O perspectivă și analiză critică a GDPR. Protecția intimității, drept sau iluzie. Apel la conștientizarea riscurilor mediului digital asupra dreptului la intimitate și viața privată

Cu aceste informații, ei nu doar că pot determina preferințele persoanei de achiziționare a unui produs (spre exemplu, laptop), dar chiar să determine un comportament și o decizie la nivel social, să mergi sau să nu mergi la referendum, cum să votezi, să ai sau nu un copil etc. Iar atunci când analytics chiar se străduie cu pricepere, în doar câteva luni va putea transforma o persoană ortodoxă apolitică într-un admirator înfocat al lui Putin.

Potrivit AEPD p. 3 a Opiniei nr. 2/2018 „Cercetările sugerează că manipularea fluxului de știri sau a rezultatelor căutărilor persoanelor le-ar putea influența conduita electorală”[31]. Cert este, că astăzi, avem entități care au acumulat și în continuarea cumulează un imens volum de date, la scară mondială. Și într-un termen relativ scurt au ajuns să fie nu doar foarte bogate, dar și cu influență largă. Și aici nu ne gândim doar la speța Cambridge Analitica. De fapt, această speță relevă doar vârful aisbergului. Mult mai multe se află sub ape…

Oficialitățile UE au admis și recunoscut oficial aceste realități, Autoritatea Europeană a Protecției Datelor exprimându-și în Opinia nr. 3/2018[32] privind Manipularea on-line și datele personale emisă: „Digitalizarea societății și a economiei are un impact mixt asupra angajamentului civic în luarea deciziilor și asupra barierelor în calea implicării publice în procesele democratice. Big data și sistemele de inteligență artificială (AI) au permis colectarea, combinarea, analizarea și stocarea pe termen nelimitat a unor volume masive de date. În ultimele două decenii, a apărut un model dominant de afaceri pentru majoritatea serviciilor bazate pe web, care se bazează pe urmărirea on-line a persoanelor și culegerea de date despre caracterul lor, despre sănătate, relații, gânduri și opinii, în vederea generării veniturilor din publicitatea digitală”[33].

Dar de ce sistemul instituțional european are nevoie de GDPR? Oare sistemul guvernamental nu avea acces liber și nelimitat la date și până la GDPR? Oare sistemul instituțional guvernamental nu este el însuși un Big Data[34]? Toate sistemele guvernamentale au acces la toate datele cetățenilor și cu certitudine monitorizează populația, inclusiv sub pretextul securității de stat, așa cum am arătat în Capitolul al III-lea al prezentei lucrări, în concluziile aferente analizei Cauzei Schrems. Cu toți suntem conștienți că instituțiile guvernamentale au capacitate tehnologică de monitorizarea masivă a cetățenilor și asta firește nu doar în China (și poate că nu ne vom fi gândit doar la programul guvernamental SUA de monitorizare masivă PRISM).

Operatorii, așa cum sunt aceștia definiți conform art. 26 din GDPR (dar și persoanele împuternicite – art. 28 din GDPR), sunt stăpânii datelor (data owners). Amintim, așa cum am arătat anterior, persoanele sunt marfă (nu proprietari). Paradoxal sau nu, însuși legiuitorul european denumește persoana, omul a cărui date fac obiectul raportului juridic (operațiunii de colectare sau prelucrare) îi definește conform art. 4 pct. 1 din GDPR, persoană vizată. Și mai plastic este termenul original, din limba engleză – Subject Data. Care în traducere directă este subiectul.

Astfel, persoana ale cărei date fac obiectul raportului juridic, despre ale cărei date este vorba în operațiunea de colectare, nu acționează în calitate de titular/proprietar/stăpân al datelor, ci în calitate de persoană vizată de raport, obiect al raportului, marfă. Persoana despre al cărei teren vorbim este proprietară a terenului, în timp ce persoana despre ale cărei date vorbim – este obiect al raportului (de prelucrare sau colectare a datelor sale), nu proprietară a datelor. În timp ce, entitatea care colectează sau prelucrează datele – este proprietara datelor (Data Owner)[35].

Prin Comunicarea Comisiei către Parlamentul european, Consiliu, Comitetul economic și social european și Comitetul Regiunilor denumită „Construirea unei Economii Europene A Datelor”, la pagina 11 a comunicatului Comisia Europeană admite că Big Data devin și exercită atribuțiile de „proprietari” ale datelor utilizatorilor: „În anumite cazuri, fabricanții sau furnizorii de servicii pot deveni de facto «proprietari» ai datelor generate de calculatoarele sau procesele lor, chiar dacă respectivele calculatoare se află în proprietatea utilizatorului. Un control de facto asupra acestor date poate constitui pentru fabricanți o sursă de diferențiere și de avantaje concurențiale”.

Mai multe instituții și operatori (GD Connect, ESOMAR etc.) caută să primească de la autoritățile europene răspuns la întrebarea cine este proprietarul datelor. Se pare că instituțiile europene nu sunt încă pregătite să dea un răspuns oficial și nici entuziasmate de întrebarea vădit incomodă.

De curând, ESOMAR[36] a întocmit un raport[37] pe baza analizelor și informațiilor și sondajelor desfășurate atât în UE, UK cât și SUA, din care a rezultat ca aproximativ 68% din entitățile intervievate se consideră proprietari ai datelor.

De ce legiuitorul european nu a reglementat și nu a definit expres cine este proprietarul datelor personale? Este aceasta o omisiune e legiuitorului european? Evident, nu.

Regulamentul este rezultatul unei negocieri și dezbateri de peste 5 ani și a trecut prin 2 lecturi în Parlamentul European. Nu încape îndoială că dacă legiuitorul de la Bruxelles nu a recunoscut persoanei vreun drept de proprietate asupra datelor sale, este pentru că nu a dorit acest lucru.

GDPR, de fapt, nu este un instrument prin care să ofere persoanei vreun control real asupra datelor sale, ci are ca scop să reglementeze un mecanism de control al celor care sunt proprietarii datelor (Data owner), respectiv operatorii și persoanele împuternicite. Temeo danones et dona ferentes. Aceasta se întâmplă în contextul în care giganții Big data au acumulat și au acces la volume uriașe de date, exercitând nu doar putere economică dar și politică fără precedent (scandalul Cambridge Analitica, Facebook, Google, Microsoft).

În acest context, legiuitorul European are nevoie de o legislație unitară, eficientă, care să îi asigure un sistem de control al fluxului datelor cu prerogative și puteri efective și extinse pe întreg teritoriul UE, inclusiv cu efecte de extrateritorialitate (art. 3 din GDPR).

VI. Jurisprudența CEDO și a CJUE în materia respectării intimității și protecția datelor. Cauza Schrems

Jurisprudența în protecția vieții private a intimității și datelor cu caracter personale este creată atât prin hotărârile Curții de la Strasbourg (CEDO), cât și în special cele ale CJUE.

Amintim printre cele mai relevante, cauzele ale CJUE: cauza C‑582/14, Patrick Breyer c. Germania; cauzele C-203/15 și C-698/15, Tele2 Sverige AB c. Post-och telestyrelsen and Secretary of State for the Home Department c. Davis and Others EU:C:2016:970; Szabó și Vissy c. Ungariei nr. 37138/14 (ECtHR, 12 January 2016) par. 68-70. O decizie cu impact deosebit asupra dreptului persoanei de a îi fi șterse datele sau dreptul persoanei de a fi uitat (right to be forgotten) este C-131/12, cauza Mario Costeja Gonzalez.

Printre hotărârile CEDO enunțăm, în principal: Weber și Saravia c. Germaniei, nr. 54934/00 (CEDO, 29 Junie 2006); Huvig c. Franței, nr. 11105/84 (CEDO, 24 Aprilie 1990) par. 34; Kopp c. Elveției, nr. 23224/94 (CEDO, 25 Martie 1998) par. 55; Amann c. Elveției, nr. 27798/95 (CEDO, 16 Februarie 2000) par. 76; Valenzuela Contreras c. Spainiei, nr. 27671/95 (CEDO, 30 July 1998) par. 46; Prado Bugallo c. Spainiei, nr. 58496/00 (CEDO, 18 Februarie 2003) parag. 30, Rotaru c. României, nr. 28341/95 (CEDO, 4 Mai 2000) par. 55; Huvig c. Franței, nr. 11105/84 (CEDO, 24 Aprilie 1990) par. 29; Zakharov c. Rusiei, nr. 47143/06 (CEDO, 4 Decembrie 2015).

Geografia cauzelor indică o intoxicare cu abuzuri a întregului spațiu european.

Acest studiu nu va fi complet dacă nu ne facem puțin timp și loc să discutăm cauza Schrems.

Vă propun respectuos să ne aplicăm asupra analizei cauzei studentului austriac Maximilian Schrems, C-362/14 c. Data Protection Commissioner, cerere de decizie preliminară formulată de High Court (Irland) – pentru că aceasta este, fără îndoială, cauza care a marcat și a schimbat fundamental protecția datelor cu caracter personal, și care a avut cel mai mare răsunet și cele mai aspre critici din mediul politic, presiuni ale marilor grupuri economice nord americane, dar și un val fără precedent de admirație și susținere populară.

Piatra din capul unghiului, pe care nu au luat-o în seamă ziditori[38]. Cauza studentului Maximillian Schrems, C-362/14, Schrems a fost buturuga care a răsturnat carul Safe Harbour[39], care până la acea data părea imbatabil. Astfel, după 6 octombrie 2015 transferurile datelor către companii SUA sunt subiect de dezbatere, critică și se află sub lupa și controlul de legalitate a autorităților UE.

În data de 6 octombrie 2015 s-a întâmplat ceea ce părea de necrezut, Curtea de Justiție a Uniunii Europene a declarat invalidă Decizia 2000/520/CE a Comisiei Europene, adoptată în temeiul Directivei 95/46/CE, decizie care reglementa transferul de date cu caracter personal din state membre ale Uniunii Europene către entități din Statele Unite ale Americii, ca urmare a adeziunii acestor entități la principiile acordului Safe Harbour. Urmare a hotărârii Curții de Justiție a Uniunii Europene, Decizia 2000/520/CE a Comisiei Europene (Safe Harbour) nu a mai constituit temei legal pentru efectuarea transferurilor de date cu caracter personal în Statele Unite ale Americii.

În încercarea de a salva situația și a continua afacerile companiilor afectate, Safe Harbour a fost înlocuit cu o nouă decizie privind sfera de siguranță UE-SUA denumită Privacy Shield, care niciodată nu a avut o poziție cimentată legal și fost atacat chiar de la „naștere”, inclusiv de către EDPS, prin critici dur exprimate. Principalele atacuri vin de la trei asociații non-profit franceze activiste în zona digitală a protecției drepturilor (La Quadrature du Net, French Data Network and Fédération FDN), dar și în continuare prin cauza C-311/18, inițiată iarăși de insistentul austriac Maximillian Schrems, cauza C-311/18, (care pe lângă acțiunile împotriva Facebook, Google cu prejudicii reclamate de circa €3,9 bilioane din ianuarie 2019 a acționat în justiție inclusiv titani precum Amazon, Apple Music, DAZN, Filmmit, Netflix, SoundCloud, Spotify și YouTube.


[31] Într-unul din experimente, li s-a spus utilizatorilor platformei sociale cum au spus prietenii lor că au votat, ceea ce a determinat la nivel statistic o creștere semnificativă a segmentului de populație (0,14 % din populația cu vârsta legală pentru a putea vota sau circa 340.000 votanți) care a votat la alegerile de la jumătatea mandatului pentru Congres din 2010; H. Allcott, M. Gentzkow, Social Media and Fake News in the 2016 Election (primăvara 2017), Stanford University, Journal of Economic Perspectives, vol. 31, nr. 2, pp. 211-236., p. 219). Într-un alt studiu, cercetătorii au susținut că diferențele din rezultatele căutărilor pe Google au reușit să influențeze preferințele de vot ale alegătorilor indeciși cu 20 %; Zuiderveen Borgesius, F. & Trilling, D. & Möller, J. & Bodó, B. & de Vreese, C. & Helberger, N. (2016), Should we worry about filter bubbles? (Ar trebui să ne îngrijorăm din cauza bulelor filtrante?) internet Policy Review, 5(1). DOI: 10.14763/2016.1.401, p. 9. Autoritatea de supraveghere Britanică, ICO, a derulat o serie de investigații și a publicat concluzii rezultate privind influenta și utilizarea manipulatorie a data analytics in scopuri politice și de manipulare electorală în următoarele rapoarte oficiale: Investigation into data analytics for political purposes, The Future of Political Campaigning , Democracy disrupted? Personal information and political influence, Investigationin to the use of data analytics in political campaigns pot fi studiate rapoartele aici https://ico.org.uk/action-weve-taken/investigation-into-data-analytics-for-political-purposes/.

[32] https://edps.europa.eu/sites/edp/files/publication/18-03-19_online_manipulation_summary_ro.pdf.

[33] „The digitisation of society and the economy is having a mixed impact on civic engagement in decision-making and on the barriers to public involvement in democratic processes. Big data analytics and artificial intelligence systems have made it possible to gather, combine, analyse and indefinitely store massive volumes of data. Over the past two decades, a dominant business model for most web-based services has emerged which relies on tracking people online and gathering data on their character, health, relationships and thoughts and opinions with a view to generating digital advertising revenue”. Aceste piețe digitale au ajuns să fie concentrate în jurul câtorva companii care acționează ca gardieni eficienți ai internetului și dețin valori de capitalizare bursieră ajustate la inflație mai mari decât orice alte companii din istorie. Opinia nr. 3/2018 EPDS privind manipularea digital și datele personale, p. 1; https://edps.europa.eu/sites/edp/files/publication/18-03-19_online_manipulation_summary_ro.pdf.

[34] Definiția oficială a UE privind Big Data publicată de către EPDS https://edps.europa.eu/node/3671: Big data means large amounts of different types of data produced at high speed from multiple sources, requiring new and more powerful processors and algorithms to process and to analyse. These practices and technologies could offer major benefits for economic growth and various sectors including energy transportation and health. Not all of this information is personal, but businesses and governments are more and more using big data to understand, predict and shape human behaviour. Big data is therefore a long term strategic concern.

[35] Privacy policies etc.

[36] ESOMAR; https://www.esomar.org/ is a membership organization representing the interests of the data, research and insights profession at an international level. While it started as a European associations, ESOMAR is the global association for the industry, with members based in 130 countries.

[37] Raportul ESOMAR din 2018.

[38] Evanghelia după Matei 21,42.

[39] Acordul UE-SUA elaborat în perioada 1998-2000 având ca obiect reglementarea măsurilor de protecție adecvate în ce privește transferul datelor cu caracter personal din UE către SUA. Acest acord reprezintă Decizia privind sfera de siguranță adoptată de către Comisia Europeană în temeiul art. 25 alin. (6) din Directiva 95/46/CE prin care Comisia a atestat în 2000 faptul că principiile sferei de siguranță privind protecția vieții private și întrebările frecvente aferente publicate de Departamentul Comerțului al SUA asigură un nivel de protecție adecvat în scopul transferurilor de date cu caracter personal din UE. Drept urmare, a devenit posibil transferul liber al datelor cu caracter personal din state membre ale UE către societăți din Statele Unite ale Americii care s-au angajat să respecte principiile respective, în pofida faptului că în Statele Unite ale Americii nu există o lege privind protecția datelor în general. Funcționarea mecanismului sferei de siguranță se baza pe angajamentele și autocertificarea societăților care aderau la acesta. Așa au stat lucrurile până pe 6 octombrie 2015 când CJUE a invalidat decizia privind sfera de siguranță a Comisiei, respectiv Acord UE-SUA Safe Harbor în cauza Schrems.

O perspectivă și analiză critică a GDPR. Protecția intimității, drept sau iluzie. Apel la conștientizarea riscurilor mediului digital asupra dreptului la intimitate și viața privată was last modified: October 16th, 2019 by Oxana Chironda

Only registered users can comment.

Arhiva Revista

Despre autor:

Oxana Chironda

Este Senior Partner la SCA Dumitrache-Chironda, Ivu și Asociații, ECPC-B – Certified Data Protection Officer by European Centre of Privacy and Cybersecurity Maastricht University, certificată CIPP/E (Certified Information Privacy Professional – Europe GDPR), membru al IAPP – International Association of Privacy Professionals.