25.10.2008   

RO

Jurnalul Oficial al Uniunii Europene

C 270/1

1.

Sistemul de informare al pieței interne („IMI”) este un instrument din domeniul tehnologiei informației care permite autorităților competente din statele membre să schimbe informații în cadrul procesului de punere în aplicare a legislației care reglementează piața internă. IMI este finanțat prin programul „IDABC” (furnizarea interoperabilă de servicii de guvernare electronică europene către administrațiile publice, întreprinderi și cetățeni) (1).

2.

IMI este conceput ca un sistem general pentru sprijinirea domeniilor multiple ale legislației care reglementează piața internă și se preconizează extinderea utilizării acestuia pentru sprijinirea, în viitor, a mai multor domenii legislative. Inițial, IMI va fi utilizat pentru sprijinirea dispozițiilor privind asistența reciprocă din Directiva 2005/36/CE („Directiva privind recunoașterea calificărilor profesionale”) (2). Din decembrie 2009, IMI va fi utilizat, de asemenea, pentru sprijinirea dispozițiilor privind cooperarea administrativă din Directiva 2006/123/CE („Directiva privind serviciile”) (3).

3.

În primăvara anului 2007, Comisia Europeană a solicitat avizul Grupului de lucru „articolul 29” pentru protecția datelor („WP29”) în ceea ce privește evaluarea implicațiilor IMI asupra protecției datelor. WP29 și-a dat avizul asupra aspectelor referitoare la IMI privind protecția datelor la 20 septembrie 2007 (4). Avizul WP29 a susținut planurile Comisiei de a adopta o decizie pentru reglementarea aspectelor referitoare la IMI privind protecția datelor și reprezintă un temei juridic mai concret pentru schimbul de date în cadrul IMI.

4.

AEPD salută solicitarea de către Comisie a avizului WP29 înaintea elaborării deciziei privind IMI. AEPD a participat activ la activitatea subgrupului care se ocupă de IMI și susține concluziile avizului formulat de WP29. Aceasta salută, de asemenea, consultarea informală de către Comisie a AEPD înaintea adoptării deciziei privind IMI. Acest fapt a dat posibilitatea de a formula, deja, sugestii înaintea adoptării, ceea ce era necesar în special datorită faptului că procedura respectivă se referea chiar la o decizie a Comisiei și nu la o propunere a Comisiei urmată de o procedură legislativă care să implice Consiliul și Parlamentul European.

5.

La 12 decembrie 2007, Comisia a adoptat Decizia 2008/49/CE privind punerea în aplicare a Sistemului de informare al pieței interne (IMI) în ceea ce privește protecția datelor cu caracter personal („Decizia IMI”). Decizia a luat în considerare anumite recomandări formulate de către AEPD și de către WP29. Aceasta a precizat, de asemenea, temeiul juridic.

6.

Opiniile generale ale AEPD privind IMI sunt pozitive. AEPD susține scopurile Comisiei de a crea un sistem electronic pentru schimbul de informații și de a reglementa aspectele privind protecția datelor ale acestuia. Un asemenea sistem simplificat poate îmbunătăți eficiența cooperării, dar poate contribui, de asemenea, la asigurarea respectării legislației aplicabile privind protecția datelor. Sistemul poate face acestea prin oferirea unui cadru clar privind informațiile care pot fi schimbate, cu cine și în ce condiții.

7.

Cu toate acestea, crearea unui sistem electronic centralizat prezintă, de asemenea, anumite riscuri. Acestea includ, în primul rând, faptul că, în scopul unei cooperări eficiente, mai multe date ar putea fi partajate și într-un câmp mai larg decât este strict necesar și că aceste date, incluzând date potențial învechite și inexacte, pot rămâne în sistemul electronic mai mult decât este necesar. Securitatea unei baze de date accesibile utilizatorilor din 27 de state membre este, de asemenea, o chestiune delicată, întrucât siguranța sistemului este determinată de cea mai slabă verigă din rețea.

8.

De aceea, este foarte important ca aspectele legate de protecția datelor să fie abordate într-un act legislativ comunitar cu caracter obligatoriu, cât se poate de complet și de lipsit de ambiguități.

9.

AEPD salută faptul că Comisia definește și delimitează clar domeniul de aplicare a IMI, cu o anexă care cuprinde actele comunitare relevante pe baza cărora se poate face schimbul de informații. Acestea includ în prezent numai Directiva privind recunoașterea calificărilor profesionale și Directiva privind serviciile; totuși, în viitor se așteaptă extinderea domeniului de aplicare a IMI. În momentul în care va fi adoptată o nouă legislație care cuprinde dispoziții referitoare la schimbul de informații în cadrul utilizării IMI, se va proceda la actualizarea simultană a anexei. AEPD salută această tehnică întrucât (i) delimitează clar domeniul de aplicare a IMI; și (ii) asigură transparența; concomitent cu (iii) asigurarea flexibilității pentru cazul în care IMI va fi utilizat în viitor pentru schimburi de informații suplimentare. Aceasta asigură, de asemenea, că niciun schimb de informații nu poate fi realizat prin intermediul IMI (i) fără a dispune de un temei juridic adecvat în legislația specifică pieței interne care să permită sau să impună schimbul de informații; și (ii) fără a include o trimitere la respectivul temei juridic în anexa la Decizia IMI.

10.

Totuși, AEPD nu este mulțumită (i) de alegerea temeiului juridic al Deciziei IMI, ceea ce înseamnă că Decizia IMI are în prezent un temei juridic incert (a se vedea secțiunea 2 a prezentului aviz); și (ii) de faptul că un număr de dispoziții necesare care reglementează în detaliu aspectele referitoare la IMI privind protecția datelor nu sunt încorporate în document (a se vedea secțiunea 3 a avizului).

11.

În mod regretabil, în practică, soluția adoptată de Comisie face ca, în mod contrar așteptărilor AEPD și WP29, Decizia IMI să nu reglementeze în acest moment în mod exhaustiv toate aspectele majore referitoare la IMI privind protecția datelor, inclusiv, mai ales, maniera în care operatorii comuni partajează responsabilitatea privind obligația de notificare și acordă drepturi de acces persoanelor vizate, sau aspectele practice specifice privind proporționalitatea. AEPD își exprimă, de asemenea, regretul că nu există o cerință specifică pentru Comisie de a publica întrebările predefinite și câmpurile de date pe site-ul său web, fapt care ar duce la creșterea nivelului de transparență și de certitudine juridică.

12.

Temeiul juridic al Deciziei IMI, astfel cum este precizat în textul acesteia, este Decizia 2004/387/CE a Parlamentului European și a Consiliului din 21 aprilie 2004 privind furnizarea interoperabilă de servicii de guvernare electronică paneuropene către administrațiile publice, întreprinderi și cetățeni („Decizia IDABC”) (5), în special articolul 4.

13.

Decizia IDABC în sine este un instrument în cadrul Titlului XV din Tratatul de instituire a Comunității Europene („Tratatul CE”): Rețelele transeuropene. Articolul 154 din Tratatul CE prevede că Comunitatea contribuie la crearea și dezvoltarea de rețele transeuropene în sectoarele infrastructurilor de transporturi, telecomunicații și energie. O astfel de acțiune urmărește să favorizeze interconectarea și interoperabilitatea rețelelor naționale, precum și accesul la aceste rețele. Articolul 155 enumeră măsurile pe care Comunitatea le poate adopta în acest cadru. Acestea sunt (i) orientările; (ii) orice acțiune care se poate dovedi necesară pentru a asigura interoperabilitatea rețelelor, în special în domeniul armonizării standardelor tehnice; (iii) precum și susținerea proiectelor. Decizia IDABC se bazează pe articolul 156 alineatul (1), care reglementează procedura de adoptare.

14.

Articolul 4 din Decizia IDABC stabilește inter alia că Comunitatea pune în aplicare proiecte de interes comun. Respectivele proiecte trebuie să fie incluse într-un program de lucru deschis iar implementarea trebuie să fie în concordanță cu principiile cuprinse în articolele 6 și 7 din Decizia IDABC. Respectivele principii încurajează, în primul rând, o largă participare, prevăd o procedură solidă și imparțială și o standardizare tehnică. Acestea au drept scop, de asemenea, asigurarea fiabilității economice și a fezabilității proiectelor.

15.

Conform explicațiilor anterioare, în stadiul inițial, Sistemul de informare al pieței interne este utilizat pentru schimbul de date cu caracter personal în contextul a două directive:

16.

Articolul 34 alineatul (1) din Directiva privind serviciile prevede un temei juridic specific pentru crearea unui sistem electronic pentru schimbul de informații între statele membre, ca o măsură adiacentă în sensul directivei. Articolul 34 alineatul (1) prevede: „Comisia, în cooperare cu statele membre, instituie un sistem electronic pentru schimbul de informații între statele membre, luând în considerare sistemele de informații existente”.

17.

Directiva privind recunoașterea calificărilor profesionale nu prevede un sistem electronic specific pentru schimbul de informații, dar solicită în mod clar ca schimbul de informații să se facă în conformitate cu anumite dispoziții ale acesteia. Dispozițiile relevante care instituie schimbul de informații includ articolul 56 din directivă, prin care se solicită autorităților competente ale statelor membre să lucreze în strânsă colaborare și să își acorde asistență reciprocă pentru a facilita punerea în aplicare a directivei. Articolul 56 al doilea alineat dispune că anumite informații sensibile sunt prelucrate în condițiile respectării legislației privind protecția datelor. Mai mult, articolul 8 prevede, de asemenea, explicit că autoritățile competente din statul membru gazdă pot solicita autorităților competente din statul membru de stabilire orice informații pertinente privind legalitatea stabilirii și buna conduită a prestatorului, precum și absența unor sancțiuni disciplinare sau penale cu caracter profesional. În cele din urmă, articolul 51 alineatul (2) prevede că, în cazul unor îndoieli justificate, statul membru gazdă poate solicita autorităților competente ale unui stat membru confirmarea autenticității certificatelor și titlurile de calificare și formare profesională.

18.

Protecția datelor cu caracter personal este recunoscută ca un drept fundamental prin articolul 8 al Cartei Drepturilor Fundamentale a Uniunii și în jurisprudență pe baza articolului 8 al Convenției Europene a Drepturilor Omului („CEDO”).

19.

În conformitate cu articolul 1 al acesteia, Decizia IMI specifică funcțiile, drepturile și obligațiile actorilor IMI și ale utilizatorilor IMI față de cerințele privind protecția datelor. AEPD înțelege din considerentul 7 că Decizia IMI este văzută ca o precizare a cadrului comunitar general de protecție a datelor în conformitate cu Directiva 95/46/CE și Regulamentul (CE) nr. 45/2001. Aceasta se ocupă în mod specific cu definirea operatorilor și a responsabilităților acestora, cu perioadele de păstrare a datelor și cu drepturile persoanelor vizate. Astfel, Decizia IMI se ocupă cu limitările/caracteristicile drepturilor fundamentale și are drept scop specificarea drepturilor subiective ale cetățenilor.

20.

Pe baza jurisprudenței în temeiul CEDO, ar trebui să nu existe nicio îndoială în ceea ce privește statutul juridic al dispozițiilor care restricționează drepturi fundamentale. Respectivele dispoziții trebuie incluse într-un instrument juridic, pe baza Tratatului CE, care poate fi invocat în fața unui judecător. În caz contrar, rezultatul ar fi incertitudinea juridică pentru persoana vizată, întrucât aceasta nu se poate prevala de faptul că poate invoca normele în fața unei instanțe.

21.

Chestiunea certitudinii juridice este și mai acută în condițiile în care, în conformitate cu Tratatul CE, judecătorii naționali vor fi primii care vor putea decide, în mod discreționar, ce valoare acordă Deciziei IMI. Acest lucru ar putea conduce la diferite rezultate în diferite state membre și chiar în cadrul aceluiași stat membru. Această incertitudine juridică nu este acceptabilă.

22.

Absența unei (siguranțe privind) soluții juridice ar fi, în orice caz, contrarie articolului 6 din CEDO, care prevede dreptul la un proces echitabil, precum și jurisprudenței cu privire la acest articol Într-o asemenea situație, Comunitatea nu și-ar respecta obligațiile prevăzute la articolul 6 din Tratatului privind Uniunea Europeană („TUE”), care solicită Uniunii să respecte drepturile fundamentale, astfel cum sunt garantate de CEDO.

23.

AEPD este profund îngrijorată de faptul că, prin alegerea articolului 4 din Decizia IDABC drept temei juridic al deciziei, persoanele care au elaborat decizia Comisiei s-ar putea să nu fi întrunit condițiile certitudinii juridice evidențiate mai sus. AEPD enumeră în continuare următoarele elemente care ar putea ridica semne de întrebare privind caracterul adecvat al alegerii temeiului juridic al Deciziei IMI:

24.

Decizia IMI necesită un temei juridic solid, din motivele menționate anterior. Există îndoieli serioase cu privire la îndeplinirea cerinței de certitudine juridică de către temeiul juridic al Deciziei IMI. AEPD recomandă ca Comisia să reanalizeze acest temei juridic și să caute soluții pentru remedierea imperfecțiunilor temeiului juridic ales, având drept posibilă consecință înlocuirea Decizia IMI cu un instrument juridic care îndeplinește cerința de certitudine juridică.

25.

În acest context, cea mai adecvată soluție ar putea fi posibilitatea de adoptare a unui instrument juridic separat pentru sistemul IMI, de către Consiliu și de către Parlamentul European, similar Sistemului de Informații Schengen, Sistemului de informații privind vizele sau altei baze de date TI de scară largă.

26.

AEPS sugerează să se analizeze această opțiune. Acest instrument juridic aparte ar putea trata, în acest caz, funcțiile, drepturile și obligațiile actorilor și utilizatorilor IMI aferente cerințelor privind protecția datelor (obiectul definit în Decizia IMI) și, de asemenea, alte cerințe referitoare la crearea și funcționarea sistemului IMI.

27.

O a doua opțiune ar putea fi găsirea unui temei juridic în diferitele instrumente privind piața internă. Atât timp cât Decizia IMI se aplică schimburilor de date cu caracter personal în contextul Directivei privind serviciile, ar trebui analizat în continuare dacă această directivă în sine — în special articolul 34 — poate asigura temeiul juridic necesar. Atât timp cât Decizia IMI se aplică schimburilor de date cu caracter personal în contextul Directivei privind recunoașterea calificărilor profesionale, ar putea funcționa la fel de bine o abordare similară: un temei juridic specific și clar poate fi creat, de asemenea, chiar prin modificarea directivei.

28.

În ceea ce privește legislația nouă în domeniul pieței interne, care poate necesita, în viitor, realizarea de schimburi de informații între autoritățile competente din statele membre, este posibilă adoptarea de fiecare dată aunui temei juridic specific în cadrul unei asemenea noi legislații specifice.

29.

În această secțiune a avizului, AEPD comentează dispozițiile care reglementează aspectele referitoare la IMI privind protecția datelor, astfel cum sunt incluse în Decizia IMI. Sugestiile AEPD pot fi incluse într-un instrument juridic nou care să înlocuiască Decizia IMI în conformitate cu propunerile anterioare. Totuși, în absența unui asemenea instrument nou, sugestiile ar putea fi incluse chiar în Decizia IMI, după modificarea acesteia.

30.

Mai mult, anumite sugestii pot fi puse deja în aplicare de către actorii IMI, fără modificarea deciziei. AEPD se așteaptă ca Comisia să ia în considerare recomandările făcute în cadrul prezentului aviz cel puțin la nivel operațional, în măsura în care acestea se referă la activitățile Comisiei ca actor IMI, care fac, prin urmare, obiectul supravegherii de către AEPD.

31.

AEPD salută publicarea de către Comisie pe site-ul IMI a primului set de întrebări predefinite și a altor câmpuri de date. Acestea se referă la schimbul de informații în conformitate cu Directiva privind recunoașterea calificărilor profesionale.

32.

Pentru a face ca această bună practică să devină o obligație clară pentru Comisie și, prin aceasta, să se asigure și să se îmbunătățească în continuare transparența, AEPD recomandă ca un instrument juridic pentru IMI să prevadă o obligație pentru Comisie de a publica întrebările predefinite și alte câmpuri de date pe site-ul web al IMI.

33.

În ceea ce privește proporționalitatea, un instrument juridic pentru IMI ar trebui să menționeze faptul că întrebările predefinite și alte câmpuri de date trebuie să fie adecvate, relevante și rezonabile. În plus, AEPD are două recomandări specifice în ceea ce privește proporționalitatea:

34.

Alocarea responsabilităților prevăzută la articolul 3 din Decizia IMI este neclară și ambiguă. AEPD recunoaște faptul că se poate să nu fie fezabil să se desemneze în mod specific în Decizia IMI fiecare operație de prelucrare în parte și să se aloce responsabilitatea pentru fiecare dintre acestea Comisiei sau unei anumite autorități competente într-un anumit stat membru. Totuși, cel puțin în ceea ce privește cele mai importante obligații ale unui operator referitoare la protecția datelor, ar fi trebuit trasate anumite orientări în cadrul Deciziei IMI.

35.

În special, AEPD recomandă ca un instrument juridic pentru IMI să menționeze că:

36.

AEPD recomandă ca un nou paragraf să fie adăugat într-un instrument juridic pentru IMI în vederea alocării responsabilităților privind obligația de notificare între operatorii comuni ca urmare a unei abordări „stratificate”. În special, textul ar trebui să menționeze următoarele:

37.

AEPD recomandă, de asemenea, să se introducă un nou alineat, pentru:

38.

Mai mult, ar trebui specificat faptul că Comisia poate să furnizeze acces numai la datele la care însăși Comisia are acces legitim. În consecință, Comisia nu va avea obligația de a furniza acces la schimbul de informații între autoritățile competente. Dacă o persoana vizată adresează, totuși, Comisiei o asemenea cerere, Comisia trebuie să direcționeze persoana vizată, fără întârziere nejustificată, către autoritățile care dețin accesul la informații și să consilieze persoana vizată în consecință.

39.

Articolul 4 alineatul (1) din Decizia IMI prevede o perioadă de stocare a datelor de șase luni de la „încheierea oficială” a schimbului de informații.

40.

AEPD înțelege că autoritățile competente pot avea nevoie de o anumită flexibilitate în ceea ce privește păstrarea datelor datorită faptului că, în afara întrebării inițiale și a răspunsului inițial, pot fi întrebări noi referitoare la același caz între autoritățile competente. Într-adevăr, pe parcursul pregătirii avizului WP29, Comisia a explicat că procedurile administrative în cadrul cărora pot fi necesare schimburi de informații sunt finalizate, de obicei, în termen de două luni și că perioada de păstrare de șase luni a fost prevăzută pentru a acorda flexibilitate pentru orice întârzieri neașteptate.

41.

Acestea fiind spuse, și pe baza explicațiilor Comisiei, AEPD își exprimă îndoiala cu privire la legitimitatea păstrării datelor în IMI pentru alte șase luni după încheierea oficială a schimbului de informații. În consecință, AEPD recomandă ca termenul de șase luni aferent ștergerii automate ar trebui să înceapă de la data la care autoritatea solicitantă își contactează pentru prima dată omologul în orice schimb specific de informații. Într-adevăr, o abordare mai bună ar fi să se stabilească data aferentă ștergerii automate în funcție de diferitele tipuri de informații schimbate (calculând întotdeauna termenele de la momentul începerii schimbului). De exemplu, în condițiile în care o perioadă de păstrare de șase luni poate fi adecvată pentru schimbul de informații în conformitate cu Directiva privind recunoașterea calificărilor profesionale, s-ar putea ca perioada respectivă să nu fie în mod necesar adecvată pentru alte schimburi de informații în viitoarea legislație privind piața internă.

42.

De asemenea, EPD adaugă că, în cazul în care recomandările sale nu ar fi luate în considerare, ar trebui, cel puțin, să fie clarificat ce se înțelege prin „încheierea oficială” a unui schimb de informații. În special, ar trebui să se asigure că nicio dată nu poate rămâne în baza de date mai mult decât este necesar, din simplul motiv că o autoritate competentă nu este capabilă să „închidă cazul”.

43.

Mai mult, AEPD recomandă ca, la al doilea alineat al articolului 4, să fie inversată logica ștergere-păstrare. Comisia ar trebui să soluționeze solicitările de ștergere în termen de 10 zile lucrătoare în orice situație, indiferent dacă cealaltă autoritate competentă în cadrul schimbului de informații ar dori sau nu să păstreze informația în IMI. Totuși, ar trebui să existe un mecanism automat pentru notificarea celeilaltei autorități competente menționate, astfel încât aceasta să nu piardă datele și să poată, dacă dorește acest lucru, să descarce sau să tipărească informațiile și să le stocheze în scopuri proprii în afara IMI și în condițiile propriilor norme de protecție a datelor. O perioadă de notificare de zece zile pare să fie rezonabilă atât ca termen minim cât și ca termen maxim. Comisia ar trebui numai să poată șterge informațiile înaintea acestui termen de zece zile dacă ambele autorități confirmă intenția lor în acest sens.

44.

AEPD recomandă, de asemenea, să se specifice că măsurile de securitate, luate fie de către Comisie, fie de către autoritățile competente, ar trebui să fie luate în conformitate cu cele mai bune practici din statele membre.

45.

Întrucât schimbul de informații în cadrul IMI face obiectul a numeroase legislații naționale în domeniul protecției datelor și supravegherii a numeroase autorități naționale pentru protecția datelor (în plus față de aplicabilitatea Regulamentului (CE) nr. 45/2001 și de autoritatea de supraveghere a AEPD în ceea ce privește anumite aspecte referitoare la operațiile de prelucrare), AEPD recomandă că un instrument juridic pentru IMI ar trebui să prevadă, de asemenea, dispoziții clare care să faciliteze supravegherea comună a IMI de către diferitele autorități de protecție a datelor implicate. Supravegherea comună ar putea fi modelată în același mod ca în cazul instrumentelor juridice privind instituirea, funcționarea și utilizarea Sistemului de informații Schengen de a doua generație (SIS II) (8).

46.

AEPS susține obiectivele Comisiei de a elabora un sistem electronic pentru schimbul de informații și de a reglementa aspectele acestuia privind protecția datelor.

47.

Decizia IMI necesită un temei juridic solid, din motivele menționate anterior. AEPD recomandă ca Comisia să reanalizeze alegerea temeiului juridic și să caute soluții pentru remedierea imperfecțiunilor temeiului juridic ales, având drept posibilă consecință înlocuirea Deciziei IMI cu un instrument juridic care să îndeplinească cerința de certitudine juridică.

48.

Ca o soluție de ultimă instanță, AEPD sugerează analizarea posibilității de adoptare a unui instrument juridic separat pentru sistemul IMI, la nivelul Consiliului și al Parlamentului European, similar Sistemului de Informații Schengen, Sistemului de informații privind vizele sau altei baze de date TI de scară largă.

49.

În mod alternativ, s-ar putea analiza dacă articolul 34 din Directiva privind serviciile și dispozițiile similare care trebuie adoptate încă referitor la alte acte legislative privind piața internă ar putea furniza temeiul juridic necesar.

50.

În plus, avizul oferă un număr de sugestii referitoare la dispozițiile ce reglementează aspectele referitoare la IMI privind protecția datelor care să fie incluse într-un instrument juridic nou care să înlocuiască Decizia IMI astfel cum s-a propus anterior sau, în absența unui asemenea instrument nou, să fie incluse chiar în Decizia IMI, după modificarea acesteia.

51.

Multe dintre aceste sugestii pot fi puse deja în aplicare de actorii IMI, fără modificarea deciziei. AEPD așteaptă ca Comisia să ia în considerare, în limita posibilului, recomandările făcute în prezentul aviz, cel puțin la nivel operațional, în măsura în care acestea se referă la activitățile Comisiei ca actor IMI.

52.

Aceste recomandări se referă la transparență și proporționalitate, control comun și alocarea responsabilităților, notificarea persoanelor vizate, drepturi de acces, opoziție, precum și rectificare, păstrarea datelor, măsuri de securitate și supraveghere comună.