23.11.2011   

RO

Jurnalul Oficial al Uniunii Europene

C 343/1

1.

La 8 iunie 2011, Comisia a adoptat o propunere de regulament al Parlamentului European și al Consiliului privind statisticile europene de securitate față de criminalitate (3) („propunerea”). Propunerea a fost transmisă Autorității Europene pentru Protecția Datelor (AEPD) spre consultare în aceeași zi.

2.

AEPD apreciază faptul că a fost consultată în conformitate cu articolul 28 alineatul (2) din Regulamentul (CE) nr. 45/2001 și salută includerea în preambulul propunerii a unei trimiteri la prezentul aviz.

3.

De asemenea, AEPD apreciază faptul că i s-a dat posibilitatea de a formula, în prealabil, observații neoficiale privind proiectul de propunere.

4.

Obiectivul propunerii este punerea în aplicare în Uniunea Europeană a unei noi anchete (4) privind securitatea față de criminalitate. Aceasta urmează să stabilească un cadru comun pentru producerea unor statistici europene comparabile prin colectarea, elaborarea, prelucrarea și transmiterea de date europene armonizate.

5.

În anexa I la propunere se detaliază categoriile de date care urmează să fie prelucrate; acestea includ întrebări detaliate privind istoricul sociodemografic al respondenților la anchetă, eventualele incidente de violență fizică și sexuală suferite, sentimentul de securitate, atitudinile acestora față de aplicarea legii și precauțiile în materie de securitate.

6.

Propunerea reglementează transmiterea de către statele membre a datelor confidențiale către Comisie (Eurostat), precum și difuzarea și accesul la date confidențiale în scopuri științifice. Modalitățile practice de realizare a sistemului de codificare a datelor și a schimbului de microdate urmează să fie adoptate prin intermediul actelor de punere în aplicare.

7.

Prezentul aviz analizează elementele propunerii care se referă la prelucrarea datelor cu caracter personal. Acesta se bazează pe două avize formulate anterior de AEPD în acest sens, referitoare la Regulamentul (CE) nr. 223/2009, care oferă un cadru de referință pentru producerea statisticilor europene (5) și, respectiv, la Regulamentul (CE) nr. 1338/2008 privind statisticile referitoare la sănătatea și siguranța la locul de muncă (6).

8.

Avizul se referă, de asemenea, și la Regulamentul (CE) nr. 831/2002 privind accesul la date confidențiale în scopuri științifice (7), care este în prezent în curs de analiză. AEPD ar aprecia o solicitare de consultare în această privință. Referirile la Regulamentul (CE) nr. 831/2002 din prezentul aviz nu aduc atingere opiniei pe care AEPD o poate oferi în contextul respectiv.

9.

AEPD este conștientă de importanța dezvoltării, elaborării și difuzării de date statistice, după cum a afirmat și cu alte ocazii (8). Cu toate acestea, o îngrijorează riscul că persoanele vizate ar putea fi identificate și faptul că se prelucrează date sensibile precum cele referitoare la sănătate, viața sexuală și infracțiuni.

10.

AEPD salută referirile la protecția drepturilor și libertăților persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal din considerentele 6 și 7 ale propunerii, însă regretă faptul că evaluarea impactului care o însoțește nu ia în considerare impactul potențial al propunerii în ceea ce privește confidențialitatea și protecția datelor.

11.

Prezentul aviz discută posibilitatea identificării persoanelor vizate în contextul statisticilor și în propunere (partea II.2) și aplicabilitatea cadrului de protecție a datelor (partea II.3). În continuare, partea II.4 analizează prelucrarea datelor sensibile. În partea II.5, avizul se concentrează asupra garanțiilor de securitate și asupra caracterului anonim, pentru ca în final, în partea II.6, să abordeze informațiile care trebuie furnizate persoanelor vizate.

12.

Datele cu caracter personal sunt definite la articolul 2 litera (a) din Directiva 95/46/CE și la articolul 2 litera (a) din Regulamentul (CE) nr. 45/2001 ca fiind orice informație referitoare la o persoană fizică identificată sau identificabilă („persoana vizată”). Această identificare poate fi directă, de exemplu prin intermediul numelui, sau indirectă, de exemplu printr-un număr de identificare sau prin alte elemente. Astfel, atât timp cât există posibilitatea identificării persoanelor fizice, datele relevante se consideră a fi date cu caracter personal și, prin urmare, se aplică legislația privind protecția datelor.

13.

În contextul statisticilor, posibilitatea identificării persoanelor vizate se referă în principal la microdate (9), care conțin informații despre unitățile statistice individuale. În timp ce cercetătorii, factorii de decizie și alți utilizatori pot solicita accesul la microdate cât mai multe și mai detaliate pentru a îmbunătăți calitatea și flexibilitatea cercetării, respondenții au nevoie de garanții privind faptul că datele lor cu caracter personal vor fi protejate, mai ales atunci când anchetele vizează chestiuni sensibile precum cea din prezenta propunere. Protecția datelor cu caracter personal a provocat îngrijorare și în contextul analizei Regulamentului (CE) nr. 831/2002 (10).

14.

În ceea ce privește posibilitatea identificării persoanelor vizate, sunt relevante două noțiuni diferite din legislația UE privind statisticile: „datele confidențiale” și „datele anonime”. În conformitate cu Regulamentul (CE) nr. 223/2009, datele care permit ca unitățile statistice (care pot fi persoane fizice, gospodării, operatori economici sau alte întreprinderi) să fie „identificate, fie direct, fie indirect” se consideră a fi „date confidențiale” (11) și, prin urmare, li se aplică principiul confidențialității informațiilor statistice (12). Cu toate acestea, Regulamentul (CE) nr. 831/2002 definește datele confidențiale ca fiind date „care permit doar identificarea indirectă”. Deoarece în cadrul propunerii unitățile statistice se referă la persoane fizice (precum și la gospodării) (13), în cazul de față datele confidențiale includ date cu caracter personal și, prin urmare, legislația privind protecția datelor se aplică indiferent dacă datele permit identificarea directă sau indirectă.

15.

Și definiția „datelor anonime” prezintă ușoare diferențe între cele două regulamente. În timp ce Regulamentul (CE) nr. 831/2002 descrie „microdatele anonime” ca fiind înregistrări statistice individuale pentru care riscul identificării a fost „redus la minimum” (14), în conformitate cu articolul 19 din Regulamentul (CE) nr. 223/2009 „registrele anonime” sunt acelea „realizate astfel încât unitatea statistică să nu poată fi identificată, direct sau indirect, luându-se în considerare toate mijloacele relevante care pot fi utilizate în mod rezonabil de către terți” (15). Această definiție este comparabilă celor date la considerentul 26 al Directivei 95/46/CE și la considerentul 8 al Regulamentului (CE) nr. 45/2001, conform cărora datele cu caracter personal sunt „transformate în date anonime” atunci când persoana vizată „nu mai este” identificabilă, luându-se în considerare „toate mijloacele care pot fi utilizate în mod rezonabil fie de către operator, fie de către orice altă persoană pentru a identifica persoana vizată” (16).

16.

Prin urmare, după anonimizarea microdatelor în sensul articolului 19 din Regulamentul (CE) nr. 223/2009, care s-ar aplica în contextul prezentei propuneri numai în cazul în care microdatele ar fi puse la dispoziția publicului, acestea nu mai sunt considerate date cu caracter personal, iar dispozițiile Directivei 95/46/CE și ale Regulamentului (CE) nr. 45/2001 nu se mai aplică.

17.

Cu toate acestea, este posibil ca datele care sunt considerate anonime în contextul Regulamentului (CE) nr. 831/2002 să nu fie anonime în conformitate cu Directiva 95/46/CE și cu Regulamentul (CE) nr. 45/2001, deoarece poate exista în continuare riscul identificării, ceea ce înseamnă că li se aplică legislația privind protecția datelor. În prezenta propunere, această definiție a caracterului anonim se aplică seturilor de microdate furnizate în cazul în care ancheta relevantă este ulterior inclusă în lista menționată la articolul 6 din Regulamentul (CE) nr. 831/2002.

18.

Obiectivul propunerii este stabilirea unui cadru comun pentru „producerea de către statele membre a statisticilor europene […] prin colectarea, elaborarea, prelucrarea și transmiterea” (17) de date comparabile privind criminalitatea și siguranța.

19.

Datele urmează să fie colectate de către statele membre și transmise la Eurostat, care le difuzează și le pune la dispoziția cercetătorilor. Cu toate că propunerea nu reglementează modul de colectare a datelor de către statele membre, aceasta specifică ce date trebuie transmise Eurostat. Prin urmare, întrebările care li se pun respondenților în cadrul anchetei se stabilesc în funcție de categoriile de date pe care statele membre au obligația să le transmită la Eurostat și care sunt prezentate în anexa I la propunere.

20.

La punctul 6 din anexa I se solicită în mod explicit „identificarea respondentului”. În mod similar, una dintre întrebările care urmează să fie puse în cadrul anchetei cu privire la violența fizică din partea partenerului și din partea altor persoane este „cine a fost agresorul” [punctul 7 alineatul (1) din anexa I]. Dacă răspunsul la aceste întrebări este un nume, înseamnă că datele se referă la o persoană identificată direct.

21.

AEPD este conștientă de faptul că aceste întrebări nu își propun să obțină numele respondentului și pe cel al agresorului, ci probabil să aloce respondentului un cod sau să solicite anumite caracteristici specifice ale presupusului agresor, precum existența unei relații de familie și gradul de rudenie. În plus, AEPD salută faptul că identificatorii direcți nu se transmit la Eurostat, deoarece, în conformitate cu articolul 7 alineatul (1) din propunere, aceștia trebuie eliminați în prealabil. Cu toate acestea, AEPD recomandă modificarea modului în care aceste variabile sunt descrise la punctul 6 și punctul 7 alineatul (1) din anexa I, pentru a clarifica ce informații specifice sunt obligatorii și a evita colectarea inutilă a acestor identificatori direcți de către statele membre.

22.

Chiar și în lipsa identificatorilor direcți, este posibil ca datele colectate să permită totuși identificarea indirectă „prin referire la un număr de identificare” sau, dat fiind numărul mare de câmpuri de date solicitate în cadrul anchetei, prin referire „la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, psihice, economice, culturale sau sociale” (18). Prin urmare, prelucrarea datelor de către statele membre face obiectul legislației interne de punere în aplicare a Directivei 95/46/CE.

23.

În această privință, AEPD dorește să sublinieze fenomenul combinațiilor rare sau unice, în care combinarea unor informații diferite permite diferențierea persoanelor vizate de alte persoane și, prin urmare, identificarea acestora, după cum a semnalat Grupul de lucru pentru protecția persoanelor în ceea ce privește prelucrarea datelor cu caracter personal (19).

24.

Posibilitatea identificării poate exista în continuare în momentul transmiterii datelor la Eurostat și al accesării acestora de către cercetători, deoarece articolul 7 alineatul (1) din propunere (20) nu impune eliminarea identificatorilor indirecți, după cum s-a menționat mai sus. În plus, la articolul 7 alineatele (1) și (2) se solicită în mod explicit statelor membre să transfere microdate confidențiale la Eurostat. În mod similar, în conformitate cu articolul 9 alineatul (2) din propunere (21), Eurostat poate permite accesul la date confidențiale în scop științific.

25.

După cum s-a discutat mai sus, datele confidențiale sunt datele care permit cel puțin identificarea indirectă a unităților statistice, care în cazul de față includ persoanele fizice. Prin urmare, prelucrarea datelor de către Eurostat și accesarea acestora de către cercetători reprezintă prelucrare a datelor cu caracter personal, aplicându-se prevederile Regulamentului (CE) nr. 45/2001.

26.

În ceea ce privește difuzarea, la articolul 9 alineatul (1) se prevede că Eurostat „difuzează statisticile privind securitatea față de criminalitate până la 31 decembrie 2014 cel târziu”, dar nu specifică modurile în care trebuie realizată această difuzare. Dacă ancheta pusă în aplicare prin prezenta propunere este inclusă ulterior în lista menționată la articolul 6 din Regulamentul (CE) nr. 831/2002, riscul identificării nu este „redus la minimum” decât înainte de punerea la dispoziție a microdatelor. În acest caz, Regulamentul (CE) nr. 45/2001 se aplică atât timp cât identificarea persoanelor vizate este încă posibilă.

27.

În cazul în care microdatele se difuzează în mod public, se aplică articolul 19 din Regulamentul (CE) nr. 223/2009, care impune anonimizarea în sensul Directivei 95/46/CE și al Regulamentului (CE) nr. 45/2001 înainte ca unitățile statistice individuale să fie difuzate sub formă de dosar public. După anonimizarea în acest sens, microdatele nu mai sunt considerate date cu caracter personal și, prin urmare, Regulamentul (CE) nr. 45/2001 nu se mai aplică.

28.

Este important să se sublinieze faptul că datele cu caracter personal în cauză se încadrează într-o categorie specială de date, care se supun unor reguli mai stricte conform Directivei 95/46/CE și Regulamentului (CE) nr. 45/2001. Articolul 8 alineatul (1) din Directiva 95/46/CE și articolul 10 alineatul (1) din Regulamentul (CE) nr. 45/2001 interzic în mod explicit, cu excepția existenței unor condiții stricte, prelucrarea datelor cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, convingerile religioase sau filozofice, apartenența sindicală, precum și prelucrarea datelor privind sănătatea sau viața sexuală și restricționează prelucrarea datelor cu caracter personal referitoare la infracțiuni, condamnări penale sau măsuri de securitate (22).

29.

Statele membre au obligația de a prezenta Eurostat, printre alte categorii, date privind relațiile actuale sau anterioare, violența fizică și sexuală din partea partenerului și a altor persoane, tratamentele medicale, expunerea la droguri, infracțiunile și originea națională a respondenților și a părinților acestora. Aceste categorii includ date privind sănătatea, viața sexuală și infracțiunile și pot dezvălui originea etnică. În continuare se prezintă câteva exemple.

30.

Articolul 8 alineatele (2)-(4) din Directiva 95/46/CE și articolul 10 alineatele (2)-(4) din Regulamentul (CE) nr. 45/2001 conțin excepții de la interdicția privind prelucrarea acestor categorii de date. În cazul de față s-ar putea aplica articolul 8 alineatul (4) din Directiva 95/46/CE și articolul 10 alineatul (4) din Regulamentul (CE) nr. 45/2001, care permit prelucrarea unor astfel de date pentru un motiv de „interes public important”. Cu toate acestea, în cazul unei excepții trebuie să se prevadă „garanții corespunzătoare” și „legislația să prevadă” această excepție (23).

31.

În ceea ce privește ultima cerință, AEPD are convingerea că adoptarea unui regulament prin procedura legislativă ordinară impusă de articolul 338 din Tratatul privind funcționarea Uniunii Europene va oferi un temei juridic adecvat pentru prelucrarea acestor date.

32.

Cu toate acestea, propunerea nu detaliază suficient „interesul public important” care ar putea să justifice colectarea, transmiterea și difuzarea unor astfel de date sensibile și detaliate. În conformitate cu articolul 1, obiectivul propunerii este să stabilească „un cadru pentru dezvoltarea, elaborarea și difuzarea de statistici comparabile de securitate față de criminalitate”. Dar, cu toate că în expunerea de motive și în preambul se oferă explicații cu privire la contextul politic relevant, nu se explicitează scopurile specifice sau obiectivele politice pe care le urmăresc aceste statistici. Acestea sunt menționate doar parțial în fișa financiară legislativă anexată propunerii (24).

33.

Prin urmare, AEPD recomandă ca în preambulul propunerii să se menționeze cu claritate interesul public important care justifică prelucrarea, la fel cum s-a făcut în cadrul altor reglementări care impun prelucrarea datelor privind sănătatea (25) și realizarea statisticilor europene (26). Acest lucru este important și pentru evaluarea necesității de a prelucra categorii atât de detaliate de date sensibile, întrucât acestea pot fi excesive și nu pot fi considerate relevante dacă nu se specifică în mod clar scopul.

34.

În ceea ce privește necesitatea stabilirii unor garanții corespunzătoare, AEPD remarcă referirile la Regulamentul (CE) nr. 223/2009, la Regulamentul (CE) nr. 831/2002 și la Codul de bune practici al statisticilor europene (27), care impun protecția datelor confidențiale. Totuși, așa cum AEPD a semnalat anterior (28), faptul că datele care se referă direct sau indirect la persoane fizice identificabile sunt considerate date confidențiale și tratate ca atare nu asigură în mod automat conformitatea deplină a prelucrării acestora cu legislația privind protecția datelor. În acest sens, AEPD salută referirile la Directiva 95/46/CE și la Regulamentul (CE) nr. 45/2001 din preambulul propunerii.

35.

Cu toate acestea, luând în considerare caracterul sensibil al datelor care urmează să fie prelucrate și faptul că scopurile statistice se pot îndeplini prin intermediul unor microdate anonime (29), AEPD subliniază că datele ar trebui anonimizate imediat ce acest lucru este posibil în sensul Directivei 95/46/CE și al Regulamentului (CE) nr. 45/2001 (30). În cazul în care, din cauza nivelului de detaliere necesar anchetei, nu se poate garanta anonimizarea completă a microdatelor înainte de transmiterea acestora către Eurostat sau înainte ca cercetătorii să aibă acces la acestea și dacă se justifică în mod clar acest lucru, propunerea ar trebui cel puțin să depună toate eforturile în vederea anonimizării în sensul Regulamentului (CE) nr. 831/2002 (reducerea la minimum a riscului de identificare).

36.

Datele confidențiale, care în acest caz sunt date sensibile, ar trebui procesate numai în caz de necesitate, de exemplu atunci când scopurile științifice respective nu pot fi atinse cu ajutorul unor microdate care au fost anonimizate în sensul Directivei 95/46/CE și al Regulamentului (CE) nr. 45/2001 sau în cazul cărora riscurile de identificare au fost reduse la minimum în sensul Regulamentului (CE) nr. 831/2002. În orice caz, datele puse la dispoziția publicului ar trebui anonimizate în sensul Directivei 95/46/CE, al Regulamentului (CE) nr. 45/2001 și al articolului 19 din Regulamentul (CE) nr. 223/2009.

37.

Până în momentul anonimizării lor în sensul Directivei 95/46/CE și al Regulamentului (CE) nr. 45/2001, datele trebuie să facă obiectul unor măsuri tehnice și organizaționale adecvate care să asigure confidențialitatea și securitatea acestora în conformitate cu articolele 16 și 17 din Directiva 95/46/CE, precum și cu articolele 21 și 22 din Regulamentul (CE) nr. 45/2001. Aceste măsuri ar trebui să ia în considerare riscurile reprezentate de prelucrare și de natura sensibilă a datelor care trebuie protejate.

38.

În plus, la articolul 27 alineatul (1) din Regulamentul (CE) nr. 45/2001 se prevede că „operațiunile de prelucrare care pot prezenta riscuri specifice prin natura, domeniul de aplicare sau scopurile lor privind drepturile și libertățile persoanelor vizate fac obiectul unei verificări prealabile de către Autoritatea Europeană pentru Protecția Datelor”. La articolul 27 alineatul (2) se specifică faptul că prelucrarea datelor referitoare la „starea de sănătate”, la „presupuse infracțiuni”, la „infracțiuni” și la „condamnări penale” prezintă astfel de riscuri și, prin urmare, impune efectuarea unei verificări prealabile.

39.

Deoarece prelucrarea de către Eurostat implică date cu caracter personal referitoare la aceste categorii, aceasta face obiectul unei verificări prealabile (31). Prin urmare, AEPD poate oferi orientări suplimentare și recomandări specifice privind conformitatea cu regulile de protecție a datelor în cadrul unei proceduri de verificare prealabilă.

40.

În sfârșit, la articolul 8 alineatul (2) din propunere se afirmă că modalitățile practice de realizare a sistemului de codificare a datelor și a schimbului de microdate urmează să fie adoptate prin intermediul unor acte de punere în aplicare. AEPD ar aprecia o cerere de consultare privind aceste modalități practice.

41.

AEPD reamintește că, întrucât datele urmează să fie colectate în mod direct de la respondenți de către statele membre, se aplică articolul 10 din Directiva 95/46/CE. Prin urmare, persoanele vizate trebuie să fie informate cel puțin cu privire la: caracterul de voluntariat al anchetei și posibilitatea de a refuza să răspundă la una sau mai multe întrebări; scopurile operațiunii de prelucrare căreia îi sunt destinate datele; identitatea operatorului; faptul că datele urmează să fie transmise la Eurostat, care ar putea permite cercetătorilor să le acceseze; precum și la existența riscurilor de acces, rectificare, blocare și ștergere a datelor, cu excepția cazului în care prelucrarea se încadrează la excepțiile de la aceste drepturi prevăzute în legislația națională privind protecția datelor.

42.

AEPD a recunoscut în repetate rânduri importanța dezvoltării, elaborării și difuzării de date statistice. Cu toate acestea, este preocupată de prelucrarea datelor sensibile în contextul acestei anchete specifice și de posibilitatea identificării victimelor și a agresorilor care recurg la violență fizică și sexuală. Prin urmare, AEPD recomandă mai ales următoarele: