O perspectivă și analiză critică a GDPR. Protecția intimității, drept sau iluzie. Apel la conștientizarea riscurilor mediului digital asupra dreptului la intimitate și viața privată
Oxana Chironda - iulie 2, 2019Găsim dezvoltată această idee și de către profesorul Andrew Bygrave, în Data Privacy Law. An International Perspective (OUP 2014) pp. 93-94, precum și în articolul S. Sanchez Ferro The Need for an Institutionalized and Transparent Set of Domestic Legal Rules Governing Transnational Intelligence Sharing in Democratic Societies, în Miller (nr. 5) p. 513, lucrarea profesorului Fred H Cate, James X Dempsey (eds.), Bulk Collection: Systematic Government Access to Private-Sector Data (Oxford University Press 2017).
Astfel, probabil a mai discuta astăzi despre protecția datelor personale și intimitate însăși (privacy, intimité) în sensul original al Convenției 108, CEDO[48], ține de trecut. Sau cel puțin, nu mai emulează cu aceeași putere cu care a fost învestită la origini sau la care ne-am aștepta. Azi, intimitatea este o noțiune convențională, subiectivă și cu certitudine o chestiune circumstanțială. Nu mai putem cu sinceritate avea și nici pretinde realist intimitatea, în accepțiunea și percepția clasică a termenului, a dreptului de a fi lăsat în pace (Right to be left alone)[49].
De ce are nevoie sistemul instituțional de GDPR?
Presiunea pieței digitale, așa cum am arătat în capitolele anterioare, au obligat instituțiile europene să ia atitudine și să își securizeze poziția lor, prin adoptarea unei legislații în acest domeniul care să permit controlul instituțiilor UE. Așa a fost adoptat Regulamentul GDPR. Nașterea lui a fost anevoioasă și presiunile din partea celor 7 titani ai social media SUA au fost exercitate la puterea lor maximă.
Probabil că unul din motivele determinante este însăși natura specifică a datelor. Și anume, vestea proastă cu datele este că ele nu pot fi realmente monopolizate prin însăși natura lor. Este simplu cu gazele, petrolul, electricitatea, aurul etc. Dar, datele plutesc cu ușurință peste tot, fără hotare, fără limite. Oamenii cu ușurință își dezvăluie datele și informațiile personale (mai cu seamă în mediu on-line), aproape oricui este suficient de inteligent să le ofere sau promită un avantaj în schimb (încărcarea „gratuită” a unui app, softwear etc.).
Mase întregi de persoane, fără nicio constrângere împărtășesc zilnic on-line (Facebook, Waze, Skype etc.) zeci de date cu privire la persoana lor, rude, apropiați, prieteni, exprimă opinii și preferințe, publică poze, accesează social media și încarcă aplicații cu funcții de geolocalizare (Waze, Google search, inclusiv aplicațiile on-line ale magazinelor on-line etc.). Telefoanele sunt conectate la internet și se interconectează automat prin setări automate, nelimitat, prin bluetooth și wireless cu mii de alte dispozitive prin care are loc un schimb intens de date. Aceste operațiuni au loc în încăperi private, pe stradă, în cafenele, în universitate, la serviciu, inclusiv în parcuri, spații de joacă pentru copii, biblioteci publice și orice alte locații fie spații private sau publice, prin sisteme wi-fi care fie că necesită sau nu identificare colectează multiple datele cu privire la utilizatorii dispozitivelor (de exemplu, geolocalizare), inclusiv prin urmărirea IP-ului dinamic (Case 582/14, Patrick Breyer c. Germany[50]). Sute de mii de accesări pe oră, miliarde pe zi.
Fluxul de date este gigantic.
Astfel, această marfă (datele), dacă nu sunt controlate, au potențial real să fie acumulate masiv de către oricine și mai ales folosite în orice scop, riscând să compromită și erodeze sistemul guvernamental instituțional, așa cum îl cunoaștem azi.
Astfel EDPS își reafirmă expres interesul de a deține (prelua) controlul asupra deținătorilor fluxurilor masive ale datelor p. 4, Op. 3/2018: „Respectul pentru drepturile fundamentale, inclusiv un drept la protecția datelor, este crucial pentru a asigura corectitudinea alegerilor, mai ales că ne apropiem de alegerile din 2019 pentru Parlamentul European. În primul rând, avizul va rezuma procesul prin care datele cu caracter personal alimentează și determină ciclul predominant de urmărire digitală, țintire cu exactitate și manipulare. Apoi, va lua în considerare rolurile diferitelor entități din ecosistemul de informații digitale. În încheiere va avertiza că problema manipulării on-line cel mai probabil se va agrava, că o singură abordare de reglementare nu va fi suficientă în sine și că, prin urmare, autoritățile de reglementare vor fi nevoite să colaboreze de urgență pentru a aborda nu numai abuzurile localizate, ci și distorsiunile structurale cauzate de concentrarea excesivă a pieței”[51].
În consecință, dacă sistemul guvernamental nu poate monopoliza datele, el în mod disperat are nevoie să exercite controlul asupra acestora. De fapt, să controleze stăpânii datelor. În esență, despre asta este GDPR-ul – reglementarea unui cadrul legal structurat, învestit cu putere centrală care (inclusiv prin consistency mechanism[52]) să implementeze un sistem de control al stăpânilor datelor (celor care le acumulează și dețin date).
GDPR instituie un sistem de control al entităților care colectează și prelucrează date, stabilindu-le limite legale și un control instituțional riguros. Operatorii de date pentru a putea să mai continue activități de prelucrare a datelor trebuie să implementeze codul de reguli stabilite prin GDPR, iar autoritățile de supraveghere naționale au fost învestite cu puteri extinse pentru a asigura implementarea corespunzătoare (art. 58 din GDPR).
În 2016 Comisia Europeană a decis să preia controlul datelor și a pieței digitale în spațiul European și a lansat Proiectul Digital Single Market 2020 (DSM)[53], trasând prin planul aprobat Strategia DSM2020 publicată în 10 mai 2017 și a stabilit 7 obiective a fi atinse. În descrierea obiectivelor transpar și scopuri care au determinat GDPR, causa remota, precum:
– „Noi vrem să știm ce se întâmplă cu datele noastre și noi trebuie să știm că regulile jocului sunt aceleași în toate țările Uniunii Europene”;
– „Noi trebuie să ajungem din urmă principalii noștri competitor din Tehnologia de Comunicații prin Interment (ICT), cercetare și inovație digitală”[54]. „We must catch up with our main competitors in ICT research and digital innovation”[55].
GDPR face parte din politicile și legislația reglementată de 1-ul obiectiv al DSM2010 și este o realizare marcata ca atare de către Comisia Europeană privind realizările DSM în 2017-2020[56]:
GDPR oferă sistemului instrumente și pârghii legale cară să asigure controlul efectiv al fluxului de date:
– Dacă până la intrarea în vigoare a GDPR, puteam doar imagina volumul real de date care se colectau și nu aveam informații unde acestea se află și nici pârghii legale de acces. Odată cu intrarea în vigoare, GDPR instituie norme obligatorii privind evidența fluxului datelor, registrul operațiunilor de prelucrare a datelor (art. 30, 10-22 din GDPR), solicitând atât operatorilor, cât și persoanelor împuternicite în orice moment să fie capabili (inclusiv tehnologic – art. 32 din GDPR) să indice ce date colectează/prelucrează și câte date colectează și unde le stochează, locația efectivă a acestora. Precum și obligația de a le pune la dispoziția autorității și a prezenta autorității (art. 5, accountability). Și toate aceste măsuri de asigurare a controlului sunt impuse pe cheltuiala deloc neglijabilă a operatorului/persoanei împuternicite însăși, aceștia fiind obligați să avanseze toate costurile și să investească în tehnologii care să asigure controlul fluxului datelor, securitatea precum și trasabilitatea și reconstituirea datelor (art. 32, art. 25 și următoarele din GDPR). Și toate acestea trebuie executate și menținute la cel mai înalt nivel care să satisfacă așteptările autorității (state of art, art. 25 din GDPR) și într-o manieră documentată, care să permită autorității să verificare mijloacele implementării adecvate [accountability, art. 5 alin. (2) din GDPR]. În caz contrar, dacă aceste condiții nu sunt îndeplinite la nivelul așteptărilor autorității de supraveghere, aceasta are puterea nu doar de a dispune amenzi uriașe (până la 20 milioane euro, art. 83 pct. 5 GDPR), dar și să suspenda sau să bloca activitatea [art. 58 alin. (2) pct. f) din GDPR].
– Sistemul instituțional de supraveghere și control la nivel teritorial (local)[57] și cel la nivel european[58], instituite prin GDPR prin Capitolul VII Cooperare și coerență și în special Mecanismul pentru asigurarea coerenței (art. 63 din GDPR) etc. Aceste instituții învestite cu puteri considerabile, fără precedent[59] (cu dreptul de a organiza raiduri inopinate, ridica dispozitive și calculatoare, inspecta inopinat și fără mandat orice locații, inclusiv ale persoanelor fizice, identifica la locație orice persoane și a audia persoane ad-hoc etc.) au autoritatea și acum și baza legală[60] de a asigura implementarea controlului.
Iar la nivel european, instituțiile precum Comitetul european pentru protecția datelor (art. 68 din GDPR) și Autoritatea Europeană pentru Protecția Datelor (EDPS) prin intermediul mecanismului de cooperare și coerență (Consistency mechanism) asigura aplicarea unitară și coerentă pe întreg teritoriul european.
Sunt încă mulți care au vie amintirea regimul epocii ’20-’90, în care instituții precum KGB sau alte organizații de securitate cheltuiau imense resurse financiare, utilizând teroarea, opresiunea, șantajul și tortura pentru a-și spiona populația, a obține informații privind populația și eventualii oponenți ai regimului. Unele lucruri se schimbă, altele nu se schimbă…
VIII. De ce GDPR pentru instituțiile Uniunii Europene? Criza legitimității și deficitul de democrație a instituțiilor UE
GDPR pentru cetățeni?
Uniunea Europeană și instituțiile, agențiile și departamentele create în susținerea sistemului său au luat naștere nu pe care federativă, ci ca un cartel economic (al industriei grele a cărbunelui și oțelului, atrăgând mai târziu și fermierii) care trebuia să susțină organizatoric și administrativ cooperarea germano-franceză, având bazele așezate pe convertibilitatea dolarului american conform înțelegerii de la Bretton Wood (iulie 1944), dezvoltat prin programul Marshall pentru reconstrucția Europei.
Instituțiile europene nici la origine (și nici azi) nu reprezintă un sistem decizional cu baze pur democratice transparente. Sistemul european decizional este încă opac, cu tendințe de depolitizare în favoarea tehnocrației susținute de interese economice, respectiv grupuri instituționalizate de interese economice.
Instituțiile centrale de conducere respectiv Comisia, cât și Consiliul European și Consiliul de Miniștri au ca reprezentanți persoane numite, nu alese (comisari, reprezentanți naționali, șefii statelor, prim-miniștri și miniștri de resort), iar Parlamentul European, paradoxal față de ce ar sugera denumirea sa, nu are realmente puteri legislative, ci preponderent consultative (un handicap puternic pentru sistemul democratic european) și în continuare nu i se recunoaște inițiativa de a propune legislație, în ciuda faptului că este singura instituției europeană ai cărei membri sunt direct aleși de către cetățenii europeni prin scrutin.
Eșecul democratizării UE, chiar și după reformele aduse prin Tratatul de la Maastrich (1992) este una din cauzele majore ale crizei sistemului instituțional al UE pe care îl trăim în prezent, așa cum o recunosc și oficialitățile[61].
[48] Curtea Europeană a Drepturilor Omului (CEDO), adesea numită informal „Curtea de la Strasbourg”; https://www.echr.coe.int/Documents/Convention_RON.pdf.
[49] Right to be left alone – pentru prima dată a fost articulat în anul 1834 de către judecătorul Curții Supreme din SUA (SCotUS), dl Justice Cooley, care într-o cauză privind drepturile reale, consemnat în considerente inclusiv prima definiție a dreptului la intimidate și autodeterminare – dreptul de a fi lăsat în pace, dreptul la intimitate, prin următoarele considerente: „right to one’s person may be said to be a right of complete immunity: the right to be let alone”. Ulterior, peste mai bine de 50 de ani, definiția academică a intimității ca drept (privacy) a fost reținută în lucrările doctrinare a doi iluștri profesori și judecători a SCotUS SUA, judecătorul Samuel Warren și judecătorul Louis Brandeis; https://www.cs.cornell.edu/~shmat/courses/cs5436/warren-brandeis.pdf https://fee.org/articles/the-right-to-be-left-alone/ Această definiție a fost lansată în 1890 și își are originea în cauza care a implicat-o pe soția judecătorului Samuel Warren ale cărei poze au fost publicate de către societatea nou înființată Kodak, fără acordul acesteia. A. RENGEL, Privacy in the 21st century, Studies in Intercultural Human rights, Leiden-Boston, 2013; K. LACHANA, Elements of convergence in the historical origins and ideological foundations of the US and European privacy law: the nexus between the „right to be let alone” and continental jurisdictions, M. BOTTIS (ed.), Privacy and Surveillance, Current aspects and future perspectives, Athene, 2013.
[50] http://curia.europa.eu/juris/document/document.jsf?docid=184668&doclang=EN.
[51] https://edps.europa.eu/sites/edp/files/publication/18-03-19_online_manipulation_summary_ro.pdf.
[52] Art.63 din GDPR – mecanism legal de asigurare a aplicării coerente, unitare și uniforme a controlului pe întreg teritoriul Uniunii Europene prin autorități de supraveghere locale (art. 51) și la nivel european întrunindu-se lunar Comitetul european pentru protecția datelor (format din președinții autorităților locale de supraveghere) pentru trasarea și aplicarea unitară a politicilor și soluțiilor GDPR.
[53] https://ec.europa.eu/digital-single-market/en/europe-2020-strategy, accesat la data de 01.07.2019.
https://ec.europa.eu/digital-single-market/en/news/digital-single-market-mid-term-review accesat la data de 01.07.2019.
[54] Strategia DSM2020 publicată în 10 mai 2017: „We want to know what’s happening to our personal data, and we need to know that the rules of the game are the same in all countries of the EU”. „We must catch up with our main competitors in ICT research and digital innovation”.
[55] https://ec.europa.eu/digital-single-market/en accesat la data de 01.07.2019. Traducere:
– „Vrem să știm ce se întâmplă cu datele noastre personale și trebuie să știm că regulile jocului sunt aceleași în toate țările UE”.
– „Trebuie să ne apropiem de principalii noștri concurenți în domeniul cercetării în domeniul TIC și inovării digitale”.
[56] https://ec.europa.eu/digital-single-market/en/policies/shaping-digital-single-market#ThePillars accesat la data de 01.07.2019.
[57] Prin autoritățile de supraveghere (art. 51 din GDPR).
[58] Prin Comitetul european pentru protecția datelor (art. 68 din GDPR) și Autoritatea Europeană pentru Protecția Datelor (EDPS).
[59] Poate pe alocuri ușor comparabile cu cele ale Consiliului concurenței.
[60] Art. 51 din GDPR, Decizia nr. 161/2018 ANSPDCP.
[61] Sunt firește și alte cauze puternice, precum lipsa unui sistem de apărarea europeană comun (eșecul PESC), criza financiară globală, criza euro etc.
Arhive
- martie 2024
- februarie 2024
- ianuarie 2024
- decembrie 2023
- noiembrie 2023
- octombrie 2023
- septembrie 2023
- august 2023
- iulie 2023
- iunie 2023
- mai 2023
- aprilie 2023
- martie 2023
- februarie 2023
- ianuarie 2023
- decembrie 2022
- noiembrie 2022
- octombrie 2022
- septembrie 2022
- august 2022
- iulie 2022
- iunie 2022
- mai 2022
- aprilie 2022
- martie 2022
- februarie 2022
- ianuarie 2022
- decembrie 2021
- noiembrie 2021
- octombrie 2021
- septembrie 2021
- august 2021
- iulie 2021
- iunie 2021
- mai 2021
- aprilie 2021
- martie 2021
- februarie 2021
- ianuarie 2021
- decembrie 2020
- noiembrie 2020
- octombrie 2020
- septembrie 2020
- august 2020
- iulie 2020
- iunie 2020
- mai 2020
- aprilie 2020
- martie 2020
- februarie 2020
- ianuarie 2020
- decembrie 2019
- noiembrie 2019
- octombrie 2019
- septembrie 2019
- august 2019
- iulie 2019
- iunie 2019
- mai 2019
- aprilie 2019
- martie 2019
- februarie 2019
- ianuarie 2019
- decembrie 2018
- noiembrie 2018
- octombrie 2018
- septembrie 2018
- august 2018
- iulie 2018
- iunie 2018
- mai 2018
- aprilie 2018
- martie 2018
- februarie 2018
- ianuarie 2018
- decembrie 2017
- noiembrie 2017
- octombrie 2017
- septembrie 2017
- august 2017
- iulie 2017
- iunie 2017
- mai 2017
- aprilie 2017
- martie 2017
- februarie 2017
- ianuarie 2017
- decembrie 2016
- noiembrie 2016
- octombrie 2016
- septembrie 2016
- august 2016
- iulie 2016
- iunie 2016
- mai 2016
- aprilie 2016
- martie 2016
- februarie 2016
- ianuarie 2016
- decembrie 2015
- noiembrie 2015
- octombrie 2015
- septembrie 2015
- august 2015
- iulie 2015
- iunie 2015
- mai 2015
- aprilie 2015
- martie 2015
- februarie 2015
- ianuarie 2015
Calendar
L | Ma | Mi | J | V | S | D |
---|---|---|---|---|---|---|
1 | 2 | 3 | 4 | 5 | ||
6 | 7 | 8 | 9 | 10 | 11 | 12 |
13 | 14 | 15 | 16 | 17 | 18 | 19 |
20 | 21 | 22 | 23 | 24 | 25 | 26 |
27 | 28 | 29 | 30 | 31 |
Lasă un răspuns
Trebuie să fii autentificat pentru a publica un comentariu.