16.10.2010   

RO

Jurnalul Oficial al Uniunii Europene

C 280/16

1.

La 3 decembrie 2008, Comisia a adoptat o propunere de directivă a Parlamentului European și a Consiliului privind deșeurile de echipamente electrice și electronice (DEEE) (denumită în continuare „propunerea”) (1). Propunerea are ca obiectiv reformarea Directivei 2002/96/CE privind deșeurile de echipamente electrice și electronice (DEEE) adoptată la 27 ianuarie 2003 (denumită în continuare „directiva”) (2) fără modificarea factorilor determinanți sau a scopului colectării și reciclării DEEE.

2.

AEPD nu a fost consultată astfel cum se prevede la articolul 28 alineatul (2) din Regulamentul (CE) nr. 45/2001 (3). Prin urmare, acționând din proprie inițiativă, AEPD a adoptat prezentul aviz în temeiul articolului 41 alineatul (2) din același regulament. AEPD recomandă includerea în preambulul propunerii a unei referiri la prezentul aviz.

3.

AEPD cunoaște faptul că aceste recomandări intervin într-o etapă târzie a procesului legislativ, însă consideră că este adecvat și util să emită prezentul aviz, având în vedere că propunerea suscită probleme semnificative privind protecția datelor care nu sunt abordate în textul acesteia. Prezentul aviz nu urmărește modificarea scopului și conținutului principal și preponderent al propunerii, al cărei „centru de greutate” (4) rămâne protecția mediului, ci doar includerea unei dimensiuni suplimentare care devine din ce în ce mai importantă pentru societatea noastră informațională (5).

4.

Cunoscând, de asemenea, sfera limitată de aplicare a procedurii de reformare, AEPD adresează totuși un apel organului legislativ să ia în considerare prezentele recomandări, în conformitate cu articolul 8 din Acordul interinstituțional privind procedura de reformare (care prevede posibilitatea modificării dispozițiilor neschimbate) (6).

5.

Scopul propunerii îl constituie actualizarea directivei existente privind eliminarea, refolosirea și reciclarea DEEE. Probleme de natură tehnică, juridică și administrativă apărute în primii ani de punere în aplicare a directivei au determinat elaborarea propunerii, astfel cum se prevedea în articolul 7 alineatul (5) din directivă.

6.

Echipamentele electrice și electronice (EEE) reprezintă o categorie largă de produse care include diverse mijloace pe care pot fi stocate date cu caracter personal, precum echipamente IT și de telecomunicații (de exemplu, calculatoare personale, laptop-uri, terminale de comunicații electronice), caracterizate în contextul tehnic și economic actual de cicluri de inovare din ce în ce mai rapide și, datorită convergenței tehnologice, de disponibilitatea dispozitivelor multifuncționale. Evoluțiile din domeniul mijloacelor electronice de stocare avansează rapid, în special în privința capacității de stocare și a dimensiunii și, prin urmare, forțele pieței determină o accelerare similară a predării în vederea eliminării a EEE (care conțin cantități mari de date cu caracter personal, de multe ori sensibile). Rezultatul este nu doar acela că DEEE „sunt considerate fluxul de deșeuri cu cea mai rapidă creștere din UE” (7), ci și că, în cazul eliminării inadecvate, există un evident risc sporit de pierdere și dispersie a datelor cu caracter personal stocate pe acest tip de EEE.

7.

De mult timp, politicile Uniunii Europene privind mediul și dezvoltarea durabilă au ca obiectiv reducerea consumului de resurse naturale și introducerea unor măsuri de prevenire a poluării.

8.

Eliminarea, refolosirea și reciclarea DEEE sunt incluse în acest cadru. Aceste măsuri urmăresc prevenirea eliminării echipamentelor electrice și electronice împreună cu deșeuri mixte, instituind obligația producătorilor de a asigura eliminarea în maniera descrisă în directivă.

9.

În mod special, dintre măsurile preconizate în Directivă, merită evidențiate cele care au ca scop refolosirea (însemnând orice operațiune prin care DEEE sau componentele acestora sunt utilizate în același scop pentru care au fost concepute, inclusiv continuarea utilizării echipamentelor sau componentelor acestora predate la punctele de colectare, la distribuitori, la reciclatori sau la fabricanți), reciclării (reprelucrarea, într-un proces de producție, a materialelor conținute în deșeuri în același scop ca cel inițial sau în alte scopuri) și găsirea altor forme de recuperare a DEEE, în așa fel încât eliminarea deșeurilor să poată fi redusă [a se vedea articolele 1 și 3 literele (d) și (e) din directivă].

10.

Aceste operațiuni, în special refolosirea și reciclarea DEEE, mai ales a echipamentelor IT și de telecomunicații, ar putea prezenta un risc, mai mare decât în trecut, ca cei care colectează DEEE sau care vând sau cumpără echipamente uzate sau reciclate să intre în posesia unor date cu caracter personal stocate pe acestea. De multe ori, aceste date pot fi sensibile sau se pot referi la un număr mare de persoane fizice.

11.

Având în vedere toate aceste motive, AEPD consideră că este urgent ca toate părțile interesate (utilizatori și producători de EEE) să cunoască riscurile în ceea ce privește datele cu caracter personal, în special în ultima etapă a ciclului de viață al EEE. În această etapă, deși EEE au o valoare economică mai mică, este posibil ca acestea să conțină o cantitate mare de date cu caracter personal și, prin urmare, pot avea o valoare „intrinsecă” mare pentru persoana vizată și/sau pentru alte persoane.

12.

AEPD nu a formulat nicio observație cu privire la obiectivul general al propunerii și sprijină pe deplin inițiativa, care are ca scop îmbunătățirea politicilor ecologice în domeniul DEEE.

13.

Totuși, propunerea, ca și directiva, se axează doar pe riscurile pentru mediu pe care le implică eliminarea DEEE. Nu sunt luate în considerare alte riscuri suplimentare la care sunt expuse persoanele fizice și/sau organizațiile, riscuri care ar putea apărea în urma operațiunilor de eliminare, refolosire sau reciclare a DEEE, în special riscurile pe care le implică probabilitatea achiziției, divulgării sau diseminării inadecvate a datelor cu caracter personal stocate în DEEE.

14.

Este important de remarcat că Directiva 95/46/CE (8) se aplică pentru „orice operațiune sau serie de operațiuni care se efectuează asupra datelor cu caracter personal”, inclusiv „ștergerea sau distrugerea” acestora [articolul 2 litera (b)]. Eliminarea EEE poate implica operațiuni de prelucrare a datelor. Din acest motiv, există o suprapunere între propunere și directiva menționată și, astfel, normele privind protecția datelor ar putea fi aplicate activităților la care face referire propunerea.

15.

AEPD intenționează să sublinieze riscurile semnificative care pot afecta personale fizice și/sau organizațiile care acționează în calitate de „operatori de date” (9) în cazul în care, în momentul eliminării, DEEE, în special echipamentele informatice și de telecomunicații, conțin date cu caracter personal referitoare la utilizatorii acelor dispozitive și/sau la părți terțe. Accesul ilegal la informații cu caracter personal sau comunicarea acestor informații, care constau uneori în categorii speciale de date, care dezvăluie originea rasială sau etnică, opiniile politice, convingerile religioase sau filozofice, apartenența sindicală și date privind sănătatea și viața sexuală (așa-numitele „date sensibile”) (10) sau divulgarea acestora poate, într-adevăr, să afecteze viața privată și demnitatea persoanelor la care se referă informațiile, precum și alte interese legitime ale acelor persoane fizice/organizații (de exemplu, cele economice).

16.

În general, AEPD consideră că este necesar să sublinieze importanța adoptării unor măsuri de securitate adecvate în fiecare etapă (de la început până la sfârșit) a prelucrării datelor cu caracter personal, astfel cum s-a afirmat în mod repetat în alte avize (11). Această necesitate se aplică a fortiori în etapa delicată în care operatorul de date intenționează să elimine dispozitive care conțin date cu caracter personal.

17.

Într-adevăr, respectarea măsurilor de securitate constituie adesea o condiție prealabilă pentru a garanta efectiv dreptul la protecția datelor cu caracter personal.

18.

Prin urmare, ar fi o lipsă de consecvență să se introducă obligația de a institui (uneori cu costuri mari) măsuri de securitate pe parcursul obișnuit al operațiunilor de prelucrare a datelor cu caracter personal [astfel cum se prevede la articolul 17 din Directiva 95/46/CE, atunci când aceasta este aplicabilă (12)] și ulterior să se omită pur și simplu să se ia în considerare introducerea unor mijloace adecvate de protecție în ceea ce privește eliminarea DEEE.

19.

De asemenea, ar fi lipsit de consecvență să se acorde o asemenea importanță aspectului securității datelor încât a fost necesară introducerea notificării cu privire la încălcarea securității datelor prin articolul 2 din Directiva 2009/136/CE (13), iar ulterior să nu se prevadă nicio garanție în timpul eliminării DEEE, precum și în cazul refolosirii sau reciclării DEEE.

20.

AEPD regretă faptul că propunerea nu ia în considerare potențialele efecte dăunătoare ale eliminării DEEE asupra protecției datelor cu caracter personal stocate în echipamentele „uzate”.

21.

Acest aspect nu a fost luat în considerare nici în evaluarea impactului efectuată de Comisie (14), cu toate că experiența a arătat că neluarea măsurilor adecvate de securitate în cazul eliminării DEEE ar putea pune în pericol protejarea datelor cu caracter personal (15). Din cauza complexității problemelor implicate (de exemplu, numărul mare de metode legale, tehnologii și părți interesate în ciclul de eliminare a DEEE), AEPD consideră că ar fi fost adecvat să se realizeze o „evaluare a impactului asupra protecției confidențialității și datelor” referitoare la procesele legate de eliminarea DEEE.

22.

Totuși, AEPD recomandă insistent dezvoltarea „celor mai bune tehnici disponibile” pentru asigurarea confidențialității, protecției datelor și a securității în acest domeniu.

23.

Ca dovadă suplimentară, în timpul consultării publice care a avut loc înaintea reformării Directivei, mai multe probleme privind securitatea și protecția datelor cu caracter personal au fost ridicate de către părțile interesate, în special întreprinderile din domeniul IT și comunicații electronice (16).

24.

În cele din urmă, merită evidențiat faptul că unele autorități naționale pentru protecția datelor au publicat orientări de minimizare a riscurilor care pot rezulta din neluarea măsurilor de securitate necesare, în special în cadrul materialelor care intră sub incidența directivei (17).

25.

AEPD reiterează faptul că Directiva 95/46/CE este aplicabilă în etapa de eliminare a DEEE care conțin date personale. Prin urmare, este necesar ca operatorii de date, în special cei care utilizează aparatură IT și de comunicații, să își respecte obligațiile privind securitatea pentru a preveni divulgarea sau diseminarea inadecvată a datelor cu caracter personal. În acest scop și pentru a nu suporta consecințele încălcării măsurilor de securitate, operatorii de date din sectorul public sau privat, în colaborare cu responsabilii cu protecția datelor (acolo unde aceștia există), trebuie să adopte politici adecvate de eliminare a DEEE care conțin date cu caracter personal.

26.

În cazul în care operatorii de date care elimină EEE nu dețin competențele și/sau expertiza tehnică necesară pentru ștergerea datelor personale respective, ar putea încredința această sarcină persoanelor împuternicite calificate (de exemplu, centre de asistență, producători și distribuitori de echipamente) în condițiile prevăzute la articolul 17 alineatele (2), (3) și (4) din Directiva 95/46/CE. La rândul lor, aceste persoane împuternicite vor certifica performanța operațiunilor în cauză și/sau le vor executa.

27.

Având în vedere aceste considerente, AEPD concluzionează că reformarea directivei trebuie să adauge la dispozițiile dedicate protecției mediului principiile privind protecția datelor.

28.

Prin urmare, AEPD recomandă Consiliului și Parlamentului European să includă în actuala propunere o dispoziție specială, care să prevadă că directiva se aplică eliminării DEEE fără a aduce atingere Directivei 95/46/CE.

29.

Aflându-se în situația de a permite adoptarea unor decizii autonome cu privire la datele stocate pe EEE, persoanele însărcinate cu operațiunile de eliminare ar putea fi considerate „operatori de date” (18). Prin urmare, acestea trebuie să adopte proceduri interne în scopul evitării operațiunilor inutile de prelucrare cu privire la orice dată cu caracter personal stocată în DEEE, și anume alte operațiuni decât cele strict necesare pentru verificarea eliminării efective a datelor conținute în aceste echipamente.

30.

În plus, acestea nu trebuie să permită persoanelor neautorizate să cunoască sau să prelucreze datele stocate pe EEE. În special, atunci când mijloacele de stocare sunt reciclate sau refolosite și astfel reintră pe piață, există un risc sporit de divulgare sau de diseminare inadecvată a datelor cu caracter personal, precum și necesitatea de a preveni accesul neautorizat la date cu caracter personal.

31.

Prin urmare, AEPD recomandă Consiliului și Parlamentului European să includă în actuala propunere o dispoziție specială privind interzicerea comercializării echipamentelor uzate care nu au fost în prealabil supuse măsurilor de securitate, în conformitate cu standardele tehnice de vârf (de exemplu, suprascrierea multi-pass), pentru a șterge orice dată cu caracter personal pe care acestea o pot conține.

32.

Viitorul cadru legislativ privind deșeurile electronice nu trebuie să includă doar o dispoziție specială referitoare la mai generalul „principiu al proiectării ecologice” a echipamentelor (a se vedea, de asemenea, articolul 4 din propunere privind „proiectarea produselor”), ci și, astfel cum s-a arătat anterior în alte avize ale AEPD (19), o dispoziție referitoare la principiul „confidențialității prin concepție” (20) sau, mai precis în acest domeniu, „securitate prin concepție” (21). Pe cât posibil, protejarea confidențialității și a datelor trebuie să fie integrată „ca opțiune prestabilită” în proiectarea echipamentelor electrice și electronice, pentru a permite utilizatorilor să șteargă, în mod simplu și gratuit, datele cu caracter personal care pot fi stocate în echipamente, în cazul eliminării acestora din urmă (22).

33.

Această abordare este în mod clar susținută de articolul 3 alineatul (3) litera (c) din Directiva 1999/5/CE (23) privind echipamentele hertziene și echipamentele terminale de telecomunicații și de articolul 14 alineatul (3) din Directiva 2002/58/CE (24).

34.

În consecință, producătorii trebuie să „integreze” garanții de confidențialitate și securitate prin soluții tehnologice (25). În acest cadru, inițiativele care vizează consilierea celor în cauză cu privire la ștergerea oricăror date cu caracter personal înainte de eliminarea DEEE (inclusiv consilierea producătorilor care realizează programe de calculator disponibile gratuit în acest scop) trebuie, de asemenea încurajate și sprijinite (26).

35.

Având în vedere cele de mai sus, AEPD recomandă ca autoritățile pentru protecția datelor, în special prin Grupul de lucru înființat în temeiul articolului 29 și AEPD să se implice îndeaproape în inițiativele privind eliminarea DEEE, prin consultări organizate cu suficient timp înainte de elaborarea măsurilor relevante.

36.

Având în vedere contextul în care sunt prelucrate datele cu caracter personal, AEPD recomandă ca propunerea să includă dispoziții speciale care:

37.

Prin urmare, AEPD recomandă cu insistență modificarea propunerii, în conformitate cu Directiva 95/46/CE, după cum urmează:

—   considerentul 11:

—   articolul 2 alineatul (3):

38.

În plus, AEPD consideră adecvat ca ar trebui să fie luate în considerare următoarele modificări:

—   articolul 4 alineatul (2):

—   articolul 8 alineatul (7):

—   articolul 14 alineatul (6):