52012DC0009

COMUNICARE A COMISIEI CĂTRE PARLAMENTUL EUROPEAN, CONSILIU, COMITETUL ECONOMIC ȘI SOCIAL ȘI COMITETUL REGIUNILOR

Protecția vieții private într-o lume interconectată Un cadru european privind protecția datelor pentru secolul 21

(Text cu relevanță pentru SEE)

1. PROVOCĂRILE ACTUALE PRIVIND PROTECȚIA DATELOR

Ritmul rapid al schimbărilor tehnologice și globalizarea au transformat profund modul în care este colectat, accesat, utilizat și transferat volumul tot mai mare de date cu caracter personal. Noile modalități de a face schimb de informații prin intermediul rețelelor sociale și stocarea unor cantități mari de date la distanță au devenit o parte a vieții multor din cei 250 de milioane de utilizatori ai internetului din Europa. În același timp, pentru multe întreprinderi, datele cu caracter personal reprezintă un avantaj. Colectarea, agregarea și analizarea datelor privind clienții potențiali constituie adesea o parte importantă a activităților lor economice[1].

În cadrul acestui nou mediu digital, persoanele au dreptul să beneficieze de un control efectiv asupra informațiilor cu caracter personal. Protecția datelor este un drept fundamental în Europa, prevăzut la articolul 8 din Carta drepturilor fundamentale a Uniunii Europene și la articolul 16 alineatul (1) din Tratatul privind funcționarea Uniunii Europene (TFUE), care trebuie protejat în mod corespunzător.

Lipsa de încredere îi face pe consumatori să ezite în ceea ce privește achiziționarea de produse online sau acceptarea de noi servicii. Prin urmare, un nivel ridicat de protecție a datelor este, de asemenea, crucial pentru creșterea încrederii în serviciile online și pentru valorificarea potențialului economiei digitale, încurajând astfel creșterea economică și competitivitatea industriilor din UE.

Sunt necesare norme moderne și coerente pe întreg teritoriul UE pentru ca datele să circule liber de la un stat membru la altul. Întreprinderile au nevoie de norme clare și uniforme care să le ofere securitate juridică și să reducă sarcina administrativă la minimum. Acest lucru este esențial pentru ca piața unică să funcționeze și să stimuleze creșterea economică, să creeze noi locuri de muncă și să încurajeze inovarea[2]. O modernizare a normelor UE în materie de protecție a datelor care să consolideze dimensiunea acestora privind piața internă, să asigure un nivel ridicat de protecție a datelor persoanelor fizice și să promoveze securitatea juridică, claritatea și coerența; prin urmare, aceasta joacă un rol central în cadrul Planului de acțiune de la Stockholm al Comisiei Europene[3], al Agendei digitale pentru Europa[4] și, în sens mai larg, contribuie la strategia UE privind creșterea economică (Strategia Europa 2020[5]).

Directiva UE din 1995[6], principalul instrument legislativ privind protecția datelor cu caracter personal în Europa, a reprezentat un punct de reper în istoria protecției datelor. Obiectivele sale privind asigurarea unei piețe unice funcționale și protecția efectivă a drepturilor fundamentale și a libertăților persoanelor sunt în continuare valabile. Cu toate acestea, directiva a fost adoptată în urmă cu 17 ani când internetul era în fază incipientă. În noul mediu digital plin de provocări din zilele noastre, normele existente nu oferă nici gradul de armonizare corespunzător, nici eficiența necesară pentru a asigura dreptul la protecția datelor cu caracter personal. Acesta este motivul pentru care Comisia Europeană propune o reformă fundamentală a cadrului UE privind protecția datelor.

În plus, Tratatul de la Lisabona a creat, prin articolul 16 din TFUE, un nou temei juridic pentru o abordare globală și modernizată a protecției datelor și a liberei circulații a datelor cu caracter personal, care acoperă, de asemenea, cooperarea polițienească și judiciară în materie penală[7]. Această abordare se reflectă în comunicările Comisiei Europene privind Programul de la Stockholm și în Planul de acțiune de la Stockholm[8], care subliniază necesitatea ca Uniunea „să instituie un regim cuprinzător de protecție a datelor cu caracter personal care să acopere toate domeniile de competență ale UE” și „să se asigure că dreptul fundamental privind protecția datelor este aplicat în mod coerent”.

Pentru a pregăti în mod transparent reforma cadrului UE privind protecția datelor, Comisia a lansat, încă din 2009, consultări publice în acest domeniu[9] și s-a angajat într-un dialog intens cu părțile interesate[10]. La 4 noiembrie 2010, Comisia a publicat o comunicare privind o abordare globală a protecției datelor cu caracter personal în Uniunea Europeană[11], care precizează principalele teme ale reformei. În perioada septembrie - decembrie 2011, Comisia a fost implicată într-un dialog intens cu autoritățile naționale pentru protecția datelor din Europa și cu Autoritatea Europeană pentru Protecția Datelor în vederea explorării opțiunilor pentru o aplicare mai coerentă a normelor UE privind protecția datelor în toate statele membre ale Uniunii[12].

În urma acestor discuții, a rezultat în mod clar că atât cetățenii, cât și întreprinderile doreau realizarea de către Comisia Europeană a unei reforme cuprinzătoare a normelor UE în materie de protecție a datelor. După evaluarea efectelor diferitelor opțiuni de politică[13], Comisia Europeană propune în prezent un cadru legislativ solid și coerent aplicabil tuturor politicilor Uniunii, care să consolideze drepturile persoanelor, dimensiunea protecției datelor privind piața unică și să contribuie la reducerea birocrației cu care se confruntă întreprinderile[14]. În conformitate cu propunerea Comisiei, noul cadru ar trebui să fie constituit din:

– un regulament (de înlocuire a Directivei 95/46/CE), care stabilește un cadru general al UE privind protecția datelor[15]; și

– o directivă (de înlocuire a Deciziei-cadru 2008/977/JAI[16]), care definește normele privind protecția datelor cu caracter personal prelucrate în scopul prevenirii, identificării, investigării sau urmăririi penale a infracțiunilor, precum și în scopul activităților judiciare conexe.

Prezenta comunicare descrie principalele elemente ale reformei cadrului UE privind protecția datelor.

2. EXERCITAREA CONTROLULUI DE CĂTRE PERSOANE ASUPRA DATELOR ACESTORA CU CARACTER PERSONAL

Modalitățile prin care persoanele își pot exercita dreptul la protecția datelor, prevăzute în Directiva 95/46/CE – principalul act legislativ al UE în domeniul protecției datelor în vigoare – nu sunt suficient de armonizate în statele membre. De asemenea, nici competențele autorităților naționale responsabile cu protecția datelor nu sunt suficient de armonizate pentru a se asigura o aplicare coerentă și efectivă a normelor în acest domeniu. Aceasta înseamnă, de fapt, că exercitarea unor astfel de drepturi este mai dificilă în unele state membre decât în altele, în special on line.

Aceste dificultăți sunt cauzate, de asemenea, de volumul datelor colectate zilnic și de faptul că utilizatorii nu sunt întotdeauna pe deplin conștienți că datele lor cu caracter personal sunt colectate. Deși numeroși europeni consideră că divulgarea datelor cu caracter personal constituie, într-o măsură din ce în ce mai mare, o parte a vieții moderne[17], 72% dintre utilizatorii de internet din Europa sunt preocupați în continuare de faptul că li se cere divulgarea unui număr prea mare de date cu caracter personal online[18]. Aceștia au sentimentul că nu dețin controlul asupra datelor cu caracter personal. De asemenea, consideră că nu sunt corect informați cu privire la ceea ce se întâmplă cu informațiile lor cu caracter personal, la destinatarii acestor informații și la scopul transmiterii acestora. Adesea, utilizatorii nu știu cum să își exercite drepturile online.

.

„Dreptul de a fi uitat”

Un student european care este membru al unui serviciu de socializare online decide să solicite accesul la toate datele sale cu caracter personal pe care le deține rețeaua. Cu această ocazie, realizează că rețeaua colectează mult mai multe date decât credea și că anumite date cu caracter personal despre care acesta credea că au fost șterse, erau stocate în continuare de către rețea.

Reforma normelor UE în materie de protecție a datelor va garanta că o astfel de situație nu mai poate avea loc, prin introducerea:

- unei cerințe explicite care obligă serviciile de socializare online (și toți ceilalți operatori de date) să limiteze la minimum volumul de date cu caracter personal ale utilizatorilor pe care le culeg și prelucrează;

- unei cerințe privind asigurarea faptului că setările standard ale sistemului garantează că datele nu sunt făcute publice;

- unei obligații explicite a operatorilor de date de a șterge datele cu caracter personal ale unei persoane în cazul în care persoana solicită în mod explicit acest lucru și în cazul în care nu există alte motive întemeiate pentru păstrarea lor. În acest caz specific, furnizorul rețelei sociale ar avea obligația de a șterge imediat totalitatea datelor referitoare la student.

Astfel cum se subliniază în „O Agendă digitală pentru Europa”, preocupările legate de viața privată sunt printre cele mai frecvente motive pentru care oamenii nu cumpăra bunuri și servicii online. Având în vedere contribuția sectorului tehnologiilor informației și comunicațiilor (TIC) la creșterea globală a productivității în Europa – 20% provenind direct de la sectorul TIC și 30% de la investițiile în cadrul TIC[19] – încrederea în aceste servicii este foarte importantă pentru a stimula creșterea economiei UE și competitivitatea industriei europene.

Notificările privind încălcarea securității datelor

Hackerii au atacat un serviciu de jocuri de noroc care se adresează utilizatorilor din UE. Încălcarea a afectat baze de date care conțineau date cu caracter personal (inclusiv nume, adrese și, posibil, date referitoare la cărțile de credit) ale zeci de milioane de utilizatori din întreaga lume. Societatea respectivă a așteptat o săptămână înainte de a notifica utilizatorii în cauză.

Reforma normelor UE în materie de protecție a datelor va asigura faptul că o astfel de situație nu mai poate avea loc, noile norme obligând societățile să:

- consolideze măsurile de securitate pentru a preveni și evita încălcarea securității datelor;

- notifice încălcarea securității datelor atât autorității naționale de protecție a datelor - dacă este posibil, în termen de 24 de ore de la constatare – cât și persoanelor în cauză, fără întârzieri nejustificate.

.

Noile acte legislative propuse de Comisie au ca obiectiv consolidarea drepturilor, punerea la dispoziția cetățenilor a unor mijloace eficiente și operaționale pentru a se asigura că aceștia sunt informați pe deplin cu privire la ceea ce se întâmplă cu datele lor cu caracter personal și pentru a le permite să își exercite drepturile într-un mod mai eficace.

În vederea consolidării dreptului persoanelor fizice la protecția datelor, Comisia propune noi norme care vor contribui la:

Îmbunătățirea capacității persoanelor de a-și exercita controlul asupra datelor care îi privesc, prin:

-        garantarea faptului că, în cazul în care este necesar consimțământul persoanei în cauză, acesta este acordat în mod explicit, adică se bazează fie pe o declarație, sau pe un act neechivoc al acesteia, și în mod liber;

-        oferirea posibilității utilizatorilor de internet de a-și exercita efectiv „dreptul de a fi uitat” în mediul online: dreptul ca datele lor să fie șterse în cazul în care aceștia își retrag consimțământul și în cazul în care nu există alte motive întemeiate pentru păstrarea datelor;

-        garantarea facilității accesului la propriile date și dreptul la portabilitatea datelor: dreptul de a obține o copie a datelor stocate din partea operatorului și libertatea de a transfera datele de la un furnizor de servicii la altul, fără restricții;

-         consolidarea dreptului la informare, astfel încât persoanele să înțeleagă pe deplin modul în care sunt utilizate datele lor cu caracter personal, în special în cazul în care operațiunile de prelucrare a datelor privesc minorii.         Îmbunătățirea mijloacelor de care dispun persoanele fizice pentru a fi în măsură să își exercite drepturile, prin:

-        consolidarea independenței și a competențelor autorităților naționale de protecție a datelor, astfel încât acestea să dețină mijloacele necesare pentru soluționarea eficientă a plângerilor, să desfășoare investigații eficiente, să ia decizii cu caracter obligatoriu și să impună sancțiuni eficiente și disuasive;

-        consolidarea acțiunilor judiciare și a celor administrative în cazul încălcării drepturilor privind protecția datelor. În special, asociațiile specializate în acest domeniu vor putea să introducă o acțiune în instanță în numele unei persoane fizice.

Consolidarea securității datelor, prin:

-        încurajarea utilizării tehnologiilor de consolidare a protecției vieții private (tehnologii care protejează confidențialitatea informațiilor prin reducerea la minimum a datelor cu caracter personal stocare), a setărilor standard care respectă confidențialitatea și a regimurilor de certificare a respectării confidențialității;

-        introducerea unei obligații generale[20] a operatorilor de date de a notifica încălcarea securității datelor fără întârzieri nejustificate atât autorităților pentru protecția datelor (în termen de 24 de ore, dacă acest lucru este posibil), cât și persoanelor în cauză.

O mai mare responsabilitate a celor care prelucrează date, în special prin:

-         solicitarea desemnării de către operatori a unui responsabil cu protecția datelor în cadrul societăților cu mai mult de 250 de angajați și în întreprinderile implicate în operațiuni de prelucrare a datelor care, prin natura, domeniul de aplicare sau obiectivele lor, prezintă riscuri specifice pentru drepturile și libertățile persoanelor fizice („prelucrare riscantă”);

-        introducerea principiului privind luarea în considerare a vieții private începând cu momentul conceperii (privacy by design) pentru a se asigura că garanțiile în materie de protecție a datelor sunt luate în considerare în faza de planificare a procedurilor și a sistemelor de prelucrare;

-        introducerea obligației de a efectua studii de impact privind protecția datelor pentru organizațiile implicate în operațiuni de prelucrare riscante.

3. NORME ÎN MATERIE DE PROTECȚIE A DATELOR ADECVATE PENTRU PIAȚA DIGITALĂ UNICĂ

În pofida obiectivului directivei în vigoare de a asigura un nivel echivalent de protecție a datelor în ansamblul UE, există încă diferențe considerabile privind normele aplicate în statele membre. În consecință, operatorii de date trebuie să lucreze cu 27 de legislații și cerințe diferite la nivel național. Rezultatul acestei situații este un mediu juridic fragmentat care a generat incertitudine juridică și o protecție inegală a persoanelor. Acest lucru a cauzat costuri și sarcini administrative inutile pentru întreprinderi, fiind un factor de descurajare pentru întreprinderile care își desfășoară activitatea pe piața unică și care ar dori să își extindă activitatea pe plan internațional.

Resursele și competențele autorităților naționale responsabile pentru protecția datelor variază în mod considerabil între statele membre[21]. În anumite cazuri, acestea nu sunt în măsură să își îndeplinească sarcinile de asigurare a aplicării legislației în mod satisfăcător. Cooperarea dintre aceste autorități la nivel european – prin intermediul grupului consultativ existent (așa-numitul Grup de lucru pentru protecția persoanelor în ceea ce privește prelucrarea datelor cu caracter personal)[22] – nu conduce întotdeauna la o aplicare coerentă a normelor în vigoare și trebuie, de asemenea, să fie îmbunătățită.

Aplicarea coerentă a normelor în materie de protecție a datelor în întreaga Europă

O societate multinațională cu mai multe sedii în UE a dezvoltat un sistem de cartografiere online în întreaga Europă, care colectează imagini ale tuturor clădirilor publice și private și, de asemenea, poate fotografia persoanele aflate pe stradă. Într-un stat membru, a fost considerată ilegală includerea în cadrul sistemului a fotografiilor clare ale persoanelor care nu erau conștiente de faptul că au fost fotografiate, în timp ce în alte state membre, acest lucru nu a fost considerat ca reprezentând o încălcare a legislației privind protecția datelor. Prin urmare, nu a existat o reacție coerentă în rândul autorităților naționale pentru protecția datelor în vederea remedierii acestei situații.

Prin reforma normelor UE în materie de protecție a datelor, se va asigura că situația menționată mai sus nu va mai putea avea loc în viitor, deoarece:

- cerințele și garanțiile privind protecția datelor vor fi prevăzute în cadrul unui regulament al UE cu aplicare directă în întreaga Uniune;

- autoritatea pentru protecția datelor din statul membru în care societatea în cauză își are sediul principal va fi singura responsabilă pentru a decide dacă societatea acționează în mod legal;

- o coordonare promptă și eficientă între autoritățile naționale pentru protecția datelor - având în vedere că serviciul se adresează persoanelor din mai multe state membre - va contribui la asigurarea faptului că noile norme ale UE în materie de protecție a datelor vor fi aplicate și respectate în mod coerent la nivelul tuturor statelor membre.

Este necesară consolidarea autorităților naționale și a cooperării între acestea pentru a garanta respectarea în mod coerent și, în ultimă instanță, aplicarea uniformă a normelor în întreaga UE.

Un cadru legislativ solid, clar și unitar la nivelul UE va contribui la valorificarea potențialului pieței digitale unice și la stimularea creșterii economice, a inovării și a creării de locuri de muncă. Adoptarea unui regulament va duce la eliminarea fragmentării regimurilor juridice din cele 27 de state membre și a barierelor la intrarea pe piață, un factor deosebit de important atât pentru microîntreprinderi, cât și pentru întreprinderile mici și mijlocii.

De asemenea, noile norme vor oferi un avantaj societăților din UE în contextul concurenței globale. Cadrul de reglementare revizuit le va permite acestora să ofere asigurări clienților cu privire la faptul că informațiile importante cu caracter personal vor fi tratate cu maximă atenție și seriozitate. Încrederea într-un regim de reglementare coerent la nivelul UE va reprezenta un avantaj major pentru prestatorii de servicii și un stimulent pentru investitorii aflați în căutare de condiții optime în vederea localizării serviciilor.

În vederea consolidării dimensiunii protecției datelor privind piața unică, Comisia propune:

-        stabilirea normelor în materie de protecție a datelor la nivelul UE prin intermediul unui regulament direct aplicabil în toate statele membre[23] care va pune capăt aplicării cumulative și simultane a diferitelor legislații naționale în materie de protecție a datelor. Aceasta va conduce la realizarea de către societăți a unor economii nete de aproximativ 2,3 miliarde EUR pe an numai în ceea ce privește sarcinile administrative;

-        simplificarea cadrului de reglementare prin reducerea drastică a birocrației și eliminarea formalităților, cum ar fi cerințele de notificare generală (generând economii nete în valoare de 130 de milioane EUR pe an numai în ceea ce privește sarcinile administrative). Dată fiind importanța acestora pentru competitivitatea economiei europene, se acordă o atenție specială nevoilor specifice ale microîntreprinderilor și ale întreprinderilor mici și mijlocii;

-        consolidarea în continuare a independenței și a competențelor autorităților naționale pentru protecția datelor (APD) pentru a le permite să efectueze anchete, să ia decizii cu caracter obligatoriu, să impună sancțiuni eficiente și disuasive și să oblige statele membre să le furnizeze suficiente resurse în acest sens;

-        instituirea unui sistem bazat pe un „ghișeu unic” privind protecția datelor în UE: operatorii de date din UE vor lucra doar cu o singură APD, și anume autoritatea din statul membru în care se află sediul principal al societății;

-        crearea condițiilor pentru o cooperare rapidă și eficientă între APD-uri, inclusiv obligația unei APD de a efectua anchete și inspecții la cererea unei alte APD, precum și recunoașterea reciprocă a deciziilor;

-        instituirea unui mecanism pentru asigurarea coerenței la nivelul UE pentru ca deciziile APD-urilor care au un impact mai larg la nivel european să ia pe deplin în considerare opiniile celorlalte APD-uri în cauză și să fie în conformitate cu legislația UE;

-        creșterea rolului Grupului de lucru pentru protecția persoanelor în ceea ce privește prelucrarea datelor cu caracter personal prin transformarea acestuia într-un comitet european independent pentru protecția datelor, ceea ce va conduce la o îmbunătățire a contribuției acestuia la aplicarea coerentă a legislației privind protecția datelor și la asigurarea unei baze solide pentru cooperarea între autoritățile de protecție a datelor, inclusiv cu Autoritatea Europeană pentru Protecția Datelor; precum și consolidarea sinergiilor și a eficacității prin asigurarea activităților de secretariat ale Comitetului european pentru protecția datelor de către Autoritatea Europeană pentru Protecția Datelor.

Noul regulament al UE va asigura o protecție solidă a dreptului fundamental la protecția datelor în toată Uniunea Europeană și va consolida funcționarea pieței unice. În același timp – având în vedere faptul că, astfel cum a subliniat Curtea de Justiție a UE[24], dreptul la protecția datelor cu caracter personal nu este unul absolut, ci trebuie luat în considerare în raport cu funcția pe care o îndeplinește în societate[25] și echilibrat cu alte drepturi fundamentale, în conformitate cu principiul proporționalității[26] – regulamentul va conține dispoziții explicite care să asigure respectarea celorlalte drepturi fundamentale, precum libertatea de exprimare și de informare, dreptul la apărare, precum și dreptul de a păstra secretul profesional (cum este cazul profesiilor juridice), fără a duce prejudicii statutului bisericilor în temeiul legislațiilor statelor membre.

4. UTILIZAREA DATELOR ÎN CADRUL COOPERĂRII POLIȚIENEȘTI ȘI JUDICIARE ÎN MATERIE PENALĂ

Intrarea în vigoare a Tratatului de la Lisabona și, în special, introducerea unui nou temei juridic (articolul 16 din TFUE) permit stabilirea unui cadru cuprinzător privind protecția datelor care asigură un înalt nivel de protecție pentru datele persoanelor fizice, respectând în același timp caracterul specific al domeniului cooperării polițienești și judiciare în materie penală. În special, cadrul revizuit al UE privind protecția datelor poate fi aplicat prelucrării datelor cu caracter personal atât la nivel transfrontalier, cât și la nivel național. Aceasta ar reduce diferențele dintre legislațiile statelor membre, aducând beneficii în domeniul protecției datelor cu caracter personal în ansamblul său. De asemenea, ar putea conduce la o simplificare a schimbului de informații între autoritățile polițienești și judiciare ale statelor membre și, prin urmare, la îmbunătățirea cooperării în lupta împotriva formelor grave de criminalitate în Europa. În prezent, prelucrarea datelor de către autoritățile polițienești și judiciare în materie penală este reglementată, în principal, prin Decizia-cadru 2008/977/JAI a Consiliului, care este anterioară intrării în vigoare a Tratatului de la Lisabona. Comisia nu are competența de a asigura respectarea normelor sale deoarece este vorba de o decizie-cadru, aceasta contribuind la o punere în aplicare inegală. În plus, domeniul de aplicare al deciziei-cadru este limitat la activitățile de prelucrare transfrontaliere[27]. Aceasta înseamnă că prelucrarea datelor cu caracter personal care nu au făcut obiectul unor schimburi nu este acoperită, în prezent, de normele UE care reglementează o astfel de prelucrare și care protejează dreptul fundamental la protecția datelor. De asemenea, acest lucru generează, în anumite cazuri, dificultăți practice pentru poliție și alte autorități pentru care este posibil să nu fie evident dacă prelucrarea datelor trebuie să se desfășoare exclusiv la nivel național sau transfrontalier sau este dificil pentru autorități să prevadă dacă datele „naționale” ar putea face obiectul unui schimb transfrontalier ulterior[28].

Prin urmare, noul cadru revizuit al UE privind protecția datelor are ca scop asigurarea unui nivel coerent și ridicat de protecție a datelor în vederea consolidării încrederii reciproce dintre autoritățile polițienești și judiciare din diferitele state membre, contribuind astfel la libera circulație a datelor și la o cooperare eficientă între aceste autorități.

În vederea asigurării unui nivel ridicat de protecție a datelor cu caracter personal în domeniul cooperării polițienești și judiciare în materie penală și al facilitării schimburilor de date cu caracter personal între autoritățile polițienești și judiciare ale statelor membre, Comisia propune, ca parte a pachetului de reforme privind protecția datelor, o directivă care va urmări:

-         aplicarea principiilor generale în materie de protecție a datelor în cazul cooperării polițienești și al cooperării judiciare în materie penală, respectând, în același timp, natura specifică a acestor domenii[29];

-        prevederea unor criterii și condiții minime armonizate privind posibilele limitări referitoare la regulile generale. Aceasta vizează, în special, drepturile persoanelor de a fi informate atunci când autoritățile polițienești și judiciare prelucrează sau accesează datele persoanelor respective. Astfel de limitări sunt necesare pentru eficiența prevenirii, identificării, investigării sau urmăririi penale a infracțiunilor;

-        instituirea unor norme specifice care să ia în considerare particularitățile activităților în materie de aplicare a legii, inclusiv o distincție între diferitele categorii de persoane vizate (cum ar fi martorii și suspecții) ale căror drepturi pot varia.

5. PROTECȚIA DATELOR ÎNTR-O LUME GLOBALIZATĂ

Respectarea drepturilor persoanelor trebuie garantată în continuare atunci când datele cu caracter personal sunt transferate din UE către țări terțe și ori de câte ori sunt vizate persoane din statele membre, iar datele acestora sunt utilizate sau analizate de către furnizori de servicii din țări terțe. Aceasta înseamnă că standardele UE în materie de protecție a datelor trebuie să fie aplicate indiferent de localizarea geografică a unei societăți sau al serviciului acesteia de prelucrare a datelor.

În lumea globalizată de astăzi, datele cu caracter personal sunt transferate peste un număr din ce în ce mai mare de frontiere virtuale și geografice, fiind stocate pe servere situate în numeroase țări. Din ce în ce mai multe companii oferă servicii de „cloud computing” (informatică dematerializată), care permit consumatorilor să aibă acces și să stocheze date pe servere aflate la distanță. Factorii menționați conduc la necesitatea îmbunătățirii mecanismelor actuale pentru transferul de date către țări terțe. Aceasta include decizii privind caracterul adecvat – și anume decizii de certificare a existenței unor standarde „adecvate” de protecție a datelor în țări terțe – și garanții corespunzătoare, cum ar fi clauzele contractuale standard sau regulile corporative cu forță juridică obligatorie[30], astfel încât să se asigure un nivel ridicat de protecție a datelor în cadrul operațiunilor de prelucrare a datelor la nivel internațional și să se faciliteze fluxurile transfrontaliere de date.

Reguli corporatiste obligatorii

Un grup de întreprinderi trebuie să transfere în mod curent date cu caracter personal de la filialele sale cu sediul în UE către filialele sale situate în țări terțe. Grupul ar dori să introducă un set de reguli corporatiste obligatorii (Binding Corporate Rules - BCR) pentru a se conforma legislației UE, limitând, în același timp, cerințele administrative pentru fiecare transfer individual. În practică, BCR garantează aplicarea unui set unic de norme în ansamblul grupului, în detrimentul existenței unor diverse contracte interne.

În conformitate cu practicile actuale stabilite la nivelul Grupului de lucru pentru protecția persoanelor în ceea ce privește prelucrarea datelor cu caracter personal, recunoașterea caracterului adecvat al garanțiilor prevăzute de regulile corporatiste obligatorii ale unei societăți implică o revizuire amănunțită efectuată de către trei APD-uri (o „autoritate principală” și două „autorități secundare”), precum și prezentarea de observații de către alte autorități în domeniu. În plus, multe dintre legislațiile statelor membre impun obținerea de autorizații naționale suplimentare în cazul transferurilor reglementate prin BCR, ceea ce conduce la un proces de adoptare foarte greoi, costisitor, lung și complex.

În urma reformei în materie de protecție a datelor:

- acest proces va fi mai simplu și mai raționalizat;

- BCR vor fi validate doar de o singură APD, iar mecanismele în vigoare vor asigura implicarea rapidă a altor APD relevante;

- odată ce o autoritate a aprobat o BCR, aceasta va fi valabilă pe întreg teritoriul UE, fără a avea nevoie de o autorizație suplimentară la nivel național.

.

În vederea abordării provocărilor generate de globalizare, sunt necesare instrumente și mecanisme flexibile – în special pentru întreprinderile care își desfășoară activitatea pe plan mondial – garantând totodată o protecție a datelor persoanelor fizice fără niciun fel de neajunsuri. Comisia propune următoarele măsuri:

-         elaborarea unor norme clare care să definească cazurile în care legislația UE este aplicabilă operatorilor de date stabiliți în țări terțe, în special, care să specifice că, de fiecare dată când sunt oferite bunuri și servicii persoanelor fizice din UE, sau când comportamentul lor este monitorizat, se aplică normele europene;

-        orice decizie privind caracterul adecvat al nivelului de protecție va fi luată de către Comisia Europeană pe baza unor criterii explicite și clare, inclusiv în domeniul cooperării polițienești și al justiției penale;

-        simplificarea fluxurilor legitime de date către țările terțe prin consolidarea și simplificarea normelor privind transferurile internaționale către țările care nu fac obiectul unei decizii privind caracterul adecvat al nivelului de protecție, în special prin raționalizarea și extinderea utilizării unor instrumente, cum ar fi regulile corporatiste obligatorii, astfel încât acestea să poată fi aplicate atât operatorilor de date, cât și în cadrul grupurilor de societăți, astfel, reflectând mai bine numărul din ce în ce mai mare de societăți implicate în activități de prelucrare a datelor, în special în domeniul „cloud computing”;

-        inițierea unui dialog și, acolo unde este cazul, a unor negocieri cu țările terțe – în special cu partenerii strategici ai UE și cu țările care fac obiectul politicii europene de vecinătate – și cu organizațiile internaționale relevante (cum ar fi Consiliul Europei, Organizația pentru Cooperare și Dezvoltare Economică, Organizația Națiunilor Unite) pentru promovarea unor standarde ridicate și interoperabile de protecție a datelor în întreaga lume.

6. CONCLUZII

Reforma în materie de protecție a datelor își propune să dezvolte un cadru modern, solid, coerent și cuprinzător privind protecția datelor în Uniunea Europeană. Dreptul fundamental al persoanelor fizice la protecția datelor va fi consolidat. Alte drepturi, precum libertatea de exprimare și de informare, drepturile copilului, dreptul de a desfășura o activitate comercială, dreptul la un proces echitabil, dreptul de a păstra secretul profesional (cum este cazul profesiilor juridice), precum și statutul bisericilor în legislațiile statelor membre vor fi, de asemenea, respectate.

De această reformă vor beneficia, în primul rând, persoanele fizice, prin consolidarea drepturilor acestora privind protecția datelor și a încrederii lor în mediul digital. Reforma va simplifica în continuare cadrul legislativ pentru întreprinderi și sectorul public în mod substanțial. Se așteaptă ca acest lucru să stimuleze dezvoltarea economiei digitale în ansamblul pieței unice a UE și dincolo de granițele acesteia, în conformitate cu obiectivele Strategiei „Europa 2020” și ale Agendei digitale pentru Europa. În sfârșit, reforma va contribui la creșterea încrederii în rândul autorităților de aplicare a legii în scopul facilitării schimburile de date dintre acestea și al cooperării în lupta împotriva formelor grave de criminalitate, asigurând, în același timp, un nivel ridicat de protecție a persoanelor fizice.

Comisia Europeană va colabora strâns cu Parlamentul European și cu Consiliul în vederea finalizării, până la sfârșitul anului 2012, a unui acord referitor la noul cadru al UE privind protecția datelor. Pe toată durata procesului de adoptare și ulterior acestuia, în special în contextul punerii în aplicare a noilor instrumente juridice, Comisia va menține un dialog strâns și transparent cu toate părțile interesate, în care vor fi implicați reprezentanți ai sectorului public și privat, cum ar fi reprezentanți ai autorităților polițienești și judiciare, ai autorităților de reglementare în domeniul comunicațiilor electronice, ai organizațiilor societății civile, ai autorităților de protecție a datelor și ai mediului universitar, precum și ai agențiilor specializate ale UE, ca de exemplu Eurojust, Europol, Agenția pentru Drepturi Fundamentale, precum și Rețeaua Europeană și Agenția pentru o societate informațională (European Network and Information Society Agency).

În contextul dezvoltării constante a tehnologiilor informației și a comportamentelor sociale în continuă schimbare, este deosebit de importantă desfășurarea unui astfel de dialog pentru a putea beneficia de contribuțiile necesare în scopul asigurării unui nivel ridicat de protecție a datelor privind persoanele fizice, creșterii și competitivității industriilor UE, eficienței operaționale a sectorului public (inclusiv poliția și sistemul judiciar) și a unui nivel scăzut al sarcinii administrative.

[1]               Piața pentru analizarea seturilor de date foarte mari este în creștere cu 40% pe an la nivel mondial: http://www.mckinsey.com/mgi/publications/big_data/.

[2]               A se vedea, de asemenea, concluziile Consiliului European din 23 octombrie 2011 care subliniază „rolul esențial” al pieței unice „în asigurarea creșterii economice și a ocupării forței de muncă”, precum și necesitatea de a finaliza piața digitală unică până în 2015.

[3]               COM(2010)171 final.

[4]               COM(2010) 245 final.

[5]               COM(2010) 2020 final.

[6]               Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date, JO L 281, 23.11.1995, p. 31.

[7]               Normele specifice pentru prelucrarea de către statele membre a datelor în materie de politică externă și de securitate comună se stabilesc printr-o decizie a Consiliului în temeiul articolului 39 din TUE.

[8]               COM (2009) 262 și, respectiv, COM (2010) 171.

[9]               Au fost lansate două consultări publice privind reforma protecției datelor: prima a avut loc din iulie până în decembrie 2009 ((http://ec.europa.eu/justice/news/consulting_public/news_consulting_0003_en.htm) și a doua din noiembrie 2010 până în ianuarie 2011 (http://ec.europa.eu/justice/news/consulting_public/news_consulting_0006_en.htm).

[10]             În 2010, au fost organizate consultări specifice cu autoritățile statelor membre și părțile interesate din sectorul privat. În noiembrie 2010, comisarul UE pentru justiție, Viviane Reding, a organizat o masă rotundă având ca temă reforma în materie de protecție a datelor. De asemenea, pe parcursul anului 2011, s-au mai organizat alte ateliere și seminarii cu privire la aspecte specifice (de exemplu,. notificările în caz de încălcare a securității datelor).

[11]             COM(2010) 609.

[12]             A se vedea scrisoarea comisarului UE pentru justiție, Viviane Reding, din 19 septembrie 2011 adresată membrilor Grupului de lucru pentru protecția persoanelor în ceea ce privește prelucrarea datelor cu caracter personal, publicată la adresa http://ec.europa.eu/justice/data-protection/article-29/documentation/other-document/index_en.htm.

[13]             A se vedea Evaluarea impactului [SEC (2012)72].

[14]             Reforma va include, într-o etapă ulterioară, modificări în vederea alinierii instrumentelor specifice și sectoriale, ca de exemplu Regulamentul (CE) nr. 45/2011 (JO L 8, 12.1.2001, p. 1).

[15]             Regulamentul aduce, de asemenea, un număr limitat de modificări tehnice Directivei asupra confidențialității și comunicațiilor electronice (Directiva 2002/58/CE, astfel cum a fost modificată prin Directiva 2009/136/CE - JO L 337, 18.12.2009, p. 11), pentru a lua în considerare transformarea Directivei 95/46/CE în regulament. Consecințele juridice de fond pe care noul regulament și noua directivă le vor presupune pentru Directiva asupra confidențialității și comunicațiilor electronice vor face, în timp util, obiectul unei revizuiri de către Comisie, ținând seama de rezultatul negocierilor privind propunerile actuale cu Parlamentul European și cu Consiliul.

[16]             Decizia-cadru 2008/977/JAI a Consiliului din 27 noiembrie 2008 privind protecția datelor cu caracter personal prelucrate în cadrul cooperării polițienești și judiciare în materie penală, JO L 350, 30.12.2008, p. 60. Un raport privind punerea în aplicare de către statele membre a deciziei-cadru [COM(2012)12] este adoptat ca parte a pachetului de reforme privind protecția datelor.

[17]             A se vedea Eurobarometrul special 359 – Atitudini privind protecția datelor și identitatea electronică în Uniunea Europeană, iunie 2011, p. 23.

[18]             Ibidem, p. 54.

[19]             A se vedea „O agenda digitală pentru Europa”, cit., p. 4.

[20]             Acest lucru este în prezent obligatoriu numai în sectorul telecomunicațiilor, în conformitate cu Directiva asupra confidențialității și comunicațiilor electronice.

[21]             Pentru mai multe detalii cu privire la acest aspect, a se vedea studiul de impact care însoțește propunerile legislative, SEC (2012) 72.

[22]             Grupul de lucru a fost înființat în 1996 (prin articolul 29 din Directiva 95/46/CE), având un caracter consultativ și fiind format din reprezentanți ai autorităților naționale de supraveghere a protecției datelor (DPA), ai Autorității Europene pentru Protecția Datelor (AEPD) și ai Comisiei. Pentru mai multe informații cu privire la activitățile grupului de lucru, a se vedea http://ec.europa.eu/justice/policies/privacy/workinggroup/index_en.htm.

[23]             De asemenea, Comisia a prezentat o propunere de directivă în care să se definească normele aplicabile în domeniul cooperării polițienești și al cooperării judiciare în materie penală (a se vedea punctul 4 de mai jos), ceea ce va oferi statelor membre o mai mare flexibilitate în acest domeniu specific.

[24]             Curtea de Justiție a UE, hotărârea din 9.11.2010 în cauzele conexate C-92/09 și C-93/09 Volker und Markus Schecke și Eifert Rep [2010], nepublicată încă.

[25]             În conformitate cu articolul 52 alineatul (1) din cartă, pot fi impuse limitări privind exercitarea dreptului la protecția datelor, atât timp cât acestea sunt prevăzute prin lege, respectă substanța acestor drepturi și libertăți și, sub rezerva principiului proporționalității, sunt necesare și numai dacă răspund efectiv obiectivelor de interes general recunoscute de Uniune sau necesității protejării drepturilor și libertăților celorlalți.

[26]             Curtea de Justiție a UE, hotărârea din 6.11.2003, cauza C-101/01, Lindqvist [2003] ECR I-12971, para 82-90; hotărârea din 16.12.2008, C-73/07, Satamedia [2008], ECR I-9831, para 50-62.

[27]             Mai precis, decizia-cadru se aplică datelor cu caracter personal care sunt sau au fost transmise sau puse la dispoziție de către statele membre, sau schimbate între statele membre și instituțiile sau organismele UE [a se vedea articolul 1 alineatul (2)].

[28]             Acest lucru a fost confirmat de unele state membre în răspunsurile la chestionarul Comisiei referitor la raportul de punere în aplicare a deciziei-cadru [COM (2012) 12].

[29]             În conformitate cu Declarația nr. 21 privind protecția datelor cu caracter personal în domeniul cooperării judiciare în materie penală și al cooperării polițienești, astfel cum este anexată la Actul final al Conferinței interguvernamentale care a adoptat Tratatul de la Lisabona.

[30]             Regulile corporatiste obligatorii sunt coduri de bune practici bazate pe standarde europene de protecție a datelor, aprobate de cel puțin o APD, pe care organizațiile le stabilesc în mod voluntar și le respectă în scopul asigurării unor garanții corespunzătoare pentru diverse categorii de transferuri de date cu caracter personal între societăți care fac parte din același grup și care au obligații în temeiul acestor reguli. Acestea nu sunt incluse în mod explicit în Directiva 95/46/CE, fiind dezvoltate în cadrul practicii între APD-uri, cu sprijinul Grupului de lucru pentru protecția persoanelor în ceea ce privește prelucrarea datelor cu caracter personal.