iulie 2019
- iunie 2019
- mai 2019
- aprilie 2019
- martie 2019
- februarie 2019
- ianuarie 2019
- decembrie 2018
- noiembrie 2018
- octombrie 2018
- septembrie 2018
- august 2018
- iulie 2018
- iunie 2018
- mai 2018
- aprilie 2018
- martie 2018
- februarie 2018
- ianuarie 2018
- decembrie 2017
- noiembrie 2017
- octombrie 2017
- septembrie 2017
- august 2017
- iulie 2017
- iunie 2017
- mai 2017
- aprilie 2017
- martie 2017
- februarie 2017
- ianuarie 2017
- decembrie 2016
- noiembrie 2016
- octombrie 2016
- septembrie 2016
- august 2016
- iulie 2016
- iunie 2016
- mai 2016
- aprilie 2016
- martie 2016
- februarie 2016
- ianuarie 2016
- decembrie 2015
- noiembrie 2015
- octombrie 2015
- septembrie 2015
- august 2015
- iulie 2015
- iunie 2015
- mai 2015
- aprilie 2015
- martie 2015
- februarie 2015
- ianuarie 2015
Calendar
L | Ma | Mi | J | V | S | D |
---|---|---|---|---|---|---|
1 | 2 | 3 | 4 | 5 | 6 | 7 |
8 | 9 | 10 | 11 | 12 | 13 | 14 |
15 | 16 | 17 | 18 | 19 | 20 | 21 |
22 | 23 | 24 | 25 | 26 | 27 | 28 |
29 | 30 |
Lasă un răspuns
Trebuie să fii autentificat pentru a publica un comentariu.