|
12.9.2015 |
MT |
Il-Ġurnal Uffiċjali tal-Unjoni Ewropea |
C 301/1 |
Ir-rakkomandazzjonijiet tal-KEPD dwar l-għażliet tal-UE għar-riforma tal-protezzjoni tad-data
(It-test sħiħ jista’ jinstab bl-Ingliż, bil-Franċiż u bil-Ġermaniż fuq il-websajt tal-KEPD www.edps.europa.eu)
(2015/C 301/01)
Fl-24 ta’ Ġunju 2015, it-tliet istituzzjonijiet ewlenin tal-UE, il-Parlament Ewropew, il-Kunsill u l-Kummissjoni Ewropea daħlu f’negozjati ta’ kodeċiżjoni fuq ir-Regolament Ġenerali dwar il-Protezzjoni tad-Data (GDPR) propost, proċedura magħrufa bħala “trilogu” informali (1). Il-bażi għat-trilogu hija l-proposta tal-Kummissjoni ta’ Jannar 2012, ir-riżoluzzjoni leġiżlattiva tal-Parlament tat-12 ta’ Marzu 2014 u l-Approċċ Ġenerali tal-Kunsill adottat fil-15 ta’ Ġunju 2015 (2). It-tliet istituzzjonijiet huma impenjati li jittrattaw il-GDPR bħala parti mill-pakkett usa’ ta’ riforma tal-protezzjoni tad-data li jinkludi d-direttiva proposta għall-attivitajiet tal-pulizija u dawk ġudizzjarji. Il-proċess għandu jintemm fl-aħħar tal-2015 u x'aktarx li jħalli l-adozzjoni formali taż-żewġ strumenti għall-bidu tal-2016, segwita minn perjodu tranżitorju ta’ sentejn (3).
Il-Kontrollur Ewropew għall-Protezzjoni tad-Data (KEPD) huwa istituzzjoni indipendenti tal-UE. Il-Kontrollur mhuwiex parti mit-trilogu, iżda huwa responsabbli taħt l-Artikolu 41.2 tar-Regolament 45/2001 “Fir-rigward tal-ipproċessar tad-data personali… li jassigura li d-drittijiet fundamentali u l-libertajiet ta' persuni naturali, u b'mod partikolari d-dritt tagħhom għall-privatezza, jiġu rispettati mill-istituzzjonijiet u l-korpi tal-Komunità”, u “…biex jagħti pariri lill-istituzzjonijiet u l-korpi tal-Komunità u lis-suġġetti tad-data dwar il-kwistjonijiet kollha li jikkonċernaw l-ipproċessar ta' data personali”. Il-Kontrollur u l-Assistent Kontrollur inħatru f’Diċembru 2014 bil-mandat speċifiku li jkunu aktar kostruttivi u proattivi, u f’Marzu 2015 ippubblikaw strateġija għal ħames snin li tiddeskrivi kif beħsiebhom jimplimentaw dan il-mandat, u kif ser ikunu responsabbli biex jagħmlu dan (4).
Din l-Opinjoni hija l-ewwel stadju importanti fl-istrateġija tal-KEPD. Mibni fuq id-diskussjonijiet mal-istituzzjonijiet tal-UE, l-Istati Membri, is-soċjetà ċivili, l-industrija u partijiet oħrajn interessati, il-parir tagħna għandu l-għan li jgħin lill-parteċipanti fit-trilogu jaslu għall-kunsens it-tajjeb fil-ħin. Huwa jindirizza l-GDPR f’żewġ partijiet:
|
— |
il-viżjoni tal-KEPD għal regoli dwar il-protezzjoni tad-data orjentati lejn il-futur, b’eżempji li jispjegaw ir-rakkomandazzjonijiet tagħna, u |
|
— |
anness (“Anness għall-Opinjoni 3/2015: Tabella komparattiva tat-testi tal-GDPR mar-rakkomandazzjonijiet tal-KEPD”) b’tabella f’erba’ kolonni li tqabbel, artikolu wara l-ieħor, it-test tal-GDPR kif adottat rispettivament mill-Kummissjoni, il-Parlament u l-Kunsill, mar-rakkomandazzjoni tal-KEPD. |
L-Opinjoni hija ppubblikata fuq is-sit web tagħna u permezz ta’ app fuq il-mowbajl. Fil-ħarifa tal-2015 sejra tkun issupplimentata b’rakkomandazzjoni kemm għall-premessi għall-GDPR kif ukoll, ladarba l-Kunsill ikun adotta l-Pożizzjoni Ġenerali tiegħu dwar id-direttiva, dwar il-protezzjoni tad-data f’dak li jirrigwarda l-attivitajiet tal-pulizija u dawk ġudizzjarji.
L-Opinjoni komprensiva tal-KEPD dwar il-pakkett ta’ riforma tal-Kummissjoni f’Marzu 2012 tibqa’ valida. Iżda wara tliet snin, kellna bżonn naġġornaw il-parir tagħna biex ninvolvu ruħna b’mod aktar dirett mal-pożizzjonijiet tal-koleġiżlaturi, u biex noffru rakkomandazzjonijiet speċifiċi (5). Bħal fil-każ tal-Opinjoni tal-2012, din l-Opinjoni hija konformi mal-opinjonijiet u d-dikjarazzjonijiet tal-Grupp ta’ Ħidma tal-Artikolu 29, inkluż l-“Appendiċi” dwar “Suġġetti ewlenin fil-fehma tat-trilogu” adottat fis-17 ta’ Ġunju, li għalih il-KEPD ikkontribwixxa bħala membru sħiħ tal-Grupp ta’ Ħidma (6).
Opportunità rari: Għalfejn din ir-riforma hija tant importanti
L-UE tinsab fl-aħħar fażi ta’ sforz kbir sabiex tirriforma r-regoli tagħha dwar l-informazzjoni personali. Ir-Regolament Ġenerali dwar il-Protezzjoni tad-Data jista’ jaffettwa, fid-deċennji li ġejjin, lil kull individwu fl-UE, lill-organizzazzjonijiet kollha fl-UE li jipproċessaw data personali u lill-organizzazzjonijiet barra l-UE li jipproċessaw data personali dwar individwi fl-UE (7). Issa wasal iż-żmien li nissalvagwardjaw id-drittijiet u l-libertajiet fundamentali tal-individwi fis-soċjetà bbażata fuq id-data tal-ġejjieni.
Protezzjoni effettiva tad-data tagħti s-setgħa lill-individwu u timmobilizza lin-negozji u lill-awtoritajiet pubbliċi responsabbli. Il-liġijiet f’dan il-qasam huma kumplessi u tekniċi, jeħtieġu l-parir tal-esperti, b’mod partikolari dak ta’ awtoritajiet indipendenti fil-qasam tal-protezzjoni tad-data li jifhmu l-isfidi li ġġib magħha l-konformità. Il-GDPR aktarx li jkun wieħed mill-itwal fil-ktieb tal-istatut tal-Unjoni, u għalhekk issa jeħtieġ li l-UE trid tkun selettiva, tiffoka fuq id-dispożizzjonijiet li huma verament meħtieġa u tevita dettalji li bħala konsegwenza involontarja jistgħu jinterferixxu bla bżonn mat-teknoloġiji futuri. It-testi ta’ kull istituzzjoni jippridkaw iċ-ċarezza u l-intelliġibbiltà fl-ipproċessar tad-data personali: għaldaqstant il-GDPR għandu jqiegħed fil-prattika dak li jiddikjara, billi kemm jista’ jkun, ikun konċiż u faċli biex jinftiehem.
Huma l-Parlament u l-Kunsill bħala koleġiżlaturi li jridu jiddeterminaw it-test legali finali, mgħejjuna mill-Kummissjoni, bħala inizjatur tal-leġiżlazzjoni u gwardjana tat-Trattati. Il-KEPD mhuwiex parti min-negozjati tat-“trilogu”, iżda aħna legalment kompetenti sabiex noffru pariri, u biex nagħmlu dan b’mod proattiv skont il-mandat tal-Kontrollur u tal-Assistent Kontrollur inkarigati, u skont l-istrateġija reċenti tal-KEPD. Din l-Opinjoni hija bbażata fuq aktar minn għaxar snin esperjenza fis-sorveljanza tal-konformità mal-protezzjoni tad-data u pariri ta’ politika li jgħinu jiggwidaw lill-istituzzjonijiet lejn eżitu li jaqdi l-interessi tal-individwu.
Il-leġiżlazzjoni hija l-arti tal-possibbli. L-għażliet ippreżentati, fil-forma tat-testi rispettivi ppreferuti mill-Kummissjoni, il-Parlament u l-Kunsill, kollha fihom bosta dispożizzjonijiet denji, iżda jista’ jkun hemm titjib f'kull waħda. Fil-fehma tagħna l-eżitu mhux ser ikun perfett, iżda aħna beħsiebna ngħinu lill-istituzzjonijiet jiksbu l-aħjar eżitu possibbli. Huwa għalhekk li r-rakkomandazzjonijiet tagħna baqgħu fil-limiti tat-tliet testi. Qegħdin inkunu motivati minn tliet kwistjonijiet ta’ rispett:
|
— |
arranġament aħjar għaċ-ċittadini, |
|
— |
regoli li jaħdmu fil-prattika, |
|
— |
regoli li jdumu ġenerazzjoni. |
Din l-Opinjoni hija eżerċizzju fit-trasparenza u r-responsabbiltà, prinċipji doppji li probabbilment huma l-aktar innovazzjoni notevoli tal-GDPR. Il-proċess tat-trilogu qiegħed ikun soġġett għal skrutinju akbar minn qatt qabel. Ir-rakkomandazzjonijiet tagħna huma pubbliċi, u nħeġġu lill-istituzzjonijiet kollha tal-UE sabiex jaħtfu l-inizjattiva u jmexxu bl-eżempju, biex din ir-riforma leġiżlattiva tkun l-eżitu ta’ proċess trasparenti u mhux kompromess sigriet.
L-UE teħtieġ ftehim ġdid dwar il-protezzjoni tad-data, kapitolu ġdid. Il-bqija tad-dinja qiegħda tosserva mill-qrib. Il-kwalità tal-liġi l-ġdida u kif din tinteraġixxi mat-tendenzi u s-sistemi legali globali hija ta’ importanza kbira. B’din l-Opinjoni l-KEPD qiegħed juri r-rieda u d-disponibbiltà tiegħu biex jgħin jiżgura li l-UE tagħmel l-aħjar li tista’ minn din l-opportunità storika.
1 Ftehim aqwa għaċ-ċittadini
Ir-regoli tal-UE dejjem raw li jiffaċilitaw il-flussi tad-data, kemm fl-UE kif ukoll mal-imsieħba fin-negozju tagħha, iżda bil-ħtieġa suprema għad-drittijiet u l-libertajiet tal-individwu. L-internet ġab grad bla preċedent ta’ konnettività, awtoespressjoni u skop għat-twassil ta’ valur lin-negozji u lill-konsumaturi. Madankollu, il-privatezza tgħodd aktar minn qatt qabel għall-Ewropej. Skont l-istħarriġ tal-Ewrobarometru dwar il-Protezzjoni tad-Data f’Ġunju 2015 (8), aktar minn sitta minn kull għaxar ċittadini ma jafdawx lin-negozji online u żewġ terzi huma mħassba dwar il-fatt li m'għandhomx kontroll sħiħ fuq l-informazzjoni li jipprovdu online.
Il-qafas riformat jeħtieġ li jżomm u, fejn possibbli, jgħolli l-istandards għall-individwu. Il-pakkett ta’ riforma tal-protezzjoni tad-data kien propost l-ewwel nett bħala mezz għat-“tisħiħ tad-drittijiet tal-privatezza online” billi jiżgura li n-nies ikunu “informati aħjar dwar id-drittijiet tagħhom u jkollhom aktar kontroll fuq l-informazzjoni tagħhom.” (9) Rappreżentanti tal-organizzazzjonijiet tas-soċjetà ċivili kitbu lill-Kummissjoni Ewropea f’April 2015 sabiex iħeġġu lill-istituzzjonijiet jibqgħu fidili lejn dawn l-intenzjonijiet (10).
Il-prinċipji eżistenti stabbiliti fil-Karta, il-liġi primarja tal-UE, għandhom jiġu applikati b’mod konsistenti, b’mod dinamiku u innovattiv biex ikunu effettivi għaċ-ċittadin fil-prattika. Ir-riforma teħtieġ li tkun komprensiva, u għalhekk l-impenn għal pakkett, iżda peress li l-ipproċessar tad-data aktarx li jaqa’ taħt strumenti legali separati għandu jkun hemm ċarezza rigward il-kamp ta’ applikazzjoni preċiż tagħhom u kif jaħdmu flimkien, mingħajr ebda lakuna għall-kompromess fuq is-salvagwardji (11).
Għall-KEPD, il-punt tat-tluq huwa d-dinjità tal-individwu li tittraxxendi l-kwistjonijiet ta’ sempliċi konformità legali (12). Ir-rakkomandazzjonijiet tagħna huma bbażati fuq valutazzjoni ta’ kull artikolu tal-GDPR, individwalment u flimkien, skont jekk isaħħaħx il-pożizzjoni tal-individwu meta mqabbel mal-qafas attwali. Il-punt ta’ referenza huwa l-prinċipji fil-qalba tal-protezzjoni tad-data, jiġifieri, l-Artikolu 8 tal-Karta tad-Drittijiet Fundamentali (13).
1.1. Definizzjonijiet: ejjew niċċaraw x’inhi l-informazzjoni personali
L-individwi għandhom ikunu jistgħu jeżerċitaw b’mod aktar effettiv id-drittijiet tagħhom fir-rigward ta’ kwalunkwe informazzjoni li tista’ tidentifikahom jew tindividwahom, anki jekk l-informazzjoni titqies “psewdonimizzata” (14).
1.2. Kull proċessar tad-data għandu jkun kemm legali kif ukoll ġustifikat
|
— |
Ir-rekwiżiti biex l-ipproċessar kollu tad-data jkun limitat għal skopijiet speċifiċi u fuq bażi legali huma kumulattivi, mhux alternattivi. Nirrakkomandaw li jiġi evitat kwalunkwe tqabbil ikkombinat u b’hekk jiddgħajfu dawn il-prinċipji. Minflok, l-UE għandha tippreserva, tissimplifika u tħaddem il-kunċett stabbilit li d-data personali għandha tintuża biss b’modi kompatibbli mal-iskopijiet oriġinali għall-ġbir (15). |
|
— |
Il-kunsens huwa wieħed mill-bażijiet legali possibbli għall-ipproċessar, iżda jeħtieġ li nipprevjenu kaxxi mmarkati koersivi fejn ma hemm l-ebda għażla sinifikanti għall-individwu u fejn lanqas ma hemm ħtieġa li tiġi pproċessata xi data. Nirrakkomandaw li n-nies jitħallew jagħtu kunsens wiesa’ jew limitat, għar-riċerka klinika pereżempju, li jiġi rrispettat u li jista’ jiġi rtirat (16). |
|
— |
Il-KEPD jappoġġja soluzzjonijiet sodi, innovattivi għat-trasferimenti internazzjonali ta’ informazzjoni personali li jiffaċilitaw l-iskambji ta’ data u jirrispettaw il-prinċipji dwar il-protezzjoni tad-data u s-sorveljanza. Inħeġġu li ma jiġux permessi trasferimenti fuq il-bażi tal-interessi leġittimi tal-kontrollur minħabba n-nuqqas ta’ protezzjoni suffiċjenti għall-individwu, u l-UE lanqas ma għandha tiftaħ il-bieb għal aċċess dirett minn awtoritajiet ta’ pajjiżi terzi għal data li tinsab fl-UE. Kwalunkwe talba għal trasferiment maħruġa minn awtoritajiet f’pajjiż terz għandha tkun rikonoxxuta biss meta tkun tirrispetta l-istandards stabbiliti fit-Trattati ta’ Għajnuna Legali Reċiproka, ftehimiet internazzjonali jew mezzi legali oħrajn għall-kooperazzjoni internazzjonali (17). |
1.3. Sorveljanza aktar indipendenti, aktar awtorevoli
|
— |
L-awtoritajiet tal-UE għall-protezzjoni tad-data għandhom ikunu lesti biex jeżerċitaw ir-rwoli tagħhom malli l-GDPR jidħol fis-seħħ, bil-Bord Ewropew għall-Protezzjoni tad-Data kompletament operattiv malli r-Regolament isir applikabbli (18). |
|
— |
L-awtoritajiet għandhom ikunu jistgħu jisimgħu u jinvestigaw ilmenti u talbiet imressqa mis-suġġetti tad-data jew minn korpi, organizzazzjonijiet u assoċjazzjonijiet. |
|
— |
L-infurzar tad-drittijiet tal-individwi jeħtieġ sistema effettiva ta’ responsabbiltà u kumpens għal ħsara kkawżata mill-ipproċessar illegali tad-data. Minħabba l-ostakoli ċari biex jinkiseb kumpens fil-prattika, l-individwi għandhom ikunu jistgħu jkunu rrappreżentati minn korpi, organizzazzjonijiet u assoċjazzjonijiet fil-proċeduri legali (19). |
2 Regoli li jaħdmu fil-prattika
Is-salvagwardji ma għandhomx ikunu konfużi mal-formalitajiet. Dettalji eċċessivi jew tentattivi ta’ mikroġestjoni ta’ proċessi azjendali jirriskjaw li ma jibqgħux jgħoddu fil-futur. Hawnhekk nistgħu nsegwu l-eżempju tal-manwal tal-UE dwar il-kompetizzjoni, fejn korp relattivament limitat ta’ leġiżlazzjoni sekondarja jiġi infurzat b’mod rigoruż u jħeġġeġ kultura ta’ responsabbiltà u kuxjenza fost l-impriżi (20).
Kull wieħed mit-tliet testi jitlob aktar ċarezza u sempliċità mingħand dawk responsabbli għall-ipproċessar ta’ informazzjoni personali (21). Bl-istess mod, l-obbligi tekniċi wkoll għandhom ikunu konċiżi u faċli biex jinftiehmu jekk iridu jiġu implimentati kif xieraq mill-kontrolluri (22).
Il-proċeduri eżistenti mhumiex sagrosanti: ir-rakkomandazzjonijiet tagħna għandhom l-għan li jidentifikaw modi kif tonqos il-burokrazija, jonqsu l-preskrizzjonijiet għad-dokumentazzjoni u l-formalitajiet irrilevanti. Nirrakkomandaw li ssir leġiżlazzjoni biss fejn huwa ġenwinament meħtieġ. Dan iħalli spazju għall-immanuvrar kemm għall-kumpaniji, l-awtoritajiet pubbliċi jew l-awtoritajiet tal-protezzjoni tad-data: spazju li jrid jimtela mir-responsabbiltà u l-gwida mill-awtoritajiet tal-protezzjoni tad-data. B’mod ġenerali, ir-rakkomandazzjonijiet tagħna jipproduċu test tal-GDPR li huwa kważi 30 % iqsar mit-tul medju tat-tliet istituzzjonijiet (23).
2.1. Salvagwardji effettivi, mhux proċeduri
|
— |
Id-dokumentazzjoni għandha tkun mezz mhux għan tal-konformità; ir-riforma għandha tiffoka fuq ir-riżultati. Nirrakkomandaw approċċ fi skali li jnaqqas l-obbligi tad-dokumentazzjoni fuq il-kontrolluri f’politika waħda dwar kif sejra tikkonforma mar-regolamenti waqt li jiġu kkunsidrati r-riskji, bil-konformità murija b’mod trasparenti, kemm għat-trasferimenti, għall-kuntratti mal-proċessuri kif ukoll għan-notifiki ta’ ksur (24). |
|
— |
Fuq il-bażi ta’ kriterji espliċiti għall-valutazzjoni tar-riskju, u skont l-esperjenza tagħna fis-sorveljanza tal-istituzzjonijiet tal-UE, nirrakkomandaw li tintalab in-notifika ta’ ksur relatat mad-data lill-awtorità superviżorja u valutazzjonijiet tal-impatt tal-protezzjoni tad-data biss meta d-drittijiet u l-libertajiet tas-suġġetti tad-data jkunu f’riskju (25). |
|
— |
L-inizjattivi industrijali, kemm jekk permezz ta’ Regoli Korporattivi Vinkolanti kif ukoll permezz ta’ siġilli tal-privatezza, għandhom ikunu mħeġġa b’mod attiv (26). |
2.2. Aktar bilanċ bejn l-interess pubbliku u l-protezzjoni tad-data personali
|
— |
Ir-regoli dwar il-protezzjoni tad-data ma għandhomx ifixklu r-riċerka storika, statistika u xjentifika li hija ġenwinament fl-interess pubbliku. Dawk responsabbli għandhom jagħmlu l-arranġamenti meħtieġa sabiex jipprevjenu li l-informazzjoni personali tintuża kontra l-interess tal-individwu, waqt li jagħtu attenzjoni partikolari lir-regoli li jirregolaw l-informazzjoni sensittiva dwar is-saħħa, pereżempju (27). |
|
— |
Ir-riċerkaturi u l-arkivisti għandhom ikunu jistgħu jaħżnu data sakemm tkun meħtieġa soġġetta għal dawn is-salvagwardji (28). |
2.3. Nafdaw u nagħtu s-setgħa lill-awtoritajiet superviżorji
|
— |
Nirrakkomandaw li l-awtoritajiet superviżorji jitħallew joħorġu gwidi għall-kontrolluri tad-data u jiżviluppaw regoli ta’ proċedura interni proprji fi spirtu ta’ applikazzjoni simplifikata u aktar faċli tal-GDPR minn awtorità superviżorja waħda (il-“One Stop Shop” - Punt Uniku ta’ Servizz) qrib iċ-ċittadin (“prossimità”) (29). |
|
— |
L-awtoritajiet għandhom ikunu jistgħu jiddeterminaw sanzjonijiet korrettivi u amministrattivi effettivi, proporzjonati u dissważivi abbażi taċ-ċirkostanzi rilevanti kollha (30). |
3 Regoli li jdumu ġenerazzjoni
Il-pilastru ewlieni tal-qafas attwali, id-Direttiva 95/46/KE, kien mudell għal leġiżlazzjoni ulterjuri dwar l-ipproċessar tad-data fl-UE u madwar id-dinja, u anki pprovda l-bażi għall-kliem tad-dritt għall-protezzjoni tad-data personali fl-Artikolu 8 tal-Karta tad-Drittijiet Fundamentali. Din ir-riforma sejra ssawwar l-ipproċessar tad-data għal ġenerazzjoni li ma tiftakarx il-ħajja mingħajr l-internet. L-UE għandha għalhekk tifhem għal kollox l-implikazzjonijiet ta’ dan l-att għall-individwi, u s-sostenibbiltà tiegħu quddiem l-iżvilupp teknoloġiku.
Dawn l-aħħar snin raw żieda esponenzjali fil-ġenerazzjoni, il-ġbir, l-analiżi u l-iskambju ta’ informazzjoni personali, ir-riżultat ta’ innovazzjonijiet teknoloġiċi bħall-internet tal-oġġetti, il-cloud computing, id-data kbira u d-data miftuħa, li l-użu tagħha l-UE tqisu essenzjali għall-kompetittività tagħha (31). Minn dak li rajna mil-lonġevità tad-Direttiva 95/46/KE, huwa raġonevoli li wieħed jistenna żmien simili qabel ma ssir reviżjoni kbira oħra tar-regoli dwar il-protezzjoni tad-data, probabbli mhux qabel tmiem is-snin 2030. Ferm qabel dak iż-żmien, it-teknoloġiji mmexxija mid-data huma mistennija li jkunu kkonverġew mal-intelliġenza artifiċjali, l-ipproċessar naturali tal-lingwa u s-sistemi bijometriċi, li jagħtu s-setgħa lill-applikazzjonijiet ta’ kapaċità ta’ tagħlim tal-magni għall-intelliġenza avvanzata.
Dawn it-teknoloġiji qegħdin jisfidaw il-prinċipji tal-protezzjoni tad-data. Riforma orjentata lejn il-futur għandha għaldaqstant tkun ibbażata fuq id-dinjità tal-individwu u informata mill-etika. Din għandha tirrimedja l-iżbilanċ bejn l-innovazzjoni fil-protezzjoni tad-data personali u l-użu tagħha, u tagħmel lis-salvagwardji effettivi fis-soċjetà diġitali tagħna.
3.1. Prattiki tan-negozju responsabbli u inġinerija innovattiva
|
— |
Ir-riforma għandha treġġa’ lura t-tendenza reċenti lejn l-intraċċar sigriet u t-teħid ta’ deċiżjonijiet fuq il-bażi ta’ profili moħbija mill-individwu. Il-problema mhijiex reklamar immirat jew il-prattika tat-tfassil ta’ profil, iżda pjuttost nuqqas ta’ informazzjoni sinifikanti dwar il-loġika algoritmika li tiżviluppa dawn il-profili u li jkollha effett fuq is-suġġett tad-data (32). Nirrakkomandaw aktar trasparenza mingħand il-kontrolluri. |
|
— |
Nappoġġjaw bis-sħiħ l-introduzzjoni tal-prinċipji tal-protezzjoni tad-data mfassla u awtomatiċi bħala mezz ta’ spinta għal soluzzjonijiet iggwidati mis-suq fl-ekonomija diġitali. Nirrakkomandaw kliem aktar sempliċi li jeżiġi li d-drittijiet u l-interessi tal-individwu jkunu integrati fl-iżvilupp tal-prodotti u f’konfigurazzjonijiet awtomatiċi (33). |
3.2. Individwi mogħtija s-setgħa
Il-portabbiltà tad-data hija l-passarella fl-ambjent diġitali għall-kontroll tal-utent li l-individwi issa qegħdin jintebħu li ma għandhomx. Nirrakkomandaw li jkun permess trasferiment dirett ta’ data minn kontrollur għal ieħor fuq it-talba tas-suġġett tad-data u li s-suġġetti tad-data jiġu intitolati li jirċievu kopja tad-data li huma stess jistgħu jittrasferixxu lil kontrollur ieħor (34).
3.3. Regoli ttestjati għall-futur
Nirrakkomandaw li jiġu evitati lingwi u prattiki li aktarx li ma jibqgħux jgħoddu jew isiru disputibbli (35).
4 Kwistjoni mhux mitmuma
L-adozzjoni ta’ pakkett tal-UE ta’ riforma fid-data orjentat lejn il-futur tkun kisba impressjonanti iżda madankollu inkompluta.
L-istituzzjonijiet kollha jaqblu li l-prinċipji tal-GDPR għandhom japplikaw b’mod konsistenti għall-istituzzjonijiet tal-UE. Aħna rrakkomandajna ċ-ċertezza legali u l-uniformità tal-qafas legali, filwaqt li naċċettaw l-uniċità tas-settur pubbliku tal-UE u l-ħtieġa li tiġi evitata kwalunkwe dgħufija fil-livell attwali tal-obbligi (kif ukoll il-ħtieġa li nipprovdu għall-bażi legali u organizzattiva għall-KEPD). Għaldaqstant il-Kummissjoni għandha tagħmel mill-aktar fis possibbli proposta konsistenti mal-GDPR għar-reviżjoni tar-Regolament (KE) Nru 45/2001 wara li jiġu finalizzati d-diskussjonijiet fuq il-GDPR biex iż-żewġ testi jkunu jistgħu jsiru applikabbli fl-istess ħin (36).
It-tieni, huwa ċar li d-Direttiva 2002/58/KE (id-“Direttiva dwar il-Privatezza elettronika”) ikollha tiġi emendata. Ferm aktar importanti minn hekk, l-UE teħtieġ qafas ċar għall-kunfidenzjalità tal-komunikazzjonijiet, element integrali tad-dritt tal-privatezza, li jirregola s-servizzi kollha li jippermettu l-komunikazzjoni, mhux biss lill-fornituri ta’ komunikazzjonijiet elettroniċi disponibbli għall-pubbliku. Dan irid isir permezz ta’ regolament legalment ċert u armonizzanti li jipprovdi għal mill-inqas l-istess standards ta’ protezzjoni skont id-Direttiva dwar il-Privatezza elettronika b'kundizzjonijiet ekwi.
Għaldaqstant din l-Opinjoni tirrakkomanda s-sejħa għal impenn għal adozzjoni bla dewmien ta’ proposti f’dawn iż-żewġ oqsma mill-aktar fis possibbli.
5 Mument determinanti għad-drittijiet diġitali fl-Ewropa u lil hinn minnha
Għall-ewwel darba f’ġenerazzjoni l-UE għandha opportunità li timmodernizza u tarmonizza r-regoli dwar kif tiġi mmaniġġjata l-informazzjoni personali. Il-privatezza u l-protezzjoni tad-data mhumiex f’kompetizzjoni mat-tkabbir ekonomiku u l-kummerċ internazzjonali, lanqas ma’ servizzi u prodott kbar — huma parti mill-proposta ta’ kwalità u ta’ valur. Kif jirrikonoxxi l-Kunsill Ewropew, il-fiduċja hija prekondizzjoni meħtieġa għal prodotti u servizzi innovattivi li jiddependu fuq l-ipproċessar ta’ data personali.
Fl-1995 l-UE kienet pijuniera tal-protezzjoni tad-data. Issa aktar minn 100 pajjiż madwar id-dinja għandhom liġijiet dwar il-protezzjoni tad-data u inqas minn nofshom huma pajjiżi Ewropej (37). Madankollu l-UE għadha tiġbed l-attenzjoni tal-pajjiżi li qegħdin jikkunsidraw li jistabbilixxu jew jirrevedu l-oqfsa legali tagħhom. Fi żmien meta l-fiduċja tan-nies fil-kumpaniji u l-gvernijiet majnat minħabba rivelazzjonijiet ta’ ksur fuq skala kbira tas-sorveljanza u tad-data, dan jitfa’ responsabbiltà konsiderevoli fuq dawk l-Ewropej li jfasslu l-liġi u li d-deċiżjonijiet tagħhom din is-sena huma mistennija li jkollhom impatt lil hinn mill-Ewropa.
Fil-fehma tal-KEPD, it-testi tal-GDPR jinsabu fit-triq it-tajba, iżda għad fadal xi kwistjonijiet, uħud minnhom serji ħafna. Dejjem hemm ir-riskju bil-proċess ta’ kodeċiżjoni li ċerti dispożizzjonijiet jiddgħajfu minn negozjaturi b’intenzjoni tajba fit-tfittxija tagħhom għal kompromess politiku. Bir-riforma fil-protezzjoni tad-data, madankollu, hemm differenza, peress li qegħdin nittrattaw id-drittijiet fundamentali u l-mod kif ser ikunu salvagwardjati għal ġenerazzjoni.
Fuq dik il-bażi, din l-Opinjoni tipprova tgħin lill-istituzzjonijiet ewlenin tal-UE biex isibu soluzzjoni għall-problemi. Aħna mhux biss irridu drittijiet aqwa għas-suġġett tad-data individwali u aktar responsabbiltà għall-kontrollur; nixtiequ niffaċilitaw l-innovazzjoni b’qafas legali li huwa newtrali lejn it-teknoloġija iżda pożittiv lejn il-benefiċċji li t-teknoloġija tista’ ġġib għas-soċjetà.
Bin-negozjati fl-aħħar fażi tagħhom, nisperaw li r-rakkomandazzjonijiet tagħna jgħinu lill-UE tasal sal-linja finali b’riforma li tibqa’ adattata għall-iskop tagħha fis-snin u d-deċennji li ġejjin: kapitolu ġdid għall-protezzjoni tad-data b’perspettiva globali, bl-UE fuq quddiem nett bl-eżempju tagħha.
Magħmul fi Brussell, is-27 ta' Lulju 2015.
Giovanni BUTTARELLI
Kontrollur Ewropew għall-Protezzjoni tad-Data
(1) Dikjarazzjonijiet Komuni Parlament Ewropew Kunsill Kummissjoni Dikjarazzjoni Konġunta dwar Arranġamenti Prattiċi għall-Proċedura ta’ Kodeċiżjoni (l-Artikolu 251 tat-Trattat tal-KE) (2007/C 145/02) (ĠU C 145, 30.6.2007).
(2) COM(2012)11 finali; Riżoluzzjoni leġiżlattiva tal-Parlament Ewropew tat-12 ta’ Marzu 2014 dwar il-proposta għal regolament tal-Parlament Ewropew u tal-Kunsill dwar il-protezzjoni tal-individwi fir-rigward tal-ipproċessar ta’ dejta personali u dwar il-moviment liberu ta’ dik id-dejta (Regolament dwar il-Protezzjoni ta’ Dejta Ġenerali), P7_TA(2014)0212; Proposta għal Regolament tal-Parlament Ewropew u tal-Kunsill dwar il-protezzjoni tal-individwi fir-rigward tal-ipproċessar ta’ dejta personali u dwar il-moviment liberu ta’ dik id-dejta (Regolament dwar il-Protezzjoni ta’ Dejta Ġenerali) — It-tħejjija ta’ approċċ ġenerali, dokument tal-Kunsill 9565/15, 11.6.2015.
(3) It-titolu sħiħ huwa Proposta għal Direttiva tal-Parlament Ewropew u tal-Kunsill dwar il-protezzjoni ta’ individwi fir-rigward tal-ipproċessar ta’ dejta personali mill-awtoritajiet kompetenti għall-finijiet ta’ prevenzjoni, investigazzjoni, sejbien jew prosekuzzjoni ta’ reati kriminali jew l-eżekuzzjoni ta’ pieni kriminali, u l-moviment liberu ta’ dik id-dejta, COM(2012)10 finali; Riżoluzzjoni leġiżlattiva tal-Parlament Ewropew tat-12 ta’ Marzu 2014 dwar il-proposta għal Direttiva tal-Parlament Ewropew u tal-Kunsill dwar il-protezzjoni ta’ individwi fir-rigward tal-ipproċessar ta’ dejta personali mill-awtoritajiet kompetenti għall-finijiet ta’ prevenzjoni, investigazzjoni, sejbien jew prosekuzzjoni ta’ reati kriminali jew l-eżekuzzjoni ta’ pieni kriminali, u l-moviment liberu ta’ dik id-dejta, P7_TA(2014)0219. Dwar l-iskeda ta’ żmien u l-kamp ta’ applikazzjoni tat-trilogu, ara l-Konklużjonijiet tal-Kunsill Ewropew 25-26 ta’ Ġunju 2015, EUCO 22/15; “pjan direzzjonali” għat-trilogu ġie indikat f’konferenza stampa konġunta tal-Parlament, tal-Kunsill u tal-Kummissjoni http://audiovisual.europarl.europa.eu/AssetDetail.aspx?id=690e8d8d-682d-4755-bfb6-a4c100eda4ed [aċċessat l-aħħar fl-20.7.2015] iżda li ma ġiex ippubblikat b'mod uffiċjali. Il-GDPR ser jidħol fis-seħħ 20 jum wara l-pubblikazzjoni tiegħu f’Il-Ġurnal Uffiċjali u huwa mistenni li jkun applikabbli għal kollox sentejn wara d-dħul fis-seħħ tiegħu (l-Artikolu 91).
(4) Avviż għal pożizzjoni vakanti għal Kontrollur Ewropew għall-Protezzjoni tad-Data COM/2014/10354 (2014/C 163 A/02), ĠU C 163 A/6 28.5.2014. L-Istrateġija tal-KEPD 2015-2019 wegħdet li “issib soluzzjonijiet fattibbli li jevitaw il-burokrazija, jibqgħu flessibbli għall-innovazzjoni teknoloġika u flussi ta’ data transkonfinali u jippermettu lill-individwi jinfurzaw id-drittijiet tagħhom b’mod aktar effettiv on- u offline”; Immexxu bl-eżempju: L-Istrateġija tal-KEPD 2015-2019, Marzu 2015.
(5) L-Opinjoni tal-KEPD dwar il-pakkett ta’ riforma tal-protezzjoni tad-data, 7.3.2015.
(6) Ara l-anness għall-Ittra tal-Grupp ta’ Ħidma tal-Artikolu 29 lil Vĕra Jourová, Kummissarju għall-Ġustizzja, il-Konsumaturi u l-Ugwaljanza bejn il-Ġeneri, 17.6.2015.
(7) Huwa diffiċli li wieħed jiġbor fil-qosor il-kamp ta’ applikazzjoni materjali u territorjali tal-GDPR b’mod konċiż. L-istituzzjonijiet jidhru li tal-inqas jaqblu li l-kamp ta’ applikazzjoni jkopri organizzazzjonijiet stabbiliti fl-UE li huma responsabbli għall-ipproċessar ta’ data personali kemm fl-UE kif ukoll barra l-UE, organizzazzjonijiet stabbiliti barra l-UE li jipproċessaw data personali ta’ individwi fl-UE waqt li jkunu qegħdin joffru oġġetti jew servizzi lil individwi fl-UE jew jimmonitorjawhom. (Ara l-Artikolu 2 dwar il-kamp ta’ applikazzjoni materjali u l-Artikolu 3 dwar il-kamp ta’ applikazzjoni territorjali.).
(8) Riżultati oħrajn kienu jinkludu sebgħa minn kull għaxra mħassba dwar il-fatt li l-informazzjoni tagħhom tintuża għal skop differenti minn dak li tkun inġabret għalih, b’wieħed minn kull sebgħa jgħidu li l-approvazzjoni espliċita tagħhom għandha tintalab f’kull każ qabel ma d-data tagħhom tinġabar u tiġi pproċessata, u żewġ terzi jaħsbu li huwa importanti li jkunu jistgħu jittrasferixxu l-informazzjoni personali minn fornitur tas-servizz preċedenti għal wieħed ġdid; Ewrobarometru Speċjali 431 dwar il-protezzjoni tad-data, Ġunju 2015. Riżultati simili minn Pew Research fl-2014 li sab li 91 % tal-Amerikani jħossu li tilfu l-kontroll fuq kif il-kumpaniji jiġbru u jużaw l-informazzjoni personali, 80 % tal-utenti tan-netwerks soċjali huma mħassba dwar li partijiet terzi bħal promoturi jew negozji jiksbu d-data tagħhom u 64 % jgħidu li l-gvern għandu jagħmel aktar sabiex jirregola lill-promoturi; Pew Research Privacy Panel Survel, Jannar 2014.
(9) Il-Kummissjoni tipproponi riforma komprensiva tar-regoli dwar il-protezzjoni tad-data sabiex iżżid il-kontroll tal-utenti fuq id-data tagħhom u sabiex tnaqqas l-ispejjeż għan-negozji.
(10) Ittra mingħand l-NGOs lill-President Juncker, 21.4.2015 https://edri.org/files/DP_letter_Juncker_20150421.pdf u t-tweġiba mingħand il-Kap tal-Kabinett tal-Viċi President Timmermans, 17.7.2015 https://edri.org/files/eudatap/Re_EC_EDRi-GDPR.pdf [aċċessat fit-23.7.2015]. Il-KEPD iltaqa’ ma rappreżentanti ta’ ħafna minn dawn l-NGOs sabiex jiddiskuti t-tħassib tagħhom f’Mejju 2015; STQARRIJA GĦALL-ISTAMPA EDPS/2015/04, 1.6.2015, Ir-Riforma tal-UE tal-Protezzjoni tad-Data: il-KEPD jiltaqa’ ma’ gruppi internazzjonali tal-libertajiet ċivili; reġistrazzjoni sħiħa tad-diskussjoni hija disponibbli fuq is-sit web tal-KEPD (https://secure.edps.europa.eu/EDPSWEB/edps/EDPS/Pressnews/Videos/GDPR_civil_soc).
(11) Artikolu 2.2(e).
(12) Artikolu 1.
(13) L-Artikolu 8 tal-Karta jgħid [enfażi miżjuda]
|
1. |
Kull persuna għandha d-dritt għall-protezzjoni ta' data personali li tirrigwardaha. |
|
2. |
Din id-data għandha tiġi trattata b’mod ġust għal finijiet determinati u abbażi tal-kunsens tal-persuna kkonċernata jew fuq bażi oħra leġittima stabbilita mil-liġi. Kull persuna għandha d-dritt ta' aċċess għad-data miġbura li għandha x'taqsam magħha, u d-dritt li tikseb ir-rettifika tagħha. |
|
3. |
L-osservanza ta' dawn ir-regoli għandha titqiegħed taħt il-kontroll ta' awtorità indipendenti. |
(14) Artikolu 10. Jekk u sakemm ma teżistix definizzjoni ċara u legalment vinkolanti għal “data psewdonimizzata” bħala distinta minn “data personali”, din it-tip ta’ data għandha tibqa’ fil-kamp ta’ applikazzjoni tar-regoli dwar il-protezzjoni tad-data.
(15) Artikoli 6.2 u 6.4. Minħabba li kien hemm xi inċertezza rigward it-tifsira ta’ “kompatibbiltà” nirrakkomandaw, skont l-Opinjoni tal-Grupp ta’ Ħidma 29 dwar il-Limitazzjoni tal-Iskop, kriterji ġenerali għall-valutazzjoni ta’ jekk l-ipproċessar huwiex kompatibbli (ara l-Artikolu 5.2).
(16) Separazzjoni funzjonali effettiva hija mezz ieħor biex jiġi żgurat proċessar legali fin-nuqqas ta’ kunsens, iżda l-interess leġittimu ma għandux jiġi interpretat b’mod eċċessiv. Dritt mingħajr kundizzjoni li wieħed jagħżel li jirtira wkoll jista’ jkun alternattiva xierqa f’ċerti sitwazzjonijiet. Il-valutazzjoni ta’ jekk il-kunsens jingħatax liberament tiddependi parzjalment minn (a) jekk hemmx żbilanċ sinifikanti bejn is-suġġett tad-data u l-kontrollur u (b) f’każijiet ta’ pproċessar skont l-Artikolu 6.1(b), jekk it-twettiq ta’ kuntratt jew l-għoti ta’ servizz isirx soġġett għall-għoti tal-kunsens għall-ipproċessar ta’ data li mhijiex meħtieġa għal dawn l-iskopijiet. (ara l-Artikolu 7.4.) Dan jirrifletti d-dispożizzjoni fil-liġi tal-UE dwar il-konsumatur: skont l-Artikolu 3.1 tad-Direttiva 93/13/KEE tal-5 ta’ April 1993 dwar klawżoli inġusti f’kuntratti mal-konsumatur, “Klawżola kuntrattwali li ma tkunx ġiet negozjata individwalment għandha titqies inġusta jekk, kontra l-ħtieġa ta’ buona fede, tkun tikkawża żbilanċ sinifikanti fid-drittijiet u l-obbligi tal-partijiet li joħorġu mill-kuntratt, bi ħsara għall-konsumatur.”
(17) Dawn ir-regoli jinkludu deċiżjoni ta’ adegwatezza għal setturi u territorji speċifikati, reviżjonijiet perjodiċi tad-deċiżjonijiet ta’ adegwatezza u Regoli Korporattivi Vinkolanti. Ara l-Artikoli 40-45.
(18) Artikolu 73.
(19) Artikolu 76. Dwar id-diffikultà biex jinkiseb kumpens għall-ksur tar-regoli dwar il-protezzjoni tad-data, ara r-rapport tal-Aġenzija dwar id-Drittijiet Fundamentali, Aċċess għal rimedji dwar il-protezzjoni tad-data fl-Istati Membri tal-UE, 2013.
(20) Ir-regoli tal-UE jenfasizzaw l-awtovalutazzjoni tal-kumpaniji f’dak li jirrigwarda l-konformità mal-projbizzjoni tal-ftehimiet antikompetittivi tal-Artikolu 101 tat-TFUE, filwaqt li d-ditti dominanti f’suq għandhom “responsabbiltà speċjali” li jevitaw kwalunkwe azzjoni li tista’ tfixkel il-kompetizzjoni effettiva (il-Paragrafu 9 tal-Gwida tal-Kummissjoni 2009/C 45/02); ara l-Opinjoni Preliminari tal-KEPD dwar il-Privatezza u l-Kompetittività fiż-Żmien ta’ Data Kbira, 14.3.2014.
(21) It-tliet testi jirreferu b’mod varju għal “mod u forma intelliġibbli, bl-użu ta’ lingwa ċara u sempliċi” (il-Premessa (57), PE; l-Artikolu 19, KUMM u Kunsill), li tkun “ċara u inekwivoka” (il-Premessa (99), PE; l-Artikolu 10a PE) u li tipprovdi “informazzjoni ċara u li tinftiehem faċilment” (l-Artikolu 10 PE, l-Artikolu 11 PE), u informazzjoni “konċiża, trasparenti, ċara u faċilment aċċessibbli” (il-Premessa (25), PE, KUMM u Kunsill; l-Artikolu 11 PE).
(22) Il-parti l-kbira tad-dispożizzjonijiet għal atti ddelegati tneħħew mill-verżjonijiet tal-Parlament u tal-Kunsill. Aħna nemmnu li l-UE tista’ tagħmel aktar u tħalli dawn il-kwistjonijiet tekniċi f’idejn l-esperjenza ta’ awtoritajiet indipendenti.
(23) Ir-rakkomandazzjonijiet tagħna jipproduċu test ta’ madwar 20 000 kelma; it-tul medju tat-testi tat-tliet istituzzjonijiet huwa madwar 28 000 kelma.
(24) Artikolu 22.
(25) Artikoli 31 u 33.
(26) Artikolu 39.
(27) Artikolu 83. Ir-riċerka u l-arkivjar fihom infushom ma jikkostitwixxux bażi legali għall-ipproċessar, u għaldaqstant nirrakkomandaw li jitħassar l-Artikolu 6.2.
(28) Artikolu 83a.
(29) Il-Grupp ta’ Ħidma tal-Artikolu 29 fassal viżjoni għall-governanza, il-mekkaniżmu ta’ konsistenza u l-punt uniku ta’ servizz ibbażati fuq il-fiduċja f’Awtoritajiet indipendenti tad-DPAs u fformulata fi tliet saffi:
|
— |
l-Awtoritajiet tal-Protezzjoni tad-Data individwali li huma b’saħħithom u pprovduti bir-riżorsi kollha meħtieġa biex jittrattaw il-każijiet fl-isfera tal-kompetenza tagħhom; |
|
— |
kooperazzjoni effettiva bejn DPA bi tmexxija ċara fil-każijiet transkonfinali; |
|
— |
il-Bord Ewropew għall-Protezzjoni tad-Data (EDPB) li jrid ikun awtonomu, bil-personalità legali proprja, ipprovdut bil-mezzi suffiċjenti, li jikkonsisti minn Awtoritajiet tal-Protezzjoni tad-Data ugwali li jaħdmu fi spirtu ta’ solidarjetà, bis-setgħa li jieħu deċiżjonijiet vinkolanti u appoġġjat minn segretarjat li jaqdi lill-bord permezz tal-president. |
(30) Nirrakkomandaw ukoll li tiġi ċċarata l-kompetenza tal-awtoritajiet superviżorji u n-nomina tal-awtorità mexxejja f’każijiet ta’ pproċessar transnazzjonali, filwaqt li tinżamm il-kapaċità tal-awtoritajiet superviżorji li jittrattaw każijiet purament lokali. Nirrakkomandaw verżjoni simplifikata tal-mekkaniżmu ta’ konsistenza b’aktar ċarezza dwar kif jiġu identifikati l-każijiet fejn l-awtoritajiet superviżorji jkunu jeħtieġu jikkonsultaw mal-Bord Ewropew għall-Protezzjoni tad-Data u fejn il-Bord ikun meħtieġ joħroġ deċiżjoni vinkolanti biex tiġi żgurata l-applikazzjoni konsistenti tar-Regolament.
(31) Il-Komunikazzjoni tal-Kummissjoni dwar Strateġija għal Suq Wieħed Diġitali għall-Ewropa, COM(2015) 192 finali; Il-Konklużjonijiet tal-Kunsill Ewropew Ġunju 2015, EUCO 22/15; Il-Konklużjonijiet tal-Kunsill dwar it-Trasformazzjoni Diġitali tal-Industrija Ewropea, 8993/15.
(32) Artikolu 14(h).
(33) Artikolu 23.
(34) Artikolu 18. Nirrakkomandaw ukoll li, biex ikun effettiv, id-dritt għall-portabbiltà tad-data jrid ikollu kamp ta’ applikazzjoni wiesa’, u mhux jiġi applikat biss għall-operazzjonijiet ta’ pproċessar li jużaw data pprovduta mis-suġġett tad-data.
(35) Nirrakkomandaw, pereżempju, li jinqatgħu termini bħal “online”, “bil-miktub” u “is-soċjetà tal-informazzjoni”.
(36) Għażla partikolari, li aħna nippreferu, hija li dan isir permezz ta’ dispożizzjoni fil-GDPR innifsu.
(37) Greenleaf, Graham, Liġijiet Globali dwar il-Privatezza tad-Data 2015: 109 Pajjiżi, bil-Liġijiet Ewropej Issa f’Minoranza (30 ta’ Jannar 2015); (2015) 133 Rapport Internazzjonali dwar il-Liġijiet u n-Negozju tal-Privatezza, Frar 2015; Dokument ta’ Riċerka Legali tal-UNSW Nru 2015-21.