25.8.2011

RO

Jurnalul Oficial al Uniunii Europene

C 248/123

---

Avizul Comitetului Economic și Social European privind Comunicarea Comisiei către Parlamentul European, Consiliu, Comitetul Economic și Social și Comitetul Regiunilor – O abordare globală a protecției datelor cu caracter personal în Uniunea Europeană

COM(2010) 609 final

2011/C 248/21

Raportor: dl Peter MORGAN

La 4 noiembrie 2010, în conformitate cu articolul 304 din Tratatul privind funcționarea Uniunii Europene, Comisia Europeană a hotărât să consulte Comitetul Economic și Social European cu privire la

Comunicarea Comisiei către Parlamentul European, Consiliu, Comitetul Economic și Social și Comitetul Regiunilor – O abordare globală a protecției datelor cu caracter personal în Uniunea Europeană

COM(2010) 609 final.

Secțiunea pentru ocuparea forței de muncă, afaceri sociale și cetățenie, însărcinată cu pregătirea lucrărilor Comitetului pe această temă, și-a adoptat avizul la 27 mai 2011.

În cea de-a 472-a sesiune plenară, care a avut loc la 15 și 16 iunie 2011 (ședința din 16 iunie 2011), Comitetul Economic și Social European a adoptat prezentul aviz cu 155 de voturi pentru, 9 voturi împotrivă și 12 abțineri.

1.   Concluzii și recomandări

1.1   Legea protecției datelor cu caracter personal a UE are la bază Directiva 95/46/CE din 1995. Aceasta are două obiective, formulate după cum urmează:

(1)	Statele membre asigură […], în conformitate cu prezenta directivă, protejarea drepturilor și libertăților fundamentale ale persoanei și în special a dreptului la viața privată în ceea ce privește prelucrarea datelor cu caracter personal.

(2)	Statele membre nu pot limita sau interzice libera circulație a datelor cu caracter personal între statele membre din motive legate de protecția asigurată în conformitate cu alineatul (1).

Este esențial să se obțină un echilibru între aceste două obiective, astfel încât să nu intre în conflict. Principalul obiectiv al noii legislații trebuie să fie punerea în aplicare a unui cadru juridic care să ajute la realizarea ambelor obiective.

1.2   CESE salută această comunicare, în care definește abordarea Comisiei în privința actualizării Directivei 95/46/CE privind protecția datelor. Dezvoltarea explozivă a unor tehnologii noi conduce la creșterea exponențială a cantității de date prelucrate online și, dacă se dorește evitarea unei încălcări pe scară largă a confidențialității, este necesară o creștere corespunzătoare a protecției datelor cu caracter personal. Colectarea, consolidarea și gestionarea datelor din surse multiple trebuie să fie delimitată cu atenție, având în vedere că sectorul public deține numeroase dosare privind diferitele aspecte ale relației dintre cetățeni și stat. Datele colectate ar trebui să se reducă la minimul necesar fiecărui scop și să fie interzisă asamblarea diverselor date într-o bază de date de tip „Big brother”.

1.3   În același timp, CESE îndeamnă la precauție. Este esențial să se garanteze stabilitatea și predictibilitatea legislației care reglementează activitatea economică. Prin urmare, CESE sprijină o revizuire adecvată a Directivei privind protecția datelor.

1.4   Comunicarea recunoaște că una din principalele probleme recurente ridicate de părțile interesate, în special de societățile multinaționale, o reprezintă insuficienta armonizare a legislațiilor statelor membre privind protecția datelor, în ciuda unui cadru juridic comun al UE. CESE propune ca noua legislație să asigure o protecție mai substanțială a datelor cu caracter personal ale lucrătorilor din întreaga Uniune Europeană, inclusiv un cadru european care să consolideze claritatea și certitudinea juridică. În acest sens, CESE salută în special intenția de a introduce obligația desemnării unui responsabil cu protecția datelor la nivel de întreprindere independent și a armonizării normelor referitoare la sarcinile și competențele acestuia.

1.5   Dat fiind posibilul conflict dintre protecția vieții private a persoanei și exploatarea în scop comercial a datelor despre aceasta, precum și mizele mari implicate, este necesar ca oamenii să devină tot mai conștienți de scopurile în care se colectează datele care-i privesc și de capacitățile de care dispun pentru a le controla ulterior colectării. Prin urmare, CESE consideră că aplicarea eficace a dispozițiilor în vigoare și a măsurilor de reparare a prejudiciilor sunt condiții indispensabile, dacă se dorește ca acest proiect să fie într-adevăr „cuprinzător”. În plus, trebuie să fie acoperită și dimensiunea transfrontalieră.

1.6   În ceea privește cetățenii UE, legislația pertinentă în cadrul Uniunii ar trebui să fie cea a statului membru în care se află operatorul de date, indiferent de locul în care sunt stocate datele. Pentru persoanele ale căror date necesită protecție, în special pentru lucrători și consumatori, trebuie să se aplice legislația privind protecția datelor din locul lor de reședință obișnuit.

1.7   Mențiunea referitoare la copii este destul de superficială. Trebuie să se acorde o atenție specifică temelor legate de confidențialitate în cazul copiilor. Dreptul de a fi uitat ar putea corecta înregistrarea greșelilor copilărești și a abaterilor adolescenților, dar s-ar putea să nu fie, de fapt, realizabil.

1.8   Trebuie clarificată actuala definiție a datelor sensibile, deoarece continuă să crească numărul categoriilor de date electronice referitoare la persoane. CESE este preocupat de utilizarea generalizată și nediscriminatorie a camerelor de supraveghere. Este esențial să se aplice riguros legislația prin care se restricționează utilizarea abuzivă a acestor imagini. Alt aspect controversat îl reprezintă datele GPRS referitoare la localizarea unei persoane. Crește numărul înregistrărilor de date biometrice. Definiția ar trebui să includă astfel de tehnologii și metode noi și să permită acoperirea viitoarelor evoluții tehnologice. S-ar putea dovedi necesară stabilirea unor principii legate de contexte. CESE pledează pentru folosirea adecvată a acestor noi tehnologii.

1.9   CESE recunoaște că există aspecte sensibile în cooperarea polițienească interstatală, dar consideră că este esențial ca în orice situație să se acorde maximă atenție drepturilor fundamentale, inclusiv protecției datelor cu caracter personal.

1.10   CESE sprijină intenția generală a Comisiei de a asigura o aplicare mai uniformă a normelor UE de protecție a datelor în toate statele membre și își exprimă îngrijorarea în legătură cu posibilitatea ca unele dintre cele 12 noi state membre să nu fi încheiat încă punerea în aplicare integrală și efectivă a Directivei 95/46.

1.11   În opinia CESE, autoritățile naționale responsabile cu protecția datelor sunt în general lipsite de putere reală și supraaglomerate, iar independența lor trebuie consolidată. Orice directivă nouă ar trebui să prevadă ca autoritățile naționale să aibă statutul, puterea și resursele necesare pentru a-și îndeplini rolul.

1.12   Pe baza contribuției sale de până acum la protecția persoanelor în materie de prelucrare a datelor cu caracter personal, CESE consideră că Grupului de lucru instituit prin articolul 29 îi revine în continuare un rol important.

1.13   În contextul Agendei digitale a UE, CESE solicită Comisiei să aibă în vedere înființarea unei Autorități europene care să urmărească ramificațiile societale mai extinse ale internetului, pe un interval de 10-20 de ani. Actualele dispoziții referitoare la siguranța datelor cu caracter personal și siguranța cibernetică generală devin caduce tot mai repede. Societatea încearcă să țină pasul. În contextul protecției datelor, CESE recomandă instituirea unei autorități pentru protecția datelor la nivelul UE. Actuala autoritate UE pentru protecția datelor are în competență numai instituțiile UE și devine necesară o autoritate responsabilă de coordonarea statelor membre și standardele operaționale ale acestora. Cu toate acestea, înființarea unui astfel de organism ar acoperi numai o parte din Autoritatea cu vastă competență pe care o are în vedere CESE.

2.   Introducere

2.1   CESE continuă să sprijine principiile care stau la baza directivei din 1995. În continuare se prezintă extrase din textul acesteia, simplificate și scoase din context, în care sunt exprimate clar principiile implicate:

—

Articolul 6 Statele membre stabilesc că datele cu caracter personal trebuie să fie: a) prelucrate în mod corect și legal; b) colectate în scopuri specificate, explicite și legitime; c) adecvate, pertinente și neexcesive în raport cu scopurile pentru care sunt colectate și prelucrate ulterior; d) exacte, și dacă este necesar, actualizate; e) păstrate într-o formă ce permite identificarea persoanelor în cauză pentru o perioadă nu mai lungă decât perioada necesară îndeplinirii scopurilor pentru care au fost colectate.

—

Articolul 7 Statele membre prevăd ca datele cu caracter personal să fie prelucrate numai dacă: a) persoana vizată și-a dat consimțământul neechivoc sau b) prelucrarea este necesară desfășurării unui contract în care persoana respectivă este parte sau c) prelucrarea este necesară în vederea îndeplinirii unei obligații legale care îi revine operatorului sau d) prelucrarea este necesară în scopul protejării interesului vital al persoanei vizate sau e) prelucrarea este necesară pentru îndeplinirea unei sarcini de interes public sau f) prelucrarea este necesară în scopuri de interes legitim urmărite de operatorul de prelucrare a datelor.

—	Articolul 8 Statele membre interzic prelucrarea datelor cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, convingerile religioase sau filozofice, apartenența sindicală, precum și prelucrarea datelor privind sănătatea sau viața sexuală.

2.2   În ultimul deceniu, circumstanțele s-au schimbat semnificativ odată cu noile dispoziții ale articolului 16 din Tratatul de la Lisabona și ale articolului 8 din Carta drepturilor fundamentale.

2.3   Comunicarea își propune să definească abordarea Comisiei în privința modernizării sistemului juridic de protecție a datelor cu caracter personal al UE în toate domeniile de activitate ale Uniunii, ținându-se seama, în special, de provocările ce însoțesc globalizare și noile tehnologii, pentru a se garanta în continuare un nivel înalt de protecție a persoanelor în ceea ce privește prelucrarea datelor cu caracter personal, în toate domeniile de activitate ale Uniunii.

2.4   În prezent, schimbul de informații pe întreaga planetă a devenit mai ușor și mai rapid. Datele cu caracter personal ale unei persoane - poștă electronică, fotografii, agendă electronică - pot fi create în Regatul Unit folosind un software găzduit în Germania, prelucrate în India, stocate în Polonia și accesate în Spania de către un cetățean italian. Creșterea rapidă a fluxurilor de informații din lume prezintă o mare provocare pentru drepturile persoanei la confidențialitatea datelor cu caracter personal. Chestiunile legate de protecția datelor, inclusiv dimensiunea transfrontalieră, afectează oamenii în fiecare zi - la locul de muncă, în contactul cu autoritățile publice, atunci când cumpără bunuri sau servicii, călătoresc sau navighează pe internet.

2.5   În 2011, Comisia va propune legislație prin care se urmărește revizuirea cadrului juridic de protecție a datelor, cu scopul de a consolida poziția UE în materie de protecție a datelor cu caracter personal în contextul tuturor politicilor UE, inclusiv al celor referitoare la aplicarea riguroasă a legii și prevenirea criminalității, ținând seama de caracteristicile acestor domenii. În paralel, se vor lua măsuri nelegislative, cum ar fi încurajarea autoreglementării și examinarea posibilității de a introduce mărci de protecție a vieții private la nivelul UE.

2.6   De asemenea, Comisia va continua să asigure monitorizarea corespunzătoare a punerii în aplicare corecte a dreptului UE în acest domeniu, ducând o politică activă de sancționare a abaterilor, în cazul în care normele UE de protecție a datelor nu sunt puse în practică și aplicate în mod corect.

2.7   Abordarea cuprinzătoare a protecției datelor are următoarele cinci obiective-cheie:

—	consolidarea drepturilor persoanelor;

—	consolidarea dimensiunii privind piața internă;

—	revizuirea normelor de protecție a datelor în domeniul cooperării polițienești și judiciare în materie penală;

—	dimensiunea globală a protecției datelor;

—	consolidarea cadrului instituțional în vederea unei mai bune aplicări a normelor de protecție a datelor.

Secțiunile 3-7 de mai jos rezumă aceste obiective și prezintă perspectiva CESE asupra propunerilor. Titlurile cu caractere grase (bold) urmează structura comunicării. Textul cu caractere cursive (italice) rezumă textul inițial.

3.   Consolidarea drepturilor persoanelor

3.1   Asigurarea unei protecții corespunzătoare a persoanelor în toate circumstanțele

Carta drepturilor fundamentale cuprinde dreptul la protecția datelor cu caracter personal. Definiția „datelor cu caracter personal” urmărește să acopere toate informațiile referitoare la o persoană identificată sau identificabilă. Comisia va avea în vedere modul în care să asigure o aplicare coerentă a normelor de protecție a datelor, ținând seama de impactul noilor tehnologii asupra drepturilor și libertăților persoanelor și de obiectivul asigurării liberei circulații a datelor cu caracter personal în cadrul pieței interne.

3.1.1   Libera circulație a datelor cu caracter personal pe piața internă este necesară pentru ca piața să fie pe deplin funcțională, însă ar putea reprezenta o amenințare la adresa confidențialității datelor pe care le dețin întreprinderile despre angajați. Sunt necesare măsuri de protecție specifice, cum ar fi răspunderea operatorilor de date în cazul schimbului de date multinațional și utilizarea încriptării în cazul datelor mai sensibile.

3.1.2   CESE ar dori să sublinieze că domeniul forței de muncă este mai mult sau mai puțin exclus nu numai din actuala comunicare, ci și din întreaga dezbatere privitoare la protecția datelor cu caracter personal în Europa. Ca punct de plecare, ar trebui utilizată activitatea deja desfășurată la nivel european, în special propunerile înaintate de Grupul de lucru instituit prin articolul 29.

3.2   Creșterea transparenței pentru persoanele vizate

Transparența reprezintă o condiție fundamentală pentru a permite exercitarea de către persoane a controlului asupra datelor proprii și pentru a asigura o protecție efectivă a datelor cu caracter personal. Comisia va avea în vedere un principiu general al prelucrării transparente, obligațiile specifice ce revin operatorilor de date, în special în legătură cu copiii, declarațiile de confidențialitate standardizate și o notificare obligatorie privind violarea datelor cu caracter personal.

3.2.1   Sunt de preferat declarațiile de confidențialitate standardizate, deoarece evită conflictele de interese. Utilizarea lor ar trebui să se facă pe baze voluntare.

3.2.2   Transparența nu soluționează în mod necesar chestiunea clauzelor contractuale cu aplicare unilaterală. Este important să se elaboreze norme mai stricte, care să asigure o protecție mai puternică împotriva clauzelor abuzive.

3.2.3   Mențiunea referitoare la copii este destul de superficială. Trebuie să se acorde o atenție specifică temelor legate de confidențialitate în cazul copiilor. Dreptul de a fi uitat ar putea corecta înregistrarea greșelilor copilărești și a abaterilor adolescenților, dar s-ar putea, de fapt, să nu fie realizabil (a se vedea mai jos punctul 3.3.2).

3.2.4   Noua legislație trebuie să clarifice rolul persoanei răspunzătoare pentru prelucrarea datelor și a celei răspunzătoare pentru înregistrarea datelor, astfel încât să nu existe nici o confuzie asupra identităților lor respective și nici asupra drepturilor și obligațiilor ce revin fiecăruia.

3.2.5   CESE sprijină propunerea de notificare obligatorie privind violarea datelor cu caracter personal, dar consideră că aceasta nu ar putea fi aplicabilă tuturor evenimentelor din toate sectoarele în toate situațiile.

3.3   Întărirea controlului asupra propriilor date

Condiții preliminare importante sunt limitările de prelucrare a datelor în legătură cu scopul (principiul reducerii la minimum a datelor). Comisia va analiza principiul reducerii la minim a datelor, îmbunătățirea modalităților de exercitare a drepturilor de acces, rectificare, ștergere sau blocare a datelor, clarificarea dreptului de a fi uitat și asigurarea dreptului explicit la portabilitatea datelor.

3.3.1   În general, CESE sprijină fiecare acțiune care întărește confidențialitatea datelor cu caracter personal. Persoanele ar trebui să aibă dreptul de a accesa liber orice date colectate care îi privesc. Un exemplu ar fi accesul liber la datele privind rating-ul de credit. Retragerea consimțământului fără justificare și un drept efectiv de a fi uitat sunt fundamentale, dar confidențialitatea s-ar îmbunătăți și mai mult dacă de la început s-ar colecta mai puține date. În consecință, CESE recomandă Comisiei ca propunerea de a consolida principiul reducerii la minimum a datelor să devină efectivă.

3.3.2   Dreptul de a fi uitat este un concept atractiv, dar s-ar putea dovedi greu de pus în practică, dată fiind natura virală a datelor de pe internet și tehnologiile care șterg, dar nu uită.

3.4   Creșterea nivelului de sensibilizare

Activitățile de sensibilizare ar trebui să fie încurajate, inclusiv prin furnizarea de informații clare pe site-urile internet, care trebuie să prezinte în mod clar drepturile persoanelor vizate și responsabilitățile operatorilor de date. Un motiv special de îngrijorare constituie absența conștientizării de către tineri.

3.4.1   Schimbarea de comportament necesară va fi dificil de realizat, în special având în vedere faptul că dezvoltarea rapidă a rețelelor sociale nu a fost însoțită de o creștere a conștientizării de către utilizatori a implicațiilor pe care le are cantitatea de date furnizate de ei. În principiu, ar fi bine să existe notificări obligatorii pentru sensibilizare în cadrul fiecărui serviciu de internet, dar acestea s-a putea dovedi problematice pentru întreprinderi. Ar trebui deci să se acorde atenție protocoalelor de sensibilizare pe categorii de servicii – comerțul pe internet, ISP, motoare de căutare, rețele sociale etc.

3.4.2   CESE salută intenția Comisiei de a oferi finanțare UE pentru a sprijini activitățile de sensibilizare a publicului. CESE ar dori ca aceasta să fie extinsă și la cofinanțarea acestui tip de activități desfășurate de către partenerii sociali și organizațiile societății civile la nivel european și național.

3.5   Asigurarea consimțământului informat și liber

Comisia va avea în vedere modalități de clarificare și întărire a normelor privind consimțământul.

3.5.1   Tipurile de consimțământ cerut ar trebui să rămână legate de tipul de date prelucrate și nu de tipul de tehnologie utilizată. Cu toate acestea, CESE este preocupat de faptul că în cele mai multe cazuri, atunci când consimțământul este dat într-un mediu de internet, aplicația nu furnizează nici o confirmare a acordului și nu există mecanisme eficiente de înregistrare a retragerii consimțământului. În plus, exprimarea acordului poate implica apăsarea unui buton spre a exprima acordul cu un vraf de termeni și condiții, printre care consimțământul poate fi un element mărunt. Ar fi rațional ca, în ceea ce privește controlul datelor, consimțământul să reprezinte un document simplu și separat, astfel încât să fie inteligibil, informat și specific.

3.5.2   Pentru organizațiile și întreprinderile care își desfășoară activitățile pe internet, prelucrarea datelor cu caracter personal este vitală. Opțiunea implicită este în mod clar avantajoasă pentru operator, dar, dacă nu este aplicată corect, poate dezavantaja clientul. Ar trebui ca aceasta să fie limitată, astfel încât, dacă clienții doresc, toți operatorii să fie obligați să le ofere confidențialitate în mod implicit.

3.5.3   De asemenea, pentru un consimțământ liber, contractul trebuie să fie corect. Trebuie să fie stabilite principii care să evite practicile comerciale incorecte.

3.6   Protejarea datelor sensibile

Comisia va analiza posibilitatea de a extinde definiția „datelor sensibile” pentru a include, de exemplu, datele genetice, și de a continua armonizarea condițiilor de prelucrare a datelor sensibile.

3.6.1   Trebuie clarificată actuala definiție a datelor sensibile, deoarece continuă să crească numărul categoriilor de date electronice despre persoane. CESE este preocupat de utilizarea generalizată și nediscriminatorie a camerelor de supraveghere. Este esențial să se aplice riguros legislația prin care se restricționează utilizarea abuzivă a acestor imagini. Alt aspect controversat îl reprezintă datele GPRS referitoare la localizarea unei persoane. Crește numărul înregistrărilor de date biometrice. Definiția ar trebui să includă astfel de tehnologii și metode noi și să permită acoperirea viitoarelor evoluții tehnologice. S-ar putea dovedi necesară stabilirea unor principii legate de contexte. CESE pledează pentru folosirea adecvată a acestor noi tehnologii.

3.6.2   Ar trebui asigurată o protecție sporită și datelor sensibile. În cazul anumitor date sensibile, criptarea ar trebui să fie obligatorie. Ar trebui să se aplice cele mai avansate tehnologii disponibile, iar operatorii de date ar trebui să răspundă în cazul abaterilor de la siguranță.

3.7   Sporirea eficacității căilor de atac și a sancțiunilor

Comisia va analiza extinderea competenței de a aduce o acțiune înaintea instanțelor naționale și posibilitatea de a include sancțiuni penale pentru încălcările grave.

3.7.1   Dat fiind posibilul conflict dintre protecția vieții private a persoanei și exploatarea în scop comercial a datelor despre aceasta, precum și mizele mari implicate, este necesar ca oamenii să devină tot mai conștienți de scopurile în care se colectează datele care-i privesc și de capacitățile de care dispun pentru a le controla ulterior. Prin urmare, CESE consideră că aplicarea eficace a dispozițiilor în vigoare și a măsurilor de repare a prejudiciilor sunt condiții indispensabile, dacă se dorește ca acest proiect să fie într-adevăr „cuprinzător”. În plus, trebuie să fie acoperită și dimensiunea transfrontalieră.

3.7.2   Cazul unor măsuri colective de repare a prejudiciilor ar trebui privit ca măsură reparatorie în situațiile de extremă gravitate. Ar trebui să se analizeze posibilitatea ca întreprinderile, organizațiile profesionale și sindicatele să poată reprezenta persoane și să poată introduce acțiune pe lângă tribunale.

4.   Consolidarea dimensiunii privind piața internă

4.1   Creșterea certitudinii juridice și asigurarea unor condiții de concurență echitabile pentru operatorii de date

În UE, protecția datelor este strâns legată de piața internă. Comisia va analiza mijloacele de armonizare, în continuare, a normelor de protecție a datelor la nivelul UE.

4.1.1   CESE este preocupat de faptul că marja de decizie acordată statelor membre prin textul Directivei 95/46 a creat o problemă de punere în aplicare. În contextul dat, un regulament ar fi asigurat mai multă certitudine juridică. Armonizarea ar trebui pusă în aplicare pornind de la un corpus de standarde suficient pentru a răspunde cerințelor directivei.

4.1.2   În comunicare nu se face referire la angajați și la accesul la datele lor deținute de angajatori. În întreprinderile multinaționale, care pot centraliza date în interiorul sau chiar în afara UE, noua legislație trebuie să asigure angajaților drepturi bine definite de accesare.

4.2   Reducerea sarcinilor administrative pentru operatorii de date

Comisia va analiza diferite posibilități în vederea simplificării și armonizării sistemului actual de notificare, inclusiv posibilitatea întocmirii unui formular de înregistrare uniform în întreaga UE. Notificările ar putea fi publicate pe internet.

4.2.1   CESE ar sprijini cu entuziasm aceste inițiative.

4.3   Clarificarea normelor privind dreptul aplicabil și responsabilitatea statelor membre

Pentru operatorii de date și autoritățile de supraveghere a protecției datelor nu este întotdeauna clar ce stat membru este responsabil și ce legislație se aplică atunci când sunt implicate mai multe state membre. Globalizarea și progresul tehnic înrăutățesc problema. Pentru a îmbunătăți certitudinea juridică și a clarifica răspunderile statelor membre, Comisia va examina posibilitățile de revizuire și clarificare a dispozițiilor existente privind dreptul aplicabil.

4.3.1   În ceea privește cetățenii UE, legislația pertinentă în cadrul Uniunii ar trebui să fie cea a statului membru în care se află operatorul de date, indiferent de locul în care sunt stocate datele. Pentru persoanele ale căror date circulă și necesită protecție, în special pentru lucrătorii și consumatorii din UE, trebuie să se aplice dispozițiile și procedurile legale privind protecția datelor din locul de reședință obișnuit al lucrătorului sau al consumatorului.

4.4   Creșterea responsabilității operatorilor de date

Comisia va analiza modalitățile de a garanta că operatorii de date introduc politici și mecanisme eficace pentru a asigura conformitatea cu normele de protecție a datelor. Aceasta va studia posibilitatea de a institui obligativitatea desemnării unui responsabil cu protecția datelor și de a armoniza normele de angajare a acestor responsabili, pentru a introduce obligația evaluării impactului asupra protecției datelor. În plus, Comisia va promova în continuare utilizarea tehnologiilor de protecție a vieții private (Privacy Enhancing Technologies - PET) și aplicarea conceptului „Privacy by Design” (luare în considerare a vieții private începând cu momentul conceperii).

4.4.1   PET și „Privacy by Design” au capacitatea de a elimina libertatea de decizie a operatorilor de date, care, în caz contrar, pot intra în conflict cu prioritățile comerciale ale organizațiilor lor. CESE îndeamnă Comisia să inițieze studierea și dezvoltarea în continuare a acestor instrumente, deoarece au potențialul de a consolida protecția datelor, eliminând totodată conflictul de interese. Ideal ar fi ca aceste instrumente să poată deveni obligatorii.

4.4.2   Pentru a evita îndoielile, operatorii de date ar trebui să răspundă pentru toate aspectele legate de prelucrarea datelor care țin de competența lor. În consecință, acolo unde sunt implicați subcontractori și/sau operațiuni în alte țări, obligațiile personale de confidențialitate ar trebui să fie exprimate explicit în contract.

4.4.3   CESE consideră că fiecare stat membru ar trebui să creeze un organism profesional care să fie responsabil cu calificările și certificarea responsabililor pentru protecția datelor.

4.4.4   Aplicarea dispozițiilor din acest capitol trebuie să fie coerentă cu obiectivul reducerii sarcinilor administrative ale operatorilor de date, abordat la punctul 4.2.

4.5   Încurajarea inițiativelor de autoreglementare și analizarea posibilității de a introduce scheme de certificare la nivelul UE

Comisia va examina mijloacele de a încuraja în continuare inițiativele de autoreglementare, cum ar fi codurile de conduită, și fezabilitatea mecanismelor de certificare ale UE.

4.5.1   A se vedea punctul 3.7.1. de mai sus. Aplicarea dispozițiilor în vigoare și repararea prejudiciilor sunt preocupări esențiale pentru CESE. Aceste propuneri sunt atractive deoarece pot ajuta la reducerea enormei poveri pe care reglementările o reprezintă pentru acest sector. Ar trebui ca în fiecare stat membru să fie sponsorizat un compendiu sau un ghid de bune practici.

5.   Revizuirea normelor de protecție a datelor în domeniul cooperării polițienești și judiciare în materie penală;

Instrumentul UE pentru asigurarea protecției datelor cu caracter personal în domeniile cooperării polițienești și judiciare în materie penală este o decizie-cadru JAI din 2008. Aceasta are multe lacune care pot aduce atingere posibilităților persoanelor de a-și exercita drepturile în materie de protecție a datelor în acest domeniu –de exemplu, de a fi informați ce date cu caracter personal sunt prelucrate și fac obiectul unui schimb, precum și de către cine și în ce scop sunt acestea prelucrate și de a fi informați cu privire la modul de a-și exercita drepturile lor, cum ar fi dreptul de acces la propriile date;

Comisia va studia posibilitatea de a extinde aplicarea normelor generale de protecție a datelor la domeniile cooperării polițienești și judiciare în materie penală, de a introduce noi prevederi în domenii precum prelucrarea datelor genetice, lansarea unei consultări privind revizuirea sistemelor de supraveghere în acest domeniu și evaluarea necesității alinierii pe termen lung a diferitelor norme sectoriale specifice la noul cadru juridic general de protecție a datelor.

5.1   CESE recunoaște că există aspecte sensibile în cooperarea polițienească interstatală, dar consideră că este esențial ca în orice situație să se acorde maximă atenție drepturilor fundamentale, inclusiv protecției datelor cu caracter personal. CESE se teme că preocupările legate de securitate, chiar și cele nefondate, provoacă frecvent încălcarea drepturilor fundamentale. Persoanele au dreptul să fie mai bine informate despre metodele prin care și scopurile pentru care autoritățile colectează date personale din facturi de telefon, conturi bancare, controale pe aeroporturi etc.

6.   Dimensiunea mondială a protecției datelor

6.1   Clarificarea și simplificarea normelor pentru transferurile internaționale de date

Comisia intenționează să analizeze modalitățile de:

—	îmbunătățire și raționalizare a actualelor proceduri pentru transferurile internaționale de date, în vederea asigurării unei abordări mai uniforme și mai coerente a UE față de țări terțe și organizații internaționale,

—	precizare mai clară a criteriilor și a cerințelor în materie de evaluare a nivelului de protecție a datelor într-o țară terță sau în cadrul unei organizații internaționale;

—	definire a elementelor-cheie de protecție a datelor la nivelul UE pentru utilizarea în acorduri internaționale.

6.1.1   CESE sprijină aceste inițiative valoroase ale Comisiei și speră că aceasta va putea obține un larg acord internațional, fără de care propunerile nu vor fi eficiente.

6.2   Promovarea principiilor universale

Uniunea Europeană trebuie să rămână o forță motrice a elaborării și promovării de standarde tehnice și juridice internaționale de protecție a datelor cu caracter personal. În acest scop, Comisia va fi activă în arena standardelor internaționale și va coopera cu țări terțe și organizații internaționale, cum ar fi OCDE.

6.2.1   CESE își exprimă încă o dată sprijinul în această privință. Dată fiind natura globală a internetului, este esențial ca normele și liniile directoare să fie compatibile între continente. Datele cu caracter personal trebuie să beneficieze de protecție transfrontalieră și în acest sens menționăm că sunt disponibile deja liniile directoare OCDE, ca și Convenția 108 a Consiliului Europei. Aceasta din urmă este în curs de revizuire. Comisia ar trebui să asigure compatibilitatea între convenție și noua directivă.

7.   Consolidarea cadrului instituțional în vederea unei mai bune aplicări a normelor de protecție a datelor

Comisia va analiza modalitățile:

—	de consolidare, clarificare și armonizare a statutului și competențelor autorităților naționale de protecție a datelor;

—	de îmbunătățire a cooperării și coordonării între autoritățile de protecție a datelor;

—

de asigurare a unei aplicări mai coerente a normelor UE de protecție a datelor în cadrul pieței interne. Măsurile ar putea cuprinde: — consolidarea rolului autorităților naționale pentru protecția datelor; — o mai bună coordonare a activității acestora prin intermediul Grupului de lucru instituit prin articolul 29; — crearea unui mecanism în vederea asigurării coerenței în cadrul pieței interne, sub autoritatea Comisiei Europene.

7.1   Date fiind preocupările sale legate de aplicarea dispozițiilor în vigoare și de repararea prejudiciilor, aceste propuneri sunt chestiuni esențiale pentru Comitet. Sprijinim expresiile „consolidare, clarificare și armonizare” și „cooperare și coordonare”, precum și intenția generală a Comisiei de a asigura o aplicare mai uniformă a normelor europene de protecție a datelor în toate statele membre. CESE își exprimă îngrijorarea în legătură cu posibilitatea ca nu toate cele 12 noi state membre să fi încheiat deja punerea în aplicare integrală și eficientă a Directivei 95/46.

7.2   În opinia CESE, autoritățile naționale responsabile pentru protecția datelor sunt în general lipsite de putere reală și supraaglomerate, iar independența lor trebuie consolidată. Orice directivă nouă ar trebui să dispună ca autoritățile naționale să aibă statutul, puterea și resursele necesare pentru a-și îndeplini rolul. Sarcinile și liniile directoare privind dotarea lor cu resurse ar trebui definite pe o bază pan-europeană. Ar trebui să se aibă în vedere instituirea unei autorități pentru protecția datelor la nivelul UE.

7.3   Pe baza contribuției sale la protecția persoanelor în materie de prelucrare a datelor cu caracter personal, CESE consideră că Grupului de lucru instituit prin articolul 29 îi revine în continuare un rol important.

---

---