O perspectivă și analiză critică a GDPR. Protecția intimității, drept sau iluzie. Apel la conștientizarea riscurilor mediului digital asupra dreptului la intimitate și viața privată
Oxana Chironda - iulie 2, 2019Intervenția în viața privată, colectarea masivă a datelor cetățenilor de către sistemele guvernamentale și monitorizarea permanentă este o realitate. Este peste tot și în toate, asemenea unui praf impregnat în aer, evil dust, cum a fost denumită de către Julian Assange[40]. Nu o mai putem evita, în societatea modernă. Fenomenul este surprins în lucrarea Data Protection and Privacy under Pressure scrisă de către Gert Vermeulen Eva Lievens (Maklu-Publishers, Antwerp, 2017), publicată inclusiv de către Autoritatea Europeană privind Protecția Datelor (EDPS)[41]. Găsim dezvoltată această idee și de către profesorul Andrew Bygrave, în Data Privacy Law. An International Perspective (OUP 2014) pp. 93-94, precum și în articolul Susanei Sanchez Ferro „The Need for an Institutionalized and Transparent Set of Domestic Legal Rules Governing Transnational Intelligence Sharing in Democratic Societies” în Miller (nr. 5) p. 513, lucrarea profesorului Fred H Cate, James X Dempsey (eds), Bulk Collection: Systematic Government Access to Private-Sector Data (Oxford University Press 2017).
De ce este importantă hotărârea Schrems:
În cauza Schrems, Curtea de Justiție a Uniunii Europene (CJUE) a avut un cuvânt decisiv în cimentarea principiilor de protecție a datelor în cazul transferurilor de date.
– a identificat criterii și stabilit definiții;
– a susținut și afirmat explicit dreptul autorităților de supraveghere naționale să investigheze dacă se asigură efectiv un nivel adecvat de protecție a datelor transferate către țări terțe, chiar și atunci când Comisia Europeană a emis o Decizie de conformitate (art. 45 din GDPR);
– a articulat expres standardul de „esențialul echivalent” al protecției datelor, folosindu-l intenționat pentru a îl opune permisivului standard al protecției adecvate preferat de Comisie;
– a clarificat ce anume trebuie să înțelegem prin nivel adecvat de protecție în lumina prevederilor cheie ale Tratatului Privind Funcționarea Uniunii Europene (TFUE) și în special a Cartei Drepturilor Fundamentale ale UE (Charta). A reiterat și redat Chartei poziția dominantă și ca standard minim de referință în protecția datelor;
De mare interes și curaj este faptul că în această decizie, Curtea a statuat explicit că o reglementare care le permite autorităților publice accesul în mod generalizat la conținutul comunicărilor electronice aduce atingere substanței dreptului fundamental la respectarea vieții private[42]. Evident, referirea viza transferurile masive de date, făcute în afara cadrului legal, de către Facebook și Google către serviciul național de securitate al SUA, respectiv National Security Agency (NSA), afacere devenită publică după dezvăluire făcute de către Edward Snowden.
Curtea a confirmat că, chiar dacă există o decizie privind caracterul adecvat adoptată de Comisia Europeană în temeiul art. 25 alin. (6) din Directiva 95/46/CE (actualmente art. 45 din GDPR), autoritățile de supraveghere din statele membre au în continuare competența și obligația de a examina, în condiții de independență deplină, dacă transferul datelor către o țară terță respectă cerințele impuse de directiva menționată, interpretate în lumina art. 7, 8 și 47 din Carta drepturilor fundamentale[43]. Dar, a arătat că, totuși, sarcina de a invalida un act al UE, cum ar fi o decizie a Comisiei privind caracterul adecvat, îi revine exclusiv Curții de Justiție a Uniunii Europene.
O valoare deosebită a hotărârii Schrems este dată de faptul că în considerentele sale CJUE de mai multe ori repetă și insistă că măsură la care trebuie să ne raportăm când analizăm respectarea dreptului la intimitate și protecție a datelor este Carta Drepturilor Fundamentale a UE și a arătat că acesta este și standardul minim în cazul transferului de date din UE și că nu va accepta niciun nivel sub cel stabilit și garantat prin Chartă, chiar și transferurilor de date. Această constatare este esențială[44].
Carta are rolul de a împiedica o practică de degradare a valorilor în standardele privind drepturile fundamentale, cum ar putea apărea dacă ar fi luate standarde scăzute în anumite state membre ca măsură pentru dreptul fundamental la protecția datelor. În consecință, chiar dacă actualmente competența legislativă în materia securității este apanajul exclusiv al statelor membre, asta nu înseamnă că acolo unde protecția datelor poate interfera cu securitatea statului, statele membre ar dispune de libertate discreționară de a interpreta conceptul de securitate națională pentru a scoate aceste acte de subcontrolul de legalitate al UE, respectiv de a le deturna de sub autoritatea legislației UE privind drepturile fundamentale.
Curajul CJUE este cu atât mai de apreciat cu cât sintagma controversată de criteriului standard „în esență echivalent” este folosită de către Curte tocmai pentru a contrabalansa și confrunta direct criteriul de standard folosit de către Comisia Europeană în elaborarea deciziei Safe Harbour. Și anume, standardul de criteriu preferat de către Comisie, este termenul special de „protecție adecvată” față de „protecție echivalentă”[45]. Nuanța fiind nu doar esențială, ci vitală. Ceva ce este adecvat (depinde la ce ne raportăm la nivelul țării terțe), poate să nu fie nici pe departe echivalentă cu protecția reglementată la nivelul legislației UE.
Dar, după ce se iese din holul curților de justiție și se pășește în realitatea cotidiană, se constată că lucrurile stau diferit și că trăim iluzia protecției efective.
Hotărârea Schrems, oricât de valoroasă, nu poate oferi o protecție completă a transferurilor de date către țări terțe. Acest lucru este ilustrat de faptul că, în ciuda afirmațiilor puternice ale CJUE cu privire la drepturile de protecție a datelor în hotărâre, în viața reală și cotidiană, respectiv în practica de transfer a datelor acestea au fost pus în executare mult prea puțin, în special ne referim la perioada cuprinsă între invalidarea Safe Harbor și intrarea în vigoare a Privacy Shield. Perioadă în care deși companiile nord americane, mari operatori de date personale pe teritoriul UE (de exemplu Facebook, Google, IBM, Microsoft etc.) nu mai aveau temei legal de a transfera date către SUA, cu toate acestea toate, fără excepție au continuat transferurile. Un astfel de eșec al executării hotărârii Schrems denotă o lipsă de considerare a legislației UE privind protecția datelor.
Mult mai grav este faptul că după hotărârea Schrems și criticile aduse modului în care Comisia Europeană a tratat protecția transferurilor datelor, la doar câteva luni (iulie 2016), Comisia Europeană, sfidând aceste critici a aprobat și validat următorul acord de transfer de date UE-SUA, Privacy Shield, care nu diferă fundamental de predecesorul său Safe Harbor și nu remediază efectiv deficiențele acestuia. Comisia a ignorat de această data și criticile ridicate de EDPS cu privire la nivel necorespunzător de protecție a datelor de către Privacy Shield. În consecință, astăzi, iarăși CJUE este chemată să se pronunțe asupra legalității acestui acord (Privacy Shield) în cauza C-311/18, cu primul termen de audiere în fața CJUE în data de 9 iulie, 2019.
Ca urmare a hotărârii lui Schrems, unii comentatori (în special cei din SUA) au susținut că este o ipocrizie pentru factorii politici din UE și respective CJUE să se preocupe de standardele de protecție a datelor pentru supravegherea exercitată de serviciilor de informații din afara UE, atât timp cât standardele aplicabile unor astfel de servicii în interiorul UE prezintă mari deficiențe și nu asigură cu nimic un nivel mai ridicat de protecție decât cel imputat omologilor săi din SUA.
În plus, este falsă afișarea preocupării pentru protecția datelor de către autoritățile UE, cât timp la nivelul statelor membre ale UE, este practicată împărtășirea și distribuirea largă a informațiilor și datelor de către agențiile de informații ale statelor membre către serviciile guvernamentale SUA, inclusiv prin rețeaua de partajare a informațiilor „Five Eyes” (care include Australia, Canada, Noua Zeelandă, Marea Britanie și SUA) și în cadrul unor acorduri bilaterale care implică state membre, cum ar fi Marea Britanie, Franța și Germania.
Cu alte cuvinte, ce ni se reproșează este că CJUE se preocupă să repare o „țeavă” (de scurgere ilegală a datelor din UE către SUA), în timp ce se acceptă tacit și se închid ochii pe „canale și cascade” (de exemplu, Five Eyes) de torente de curgere a datelor către agențiile SUA.
Greu de combătut aceste critici, pentru că sunt adevărate. Și pentru că ating în mod just punctul nevralgic al vulnerabilității noastre în UE, pe care încă justiția UE nu este pregătită să le provoace.
Totuși, strict vorbind, standardele de protecție a datelor ale agențiilor de informații ale statelor membre chiar compromise fiind, rămân totuși irelevante pentru a aprecia nivelul de protecție oferit de țările terțe. Iar o încălcare a drepturilor fundamentale de către o țară terță nu poate fi scuzată prin faptul că standardele statelor membre ar prezenta deficiență sau ar fi compromise definitiv. O ilegalitate nu se poate scuza prin altă nelegalitate.
Altfel spus, faptul că avem „canale și cascade” de scurgere ilegală a datelor, nu înseamnă că nu trebuie să reparăm „țevile” de scurgere ilegală. Și că tolerarea unora și a celorlalte este la fel de reprobabilă și acuzabilă.
Cauza Schrems a deschis Cutia Pandorei și a scos în mod oficial în dezbaterea publică, obligând autoritățile să vorbească despre aceste abuzuri care treceau nespuse și asupra cărora autoritățile de supraveghere naționale (DPAs) nu îndrăzneau să se pronunțe.
Într-un sens moral și politic, legitimitatea protecției drepturilor fundamentale în UE este subminată dacă UE este privită ca solicitând țărilor terțe standard de protecție a datelor cu caracter personal pe care ea însăși nu este dispusă să le respecte. UE va căpăta realmente legitimitate în ochii autorităților statelor terțe, abia atunci când guvernele statelor membre vor accepta să își supusă și să analizeze politicile sale de securitate națională cu legislația drepturilor fundamentale UE. Lucru care pare încă departe de a se realiza, neexistând suficientă voință politică în acest sens. Dar gheața a fost spartă…
Dacă avem pretenția că suntem o uniune și state de drept, democratice, nu ne mai este permis să ignorăm incoerența juridică și logică a reglementării transferului de date sau să se pretindă de către instituțiile UE (Comisie, în special) că poate fi atins un nivel adecvat de protecție a datelor la nivel mondial doar prin măsuri formale.
VII. GDPR – noua legislație care revoluționează noțiunea intimității
Așa cum am analizat mai sus, intervenția în viața privată, colectarea masivă a datelor cetățenilor de către sistemele guvernamentale și monitorizarea permanentă este o realitate. Este peste tot și în toate, asemenea unui praf impregnat în aer, evil dust, cum a fost denumită de către Julian Assange[46]. Nu o mai putem evita, în societatea modernă. Fenomenul este surprins în lucrarea Data Protection and Privacy under Pressure (traducere „Protecția Datelor și Viața Privată sub Presiune”) scrisă de către Gert Vermeulen Eva Lievens (Maklu-Publishers, Antwerp, 2017), publicată inclusiv de către Autoritatea Europeană privind Protecția Datelor (EDPS)[47].
[40] https://www.youtube.com/watch?v=PYZwCllmaZc.
[41] https://edps.europa.eu/sites/edp/files/publication/17-12-18_wiewiorowski_data_protection_and_privacy_under_pressure_en.pdf publicat de către European Data Protection Supervisor – EDPS – Autoritatea Europeană privind Protecția Datelor.
[42] Punctul 94 din hotărârea Schrems: „În special, trebuie să se considere că o reglementare care permite autorităților publice să acceadă în mod generalizat la conținutul comunicărilor electronice aduce atingere substanței dreptului fundamental la respectarea vieții private, astfel cum este garantat la articolul 7 din Cartă” (a se vedea în acest sens C‑293/12 și C‑594/12, hotărârea Digital Rights Ireland și alții, EU:C:2014:238, punctul 39).
[43] Decizia și Comunicarea Comisiei către Parlamentul European și Consiliu privind transferul datelor cu caracter personal dinspre UE către Statele Unite ale Americii în temeiul Directivei 95/46/CE în urma hotărârii pronunțate de Curtea de Justiție în cauza C-362/14, Schrems poate fi consultat aici: https://eur-lex.europa.eu/legal-content/RO/TXT/?qid=1561751849927&uri=CELEX:62014CJ0362 și https://eur-lex.europa.eu/legal-content/RO/TXT/PDF/?uri=CELEX:52015DC0566 accesat la data de 01.07.2019.
[44] A se vedea în hotărârea Schrems: Paragraful 38: „Trebuie amintit, cu titlu introductiv, că dispozițiile Directivei 95/46, în măsura în care reglementează prelucrarea unor date cu caracter personal care pot aduce atingere libertăților fundamentale și în special dreptului la respectarea vieții private, trebuie interpretate în mod necesar în lumina drepturilor fundamentale garantate de Cartă (…)”. Paragraful 67: „În astfel de circumstanțe, având în vedere constatările făcute la punctele 60-63 din prezenta hotărâre și pentru a oferi un răspuns complet instanței menționate, trebuie să se analizeze dacă această decizie este conformă cu cerințele care decurg din directiva menționată, interpretată în lumina Cartei”. Paragraful 78: „În această privință, trebuie să se constate că, ținând seama, pe de o parte, de rolul important pe care îl are protecția datelor cu caracter personal în lumina dreptului fundamental la respectarea vieții private și, pe de altă parte, de numărul important de persoane ale căror drepturi fundamentale sunt susceptibile să fie încălcate în caz de transfer al datelor cu caracter personal către o țară terță care nu asigură un nivel de protecție adecvat, puterea de apreciere a Comisiei cu privire la caracterul adecvat al nivelului de protecție asigurat de o țară terță se dovedește redusă, astfel încât este necesară efectuarea unei supravegheri stricte a cerințelor care decurg din cuprinsul articolului 25 din Directiva 95/46, interpretat în lumina Cartei”.
[45] În mod just dl profesor Kuner arată că Termenul „esențial echivalent” pare să implice o comparație între standardele privind protecția datelor ale țărilor terțe unde se urmărește transmiterea datele privind protecția datelor și standardele UE, o sarcină dificil de realizat în practică. Întrucât, judecățile privind protecția datelor și viața privată impun aprecieri „legate de context și legate de cultură”, ceea ce face din aceste standarde, instrumente de analiză comparativă dificil de gestionat. KUNER German Law Journal Vol. 18, nr. 04, https://germanlawjournal.com/volume-18-no-04/.
[46] https://www.youtube.com/watch?v=PYZwCllmaZc accesat la data de 01.07.2019.
[47] https://edps.europa.eu/sites/edp/files/publication/17-12- accesat la data de 01.07.201918_wiewiorowski_data_protection_and_privacy_under_pressure_en.pdf accesat la data de 01.07.2019publicat de către European Data Protection Supervisor-EDPS – Autoritatea Europeană privind Protecția Datelor.
Arhive
- martie 2024
- februarie 2024
- ianuarie 2024
- decembrie 2023
- noiembrie 2023
- octombrie 2023
- septembrie 2023
- august 2023
- iulie 2023
- iunie 2023
- mai 2023
- aprilie 2023
- martie 2023
- februarie 2023
- ianuarie 2023
- decembrie 2022
- noiembrie 2022
- octombrie 2022
- septembrie 2022
- august 2022
- iulie 2022
- iunie 2022
- mai 2022
- aprilie 2022
- martie 2022
- februarie 2022
- ianuarie 2022
- decembrie 2021
- noiembrie 2021
- octombrie 2021
- septembrie 2021
- august 2021
- iulie 2021
- iunie 2021
- mai 2021
- aprilie 2021
- martie 2021
- februarie 2021
- ianuarie 2021
- decembrie 2020
- noiembrie 2020
- octombrie 2020
- septembrie 2020
- august 2020
- iulie 2020
- iunie 2020
- mai 2020
- aprilie 2020
- martie 2020
- februarie 2020
- ianuarie 2020
- decembrie 2019
- noiembrie 2019
- octombrie 2019
- septembrie 2019
- august 2019
- iulie 2019
- iunie 2019
- mai 2019
- aprilie 2019
- martie 2019
- februarie 2019
- ianuarie 2019
- decembrie 2018
- noiembrie 2018
- octombrie 2018
- septembrie 2018
- august 2018
- iulie 2018
- iunie 2018
- mai 2018
- aprilie 2018
- martie 2018
- februarie 2018
- ianuarie 2018
- decembrie 2017
- noiembrie 2017
- octombrie 2017
- septembrie 2017
- august 2017
- iulie 2017
- iunie 2017
- mai 2017
- aprilie 2017
- martie 2017
- februarie 2017
- ianuarie 2017
- decembrie 2016
- noiembrie 2016
- octombrie 2016
- septembrie 2016
- august 2016
- iulie 2016
- iunie 2016
- mai 2016
- aprilie 2016
- martie 2016
- februarie 2016
- ianuarie 2016
- decembrie 2015
- noiembrie 2015
- octombrie 2015
- septembrie 2015
- august 2015
- iulie 2015
- iunie 2015
- mai 2015
- aprilie 2015
- martie 2015
- februarie 2015
- ianuarie 2015
Calendar
L | Ma | Mi | J | V | S | D |
---|---|---|---|---|---|---|
1 | 2 | 3 | 4 | 5 | 6 | 7 |
8 | 9 | 10 | 11 | 12 | 13 | 14 |
15 | 16 | 17 | 18 | 19 | 20 | 21 |
22 | 23 | 24 | 25 | 26 | 27 | 28 |
29 | 30 |
Lasă un răspuns
Trebuie să fii autentificat pentru a publica un comentariu.