COMISIA EUROPEANĂ
Bruxelles, 24.6.2020
SWD(2020) 115 final
DOCUMENT DE LUCRU AL SERVICIILOR COMISIEI
[…]
care însoţeşte documentul
COMUNICARE A COMISIEI CĂTRE PARLAMENTUL EUROPEAN ȘI CONSILIU
Protecția datelor ca pilon al capacitării cetățenilor și al abordării UE privind tranziția digitală - doi ani de aplicare a Regulamentului general privind protecția datelor
{COM(2020) 264 final}
Cuprins
1
Contextul
2
Asigurarea respectării RGPD și funcționarea mecanismelor de cooperare și coerență
2.1
Utilizarea unor competențe extinse de către autoritățile pentru protecția datelor
Aspecte specifice sectorului public
Colaborarea cu alte autorități de reglementare
2.2
Mecanismele de cooperare și coerență
Ghișeul unic
Asistență reciprocă
Mecanismul pentru asigurarea coerenței
Provocările care trebuie abordate
2.3
Consiliere și orientări
Activități de creștere a gradului de sensibilizare și de consiliere la nivelul autorităților pentru protecția datelor
Orientările Comitetului european pentru protecția datelor
2.4
Resursele autorităților pentru protecția datelor
3
Normele sunt armonizate, dar persistă un anumit grad de fragmentare și abordări divergente
3.1
Punerea în aplicare a RGPD de către statele membre
Principalele probleme legate de punerea în aplicare la nivel național
Reconcilierea dintre dreptul la protecția datelor cu caracter personal și libertatea de exprimare și de informare
3.2
Clauzele de specificare facultative și limitele acestora
Fragmentarea ca urmare a utilizării clauzelor de specificare facultative
4
Capacitarea persoanelor fizice pentru a-și controla datele
5
Oportunități și provocări pentru organizații, în special pentru întreprinderile mici și mijlocii
Seturi de instrumente pentru întreprinderi
6
Aplicarea RGPD în cazul noilor tehnologii
7
Transferuri internaționale și cooperare globală
7.1
Confidențialitatea: o temă globală
7.2
Setul de instrumente RGPD cu privire la transferuri
Deciziile privind caracterul adecvat al nivelului de protecție
Garanții adecvate
Derogări
46
Deciziile instanțelor sau ale autorităților străine: nu reprezintă un motiv de transfer
47
7.3
Cooperarea internațională în domeniul protecției datelor
50
Dimensiunea bilaterală
50
Dimensiunea multilaterală
52
Anexa I: Clauzele de specificare facultative la nivelul legislației naționale
Anexa II: Prezentare generală a resurselor autorităților pentru protecția datelor
1Contextul
Regulamentul general privind protecția datelor (denumit în continuare „RGPD”) reprezintă rezultatul a opt ani de pregătire, elaborare și negocieri interinstituționale, aplicându-se de la data de 25 mai 2018, după o perioadă de tranziție de doi ani (cuprinsă între mai 2016 și mai 2018). În conformitate cu articolul 97 din RGPD, Comisia are obligația de a transmite un raport privind evaluarea și revizuirea regulamentului după doi ani de aplicare și, ulterior, la fiecare patru ani.
Evaluarea respectivă face parte dintr-o abordare pluridimensională, adoptată de Comisie încă înaintea aplicării RGPD și utilizată activ în continuare. În cadrul acestei abordări, Comisia s-a implicat într-un dialog bilateral permanent cu statele membre cu privire la conformitatea legislației naționale cu RGPD, a contribuit în mod susținut la activitatea Comitetului european pentru protecția datelor (denumit în continuare „comitetul”) prin experiența și competențele sale specifice, a sprijinit autoritățile pentru protecția datelor și a menținut contacte strânse cu o gamă largă de părți interesate cu privire la aplicarea practică a regulamentului.
Evaluarea are la bază bilanțul realizat de Comisie în primul an de aplicare a RGPD, rezumat în comunicarea din iulie 2019. De asemenea, ea vine în completarea comunicării din ianuarie 2018 privind aplicarea RGPD. Comisia a adoptat și orientările privind utilizarea datelor cu caracter personal în contextul alegerilor, publicate în septembrie 2018, precum și orientările privind aplicațiile care sprijină combaterea pandemiei de COVID-19, din aprilie 2020.
Deși evaluarea se concentrează pe cele două aspecte evidențiate la articolul 97 alineatul (2) din RGPD, și anume transferurile internaționale și mecanismele de cooperare și coerență, aceasta are o sferă mai largă, abordând aspecte care au fost semnalate de diferiți actori în ultimii doi ani.
În vederea pregătirii evaluării, Comisia a luat în considerare contribuțiile:
·Consiliului;
·Parlamentului European (Comisia pentru libertăți civile, justiție și afaceri interne);
·comitetului și ale autorităților individuale pentru protecția datelor, pe baza unui chestionar transmis de către Comisie;
·feedbackului membrilor Grupului multipartit de experți pentru susținerea aplicării RGPD, de asemenea în baza unui chestionar transmis de Comisie;
·precum și contribuțiile ad-hoc primite de la părțile interesate.
2Asigurarea respectării RGPD și funcționarea mecanismelor de cooperare și coerență
RGPD a instituit un sistem de guvernanță inovator și a pus bazele unei veritabile culturi europene de protecție a datelor, care își propune să asigure nu numai o interpretare armonizată, ci și o aplicare și asigurare armonizată a respectării normelor de protecție a datelor. Pilonii săi sunt autoritățile naționale independente pentru protecția datelor și comitetul înființat recent.
Deoarece autoritățile pentru protecția datelor sunt esențiale pentru funcționarea întregului sistem de protecție a datelor la nivelul UE, Comisia monitorizează cu atenție independența efectivă a acestora, inclusiv în legătură cu resursele financiare, umane și tehnice.
Este încă prea devreme pentru a se putea evalua pe deplin funcționarea mecanismelor de cooperare și coerență, având în vedere experiența redusă acumulată până în prezent. În plus, autoritățile pentru protecția datelor nu au utilizat încă întreaga gamă de instrumente puse la dispoziție de RGPD în vederea consolidării în continuare a cooperării dintre ele.
2.1Utilizarea unor competențe extinse de către autoritățile pentru protecția datelor
RGPD instituie autorități independente pentru protecția datelor și le oferă competențe de asigurare a respectării legii extinse și armonizate. De la aplicarea RGPD, aceste autorități utilizează o gamă largă de competențe corective acordate de RGPD, precum amenzile administrative (22 de autorități UE/SEE), avertizări și mustrări (23), dispoziții de respectare a cererilor persoanei vizate (26), dispoziții de asigurare a conformității operațiunilor de prelucrare cu prevederile RGPD (27), precum și dispoziții de rectificare, ștergere sau restricționare a prelucrării (17). Aproximativ jumătate dintre autoritățile pentru protecția datelor (13) au impus limitări temporare sau definitive asupra prelucrării, inclusiv interdicții. Toate acestea demonstrează o utilizare responsabilă a tuturor măsurilor corective prevăzute de RGPD; autoritățile pentru protecția datelor nu s-au ferit să impună amenzi administrative în plus față de sau în locul altor măsuri corective, în funcție de circumstanțele individuale ale cazurilor avute în vedere.
Amenzi administrative:
În perioada cuprinsă între 25 mai 2018 și 30 noiembrie 2019, 22 de autorități pentru protecția datelor la nivelul UE/SEE au aplicat aproximativ 785 de amenzi. Puține autorități nu au aplicat nicio amendă administrativă, deși procedurile în desfășurare în prezent ar putea duce la aplicarea unor astfel de amenzi. Majoritatea amenzilor au vizat încălcări în legătură cu: principiul legalității; consimțământul valabil; protecția datelor sensibile; obligația de transparență, drepturile persoanelor vizate; și încălcări ale securității datelor.
Exemplele de amenzi impuse de autoritățile pentru protecția datelor includ:
-
amendă în valoare de 200 000 EUR pentru nerespectarea dreptului persoanei vizate de a se opune prelucrării în scop de marketing direct în Grecia;
-
amendă în valoare de 220 000 EUR aplicată unei societăți de brokeraj de date din Polonia, ca urmare a neinformării persoanelor cu privire la faptul că datele lor sunt prelucrate;
-
amendă în valoare de 250 000 EUR aplicată ligii spaniole de fotbal LaLiga, pentru lipsă de transparență în conceperea aplicației sale pentru telefoane inteligente;
-
amendă în valoare de 14,5 milioane EUR, pentru încălcarea principiilor de protecție a datelor, în special pentru stocare ilegală, de către o societate imobiliară din Germania;
-
amendă în valoare de 18 milioane EUR pentru prelucrarea ilegală a unor categorii speciale de date la scară largă de către serviciile poștale din Austria;
-
amendă în valoare de 50 de milioane EUR aplicată întreprinderii Google în Franța, din cauza condițiilor pentru obținerea consimțământului utilizatorilor.
Succesul RGPD nu ar trebui cuantificat în funcție de numărul de amenzi aplicate, deoarece regulamentul prevede o paletă mai largă de competențe corective. În funcție de circumstanțe, de exemplu, efectul disuasiv al unei interdicții de prelucrare sau suspendarea fluxurilor de date poate reprezenta o măsură mult mai puternică.
Aspecte specifice sectorului public
RGPD permite statelor membre să stabilească dacă și în ce măsură pot fi impuse amenzi administrative autorităților și organismelor publice. În cazul în care statele membre recurg la această posibilitate, autoritățile pentru protecția datelor nu sunt private de dreptul de a utiliza toate celelalte competențe corective în legătură cu autoritățile și organismele publice.
Un alt aspect specific îl reprezintă supravegherea instanțelor: deși RGPD se aplică și activităților instanțelor, acestea sunt exceptate de la supravegherea de către autoritățile pentru protecția datelor atunci când acționează în calitatea lor judiciară. Cu toate aceste, Carta și TFUE obligă statele membre să încredințeze unui organism independent din cadrul sistemelor judiciare ale acestora activitatea de supraveghere a acestor operațiuni de prelucrare a datelor.
Colaborarea cu alte autorități de reglementare
După cum menționează în Comunicarea sa din iulie 2019, Comisia sprijină interacțiunea cu alte autorități de reglementare, cu respectarea deplină a competențelor lor respective. Protecția consumatorului și concurența reprezintă două arii promițătoare de colaborare. Comitetul și-a exprimat disponibilitatea de a colabora cu alte autorități de reglementare, în special în ceea ce privește concentrarea pe piețele digitale. Comisia a recunoscut importanța protecției vieții private și a datelor drept parametru calitativ pentru concurență. Membrii comitetului au participat la ateliere comune cu Rețeaua de cooperare pentru protecția consumatorului cu privire la colaborarea pentru o mai bună asigurare a respectării legislației UE în domeniul protecției consumatorului și al protecției datelor. Această abordare va fi urmată în vederea promovării unei înțelegeri comune și a dezvoltării unor modalități practice de gestionare a unor probleme concrete cu care se confruntă consumatorii, în special în cadrul economiei digitale.
Pentru a asigura o abordare coerentă în legătură cu protecția vieții private și a datelor și până la adoptarea Regulamentului privind viața privată și comunicațiile electronice, este absolut necesar să existe o strânsă colaborare cu autoritățile responsabile pentru punerea în aplicare a Directivei asupra confidențialității și comunicațiilor electronice, care constituie lex specialis în domeniul comunicațiilor electronice. O mai strânsă colaborare cu autoritățile competente în conformitate cu Directiva NIS, precum și cu Grupul de cooperare NIS ar fi în avantajul reciproc al autorităților respective și al autorităților pentru protecția datelor.
2.2Mecanismele de cooperare și coerență
RGPD a instituit mecanismul de cooperare (un mecanism al ghișeului unic pentru operatori, operațiuni comune și asistență reciprocă între autoritățile pentru protecția datelor) și mecanismul de coerență în vederea promovării aplicării uniforme a normelor de protecție a datelor prin intermediul unei interpretări coerente, precum și în vederea soluționării de către comitet a eventualelor neînțelegeri ce pot interveni între autorități.
Comitetul este alcătuit din reprezentanți ai tuturor autorităților pentru protecția datelor, este instituit ca organism al Uniunii Europene, are personalitate juridică și este pe deplin operațional, fiind sprijinit de un secretariat. Acesta este esențial pentru funcționarea celor două mecanisme menționate mai sus. Până la sfârșitul anului 2019, comitetul adoptase 67 de documente, inclusiv 10 noi orientări și 43 de avize.
Rolul important al comitetului a ieșit la iveală în situațiile în care a fost necesar să se asigure cu promptitudine o interpretare coerentă a RGPD și să se formuleze soluții imediat aplicabile la nivelul UE. De exemplu, în contextul pandemiei de COVID-19, în luna martie 2020, comitetul a adoptat o declarație referitoare la prelucrarea datelor cu caracter personal, care vizează, inter alia, legalitatea prelucrării și utilizarea datelor de localizare cu ajutorul telefoanelor mobile în acest context, iar, în luna aprilie 2020, a adoptat orientări referitoare la prelucrarea datelor privind sănătatea în scopul cercetării științifice în contextul pandemiei de COVID-19 și orientări privind utilizarea datelor de localizare și a instrumentelor de urmărire a contactelor în contextul pandemiei de COVID-19. Comitetul a contribuit semnificativ și la conceperea abordării UE cu privire la aplicațiile de urmărire a contactelor de către Comisie și statele membre.
Cooperarea de zi cu zi dintre autoritățile pentru protecția datelor, indiferent dacă acestea acționează în calitate de autoritate pentru protecția datelor sau în calitate de membru al comitetului, are la bază schimburi de informații și notificări ale cazurilor deschise de autorități. Pentru a înlesni comunicarea între autorități, Comisia le-a oferit acestora un sprijin semnificativ prin intermediul sistemului de schimb de informații pus la dispoziție. Majoritatea autorităților consideră că acest sistem este adaptat nevoilor mecanismelor de cooperare și coerență, deși ar putea fi îmbunătățit, astfel încât să devină mai ușor de utilizat.
Deși este încă devreme pentru un astfel de demers, pot fi deja identificate o serie de realizări și provocări, care sunt prezentate în continuare. Ele arată că, până în prezent, autoritățile pentru protecția datelor au utilizat în mod eficient instrumentele de cooperare, preferând soluții mai flexibile.
Ghișeul unic
Ca regulă generală, în cazurile transfrontaliere, o autoritate pentru protecția datelor dintr-un stat membru poate fi implicată fie (i) ca autoritate principală, în cazul în care sediul principal al operatorului în cauză este situat în acest stat membru, fie (ii) ca autoritate vizată, în cazul în care operatorul deține un sediu pe teritoriul acestui stat membru, în situația în care persoanele din acest stat membru sunt afectate semnificativ sau în situația în care le-a fost înaintată o plângere.
O astfel de cooperare strânsă a devenit o practică cotidiană: de la data aplicării RGPD, autoritățile pentru protecția datelor din toate statele membre s-au identificat, la un moment dat, fie ca autorități principale, fie ca autorități vizate în cazuri transfrontaliere, însă într-un grad diferit.
În perioada cuprinsă între luna mai 2018 și sfârșitul anului 2019, autoritatea pentru protecția datelor din Irlanda a acționat în calitate de autoritate principală în cel mai mare număr de cazuri transfrontaliere (127), fiind urmată de Germania (92), Luxemburg (87), Franța (64) și Țările de Jos (45). Acest clasament reflectă situația particulară a Irlandei și a Luxemburgului, unde își au sediul mai multe mari companii din domeniul tehnologiei informației.
Clasamentul este diferit în privința implicării în calitate de autorități vizate pentru protecția datelor, cele mai multe cazuri în această calitate fiind gestionate de autoritățile din Germania (435), urmate de cele din Spania (337), Danemarca (327), Franța (332) și Italia (306).
Între 25 mai 2018 și 31 decembrie 2019, 141 de proiecte de decizie au fost prezentate prin procedura ghișeului unic, iar pentru 79 dintre acestea s-au emis decizii finale. La data publicării prezentului raport, sunt în curs de adoptare mai multe decizii importante cu o dimensiune transfrontalieră, care fac obiectul mecanismului ghișeului unic. Unele dintre aceste decizii implică activitățile unor mari companii multinaționale din domeniul tehnologiei informației. Se preconizează că aceste decizii vor oferi clarificări și vor contribui la o mai bună armonizare a interpretării RGPD.
Asistență reciprocă
Autoritățile pentru protecția datelor au utilizat pe scară largă instrumentul de asistență reciprocă.
La sfârșitul anului 2019, existau 115 proceduri de asistență reciprocă, în special în legătură cu desfășurarea de investigații, majoritatea fiind derulate de autoritățile pentru protecția datelor din Spania (26), Germania (20), Danemarca (13), Polonia (12) și Republica Cehă (10). Pe de altă parte, Irlanda (19), Franța (11), Austria (10), Germania (10) și Luxemburg (9) au primit cele mai multe astfel de cereri.
Marea majoritate a autorităților consideră asistența reciprocă drept un instrument foarte util de cooperare și nu au întâmpinat vreun obstacol deosebit în legătură cu aplicarea procedurii de asistență reciprocă. Schimbul voluntar în baza procedurii de asistență reciprocă, ce nu face obiectul vreunui termen legal sau al unei obligații stricte de a răspunde, a fost utilizat mai frecvent, și anume în 2 427 de proceduri. Autoritatea pentru protecția datelor din Irlanda a transmis și a primit cel mai mare număr de cereri de asistență reciprocă (527 transmise și 359 primite), fiind urmată de autoritățile germane (260 transmise/356 primite).
Pe de altă parte, nu s-au desfășurat încă operațiuni comune, care ar da posibilitatea autorităților pentru protecția datelor din mai multe state membre să se implice deja la nivel de investigație în cazurile transfrontaliere. Comitetul analizează în prezent aplicarea în practică a acestui instrument, precum și modul de promovare a utilizării sale.
Mecanismul pentru asigurarea coerenței
Până în prezent, s-a utilizat doar prima parte a mecanismului pentru asigurarea coerenței, și anume emiterea de avize de către comitet. Pe de altă parte, nu a fost inițiată încă nicio procedură de urgență sau de soluționare a litigiilor la nivel de comitet.
Între 25 mai 2018 și 31 decembrie 2019, comitetul a emis 36 de avize în contextul adoptării de măsuri de către unul dintre membrii săi. Majoritatea (31) acestor decizii au vizat adoptarea listelor naționale de operațiuni de prelucrare care necesită o evaluare a impactului asupra protecției datelor. Două avize se referă la normele corporative obligatorii, alte două avize au legătură cu proiectul de cerințe de acreditare pentru un organism de monitorizare a codurilor de conduită, iar un altul vizează clauzele contractuale standard.
În plus, comitetul a adoptat, la cerere, șase avize. Trei dintre aceste avize se referă la listele naționale de operațiuni de prelucrare care nu necesită o evaluare a impactului asupra protecției datelor. Celelalte vizează un acord administrativ de transfer al datelor cu caracter personal între autorități de supraveghere financiară din SEE și din afara SEE, respectiv interacțiunea dintre Directiva asupra confidențialității și comunicațiilor electronice și RGPD și competența unei autorități de supraveghere în cazul schimbării circumstanțelor cu privire la sediul principal sau sediul unic.
Provocările care trebuie abordate
Deși autoritățile pentru protecția datelor au colaborat extrem de activ în cadrul comitetului și utilizează deja intens instrumentul de cooperare pentru asistență reciprocă, dezvoltarea unei veritabile culturi comune de protecție a datelor reprezintă un proces continuu.
În special, gestionarea cazurilor transfrontaliere impune o abordare mai eficientă și armonizată, precum și utilizarea eficientă a tuturor instrumentelor de cooperare prevăzute de RGPD. Există un consens foarte larg cu privire la acest aspect, având în vedere faptul că a fost menționat în diverse moduri de către Parlamentul European, Consiliu, Autoritatea Europeană pentru Protecția Datelor, părțile interesate (în cadrul Grupului multipartit de experți și în afara sa), precum și de autoritățile pentru protecția datelor.
Principalele probleme ce trebuie abordate în acest context includ diferențe în legătură cu:
·proceduri administrative naționale privind în special: procedurile de soluționare a plângerilor, criteriile de admisibilitate a plângerilor, durata procedurilor din cauza diferitelor intervale de timp sau a absenței oricăror termene, momentul în cadrul procedurii în care se acordă dreptul de a fi audiat, informarea și implicarea reclamanților în timpul procedurii;
·interpretările unor concepte cu privire la mecanismul de cooperare, precum informațiile relevante, noțiunea de „fără întârziere”, „plângere”, documentul definit ca „proiect de decizie” al autorității principale pentru protecția datelor, soluționare pe cale amiabilă (în special procedura care conduce la soluționarea pe cale amiabilă și modalitatea juridică de soluționare); și
·abordarea cu privire la momentul începerii procedurii de cooperare, implicarea autorităților vizate pentru protecția datelor și comunicarea informațiilor către acestea. Reclamanților le este neclar modul în care sunt gestionate cazurile transfrontaliere, după cum au subliniat mai mulți membri ai grupului multipartit. În plus, întreprinderile menționează că, în anumite situații, autoritățile naționale pentru protecția datelor nu au deferit cazurile autorității principale pentru protecția datelor, ci le-au gestionat local.
Comisia salută anunțul comitetului de lansare a unui proces de reflecție cu privire la modul de abordare a acestor aspecte problematice. În special, comitetul a indicat că va clarifica etapele procedurale aferente cooperării dintre autoritatea principală pentru protecția datelor și autoritățile vizate pentru protecția datelor, va analiza legislația națională în materie de proceduri administrative, va acționa pentru stabilirea unei interpretări comune a conceptelor-cheie și va contribui la consolidarea comunicării și a cooperării (inclusiv a operațiunilor comune). Procesul de reflecție și analiză al comitetului ar trebui să conducă la instituirea unor modalități de lucru mai eficiente în cazurile transfrontaliere, inclusiv prin valorificarea experienței membrilor săi și prin intensificarea implicării secretariatului. În plus, ar trebui menționat faptul că responsabilitatea comitetului în legătură cu asigurarea unei interpretări coerente a RGPD nu poate fi considerată îndeplinită prin simpla identificare a celui mai mic numitor comun.
În sfârșit, în calitate de organism UE, comitetul are obligația de a aplica legislația administrativă a UE și de a asigura transparența în cadrul procesului decizional.
2.3Consiliere și orientări
Activități de creștere a gradului de sensibilizare și de consiliere la nivelul autorităților pentru protecția datelor
Mai multe autorități pentru protecția datelor au creat instrumente noi, cum ar fi liniile de asistență pentru persoane fizice și întreprinderi, precum și o serie de seturi de instrumente pentru întreprinderi. Mulți operatori salută pragmatismul acestor autorități în acordarea de asistență cu privire la aplicarea RGPD. În special, o parte dintre acestea au colaborat și au comunicat activ și îndeaproape cu responsabilii cu protecția datelor, inclusiv prin intermediul asociațiilor responsabililor cu protecția datelor. De asemenea, mai multe autorități au elaborat orientări care vizează rolul și obligațiile responsabililor cu protecția datelor în vederea sprijinirii activităților cotidiene ale acestora și au organizat seminarii care li se adresează acestora. Cu toate acestea, nu toate autoritățile pentru protecția datelor au acționat astfel.
Feedbackul primit de la părțile interesate relevă și o serie de probleme în legătură cu orientările și consilierea oferită:
·absența unei abordări și a unor orientări coerente la nivelul autorităților naționale pentru protecția datelor în legătură cu o serie de aspecte (de exemplu, în privința cookie-urilor, a aplicării interesului legitim, a notificărilor în caz de încălcare a securității datelor sau a evaluărilor impactului asupra protecției datelor) sau chiar la nivelul autorităților pentru protecția datelor din același stat membru (de exemplu, în Germania, în legătură cu noțiunile de operator și persoană împuternicită de operator);
·neconcordanța dintre orientările adoptate la nivel național și cele adoptate de comitet;
·absența consultărilor publice în legătură cu anumite orientări adoptate la nivel național;
·niveluri diferite de implicare în relația cu părțile interesate la nivelul autorităților pentru protecția datelor;
·întârzieri ale răspunsurilor la cererile de informații;
·dificultăți în a obține consiliere din partea autorităților pentru protecția datelor;
·nevoia de dezvoltare a nivelului competențelor sectoriale în cazul unora dintre autoritățile pentru protecția datelor (de exemplu, în sectorul farmaceutic și cel medical).
Unele dintre aceste probleme au legătură și cu lipsa de resurse la nivelul mai multor autorități pentru protecția datelor (a se vedea mai jos).
Practici divergente în legătură cu notificările în caz de încălcare a securității datelor
Deși Consiliul subliniază sarcina impusă de aceste notificări, există discrepanțe semnificative cu privire la notificări de la un stat membru la altul: în timp ce, în perioada cuprinsă între luna mai 2018 și sfârșitul lunii noiembrie 2019, în majoritatea statelor membre, numărul total de notificări în caz de încălcare a securității datelor s-a menținut sub 2 000, iar în 7 state membre între 2 000 și 10 000, autoritățile pentru protecția datelor din Țările de Jos și Germania au raportat 37 400 și, respectiv, 45 600 de notificări.
Aceasta poate sugera lipsa unei interpretări și aplicări coerente, în ciuda existenței unor orientări cu privire la notificările în caz de încălcare a securității datelor la nivelul UE.
Orientările Comitetului european pentru protecția datelor
Până în prezent, comitetul a adoptat peste 20 de orientări, care vizează aspecte-cheie prevăzute în RGPD. Orientările reprezintă un instrument esențial pentru aplicarea coerentă a RGPD și, pe cale de consecință, elaborarea acestora a fost salutată, în mare măsură, de părțile interesate. Părțile interesate au apreciat consultările publice sistematice (între 6 și 8 săptămâni). Cu toate acestea, ele solicită o mai mare disponibilitate pentru dialog din partea comitetului. În acest context, practica organizării de ateliere pe anumite teme anterior elaborării orientărilor ar trebui continuată și intensificată în vederea asigurării transparenței, a caracterului favorabil incluziunii și a relevanței activității comitetului. De asemenea, părțile interesate solicită ca interpretarea celor mai controversate aspecte să fie abordată în orientări, deoarece ele fac obiectul consultărilor publice și nu se încadrează în avizele prevăzute la articolul 64 alineatul (2) din RGPD. De asemenea, unele părți interesate solicită orientări mai practice, care să detalieze aplicarea conceptelor și a dispozițiilor RGPD. Membrii Grupului multipartit de experți subliniază necesitatea unor exemple mai concrete pentru a reduce, pe cât posibil, marja de interpretare divergentă de către autoritățile pentru protecția datelor. În același timp, solicitările de clarificare în legătură cu aplicarea RGPD și de asigurare a securității juridice nu ar trebui să conducă la cerințe suplimentare sau să reducă avantajele abordării bazate pe riscuri și ale principiului responsabilității.
Aspectele în legătură cu care părțile interesate și-ar dori elaborarea unor orientări suplimentare de către comitet includ: domeniul de aplicare al drepturilor persoanelor vizate (inclusiv în contextul ocupării unui loc de muncă); actualizarea avizului cu privire la prelucrarea bazată pe interesul legitim; noțiunile de operator, operator asociat și persoană împuternicită de operator și toate acordurile necesare între părți; aplicarea RGPD în cazul noilor tehnologii (cum ar fi tehnologia blockchain și inteligența artificială); prelucrarea în contextul cercetării științifice (inclusiv în legătură cu cooperarea la nivel internațional); prelucrarea datelor copiilor; pseudonimizare și anonimizare; și prelucrarea datelor privind sănătatea.
Comitetul a specificat deja faptul că va publica orientări cu privire la multe din aceste subiecte și a început deja să elaboreze o serie de orientări (de exemplu, cu privire la aplicarea interesului legitim ca temei juridic pentru prelucrarea datelor).
Părțile interesate solicită comitetului să actualizeze și să revizuiască orientările existente dacă este cazul, având în vedere experiența acumulată de la publicarea acestora, și să profite de această ocazie pentru a detalia anumite aspecte, după cum este necesar.
2.4Resursele autorităților pentru protecția datelor
Asigurarea resurselor umane, tehnice și financiare, precum și a spațiilor și a infrastructurii necesare fiecărei autorități pentru protecția datelor reprezintă o condiție esențială pentru îndeplinirea cu eficacitate a sarcinilor și exercitarea competențelor acestora și, astfel, o condiție esențială pentru asigurarea independenței lor.
Majoritatea autorităților pentru protecția datelor beneficiază de un număr mai mare de angajați și un volum mai mare de resurse de la intrarea în vigoare a RGPD în 2016. Cu toate acestea, multe autorități continuă să raporteze că nu dispun de suficiente resurse.
Numărul de angajați ai autorităților naționale pentru protecția datelor
Numărul total de angajați ai autorităților pentru protecția datelor din SEE per ansamblu a crescut cu 42 % între 2016 și 2019 (cu 62 %, dacă se ține seama de previziunea pentru 2020).
În această perioadă, a crescut numărul de angajați al majorității autorităților, cea mai mare creștere (exprimată ca procent) fiind înregistrată pentru autoritățile din Irlanda (+ 169 %), Țările de Jos (+ 145 %), Islanda (+ 143 %), Luxemburg (+ 126 %) și Finlanda (+ 114 %). Pe de altă parte, numărul de angajați a scăzut la nivelul mai multor autorități pentru protecția datelor, cea mai puternică astfel de scădere fiind observată în Grecia (- 15 %), urmată de Bulgaria (- 14 %), Estonia (- 11 %), Letonia (- 10 %) și Lituania (- 8 %). În cadrul unora dintre autorități, scăderea efectivelor de personal se datorează și migrării experților în domeniul protecției datelor înspre sectorul privat, care oferă condiții de lucru mai avantajoase.
În general, previziunea pentru 2020 prevede o creștere a efectivelor de personal comparativ cu 2019, cu excepția autorităților din Austria, Bulgaria, Italia, Suedia și Islanda (unde se preconizează că numărul angajaților va rămâne stabil), Cipru și Danemarca (unde se preconizează că numărul de angajați va scădea).
Autoritățile germane pentru protecția datelor au împreună cel mai mare număr de angajați (888 în 2019/1002 în previziunea pentru 2020), fiind urmate de autoritățile pentru protecția datelor din Polonia (238/260), Franța (215/225), Spania (170/220), Țările de Jos (179/188), Italia (170/170) și Irlanda (140/176).
Autoritățile pentru protecția datelor cu cele mai reduse efective de personal sunt cele din Cipru (24/22), Letonia (19/31), Islanda (17/17), Estonia (16/18) și Malta (13/15).
Bugetul autorităților naționale pentru protecția datelor
Bugetul total al autorităților pentru protecția datelor din SEE per ansamblu a crescut cu 49 % între 2016 și 2019 (cu 64 %, dacă se ține seama de previziunea pentru 2020).
În această perioadă, a crescut bugetul majorității autorităților, cea mai mare creștere (exprimată ca procent) fiind înregistrată pentru autoritățile din Irlanda (+ 223 %), Islanda (+ 167 %), Luxemburg (+ 165 %), Țările de Jos (+ 130 %) și Cipru (+ 114 %). Pe de altă parte, unele autorități au înregistrat doar o creștere redusă la nivelului bugetului, cele mai reduse creșteri fiind înregistrate de autoritățile pentru protecția datelor din Estonia (7 %), Letonia (4 %), România (3 %) și Belgia (1 %), în timp ce bugetul autorității din Franța a suferit o reducere (- 2 %).
În general, previziunea pentru 2020 prevede o creștere a bugetului comparativ cu 2019, cu excepția autorităților din Austria, Bulgaria, Estonia și Țările de Jos (unde se preconizează că bugetele autorităților vor rămâne stabile).
Autoritățile pentru protecția datelor cu cele mai generoase bugete sunt cele din Germania (76,6 milioane EUR în 2019/85,8 milioane EUR în previziunea pentru 2020), Italia (29,1/30,1), Țările de Jos (18,6/18,6), Franța (18,5/20,1) și Irlanda (15,2/16,9).
Autoritățile pentru protecția datelor cu cele mai reduse bugete sunt cele din Croația (1,2 milioane EUR în 2019/1,4 milioane EUR în previziunea pentru 2020), Romania (1,1/1,3), Letonia (0,6/1,2), Cipru (0,5/0,5) și Malta (0,5/0,6).
Tabelul din anexa II oferă o prezentare a resurselor umane și bugetare ale autorităților naționale pentru protecția datelor.
Pe lângă impactul asupra capacității acestora de a aplica normele la nivel național, lipsa resurselor limitează și capacitatea autorităților pentru protecția datelor de a participa și contribui la mecanismele de cooperare și coerență, precum și la activitatea desfășurată în cadrul comitetului. După cum a subliniat comitetul, succesul mecanismului ghișeului unic depinde de timpul alocat și efortul depus de autoritățile pentru protecția datelor în vederea gestionării și cooperării în legătură cu cazurile transfrontaliere individuale. Problema resurselor este agravată de rolul tot mai important al autorităților în legătură cu supravegherea sistemelor IT la scară largă dezvoltate în prezent. În plus, autoritățile pentru protecția datelor din Irlanda și Luxemburg au o serie de nevoi specifice în ceea ce privește resursele, în calitate de autorități principale responsabile pentru aplicarea RGPD în relația cu marile companii din domeniul tehnologiei informației, care își au cu precădere sediile în aceste state membre.
În timp ce Consiliul subliniază impactul mecanismului de cooperare și al termenelor prevăzute de acesta asupra activității autorităților pentru protecția datelor, RGPD obligă statele membre să asigure autorităților naționale pentru protecția datelor resurse umane, financiare și tehnice adecvate.
În prezent, secretariatul comitetului, asigurat de Autoritatea Europeană pentru Protecția Datelor, este compus din 20 de persoane, inclusiv experți în domeniul juridic, IT și comunicare. Trebuie evaluat dacă este necesar ca această cifră să evolueze în viitor, având în vedere îndeplinirea eficientă a funcției sale de suport analitic, administrativ și logistic față de comitet și subgrupurile sale, inclusiv prin gestionarea sistemului de schimb de informații.
3Normele sunt armonizate, dar persistă un anumit grad de fragmentare și abordări divergente
RGPD asigură o abordare coerentă a normelor de protecție a datelor în întreaga UE, înlocuind regimurile naționale diferite existente în baza Directivei privind protecția datelor din 1995.
3.1Punerea în aplicare a RGPD de către statele membre
RGPD este direct aplicabil în toate statele membre începând cu 25 mai 2018. Acesta a obligat statele membre să legifereze, în special să înființeze autorități naționale pentru protecția datelor și să stabilească o serie de condiții generale pentru membrii acestora, pentru a se asigura că fiecare autoritate acționează complet independent în cadrul îndeplinirii sarcinilor sale și al exercitării competențelor de care dispune în conformitate cu RGPD. Obligațiile legale și sarcinile publice pot constitui un temei juridic pentru prelucrarea datelor cu caracter personal, în cazul în care sunt prevăzute de legislația națională (sau a Uniunii). În plus, statele membre trebuie să stabilească norme cu privire la sancțiunile aplicate, în special pentru încălcări care nu fac obiectul amenzilor administrative, precum și să asigure un echilibru între dreptul la protecția datelor cu caracter personal și dreptul la libertatea de exprimare și de informare. De asemenea, legislația națională poate prevedea un temei juridic pentru exceptarea de la interdicția generală de prelucrare a unor categorii speciale de date cu caracter personal, de pildă din considerente de interes public major în domeniul sănătății publice, inclusiv protecția împotriva amenințărilor transfrontaliere grave la adresa sănătății. În plus, statele membre trebuie să asigure acreditarea organismelor de certificare.
Comisia monitorizează punerea în aplicare a RGPD în legislația națională. La data elaborării prezentului raport, toate statele membre, cu excepția Sloveniei, adoptaseră noua legislație de protecție a datelor sau își adaptaseră legislația în acest domeniu. Astfel, Comisia a solicitat Sloveniei să transmită clarificări cu privire la progresul înregistrat până în prezent și a invitat-o să finalizeze acest proces.
În plus, conformitatea legislației naționale cu normele de protecție a datelor în ceea ce privește acquis-ul Schengen este de asemenea evaluată în contextul mecanismului de evaluare Schengen coordonat de Comisie. Comisia și statele membre evaluează împreună modul în care țările aplică acquis-ul Schengen în mai multe domenii; pentru protecția datelor, acest aspect se referă la sistemele IT la scara largă, cum ar fi Sistemul de informații Schengen și Sistemul de informații privind vizele, și include rolul autorităților pentru protecția datelor în legătură cu supravegherea prelucrării datelor cu caracter personal în cadrul acestor sisteme.
Activitățile de adaptare a legislației sectoriale se află încă în desfășurare la nivel național. Ca urmare a includerii RGPD în Acordul privind Spațiul Economic European, aplicarea sa a fost extinsă la Norvegia, Islanda și Liechtenstein. Și aceste țări au adoptat legislație națională privind protecția datelor.
Comisia va utiliza toate instrumentele de care dispune, inclusiv procedurile de constatare a neîndeplinirii obligațiilor, pentru a se asigura că statele membre respectă RGPD.
Principalele probleme legate de punerea în aplicare la nivel național
Principalele probleme identificate până în prezent în urma evaluării curente a legislației naționale și a schimburilor bilaterale cu statele membre includ:
·restricționări de aplicare a RGPD: unele state membre, de exemplu, exclud complet activitățile parlamentului național;
·diferențe de aplicabilitate a legislației naționale de specificare. Pentru unele state membre, aplicabilitatea legislației naționale se stabilește în funcție de locul în care sunt oferite bunurile sau serviciile, în timp ce alte state membre au în vedere locul unde își are sediul operatorul sau persoana împuternicită de operator. Această practică este contrară obiectivului de armonizare urmărit de RGPD;
·legislații naționale care ridică probleme legate de proporționalitatea interferenței cu dreptul la protecția datelor. De exemplu, Comisia a inițiat o procedură de constatare a neîndeplinirii obligațiilor împotriva unui stat membru care a adoptat o legislație ce impune judecătorilor să dezvăluie o serie de informații specifice cu privire la activitățile acestora din afara sferei profesionale, ceea ce este incompatibil cu dreptul la respectarea vieții private și dreptul la protecția datelor cu caracter personal;
·absența unui organism independent de supraveghere a prelucrării datelor de către instanțe, atunci când acționează în calitatea lor de autoritate judiciară;
·legislație în domenii reglementate integral de RGPD, care se situează în afara marjei de manevră stabilite pentru specificări sau restricționări. În special, această situație intervine atunci când legislația națională stabilește condiții de prelucrare în baza interesului legitim, asigurând un echilibru între interesele operatorului și cele ale persoanelor vizate, în timp ce RGPD obligă fiecare operator să realizeze acest echilibru individual și să aplice respectivul temei juridic;
·specificări și cerințe suplimentare care se situează în afara prelucrării în vederea respectării unei obligații legale sau a îndeplinirii unei sarcini publice (de exemplu, în legătură cu supravegherea video în sectorul privat sau activitățile de marketing direct); și în legătură cu concepte utilizate în RGPD (de exemplu, „pe scară largă” sau „ștergere”).
Unele dintre aceste aspecte pot fi clarificate de Curtea de Justiție într-o serie de cauze pendinte.
Reconcilierea dintre dreptul la protecția datelor cu caracter personal și libertatea de exprimare și de informare
O problemă specifică vizează punerea în aplicare a obligației statelor membre de a realiza reconcilierea pe cale legislativă între dreptul la protecția datelor cu caracter personal și libertatea de exprimare și de informare. Acest aspect este foarte complex, deoarece o evaluare a echilibrului dintre aceste drepturi fundamentale trebuie să țină seama și de dispozițiile și garanțiile din legislația privind presa și mass-media.
Evaluarea legislațiilor statelor membre indică abordări diferite în legătură cu reconcilierea dintre dreptul la protecția datelor cu caracter personal și libertatea de exprimare și de informare:
·în ceea ce privește ordinea precedenței, în unele state membre primează libertatea de exprimare sau este exceptată, în principiu, aplicarea unor capitole întregi menționate la articolul 85 alineatul (2) din RGPD, în cazul în care este vorba de prelucrarea datelor în scopuri jurnalistice sau ce vizează exprimarea academică, artistică sau literară. Într-o anumită măsură, legislația privind mass-media oferă anumite garanții cu privire la drepturile persoanelor vizate;
·în unele state membre primează protecția datelor cu caracter personal și este exceptată aplicarea normelor de protecție a datelor numai în anumite situații, cum ar fi în cazul persoanelor publice;.
·alte state membre prevăd stabilirea de către legiuitor a unui anumit echilibru și/sau a unei evaluări de la caz la caz în ceea ce privește derogările de la anumite dispoziții ale RGPD.
Comisia va continua evaluarea legislației naționale în baza cerințelor Cartei. Reconcilierea trebuie să fie prevăzută în lege, să respecte esența drepturilor fundamentale respective și să fie proporțională și necesară [articolul 52 alineatul (1) din Cartă]. Normele de protecție a datelor nu ar trebui să afecteze exercitarea libertății de exprimare și de informare, în special prin efecte de intimidare sau printr-o interpretare ca modalitate de exercitare de presiuni asupra jurnaliștilor ca să își dezvăluie sursele.
3.2Clauzele de specificare facultative și limitele acestora
RGPD oferă statelor membre posibilitatea de a detalia aplicarea sa într-un număr limitat de domenii. Această marjă de manevră oferită legislației naționale este diferită de obligația de a pune în aplicare anumite dispoziții ale RGPD, după cum s-a menționat mai sus. Clauzele de specificare facultative sunt incluse în anexa I.
Marjele de manevră oferite statelor membre sunt supuse condițiilor și limitărilor prevăzute de RGPD și nu permit un regim național paralel de protecție a datelor. Statele membre au obligația de a modifica sau abroga legislația națională de protecție a datelor, inclusiv legislația sectorială, în legătură cu aspecte circumscrise protecției datelor.
În plus, legislația aferentă a unui stat membru nu trebuie să includă dispoziții ce pot crea confuzii cu privire la aplicarea directă a RGPD. Astfel, în cazul în care RGPD prevede specificări sau restricționări ale normelor sale de către legislația națională, statele membre pot, în măsura în care acest lucru este necesar pentru coerență și pentru a asigura înțelegerea dispozițiilor naționale de către persoanele cărora li se aplică acestea, să încorporeze elemente din RGPD în legislația națională a acestora.
Părțile interesate consideră că statele membre ar trebui să reducă sau să nu utilizeze clauzele de specificare, deoarece acestea nu contribuie la armonizare. Diferențele de punere în aplicare a legislațiilor la nivel național, precum și de interpretare a acestora de către autoritățile pentru protecția datelor determină creșterea considerabilă a costului de respectare a cerințelor legale în cadrul UE.
Fragmentarea ca urmare a utilizării clauzelor de specificare facultative
·Limita de vârstă pentru consimțământul copiilor în raport cu serviciile societății informaționale
O serie de state membre au recurs la posibilitatea de a specifica o vârstă sub 16 ani pentru consimțământul în legătură cu serviciile societății informaționale [articolul 8 alineatul (1) din RGPD]. În timp ce nouă state membre aplică limita de vârstă de 16 ani, opt state membre au optat pentru 13 ani, șase pentru 14 ani și trei pentru 15 ani.
Pe cale de consecință, o întreprindere care oferă minorilor servicii ale societății informaționale la nivelul UE trebuie să facă diferențe în legătură cu vârstele potențialilor utilizatori în funcție de statul membru în care aceștia își au domiciliul. Acest lucru contravine obiectivului-cheie al RGPD de a asigura un nivel egal de protecție persoanelor, precum și oportunități de afaceri egale în toate statele membre.
Astfel de diferențe conduc la situații în care statul membru unde își are sediul operatorul prevede o limită de vârstă diferită de cea stabilită de statul membru în care își au domiciliul persoanele vizate.
·Sănătatea și cercetarea
Atunci când pune în aplicare derogări de la interdicția generală de prelucrare a categoriilor speciale de date cu caracter personal, legislația statelor membre urmărește abordări diferite în ceea ce privește nivelul specificării și al garanțiilor, inclusiv în scopuri legate de sănătate și de cercetare. Majoritatea statelor membre au introdus sau au menținut condiții suplimentare de prelucrare a datelor genetice, a datelor biometrice sau a datelor privind sănătatea. Acest lucru este valabil și pentru derogările care se referă la drepturile persoanelor vizate în scopuri de cercetare, atât în ceea ce privește extinderea derogărilor respective, cât și a garanțiilor aferente.
Viitoarele orientări ale comitetului în ceea ce privește utilizarea datelor cu caracter personal în domeniul cercetării științifice vor contribui la o abordare armonizată în această arie. Comisia va furniza contribuții comitetului, în special în ceea ce privește cercetarea în domeniul sănătății, inclusiv sub formă de întrebări concrete și analize cu privire la scenarii concrete, pe care le-a primit de la comunitatea de cercetare. Ar fi util ca aceste orientări să poată fi adoptate înainte de lansarea programului-cadru Orizont Europa, în vederea armonizării practicilor de protecție a datelor și a înlesnirii partajării datelor pentru progrese în cercetare. În egală măsură, ar putea fi utile și o serie de orientări ale comitetului în legătură cu prelucrarea datelor cu caracter personal în domeniul sănătății.
RGPD oferă un cadru robust pentru legislația națională în domeniul sănătății publice și include în mod explicit referiri la amenințări transfrontaliere la adresa sănătății, precum și la monitorizarea epidemiilor și a răspândirii acestora, ce s-au dovedit relevante în contextul combaterii pandemiei de COVID-19.
La nivelul UE, la 8 aprilie 2020, Comisia a adoptat o Recomandare privind un set de instrumente pentru utilizarea tehnologiei și a datelor în acest context, în special în ceea ce privește aplicațiile mobile și utilizarea datelor anonimizate privind mobilitatea, iar, la 16 aprilie 2020, Comisia a publicat orientări în domeniul protecției datelor privind aplicațiile care sprijină combaterea pandemiei. Comitetul a publicat o declarație cu privire la prelucrarea datelor în acest context la 19 martie 2020, urmată, la 21 aprilie 2020, de orientări privind prelucrarea datelor în scopuri de cercetare și de orientări privind utilizarea datelor de localizare și a instrumentelor de urmărire a contactelor în acest context. Aceste recomandări și orientări clarifică modul de aplicare a principiilor și normelor de protecție a datelor cu caracter personal în contextul combaterii pandemiei.
·Restricții extinse în legătură cu drepturile persoanelor vizate
Majoritatea legilor naționale privind protecția datelor care restricționează drepturile persoanelor vizate nu specifică obiectivele de interes public general protejate de aceste restricții și/sau nu respectă suficient condițiile și garanțiile prevăzute la articolul 23 alineatul (2) din RGPD. Mai multe state membre nu oferă posibilitatea efectuării testului de proporționalitate sau aplică restricțiile și în afara sferei de aplicare a articolului 23 alineatul (1) din RGPD. De exemplu, o serie de dispoziții de drept intern interzic dreptul de acces din considerente ce țin de efortul disproporționat al operatorului, pentru date cu caracter personal care sunt stocate în baza unei obligații de păstrare sau în legătură cu îndeplinirea unor sarcini publice, fără a limita o astfel de restricție la obiective de interes public general.
·Cerințe suplimentare pentru întreprinderi
Deși obligația existenței unui responsabil cu protecția datelor se fundamentează pe o abordare bazată pe riscuri, un stat membru a extins această cerință la un criteriu cantitativ, obligând întreprinderile în care 20 sau mai mulți angajați sunt permanent implicați în prelucrarea automată a datelor cu caracter personal să desemneze un responsabil cu protecția datelor, independent de riscurile aferente activităților de prelucrare. Acest lucru a condus la sarcini suplimentare.
4Capacitarea persoanelor fizice pentru a-și controla datele
RGPD consolidează drepturile fundamentale, în special dreptul la protecția datelor cu caracter personal, însă și celelalte drepturile fundamentale recunoscute de Cartă, inclusiv respectarea vieții private și de familie, libertatea de exprimare și de informare, nediscriminarea, libertatea de gândire, de conștiință și de religie, libertatea de a desfășura o activitate comercială și dreptul la o cale de atac eficientă. Aceste drepturi trebuie echilibrate în conformitate cu principiul proporționalității.
RGPD conferă persoanelor o serie de drepturi exercitabile, cum ar fi dreptul de acces, dreptul la rectificare, dreptul de ștergere, dreptul la opoziție, dreptul la portabilitate și transparență sporită. De asemenea, regulamentul oferă persoanelor dreptul de a depune o plângere la o autoritate pentru protecția datelor, inclusiv prin acțiuni de reprezentare, precum și dreptul la reparații pe cale judiciară.
Persoanele fizice sunt din ce în ce mai conștiente de drepturile lor, după cum evidențiază rezultatele Eurobarometrului din iulie 2019 și sondajul realizat de Agenția pentru Drepturi Fundamentale.
Potrivit sondajului privind drepturile fundamentale realizat de Agenția pentru Drepturi Fundamentale:
·69 % din populația UE în vârstă de peste 16 ani a auzit de RGPD;
·71 % dintre respondenții din UE știu despre existența autorității lor naționale pentru protecția datelor; această cifră variază de la 90 % în Republica Cehă la 44 % în Belgia;
·60 % dintre respondenții din UE știu că există o lege care le permite să își acceseze datele cu caracter personal deținute de administrația publică; cu toate acestea, cifra corespondentă în cazul întreprinderilor private este de 51 %;
·mai mult de unul din cinci respondenți (23 %) din UE nu dorește să divulge date cu caracter personal (cum ar fi adresa, cetățenia sau data nașterii) administrației publice, în timp ce 41 % dintre aceștia nu doresc să divulge astfel de date întreprinderilor private.
Persoanele fizice își exercită din ce în ce mai des dreptul de a depune o plângere la autoritățile pentru protecția datelor, fie individual, fie prin acțiuni de reprezentare. Doar câteva state membre au permis organizațiilor neguvernamentale să inițieze acțiuni fără mandat, în conformitate cu posibilitatea oferită de RGPD. Propunerea de directivă privind acțiunile de reprezentare pentru protecția intereselor colective ale consumatorilor, odată adoptată, va consolida cadrul pentru acțiunile de reprezentare și în domeniul protecției datelor.
Plângeri
Număr total de plângeri înregistrat între luna mai 2018 și sfârșitul lunii noiembrie 2019, potrivit informațiilor raportate de comitet, se ridică la aproximativ 275 000. Totuși, această cifră ar trebui luată în considerare cu multă prudență, având în vedere faptul că definiția unei plângeri nu este identică la nivelul tuturor autorităților. Numărul absolut de plângeri înaintate autorităților pentru protecția datelor diferă semnificativ de la un stat membru la altul. Cele mai multe plângeri s-au înregistrat în Germania (67 000), Țările de Jos (37 000), Spania și Franța (18 000 fiecare), Italia (14 000), Polonia și Irlanda (12 000 fiecare). Două treimi dintre autorități au raportat un număr de plângeri cuprins între 8 000 și 600. Cele mai puține plângeri s-au înregistrat în Estonia și Belgia (aproximativ 500 fiecare), Malta și Islanda (sub 200 fiecare).
Numărul de plângeri înregistrate nu este în mod necesar corelat cu dimensiunea populației sau cu PIB-ul; de pildă, s-au înregistrat aproape de două ori mai multe plângeri în Germania comparativ cu Țările de Jos și de patru ori mai multe plângeri comparativ cu Spania și Franța.
Feedbackul primit de la Grupul multipartit de experți indică faptul că organizațiile au luat o serie de măsuri în vederea înlesnirii exercitării drepturilor de care dispun persoanele vizate, inclusiv proceduri de punere în aplicare care asigură revizuirea individuală a cererilor și un răspuns din partea operatorului, utilizarea mai multor canale (e-mail, adresă de e-mail specială, site web etc.), proceduri și politici interne actualizate cu privire la gestionarea internă a cererilor și formarea personalului. Unele întreprinderi au creat portaluri digitale, accesibile prin intermediul site-ului web al întreprinderii respective (sau al rețelei intranet pentru angajați) în vederea înlesnirii exercitării drepturilor de care dispun persoanele vizate.
Totuși, sunt necesare progrese suplimentare în legătură cu următoarele aspecte:
·nu toți operatorii de date își respectă obligația de a înlesni exercitarea drepturilor de care dispun persoanele vizate. Aceștia trebuie să se asigure că persoanele vizate dispun de un punct de contact eficient, căruia i se pot adresa pentru a comunica problemele cu care se confruntă. Acest punct de contact poate fi responsabilul cu protecția datelor, ale cărui coordonate trebuie comunicate proactiv persoanei vizate. Modalitățile de contact nu trebuie să se limiteze la e-mail, ci trebuie să permită persoanei vizate să se adreseze operatorului și prin alte mijloace;
·persoanele fizice se confruntă în continuare cu o serie de dificultăți atunci când solicită accesul la datele lor, de exemplu, platformelor, brokerilor de date și societăților de publicitate online;
·dreptul la portabilitatea datelor nu este utilizat la potențialul maxim. Strategia europeană privind datele (denumită în continuare „strategia privind datele”), adoptată de Comisie la 19 februarie 2020, a subliniat necesitatea înlesnirii tuturor utilizărilor posibile ale acestui drept [de exemplu, prin impunerea unor interfețe tehnice și a unor formate ce pot fi citite automat, care să permită portabilitatea datelor în timp real (sau aproape în timp real)]. Operatorii menționează că uneori există dificultăți de furnizare a datelor într-un format structurat, utilizat în mod curent și prin dispozitive de citire optică (ca urmare a lipsei unui standard în acest sens). Doar organizațiile din anumite sectoare, cum ar fi sistemul bancar, telecomunicațiile, sistemele de contorizare a consumului de apă și căldură, raportează utilizarea interfețelor necesare. Au fost dezvoltate noi instrumente tehnologice în vederea înlesnirii exercitării de către persoanele fizice a drepturilor de care dispun în conformitate cu RGPD, iar acestea nu se limitează la portabilitatea datelor (de exemplu, servicii de administrare a informațiilor cu caracter personal și spații pentru datele cu caracter personal);
·drepturile copiilor: Mai mulți membri ai Grupului multipartit de experți subliniază necesitatea furnizării de informații copiilor, precum și faptul că multe organizații ignoră eventualele preocupări ale copiilor în legătură cu prelucrarea datelor acestora. Consiliul a subliniat faptul că s-ar putea acorda o atenție specială protecției copiilor în cadrul elaborării codurilor de conduită. Protecția copiilor este, de asemenea, un aspect central al preocupărilor autorităților pentru protecția datelor;
·dreptul la informare: unele întreprinderi au o abordare strict juridică, considerând notificările în legătură cu protecția datelor un demers juridic și incluzând informații destul de complexe, dificil de înțeles sau incomplete, cu toate că RGPD prevede ca orice informație să fie concisă și exprimată într-un limbaj clar și simplu. Se pare că unele întreprinderi nu urmează recomandările comitetului, de pildă, în legătură cu enumerarea denumirilor entităților cărora le partajează date;
·mai multe state membre au restrâns semnificativ drepturile persoanelor vizate prin intermediul legislației naționale, iar unele dintre ele chiar au depășit limitele prevăzute la articolul 23 din RGPD;
·exercitarea drepturilor de care dispun persoanele fizice este uneori împiedicată de practicile aplicate de câțiva actori importanți de pe piața digitală, care îngreunează selectarea de către persoanele respective a setărilor care le protejează confidențialitatea în cea mai mare măsură (ceea ce încalcă cerința de protecție a datelor începând cu momentul conceperii și cea de protecție implicită a datelor).
Părțile interesate așteaptă cu nerăbdare publicarea orientărilor comitetului cu privire la drepturile persoanelor vizate.
5Oportunități și provocări pentru organizații, în special pentru întreprinderile mici și mijlocii
Oportunități pentru organizații
RGPD încurajează concurența și inovația. Împreună cu Regulamentul privind un cadru pentru libera circulație a datelor fără caracter personal, acesta asigură fluxul liber de date în cadrul UE și creează condiții de concurență echitabile în relația cu întreprinderile care sunt stabilite în afara UE. Prin crearea unui cadru armonizat de protecție a datelor cu caracter personal, RGPD se asigură că toți actorii de pe piața internă trebuie să respecte aceleași norme și beneficiază de aceleași oportunități, indiferent de locul unde se află sediul acestora și indiferent unde se desfășoară prelucrarea datelor. Neutralitatea tehnologică a RGPD asigură cadrul de protecție a datelor pentru noile evoluții tehnologice. Principiul protecției datelor începând cu momentul conceperii și cel al protecției implicite a datelor stimulează dezvoltarea de soluții inovatoare, care au în vedere protecția datelor de la bun început și pot reduce costul respectării normelor de protecție a datelor.
În plus, confidențialitatea devine un important parametru competitiv și este luată în considerare din ce în ce mai mult în alegerea serviciilor. Persoanele care sunt mai informate și care manifestă o sensibilitate mai ridicată în legătură cu considerațiile privind protecția datelor își doresc produse și servicii ce asigură o protecție efectivă a datelor cu caracter personal. Punerea în aplicare a dreptului la portabilitatea datelor are potențialul de a reduce barierele de acces pentru întreprinderile care oferă servicii inovatoare, orientate spre protecția datelor. Ar trebui monitorizate efectele unei eventuale utilizări mai ample a acestui drept pe piețele din diferite sectoare. Respectarea normelor de protecție a datelor și aplicarea transparentă a acestora vor crea un climat de încredere cu privire la utilizarea datelor cu caracter personal ale cetățenilor și, astfel, vor conduce la noi oportunități de afaceri.
Ca toate regulamentele, normele de protecție a datelor implică o serie de costuri inerente legate de respectarea acestora de către întreprinderi. Cu toate acestea, costurile respective sunt contrabalansate de oportunitățile și avantajele conferite de o încredere solidă în inovația digitală și de beneficiile sociale care decurg din respectarea unui drept fundamental. Asigurând condiții de concurență echitabile și oferind autorităților pentru protecția datelor ceea ce le trebuie pentru a putea aplica cu eficacitate normele, RGPD împiedică întreprinderile care nu respectă obligațiile privind protecția datelor să profite de pe urma încrederii dobândite de cele care respectă aceste norme.
Provocări specifice pentru întreprinderile mici și mijlocii (IMM-uri)
Percepția generală la nivelul părților interesate, însă și la nivelul Parlamentului European, al Consiliului și al autorităților pentru protecția datelor, este că RGPD ridică o serie de probleme în special pentru microîntreprinderi și întreprinderile mici și mijlocii, precum și pentru organizațiile de voluntariat și caritabile de dimensiuni mici.
Conform abordării bazate pe riscuri, nu ar fi adecvat să se prevadă derogări în funcție de dimensiunea operatorilor, întrucât dimensiunea nu constituie, în sine, un indicator al riscurilor pe care le poate crea pentru persoanele fizice prelucrarea datelor cu caracter personal. Abordarea bazată pe riscuri combină flexibilitatea cu protecția eficace. Aceasta ține seama de nevoile IMM-urilor care nu au inclus prelucrarea datelor în activitățile lor principale și le calibrează obligațiile în special în funcție de probabilitatea și gravitatea riscurilor aferente activității specifice de prelucrare pe care o desfășoară.
Prelucrarea de date care presupune riscuri reduse sau puține nu ar trebui tratată în același mod precum activitățile de prelucrare frecvente și care presupun un nivel ridicat al riscurilor – indiferent de dimensiunea întreprinderii care desfășoară aceste activități. Astfel, după cum concluzionează comitetul, „în orice caz, abordarea bazată pe riscuri promovată de legiuitor în cadrul textului ar trebui menținută, deoarece riscurile pentru persoanele vizate nu depind de dimensiunea operatorilor”. Autoritățile pentru protecția datelor ar trebui să își însușească pe deplin acest principiu în aplicarea RGPD, de preferință în cadrul unei abordări europene comune, astfel încât să nu se creeze bariere în calea pieței unice.
Autoritățile pentru protecția datelor au dezvoltat mai multe instrumente și și-au exprimat ferm intenția de a le îmbunătăți în continuare. Unele autorități au lansat campanii de sensibilizare și vor organiza chiar și „cursuri privind RGPD” pentru IMM-uri.
Exemple de îndrumări și instrumente ale autorităților pentru protecția datelor, destinate IMM-urilor
·publicarea de informații destinate IMM-urilor;
·seminarii pentru responsabilii cu protecția datelor și evenimente pentru IMM-urile care nu au obligația să desemneze un responsabil cu protecția datelor;
·ghiduri interactive în sprijinul IMM-urilor;
·linii de asistență telefonică pentru consultări;
·modele de contracte de prelucrare și evidențe privind activitățile de prelucrare.
Contribuția comitetului include o descriere a activităților desfășurate de autoritățile pentru protecția datelor.
Mai multe acțiuni care sprijină în mod specific IMM-urile au beneficiat de finanțare din partea UE. Comisia a oferit sprijin financiar prin granturi organizate în trei etape, în valoare totală de 5 milioane EUR, cele mai recente două astfel de etape vizând în special sprijinirea autorităților naționale pentru protecția datelor în eforturile lor de a comunica cu persoanele fizice și cu IMM-urile. Drept urmare, în 2018, s-au alocat 2 milioane EUR unui număr de nouă autorități pentru protecția datelor pentru activități derulate în 2018-2019 (Belgia, Bulgaria, Danemarca, Ungaria, Lituania, Letonia, Țările de Jos, Slovenia și Islanda), iar în 2019 s-a alocat suma de 1 milion EUR unui număr de patru autorități pentru protecția datelor pentru activități ce urmează a se desfășura în 2020 (Belgia, Malta, Slovenia și Croația în parteneriat cu Irlanda)
. În 2020 se va aloca încă 1 milion EUR.
În pofida acestor inițiative, IMM-urile și întreprinderile nou-înființate raportează adesea că se confruntă cu dificultăți în ceea ce privește aplicarea principiului responsabilității prevăzut în RGPD. Acestea raportează în mod special că nu beneficiază întotdeauna de îndrumare și consiliere practică suficientă din partea autorităților naționale pentru protecția datelor sau că durează prea mult până când le sunt oferite. Au existat și unele cazuri în care autoritățile s-au arătat reticente în a se implica în aspecte de ordin juridic. Când se confruntă cu astfel de situații, IMM-urile apelează adesea la consilieri externi și la avocați în legătură cu punerea în aplicare a principiului responsabilității și cu abordarea bazată pe riscuri (inclusiv în legătură cu cerințele de transparență, evidențele activității de prelucrare și notificările în caz de încălcare a securității datelor). Acest lucru poate conduce la o serie de costuri suplimentare.
Un aspect specific îl reprezintă ținerea evidenței activităților de prelucrare, pe care IMM-urile și asociațiile de dimensiuni reduse o consideră o sarcină administrativă excesivă. Posibilitatea de a fi exceptate de la îndeplinirea obligației respective în conformitate cu articolul 30 alineatul (5) din RGPD este într-adevăr extrem de redusă. Totuși, eforturile depuse pentru respectarea acestei obligații nu ar trebui supraestimate. În situațiile în care activitățile principale ale IMM-urilor nu implică prelucrarea datelor cu caracter personal, astfel de evidențe pot fi simple și nu împovărătoare. Același lucru este valabil și pentru asociațiile de voluntariat și de alt tip. O serie de modele ale acestor documente ar înlesni ținerea unor astfel de evidențe simplificate, după cum se și întâmplă deja în practică la nivelul unora dintre autoritățile pentru protecția datelor. În orice caz, orice operator care prelucrează date cu caracter personal ar trebui să întocmească o situație generală a activităților sale de prelucrare a datelor, aceasta fiind o cerință de bază a principiului responsabilității.
Dezvoltarea de către comitet a unor instrumente practice la nivelul UE, cum ar fi formulare armonizate pentru încălcarea securității datelor și evidențe simplificate ale activităților de prelucrare a datelor, pot fi utile IMM-urilor și asociațiilor de dimensiuni reduse, ale căror activități principale nu se axează pe prelucrarea datelor cu caracter personal, în vederea îndeplinirii obligațiilor ce le revin în legătură cu aceste aspecte.
Asociații din diverse industrii au depus eforturi în vederea sporirii gradului de sensibilizare și a informării membrilor lor, de exemplu, prin intermediul unor conferințe și seminare, prin oferirea de informații întreprinderilor cu privire la orientările disponibile sau prin dezvoltarea unui serviciu de asistență cu privire la viața privată pentru membrii lor. De asemenea, ele raportează un număr în creștere de seminare, reuniuni și evenimente organizate de grupuri de reflecție și asociații de IMM-uri pe teme legate de RGPD.
Pentru a spori libera circulație a tuturor datelor la nivelul UE și pentru a stabili o aplicare coerentă a RGPD și a Regulamentului privind un cadru pentru libera circulație a datelor fără caracter personal, Comisia a elaborat o orientare practică cu privire la normele care se aplică în cazul prelucrării unor seturi de date mixte, respectiv care cuprind atât date cu caracter personal, cât și date fără caracter personal, destinate special IMM-urilor.
Seturi de instrumente pentru întreprinderi
RGPD pune la dispoziție instrumente care ajută la demonstrarea conformității, cum ar fi coduri de conduită, mecanisme de certificare și clauze contractuale standard.
·Codurile de conduită
Comitetul a publicat o serie de orientări pentru a sprijini și înlesni elaborarea, modificarea sau extinderea codurilor de către „responsabilii de cod”, precum și pentru a oferi îndrumare practică și asistență în legătură cu interpretarea. În plus, aceste orientări clarifică procedurile de depunere, aprobare și publicare a codurilor la nivel național și la nivelul UE și prevăd criteriile minime necesare.
Părțile interesate consideră că aceste coduri de conduită sunt instrumente foarte utile. Deși nenumărate coduri sunt aplicate la nivel național, în prezent se află în elaborare și o serie de coduri la nivelul UE (de exemplu, cu privire la aplicațiile mobile în domeniul sănătății, cercetarea în domeniul genomicii, tehnologia de tip cloud computing, marketingul direct, asigurările, prelucrarea în scopuri de prevenție și serviciile de consiliere pentru copii). Operatorii consideră că aceste coduri de conduită la nivelul UE ar trebui promovate într-o mai mare măsură, deoarece încurajează aplicarea RGPD în toate statele membre.
Totuși, elaborarea codurilor de conduită și înființarea organismelor independente de monitorizare impuse necesită timp și investiții din partea operatorilor. Reprezentanții IMM-urilor subliniază importanța și utilitatea codurilor de conduită, care sunt adaptate situației lor și care nu implică costuri disproporționate.
Pe cale de consecință, asociațiile de întreprinderi dintr-o serie de sectoare au implementat alte tipuri de instrumente de autoreglementare, cum ar fi codurile de bună practică sau îndrumări. Deși aceste instrumente pot oferi informații utile, ele nu beneficiază de aprobarea autorităților pentru protecția datelor și nu pot fi utilizate ca instrument în vederea demonstrării conformității cu RGPD.
Consiliul subliniază că, în cadrul codurilor de conduită, trebuie să se acorde o atenție specială prelucrării datelor copiilor, precum și celor privind sănătatea. Comisia susține elaborarea unui cod/a unor coduri de conduită care să armonizeze abordarea în domeniul sănătății și al cercetării și să înlesnească prelucrarea transfrontalieră a datelor cu caracter personal. La nivelul comitetului, se află în curs de aprobare un proiect de cerințe de acreditare pentru organismele de monitorizare a codurilor de conduită, înaintat de o serie de autorități pentru protecția datelor. De îndată ce codurile de conduită transnaționale sau la nivelul UE sunt pregătite pentru a fi transmise spre aprobare autorităților pentru protecția datelor, acestea vor face obiectul unei consultări la nivelul comitetului. Introducerea rapidă a codurilor de conduită transnaționale este importantă în special pentru domeniile în care se prelucrează un volum considerabil de date (de exemplu, tehnologia de tip cloud computing) sau date sensibile (de exemplu, în domeniul sănătății/în cercetare).
·Certificare
Certificarea poate fi un instrument util pentru a demonstra respectarea anumitor cerințe specifice din RGPD. Aceasta poate spori securitatea juridică pentru întreprinderi și poate promova RGPD la nivel global.
După cum se menționează în studiul cu privire la certificare publicat în aprilie 2019, obiectivul ar trebui să fie înlesnirea adoptării schemelor relevante. Dezvoltarea unor scheme de certificare în UE va fi sprijinită prin intermediul orientărilor publicate de comitet cu privire la criteriile de certificare și cu privire la acreditarea organismelor de certificare.
Securitatea și protecția datelor începând cu momentul conceperii sunt elemente-cheie care trebuie luate în considerare în cadrul schemelor de certificare în conformitate cu RGPD și ar beneficia de o abordare comună și ambițioasă în întreaga UE. Comisia va continua să sprijine contactele curente dintre Agenția Uniunii Europene pentru Securitate Cibernetică (ENISA), autoritățile pentru protecția datelor și comitet.
În ceea ce privește securitatea cibernetică, în urma adoptării Regulamentului privind securitatea cibernetică, Comisia a solicitat Agenției Europene pentru Securitate Cibernetică (ENISA) să elaboreze două scheme de certificare, inclusiv o schemă pentru servicii în cloud. Se au în vedere și alte scheme care vizează securitatea cibernetică a serviciilor și produselor pentru consumatori. Deși aceste scheme de certificare instituite în conformitate cu Regulamentul privind securitatea cibernetică nu vizează explicit protecția datelor și a vieții private, ele contribuie la sporirea încrederii consumatorilor în serviciile și produsele digitale. Aceste scheme pot furniza dovezi de respectare a principiilor de securitate începând cu momentul conceperii, precum și de punere în aplicare a măsurilor tehnice și organizaționale corespunzătoare în legătură cu securitatea prelucrării datelor cu caracter personal.
·Clauze contractuale standard
Comisia lucrează la elaborarea unor clauze contractuale standard între operatori și persoanele împuternicite de către operatori, având în vedere și modernizarea clauzelor contractuale standard pentru transferurile internaționale (a se vedea secțiunea 7.2). Un act legislativ la nivelul Uniunii, adoptat de Comisie, va conduce la obligativitatea sa în întreaga UE, ceea ce va asigura securitate juridică și armonizare deplină.
6Aplicarea RGPD în cazul noilor tehnologii
Un cadru neutru din punct de vedere tehnologic și deschis la tehnologii noi
RGPD este neutru din punct de vedere tehnologic, conferă încredere și are la bază principii. Aceste principii, inclusiv prelucrarea legală și transparentă, limitările legate de scop și principiul reducerii la minimum a datelor, oferă un fundament solid de protecție a datelor cu caracter personal, indiferent de operațiunile și tehnicile de prelucrare aplicate.
Membrii Grupului multipartit de experți raportează că, per ansamblu, RGPD are un impact pozitiv asupra dezvoltării de noi tehnologii și oferă o bază solidă pentru inovație. RGPD este considerat un instrument esențial și flexibil, al cărui obiectiv este asigurarea dezvoltării noilor tehnologii cu respectarea drepturilor fundamentale. Punerea în aplicare a principiilor sale de bază este deosebit de importantă pentru activitățile de prelucrare intensivă a datelor. Abordarea bazată pe riscuri și neutră din punct de vedere tehnologic a RGPD oferă un nivel de protecție a datelor adecvat pentru a gestiona riscul de prelucrare, inclusiv cel al tehnologiilor emergente.
În special, părțile interesate menționează că principiile prevăzute în RGPD privind limitările legate de scop și prelucrarea ulterioară compatibilă, reducerea la minimum a datelor, limitările legate de stocare, transparența, responsabilitatea, precum și condițiile în baza cărora se pot desfășura legal procese decizionale automate răspund într-o mare măsură preocupărilor legate de utilizarea inteligenței artificiale.
Abordarea bazată pe riscuri și adaptată exigențelor viitorului a RGPD se va aplica și într-un eventual cadru viitor care implică utilizarea inteligenței artificiale și la momentul punerii în aplicare a strategiei privind datele. Strategia privind datele își propune să promoveze disponibilitatea datelor și să creeze spații comune ale datelor la nivel european, susținute de servicii de infrastructură de tip cloud federation. RGPD prevede principalul cadru juridic cu privire la datele cu caracter personal, în limitele căruia pot fi concepute soluții eficiente de la caz la caz, în funcție de natura și conținutul fiecărui spațiu al datelor.
RGPD a sporit gradul de sensibilizare cu privire la protecția datelor cu caracter personal atât în interiorul cât și în afara UE și a determinat întreprinderile să își adapteze practicile pentru a ține seama de principiile de protecție a datelor în contextul inovării. Cu toate acestea organizațiile societății civile observă că, deși impactul RGPD asupra dezvoltării de noi tehnologii pare a fi pozitiv, practicile actorilor importanți de pe piața digitală nu s-au schimbat fundamental în sensul asigurării unor activități de prelucrare mai favorabile vieții private. Aplicarea fermă și eficace a RGPD în ceea ce privește platformele digitale de mari dimensiuni și companiile integrate, inclusiv în domenii precum publicitatea online și adresarea de conținut personalizat, reprezintă un element esențial pentru protejarea persoanelor.
Comisia analizează aspecte mai ample legate de comportamentul pe piață al actorilor de dimensiuni mari de pe piața digitală în contextul pachetului legislativ privind serviciile digitale. În ceea ce privește cercetarea în legătură cu platformele de comunicare socială, Comisia reamintește că RGPD nu poate fi utilizat ca pretext de către platformele de comunicare socială pentru a limita accesul cercetătorilor și al verificatorilor de fapte la date fără caracter personal, cum ar fi statisticile cu privire la ce tip de mesaje publicitare orientate au fost transmise căror categorii de persoane, criteriile în baza cărora s-a decis această orientare, informațiile cu privire la conturile false etc.
Abordarea neutră din punct de vedere tehnologic și adaptată exigențelor viitorului a RGPD a fost pusă la încercare pe parcursul pandemiei de COVID-19 și și-a dovedit eficacitatea. Normele sale bazate pe principii au sprijinit dezvoltarea de instrumente de combatere și monitorizare a răspândirii virusului.
Provocările care trebuie abordate
Dezvoltarea și aplicarea de noi tehnologii nu pun aceste principii sub semnul îndoielii. Provocările vizează clarificarea modului în care principiile consacrate se pot aplica utilizării tehnologiilor specifice, cum ar fi inteligența artificială, tehnologia blockchain, internetul obiectelor, recunoașterea facială sau informatica cuantică.
În acest context, Parlamentul European și Consiliul au subliniat necesitatea unei monitorizări continue în vederea clarificării modului în care se aplică RGPD noilor tehnologii și marilor companii multinaționale din domeniul tehnologiei informației. În plus, părțile interesate avertizează că evaluarea adecvării RGPD în ceea ce privește obiectivele sale impune, de asemenea, o monitorizare constantă.
Părțile interesate din industrie subliniază că inovarea impune ca aplicarea RGPD să se bazeze pe principiile avute în vedere la momentul elaborării sale și nu de o manieră formală și rigidă. Acestea sunt de părere că orientările comitetului cu privire la modalitatea de aplicare a principiilor, a conceptelor și a normelor RGPD în legătură cu noile tehnologii, precum inteligența artificială, tehnologia blockchain sau internetul obiectelor, ținând seama de abordarea bazată pe riscuri, ar contribui prin furnizarea de clarificări și asigurarea unui nivel mai ridicat de securitate juridică. Aceste instrumente juridice neobligatorii se potrivesc foarte bine aplicării RGPD în cazul noilor tehnologii, deoarece asigură o mai bună securitate juridică și pot fi revizuite în conformitate cu evoluțiile tehnologice. De asemenea, unele părți interesate sugerează că ar putea fi utile și mai multe orientări sectoriale cu privire la modalitatea de aplicare a RGPD în cazul noilor tehnologii.
Comitetul a afirmat că va continua să aibă în vedere impactul tehnologiilor emergente asupra protecției datelor cu caracter personal.
Totodată, părțile interesate subliniază importanța înțelegerii profunde de către autoritățile de reglementare a modului în care sunt utilizate noile tehnologii, precum și importanța dialogului acestora cu industria respectivă în legătură cu dezvoltarea tehnologiilor emergente. Acestea sunt de părere că o abordare în sensul instituirii unui spațiu de testare în materie de reglementare – ca mijloc de formulare a unor orientări cu privire la aplicarea normelor – ar putea fi o opțiune interesantă de testare a noilor tehnologii și ar putea ajuta întreprinderile să aplice principiul protecției datelor începând cu momentul conceperii și al protecției implicite a datelor în legătură cu noile tehnologii.
În ceea ce privește acțiunile de politici ulterioare, părțile interesate recomandă ca orice propuneri viitoare în legătură cu politicile privind inteligența artificială să se bazeze pe cadrele juridice existente și să fie aliniate la RGPD. Eventualele aspecte specifice ar trebui evaluate cu atenție, pe baza dovezilor relevante, înainte de propunerea unor noi norme prescriptive.
Cartea albă a Comisiei privind inteligența artificială formulează o serie de opțiuni de politică cu privire la care se solicită poziția părților interesate până la data de 14 iunie 2020. În ceea ce privește recunoașterea facială, o tehnologie ce poate avea un impact semnificativ asupra drepturilor persoanelor, Cartea albă a reamintit cadrul legislativ actual și a deschis o dezbatere publică cu privire la circumstanțele specifice, dacă există, care ar putea justifica folosirea inteligenței artificiale pentru identificare prin recunoaștere facială și alte tipuri de identificare la distanță a datelor biometrice în locuri publice, precum și cu privire la garanțiile comune.
7Transferuri internaționale și cooperare globală
7.1Confidențialitatea: o temă globală
Nevoia de protecție a datelor cu caracter personal nu cunoaște limite, iar cetățenii din întreaga lume apreciază din ce în ce mai mult confidențialitatea și securitatea propriilor date.
În același timp, importanța fluxurilor de date pentru persoanele fizice, autoritățile publice, întreprinderi și, în general, societatea în ansamblu reprezintă o certitudine inevitabilă în lumea noastră interconectată. Ele fac parte integrantă din activitățile comerciale, colaborarea dintre autoritățile publice și interacțiunile sociale. În această privință, actuala pandemie de COVID-19 subliniază cât de importante sunt transferul și schimbul de date cu caracter personal pentru numeroase activități esențiale, inclusiv asigurarea operațiunilor autorităților publice și ale întreprinderilor – prin asigurarea condițiilor pentru telemuncă și alte soluții care se bazează în mare măsură pe tehnologii ale informației și comunicațiilor –, susținerea colaborării în domeniul cercetării științifice cu privire la diagnosticare, tratamente și vaccinuri, precum și combaterea noilor forme de infracțiuni cibernetice, cum ar fi fraudele online prin care se oferă medicamente contrafăcute care ar preveni sau ar vindeca COVID-19.
În acest context, mai mult ca oricând, protecția confidențialității și facilitarea fluxurilor de date trebuie să fie complementare. Uniunea Europeană, cu regimul său de protecție a datelor, care combină deschiderea la transferurile internaționale cu un nivel ridicat de protecție pentru persoanele fizice, este foarte bine poziționată pentru a putea promova fluxuri de date sigure și de încredere. RGPD s-a dovedit deja a fi un punct de referință la nivel internațional și a acționat ca un catalizator pentru multe țări din întreaga lume, care au luat astfel în considerare introducerea unor norme moderne privind viața privată.
Se conturează o tendință cu adevărat mondială, care se manifestă din Chile până în Coreea de Sud, din Brazilia până în Japonia, din Kenya până în India, din Tunisia până în Indonezia și din California până în Taiwan, pentru a da doar câteva exemple. Aceste evoluții sunt remarcabile nu numai din punct de vedere cantitativ, ci și din punct de vedere calitativ: o mare parte din legislația recent adoptată sau care este în curs de adoptare se bazează pe un set fundamental de garanții, drepturi și mecanisme de asigurare a aplicării comune la nivelul UE. Într-o lume care este prea des caracterizată de abordări diferite, dacă nu chiar divergente, această tendință către o convergență globală este o evoluție pozitivă care aduce noi oportunități de sporire a protecției persoanelor fizice din Europa, facilitând, în același timp, fluxurile de date și reducând costurile cu tranzacțiile înregistrate de operatorii economici.
Pentru a valorifica aceste oportunități și pentru a pune în aplicare strategia prevăzută în Comunicarea din 2017 intitulată „Schimbul de date cu caracter personal și protecția acestora într-o lume globalizată”, Comisia și-a intensificat considerabil activitatea cu privire la dimensiunea internațională a vieții private, utilizând integral setul de instrumente de transfer disponibile, după cum se specifică în cele de mai jos. Acest lucru a inclus colaborarea activă cu partenerii-cheie în vederea emiterii unei „decizii privind caracterul adecvat al nivelului de protecție”, obținându-se rezultate importante, precum crearea celui mai amplu spațiu de circulație liberă și sigură a datelor între UE și Japonia.
Pe lângă activitatea sa privind caracterul adecvat, Comisia a colaborat îndeaproape cu autoritățile pentru protecția datelor din cadrul comitetului, precum și cu alte părți interesate, pentru a valorifica la maximum potențialul normelor flexibile ale RGPD în legătură cu transferurile internaționale. Această activitate vizează modernizarea unor instrumente precum clauzele contractuale standard, dezvoltarea schemelor de certificare, codurile de conduită sau acordurile administrative în legătură cu schimburile de date dintre autoritățile publice, precum și clarificarea unor concepte-cheie, de exemplu, în legătură cu domeniul de aplicare teritorial al normelor de protecție a datelor sau așa-numitele „derogări” privind transferul datelor cu caracter personal.
În sfârșit, Comisia și-a intensificat dialogurile purtate într-o serie de forumuri bilaterale, regionale și multilaterale pentru a încuraja o cultură globală a respectării vieții private și a dezvolta elemente de convergență între sisteme diferite de protecție a vieții private. În eforturile sale, Comisia s-a putut baza pe sprijinul activ al Serviciului European de Acțiune Externă, al rețelei de delegații UE din țările terțe și al misiunilor pe lângă organizațiile internaționale. Acest lucru a asigurat, de asemenea, coerență și o mai mare și complementaritate între aspecte diferite ale dimensiunii externe a politicilor UE - de la comerț la noul parteneriat UE-Africa.
7.2Setul de instrumente RGPD cu privire la transferuri
Pe măsură ce tot mai mulți operatori publici și din mediul privat se bazează pe fluxurile internaționale de date în cadrul operațiunilor lor curente, există o nevoie tot mai mare ca instrumentele flexibile să poată fi adaptate diverselor sectoare, modele de afaceri și soluții de transfer. Reflectând aceste nevoi, RGPD oferă un set de instrumente modernizat pentru a facilita transferul de date cu caracter personal din UE către o țară terță sau o organizație internațională, asigurându-se în același timp faptul că datele continuă să beneficieze de un nivel ridicat de protecție. Această continuitate a protecției este importantă, ținând seama de faptul că, în lumea actuală, datele circulă ușor dincolo de granițe, iar protecția garantată de RGPD ar fi incompletă în cazul în care aceasta s-ar limita la prelucrarea datelor în interiorul UE.
Prin intermediul capitolului V din RGPD, legiuitorul a confirmat arhitectura normelor de transfer, prevăzute deja în Directiva 95/46: transferurile de date pot avea loc în situația în care Comisia a emis o decizie privind caracterul adecvat al nivelului de protecție în legătură cu o țară terță sau o organizație internațională sau, în lipsa unei astfel de decizii, în situația în care operatorul sau persoana împuternicită de operator („exportatorul de date”) a furnizat garanțiile corespunzătoare, de exemplu, printr-un contract cu destinatarul datelor („importatorul de date”). În plus, motivele statutare de transfer (așa-numitele derogări) rămân disponibile pentru situații specifice, în legătură cu care legiuitorul a hotărât că echilibrul dintre interese permite un transfer de date în anumite condiții. În același timp, reforma a condus la clarificarea și simplificarea normelor existente, de pildă, specificând în detaliu condițiile aferente unei decizii privind caracterul adecvat al nivelului de protecție sau normele corporative obligatorii, limitând cerințele de autorizare la foarte puțin cazuri specifice și eliminând complet cerințele de notificare. În plus, au fost introduse instrumente noi de transfer, cum ar fi codurile de conduită sau schemele de certificare, și au fost extinse posibilitățile de utilizare a instrumentelor existente (de exemplu, clauze contractuale standard).
Economia digitală actuală permite operatorilor străini să participe (de la distanță, însă) direct pe piața internă UE și să concureze pentru a atrage consumatori europeni și datele lor cu caracter personal. În situațiile în care aceștia vizează în mod specific consumatorii europeni prin bunurile sau serviciile oferite sau prin monitorizarea comportamentului acestora, operatorii ar trebui să respecte legislația UE în același fel în care o fac operatorii din UE. Articolul 3 din RGPD reflectă acest aspect, extinzând aplicabilitatea directă a normelor de protecție a datelor la nivelul UE și în cazul anumitor operațiuni de prelucrare a datelor ale operatorilor și ale persoanelor împuternicite de operatori din afara granițelor UE. Astfel, sunt asigurate garanțiile necesare și, în plus, condiții de concurență echitabile pentru toate întreprinderile care își desfășoară activitatea pe piața UE.
Aplicabilitatea sa extinsă este unul din motivele pentru care efectele RGPD s-au resimțit și în alte regiuni ale globului. Orientările detaliate ale comitetului cu privire la domeniul de aplicare teritorial al RGPD, în urma unei ample consultări publice, sunt prin urmare importante, pentru a ajuta operatorii străini să stabilească dacă și ce activități de prelucrare a datelor fac în mod direct obiectul garanțiilor sale, inclusiv prin furnizarea de exemple concrete.
Cu toate acestea, extinderea domeniului de aplicare al legislației europene de protecție a datelor nu este în sine și prin sine suficientă pentru a garanta respectarea sa în practică. După cum subliniază și Consiliul, conformarea operatorilor străini la această legislație și asigurarea aplicării sale cu eficacitate în relația cu aceștia sunt esențiale. Desemnarea unui reprezentant în UE [articolul 27 alineatele (1) și (2) din RGPD], căruia i se pot adresa persoanele fizice și autoritățile de supraveghere în plus față de sau în locul întreprinderii responsabile care acționează din afara UE, ar trebui să joace un rol-cheie în această privință. Această abordare, preluată tot mai des în alte contexte, ar trebui să fie aplicată cu mai multă rigoare, pentru a transmite un mesaj clar că lipsa unui sediu în UE nu scutește operatorii străini de responsabilitatea care le revine în temeiul RGPD. În cazul în care acești operatori nu își respectă obligația de desemnare a unui reprezentant, autoritățile de supraveghere ar trebui să utilizeze întregul set de instrumente de asigurare a respectării legislației prevăzut la articolul 58 din RGPD (de exemplu, avertismente publice, interdicții temporare sau definitive în legătură cu prelucrarea datelor în UE, aplicarea dispozițiilor legale împotriva operatorilor asociați cu sediul în UE).
În sfârșit, o acțiune foarte importantă a comitetului este finalizarea activității sale de clarificare suplimentară a legăturii dintre articolul 3 cu privire la aplicarea directă a RGPD și normele privind transferurile internaționale prevăzute la capitolul V.
Deciziile privind caracterul adecvat al nivelului de protecție
Contribuțiile părților interesate confirmă faptul că deciziile privind caracterul adecvat al nivelului de protecție continuă să reprezinte un instrument esențial pentru operatorii din UE în ceea ce privește transferul în siguranță al datelor cu caracter personal către țări terțe. Aceste decizii oferă soluția cea mai cuprinzătoare, simplă și eficientă din punctul de vedere al costurilor pentru transferurile de date, deoarece ele sunt asimilate transmiterilor intra-UE, asigurându-se astfel un flux sigur și liber al datelor cu caracter personal, fără impunerea unor condiții suplimentare sau necesitatea unei autorizări. Astfel, deciziile privind caracterul adecvat al nivelului de protecție deschid canale comerciale pentru operatorii din UE, înlesnind cooperarea dintre autoritățile publice și asigurând, în același timp, accesul privilegiat la piața unică a UE. Pe baza practicii în temeiul Directivei din 1995, RGPD permite în mod explicit ca stabilirea caracterului adecvat să vizeze un anumit teritoriu al unei țări terțe sau un anumit sector sau o industrie dintr-o țară terță (așa-numitul caracter adecvat „parțial”).
RGPD are la bază experiența anilor anteriori și clarificările furnizate de Curtea de Justiție a Uniunii europene și prevede o listă detaliată a elementelor de care Comisia trebuie să țină seama în evaluarea sa. Standardul privind caracterul adecvat necesită un nivel de protecție comparabil (sau „echivalent în esență”) cu cel asigurat în cadrul UE. Acest lucru implică o evaluare cuprinzătoare a sistemului țării terțe per ansamblu, inclusiv a fondului măsurilor de protecție a vieții private, punerea eficientă în aplicare și asigurarea respectării acestora, precum și normele privind accesul autorităților publice la datele cu caracter personal, în special în scopuri de aplicare a legii și de securitate națională.
Acest aspect este reflectat și în orientarea adoptată de Grupul de lucru instituit prin articolul 29 (și aprobată de comitet), în special așa-numitele „criterii de referință privind caracterul adecvat al nivelului de protecție”, care clarifică suplimentar elementele de care Comisia trebuie să țină seama atunci când realizează o evaluare a caracterului adecvat, inclusiv prin furnizarea unei prezentări generale a „garanțiilor esențiale” privind accesul autorităților publice la datele cu caracter personal. Cele din urmă se bazează în special pe jurisprudența Curții Europene a Drepturilor Omului. Deși standardul de „echivalență esențială” nu implică o reproducere punct cu punct („fotocopiere”) a normelor UE, având în vedere că mijloacele de asigurare a unui nivel comparabil de protecție pot varia în funcție de diversele sisteme de protecție a vieții private, care de multe ori respectă tradiții juridice diferite, totuși, acesta necesită un nivel ridicat de protecție.
Acest standard este justificat de faptul că, în esență, o decizie privind caracterul adecvat al nivelului de protecție conferă unei țări terțe beneficiile pieței unice în ceea ce privește fluxul liber de date. Cu toate acestea, vor exista uneori diferențe relevante între nivelul de protecție asigurat în țara terță și cel conferit de RGPD, iar aceste diferențe trebuie remediate, de pildă, prin negocierea unor garanții suplimentare. Astfel de garanții ar trebui considerate benefice, deoarece consolidează suplimentar protecția disponibilă persoanelor fizice în UE. În același timp, Comisia împărtășește opinia comitetului cu privire la importanța monitorizării continue a punerii în practică a acestora, inclusiv prin intermediul asigurării aplicării eficace a legislației de către autoritățile pentru protecția datelor din țara terță respectivă.
RGPD clarifică faptul că deciziile privind caracterul adecvat al nivelului de protecție sunt „instrumente vii”, care ar trebui monitorizate continuu și revizuite periodic. În conformitate cu aceste cerințe, Comisia comunică regulat cu autoritățile relevante pentru a monitoriza proactiv noile evoluții. De exemplu, de la adoptarea deciziei privind Scutul de confidențialitate UE-SUA în 2016, Comisia, împreună cu reprezentanții comitetului, au realizat trei revizuiri anuale pentru a evalua toate aspectele legate de funcționarea cadrului. Aceste revizuiri au avut la bază informații obținute prin schimburile cu autoritățile din SUA, precum și contribuții de la alte părți interesate, cum ar fi autorități pentru protecția datelor din UE, societatea civilă și asociațiile comerciale. Ele au permis îmbunătățirea funcționării practice a diverselor elemente ale cadrului. Dintr-o perspectivă mai largă, revizuirile anuale au contribuit la stabilirea unui dialog mai amplu cu administrația SUA cu privire la viața privată în general și limitările și garanțiile privind securitatea națională în particular.
În cadrul primei evaluări a RGPD, Comisia are obligația să revizuiască și deciziile privind caracterul adecvat al nivelului de protecție adoptate în conformitate cu Directiva din 1995. Serviciile Comisiei s-au implicat într-un dialog intens cu fiecare dintre cele 11 țări și teritorii vizate pentru a evalua modul în care sistemele lor de protecție a datelor cu caracter personal au evoluat de la adoptarea deciziei privind caracterul adecvat al nivelului de protecție și a determina dacă acestea respectă standardele stabilite în RGPD. Necesitatea de a asigura continuitatea acestor decizii, deoarece ele sunt instrumente esențiale pentru cooperarea comercială și internațională, reprezintă unul dintre factorii care au determinat mai multe astfel de țări și teritorii să își modernizeze și să își consolideze legile privind viața privată. Aceste evoluții sunt cu siguranță binevenite. Cu unele dintre aceste țări și teritorii se discută garanții suplimentare pentru a rezolva diferențele relevante în materie de protecție.
Cu toate acestea, având în vedere că este posibil ca, printr-o hotărâre pronunțată la 16 iulie, Curtea de Justiție să ofere clarificări care ar putea fi relevante pentru anumite elemente ale standardului privind caracterul adecvat, Comisia va elabora un raport separat cu privire la evaluarea celor 11 decizii menționate privind caracterul adecvat după ce Curtea de Justiție a Uniunii Europene își va fi pronunțat hotărârea în cauza respectivă.
Pentru a pune în aplicare strategia prevăzută în Comunicarea din 2017 intitulată „Schimbul de date cu caracter personal și protecția acestora într-o lume globalizată”, Comisia s-a implicat în noi dialoguri privind caracterul adecvat al nivelului de protecție. Această activitate a obținut deja rezultate importante, cu implicarea unor parteneri-cheie ai UE. În luna ianuarie 2019, Comisia a adoptat decizia privind caracterul adecvat al nivelului de protecție în legătură cu Japonia; aceasta are la bază un nivel ridicat de convergență, obținut inclusiv prin garanții specifice, cum ar fi cele din domeniul transferurilor ulterioare, și prin crearea unui mecanism de cercetare și soluționare a plângerilor înaintate de persoanele fizice cu privire la accesul autorităților publice la datele cu caracter personal, în scopuri de aplicare a legii și de securitate națională.
Fiind prima decizie privind caracterul adecvat al nivelului de protecție adoptată în conformitate cu RGPD, cadrul convenit cu Japonia oferă un precedent util pentru decizii viitoare. În plus, partea japoneză a emis, la rândul său, o decizie privind „caracterul adecvat al nivelului de protecție” în legătură cu UE. Împreună, aceste decizii reciproce privind caracterul adecvat al nivelului de protecție creează cel mai amplu spațiu de circulație liberă și sigură a datelor cu caracter personal, completând astfel Acordul de parteneriat economic UE-Japonia. De fapt, acordul susține schimburi comerciale anuale de bunuri și servicii, în valoare de aproximativ 124 miliarde EUR și, respectiv, 42,5 miliarde EUR.
|
Procesul privind caracterul adecvat se află într-un stadiu avansat și cu Coreea de Sud. Un rezultat semnificativ al acestui proces este reforma legislativă recentă din Coreea de Sud, care a condus la înființarea unei autorități independente pentru protecția datelor, cu importante competențe de asigurare a respectării legii. Acest exemplu ilustrează modul în care un dialog privind caracterul adecvat poate contribui la o convergență sporită între normele de protecție a datelor la nivelul UE și cele ale unei țări străine.
Comisia este pe deplin de acord cu solicitarea părților interesate de intensificare a dialogului cu țările terțe selectate în vederea emiterii unor noi posibile decizii privind caracterul adecvat al nivelului de protecție. Aceasta explorează activ posibilitatea sus-menționată, alături de alți parteneri importanți din Asia, America Latină și țările vizate de politica de vecinătate, pornind de la tendința actuală de convergență globală în ceea ce privește standardele de protecție a datelor. De exemplu, a fost adoptată o legislație cuprinzătoare cu privire la protecția vieții private sau procesul legislativ în acest sens se află într-un stadiu avansat în America Latină (Brazilia, Chile) și se pot observa o serie de evoluții promițătoare în Asia (de exemplu, India, Indonezia, Malaysia, Sri Lanka, Taiwan și Thailanda), Africa (de exemplu, Etiopia, Kenya), precum și în vecinătatea europeană estică și sudică (de exemplu, Georgia, Tunisia). În măsura în care acest lucru este posibil, Comisia va acționa în sensul unor decizii cuprinzătoare privind caracterul adecvat al nivelului de protecție, care să vizeze atât sectorul privat, cât și sectorul public.
În plus, RGPD a introdus și posibilitatea adoptării de către Comisie a unor decizii privind caracterul adecvat pentru organizații internaționale. Într-un moment în care unele organizații internaționale își modernizează regimul de protecție a datelor prin aplicarea unor reguli cuprinzătoare, precum și a unor mecanisme care să asigure existența căilor de atac și supravegherea independentă, această soluție ar putea fi explorată pentru prima dată.
Caracterul adecvat joacă, de asemenea, un rol important în contextul relațiilor cu Regatul Unit după Brexit, dacă sunt îndeplinite condițiile relevante. Acesta constituie un factor favorizant pentru comerț, inclusiv pentru comerțul digital, și o condiție prealabilă esențială pentru o cooperare strânsă și ambițioasă în domeniul asigurării respectării legii și al securității. Mai mult, având în vedere importanța fluxurilor de date cu Regatul Unit și proximitatea acestuia față de piața UE, un grad ridicat de convergență în privința normelor de protecție a datelor de ambele părți ale Canalului Mânecii reprezintă un element important pentru asigurarea unor condiții de concurență echitabile. În conformitate cu Declarația politică de stabilire a cadrului viitoarelor relații dintre Uniunea Europeană și Regatul Unit, Comisia efectuează în prezent o evaluare a caracterului adecvat atât în temeiul RGPD, cât și al Directivei privind protecția datelor în materie de asigurare a respectării legii. Având în vedere natura autonomă și unilaterală a unei evaluări a caracterului adecvat, aceste tratative urmează o cale diferită de cea privind negocierea unui acord cu privire la relațiile viitoare dintre UE și Regatul Unit.
|
În sfârșit, Comisia salută inițiativele altor țări de instituire a unor mecanisme de transfer al datelor similare unei decizii privind caracterul adecvat al nivelului de protecție. Acționând astfel, acestea recunosc adesea UE și țările pentru care Comisia a adoptat o decizie privind caracterul adecvat al nivelului de protecție drept destinații sigure de transfer al datelor. Numărul în creștere al țărilor care beneficiază de decizii privind caracterul adecvat al nivelului de protecție, pe de-o parte, și această formă de recunoaștere de către alte țări, pe de altă parte, au potențialul de a crea o rețea de țări în care datele pot circula liber și sigur. Comisia consideră acest aspect drept o evoluție binevenită, care va spori și mai mult beneficiile unei decizii privind caracterul adecvat al nivelului de protecție pentru țări terțe și care va contribui la convergența globală. De asemenea, aceste sinergii pot contribui în mod util la dezvoltarea de cadre pentru o circulație liberă și sigură a datelor, cum ar fi în contextul inițiativei „Data Free Flow with Trust” (a se vedea mai jos).
Garanții adecvate
RGPD prevede o serie de alte instrumente de transfer în afara soluției cuprinzătoare a unei decizii privind caracterul adecvat al nivelului de protecție. Flexibilitatea acestui „set de instrumente” este demonstrată de articolul 46 din RGPD, care reglementează transferurile de date în baza unor „garanții adecvate”, inclusiv în baza unor drepturi opozabile și a unor căi de atac eficiente pentru persoanele vizate. Pentru a asigura garanțiile adecvate, sunt disponibile o serie de instrumente diferite, care vin în întâmpinarea atât a nevoilor operatorilor comerciali, cât și a celor ale organismelor publice.
·Clauze contractuale standard (CCS)
Primul grup de astfel de instrumente vizează instrumentele contractuale, care pot fi clauze personalizate, clauze de protecție a datelor ad-hoc convenite între un exportator de date din UE și un importator de date din afara UE, autorizate de autoritatea competentă pentru protecția datelor [articolul 46 alineatul (3) litera (a) din RGPD] sau clauze standard, pre-aprobate de către Comisie [articolul 46 alineatul (2) literele (c) și (d) din RGPD]. Cele mai importante astfel de instrumente sunt așa-numitele clauze contractuale standard (CCS), respectiv clauze standard de protecție a datelor, pe care exportatorul și importatorul de date le pot include în acordurile lor contractuale (de exemplu, un contract de servicii care implică transferul de date cu caracter personal) în mod voluntar și care prevăd cerințele legate de garanțiile adecvate.
Clauzele contractuale standard reprezintă, de departe, mecanismul de transfer de date utilizat cel mai des. Mii de întreprinderi din UE se bazează pe clauzele contractuale standard pentru a oferi o gamă largă de servicii clienților, furnizorilor, partenerilor și angajaților lor, inclusiv servicii esențiale pentru funcționarea economiei. Utilizarea la scară largă a clauzelor contractuale standard indică faptul că acestea sunt extrem de utile întreprinderilor în demersurile lor de asigurare a conformității și oferă avantaje deosebite întreprinderilor care nu dețin resursele necesare în vederea negocierii unor contracte individuale cu fiecare dintre partenerii lor comerciali. Fiind standardizate și pre-aprobate, clauzele contractuale standard oferă întreprinderilor un instrument ușor de aplicat în vederea îndeplinirii tuturor cerințelor de protecție a datelor în contextul unui transfer.
Seturile existente de clauze contractuale standard au fost adoptate și aprobate în temeiul Directivei din 1995. Aceste clauze contractuale standard rămân în vigoare până la modificarea, înlocuirea sau abrogarea lor, după caz, în baza unei decizii a Comisiei [articolul 46 alineatul (5) din RGPD]. RGPD extinde posibilitățile de utilizare a clauzelor contractuale standard atât pe teritoriul UE, cât și pentru transferurile internaționale. Comisia conlucrează cu părțile interesate în vederea utilizării acestor posibilități și a actualizării clauzelor existente. În vederea asigurării caracterului adecvat al formei viitoare a clauzelor contractuale standard în funcție de scopul acestora, Comisia colectează feedback de la părțile interesate referitor la experiența acestora legată de clauzele contractuale standard prin intermediul Grupului multipartit de experți privind RGPD și un atelier specializat organizat în septembrie 2019, însă și prin intermediul multiplelor contacte cu întreprinderile care utilizează clauzele contractuale standard, precum și cu organizații ale societății civile. De asemenea, comitetul actualizează o serie de orientări ce ar putea fi relevante pentru revizuirea clauzelor contractuale standard, de exemplu cele privind conceptele de operator și persoană împuternicită de operator.
Pornind de la feedbackul primit, serviciile Comisiei lucrează în prezent la revizuirea clauzelor contractuale standard. În acest context, au fost identificate o serie de domenii care necesită îmbunătățiri, în special în legătură cu următoarele aspecte:
1.actualizarea clauzelor contractuale standard în raport cu noile cerințe introduse de RGPD, cum ar fi cele privind relația dintre operator și persoana împuternicită de operator în conformitate cu articolul 28 din RGPD (în special obligațiile persoanei împuternicite de operator), obligațiile de transparență ale importatorului de date (în legătură cu informațiile necesare ce trebuie furnizate persoanei vizate) etc.;
2.abordarea mai multor scenarii de transfer care nu fac obiectul clauzelor contractuale standard actuale, cum ar fi transferul de date de la o persoană împuternicită de operator din UE către un sub-contractant din afara UE, însă și în situația în care operatorul își are sediul în afara UE;
3.o mai bună reflectare a realităților operațiunilor de prelucrare în economia digitală modernă, în cadrul căreia astfel de operațiuni implică adesea mai mulți importatori și exportatori de date, lanțuri de prelucrare lungi și adesea complexe, relații de afaceri în continuă schimbare etc. Pentru a reglementa aceste situații, soluțiile în curs de explorare includ, de exemplu, posibilitatea de a permite semnarea unor clauze contractuale standard de mai multe părți sau aderarea unor alte părți pe durata contractului.
În cadrul abordării acestor aspecte, Comisia are în vedere și modalități de simplificare a „arhitecturii” actuale a clauzelor contractuale standard pentru a le face mai ușor de utilizat, de exemplu, prin înlocuirea seturilor multiple de clauze contractuale standard cu un document cuprinzător unic. Provocarea acestui demers este, pe de-o parte, menținerea unui echilibru adecvat între nevoia de claritate și un anumit grad de standardizare și, pe de altă parte, flexibilitatea necesară care să permită utilizarea acestor clauze de operatori cu cerințe diferite, în contexte diferite și pentru tipuri diferite de transfer.
Un alt aspect important de avut în vedere este, ținând seama de cauzele actuale aflate pe rolul Curții de Justiție, posibila necesitate de clarificare suplimentară a garanțiilor cu privire la accesul autorităților publice străine la datele transferate în baza clauzelor contractuale standard, în special în scopuri de securitate națională. Acest lucru poate include obligarea importatorului sau a exportatorului de date sau a amândurora să ia măsuri și să clarifice rolul autorităților pentru protecția datelor în contextul respectiv. Deși revizuirea clauzelor contractuale standard se află într-un stadiu avansat, va fi necesar să se aștepte hotărârea Curții pentru a se putea reflecta orice eventuale cerințe suplimentare în cadrul clauzelor revizuite, înainte de transmiterea unui proiect de decizie cu privire la un nou set de clauze contractuale standard către comitet pentru emiterea unui aviz și, ulterior, propunerea sa spre adoptare în cadrul „procedurii comitetului”.
În paralel, Comisia ține legătura cu parteneri internaționali care elaborează instrumente similare. Acest dialog, care permite un schimb de experiență și de bune practici, ar putea contribui semnificativ la dezvoltarea în continuare a convergenței „pe teren” și, în acest fel, ar putea înlesni respectarea normelor de transfer transfrontalier pentru întreprinderile care își desfășoară activitatea în diferite regiuni ale globului.
·Norme corporative obligatorii
Un alt instrument important sunt așa-numitele norme corporative obligatorii. Ele sunt politici și acorduri obligatorii din punct de vedere juridic, care se aplică membrilor unei corporații, inclusiv angajaților acestora [articolul 46 alineatul (2) litera (b) și articolul 47 din RGPD]. Utilizarea regulilor corporatiste obligatorii permite circulația liberă a datelor cu caracter personal între diverșii membri ai unui grup la nivel mondial – fără a mai fi nevoie de acorduri contractuale între fiecare entitate corporativă – în același timp asigurându-se respectarea unui nivel ridicat de protecție a datelor cu caracter personal în cadrul grupului. Acestea oferă o soluție bună mai ales pentru grupurile corporative mari și complexe și pentru colaborarea strânsă dintre întreprinderi care derulează schimburi de date în jurisdicții multiple. Spre deosebire de Directiva din 1995, RGPD prevede că regulile corporatiste obligatorii pot fi utilizate de un grup de întreprinderi implicate într-o activitate comună, care însă nu fac parte din același grup corporativ.
Procedural, regulile corporatiste obligatorii trebuie aprobate de autoritățile competente pentru protecția datelor în baza unui aviz fără caracter obligatoriu al comitetului. Pentru a ghida acest proces, comitetul a revizuit criteriile de referință privind regulile corporatiste obligatorii (stabilind standarde materiale) pentru operatori și persoanele împuternicite de operatori din prisma RGPD și continuă să actualizeze aceste documente pe baza experienței practice a autorităților de supraveghere. De asemenea, acesta a adoptat diverse documente de orientare pentru a ajuta solicitanții și a simplifică procesul de solicitare și aprobare în legătură cu regulile corporatiste obligatorii. Potrivit comitetului, peste 40 de reguli corporatiste obligatorii sunt în curs de aprobare, jumătate din acestea urmând a fi aprobate până la finele anului 2020. Este important ca autoritățile pentru protecția datelor să își continue activitatea în vederea simplificării procesului de aprobare, având în vedere că durata acestor proceduri este adesea menționată de părțile interesate ca fiind un obstacol în calea utilizării la scară mai largă a regulilor corporatiste obligatorii.
În final, în legătură cu regulile corporatiste obligatorii aprobate în mod specific de autoritatea pentru protecția datelor din Regatul Unit – Information Commissioner Office – întreprinderile vor putea continua să le utilizeze ca mecanism valabil de transfer în temeiul RGPD după încheierea perioadei de tranziție în conformitate cu Acordul de retragere încheiat între UE și Regatul Unit, însă numai dacă acestea sunt modificate în sensul înlocuirii oricărei referiri la ordinea juridică a Regatului Unit cu trimiteri corespunzătoare la entități corporative și autorități competente din cadrul UE. Aprobarea oricăror reguli corporatiste obligatorii noi ar trebui propusă de una dintre autoritățile de supraveghere din UE.
·Mecanisme de certificare și coduri de conduită
În plus față de modernizarea și lărgirea cadrului de aplicare a instrumentelor deja existente de transfer, RGPD a introdus și o serie de instrumente noi, extinzând astfel posibilitățile de transfer internațional. Aceasta include, în anumite condiții, utilizarea codurilor de conduită și a mecanismelor de certificare aprobate (cum ar fi mărcile de protecție a vieții private) pentru a asigura garanții adecvate. Ele sunt instrumente ascendente, care permit soluții personalizate – ca mecanism general de responsabilitate (a se vedea articolele 40-42 din RGPD) și, în mod specific, transferuri internaționale de date – reflectând, de pildă, caracteristici și nevoi specifice ale unui anumit sector sau ale unei anumite industrii sau ale unor anumite fluxuri de date. Prin calibrarea obligațiilor cu riscurile, codurile de conduită pot fi, de asemenea, o modalitate foarte utilă și eficientă din punctul de vedere al costurilor pentru întreprinderile mici și mijlocii în vederea îndeplinirii obligațiilor care le revin în temeiul RGPD.
În ceea ce privește mecanismele de certificare, deși comitetul a adoptat orientări în vederea promovării utilizării acestora la nivelul UE, activitatea sa de elaborare a criteriilor de aprobare a mecanismelor de certificare ca instrumente de transfer internațional este încă în curs. Același lucru este valabil și în cazul codurilor de conduită, în legătură cu care, la nivelul comitetului, sunt în curs de elaborare orientări de utilizare a acestora ca instrument de transfer.
Având în vedere importanța furnizării unei game largi de instrumente de transfer pentru operatori și, în special, potențialul mecanismelor de certificare de înlesnire a transferurilor de date, cu menținerea, totodată, a unui nivel ridicat de protecție, Comisia îndeamnă comitetul să finalizeze aceste orientări cât mai curând posibil. Acest lucru vizează atât aspecte materiale (criterii), cât și aspecte procedurale (aprobare, monitorizare etc.). Părțile interesate au manifestat un interes deosebit în legătură cu aceste mecanisme de transfer și ar trebui să poată utiliza pe deplin acest set de instrumente în baza RGPD. De asemenea, orientările comitetului ar contribui la promovarea modelului UE de protecție a datelor la nivel global și ar încuraja convergența, având în vedere faptul că și alte sisteme de protecție a vieții private utilizează instrumente similare.
Eforturile de standardizare actuale în domeniul vieții private la nivel european și internațional pot conduce la concluzii valoroase. Un exemplu interesant îl reprezintă standardul internațional publicat recent ISO 27701, care își propune să ajute întreprinderile să îndeplinească cerințele de protejare a vieții private și să gestioneze riscurile legate de prelucrarea datelor cu caracter personal prin intermediul „sistemelor de management aplicate pentru managementul informațiilor privind confidențialitatea”. Deși certificarea doar în baza acestui standard nu îndeplinește cerințele articolelor 42 și 43 din RGPD, aplicarea sistemelor de management aplicate pentru managementul informațiilor privind confidențialitatea poate contribui la respectarea principiului responsabilității, inclusiv în contextul transferurilor internaționale de date.
·Acorduri internaționale și acorduri administrative
RGPD oferă posibilitatea de asigurare a unor garanții adecvate pentru transferurile de date între autorități sau organisme publice în baza acordurilor internaționale [articolul 46 alineatul (2) litera (a)] sau a acordurilor administrative [articolul 46 alineatul (3) litera (b)]. Deși ambele instrumente trebuie să garanteze același rezultat în ceea ce privește garanțiile, inclusiv drepturi opozabile și căi de atac eficiente pentru persoanele vizate, ele diferă în privința caracterului lor juridic și a procedurii de adoptare.
Spre deosebire de acordurile internaționale, care creează obligații angajante în temeiul legislației internaționale, de regulă, acordurile administrative (de exemplu, sub forma unui memorandum de înțelegere) nu au caracter obligatoriu și, astfel, impun autorizarea prealabilă din partea autorității competente pentru protecția datelor (a se vedea și considerentul 108 din RGPD). Unul dintre primele exemple în acest sens se referă la acordul administrativ pentru transferul de date cu caracter personal dintre autorități de supraveghere financiară din SEE și din afara SEE, care colaborează în cadrul Organizației Internaționale a Comisiilor de Valori Mobiliare (IOSCO), cu privire la care comitetul a emis un aviz la începutul anului 2019. De la momentul respectiv, comitetul și-a nuanțat interpretarea cu privire la „garanțiile minime” pe care acordurile internaționale (de cooperare) și acordurile administrative dintre autoritățile sau organismele publice (inclusiv organizații internaționale) trebuie să le asigure în vederea respectării cerințelor articolului 46 din RGPD. La data de 18 ianuarie 2020, acesta a adoptat un proiect de orientări, abordând solicitarea statelor membre de clarificări suplimentare și îndrumare cu privire la ceea ce poate fi considerat garanție adecvată pentru transferurile dintre autoritățile publice. Comitetul recomandă cu insistență autorităților publice să utilizeze aceste orientări ca punct de referință în cadrul negocierilor cu terțe părți.
Orientările demonstrează flexibilitatea structurii acestor instrumente, inclusiv în legătură cu aspecte importante, cum ar fi supravegherea și căile de atac. Acest lucru ar trebui să permită autorităților publice să depășească, de exemplu, dificultățile legate de asigurarea drepturilor opozabile ale persoanelor vizate prin intermediul acordurilor fără caracter obligatoriu. Un element important al acordurilor de acest fel îl reprezintă monitorizarea continuă a acestora de către autoritatea pentru protecția datelor – susținută de cerințe de informare și ținere a evidențelor – și suspendarea fluxurilor de date, în cazul în care garanțiile adecvate nu mai pot fi asigurate în practică.
Derogări
În final, RGPD oferă clarificări cu privire la utilizarea așa-numitelor „derogări”. Ele sunt motive specifice de transfer al datelor (de exemplu, consimțământul explicit, executarea unui contract sau motive importante de interes public) recunoscute de lege și care pot fi utilizate de entități în absența altor instrumente de transfer și în anumite condiții.
Pentru a clarifica utilizarea acestor motive statutare, comitetul a publicat o orientare specifică și a interpretat articolul 49 în mai multe cazuri în legătură cu scenarii specifice de transfer. Deoarece au caracter excepțional, comitetul consideră că derogările trebuie interpretate restrictiv, de la caz la caz. În ciuda interpretării stricte, aceste motive se aplică unei game largi de scenarii de transfer. Aceasta include, în special, transferurile de date efectuate atât de autoritățile publice, cât și de entități private, necesare „din considerente importante de interes public”, de exemplu între autorități de concurență, financiare, fiscale sau vamale, servicii competente în domeniul securității sociale sau al sănătății publice (cum este cazul activității de depistare a contacților în contextul unor boli contagioase sau în vederea eliminării dopajului din sport). Un alt domeniu este cel al cooperării transfrontaliere în scopuri de aplicare a legislației în materie penală, în special în legătură cu infracțiunile grave.
Comitetul a clarificat că, deși interesul public relevant trebuie recunoscut în legislația UE sau a statelor membre, acesta poate fi de asemenea stabilit având în vedere „existența unui acord sau a unei convenții internaționale care recunoaște un anumit obiectiv și care prevede cooperarea internațională în vederea promovării acestui obiectiv poate constitui un indicator atunci când se evaluează existența unui interes public în conformitate cu articolul 49 alineatul (1) litera (d), atât timp cât UE sau statele membre sunt parte la acordul sau convenția respectivă”.
Deciziile instanțelor sau ale autorităților străine: nu reprezintă un motiv de transfer
În plus față de stabilirea pozitivă a motivelor de transfer al datelor, capitolul V din RGPD clarifică, în articolul 48, faptul că hotărârile instanțelor și deciziile autorităților administrative din afara UE nu reprezintă astfel de motive, decât dacă sunt recunoscute sau executorii în baza unui acord internațional (de exemplu, un tratat de asistență judiciară reciprocă). Orice divulgare de informații de către entitatea din UE căreia i se adresează solicitarea în acest sens, către o instanță sau autoritate străină ca răspuns la o astfel de hotărâre sau decizie constituie un transfer internațional de date și trebuie să aibă la bază unul dintre instrumentele de transfer menționate.
RGPD nu reprezintă „o lege de blocare” și, în anumite condiții, va permite transferul de date, ca răspuns la o solicitare corespunzătoare de asigurare a respectării legislației dintr-o țară terță. Cel mai important element este că regulamentul reprezintă o lege a UE ce ar trebui să stabilească aplicabilitatea situației respective și care sunt garanțiile în baza cărora pot avea loc astfel de transferuri.
Comisia a explicat funcționarea articolului 48 din RGPD, inclusiv posibilitatea de utilizare a derogării din considerente de interes public, în contextul emiterii unui ordin (mandat) de divulgare de către o autoritate de asigurare a respectării legislației în materie penală din străinătate în cauza Microsoft aflată pe rolul Curții Supreme a SUA. În observațiile transmise, Comisia a subliniat interesul UE de a asigura cooperarea în vederea asigurării respectării legislației „într-un cadru legal, care să evite conflictele de legi și să se bazeze pe […] respectul față de interesele fundamentale reciproce, atât în domeniul vieții private, cât și în cel al asigurării respectării legislației”. În special, „din perspectiva dreptului internațional public, atunci când o autoritate publică solicită unei întreprinderi cu sediul în jurisdicția sa să pună la dispoziție date electronice stocate pe un server dintr-o jurisdicție străină, sunt implicate principiile teritorialității și ale curtoaziei în temeiul dreptului internațional public”.
Acest aspect se reflectă și în propunerea Comisiei de regulament al Parlamentului European și al Consiliului privind ordinele europene de divulgare și de păstrare a probelor electronice în materie penală, care conține o „clauză specifică de curtoazie” ce conferă posibilitatea de ridicare a unei obiecții împotriva unui ordin de divulgare, în cazul în care respectarea acestui ordin ar intra în conflict cu legislația unei țări terțe, care interzice divulgarea datelor respective în special pe motiv că acest lucru este necesar pentru protecția drepturilor fundamentale ale persoanelor vizate.
|
Asigurarea curtoaziei este importantă, ținând seama de faptul că asigurarea respectării legislației – precum criminalitatea și, în special, criminalitatea cibernetică – are o componentă transfrontalieră din ce în ce mai mare și, astfel, ridică adesea probleme de jurisdicție și creează potențiale conflicte de legi. Nu în mod surprinzător, cea mai bună modalitate de abordare a acestor aspecte o reprezintă acordurile internaționale, care prevăd limitările și garanțiile necesare pentru accesul transfrontalier la datele cu caracter personal, inclusiv prin asigurarea unui nivel ridicat de protecție a datelor la nivelul autorității solicitante.
Acționând în numele UE, Comisia derulează în prezent negocieri multilaterale în legătură cu un al doilea protocol adițional la Convenția Consiliului Europei privind criminalitatea informatică (Convenția de la Budapesta), care își propune să consolideze normele existente în vederea obținerii accesului la probelele electronice în cadrul anchetelor penale, furnizând, în același timp, garanții de protecție a datelor în cadrul acestui protocol. În mod similar, au început negocierile bilaterale cu privire la un acord între Uniunea Europeană și Statele Unite ale Americii privind accesul transfrontalier la probele electronice în scopul cooperării judiciare în materie penală. Pe parcursul acestor negocieri, Comisia se bazează pe sprijinul Parlamentului European și al Consiliului, precum și pe îndrumarea CEPD.
La modul general, este important să se asigure faptul că, atunci când întreprinderilor care desfășoară activități pe piața europeană li se solicită, pe baza unei cereri legitime, să comunice date în scopul aplicării legii, acestea se pot conforma fără să se confrunte cu conflicte de legi și respectând pe deplin drepturile fundamentale ale UE. Pentru a îmbunătăți aceste transferuri, Comisia se angajează să dezvolte cadre juridice adecvate cu partenerii săi internaționali pentru a evita conflictele de legi și a sprijini formele de cooperare eficace, în special prin asigurarea garanțiilor necesare pentru protecția datelor, contribuind astfel la combaterea cu mai multă eficacitate a criminalității.
7.3Cooperarea internațională în domeniul protecției datelor
Promovarea convergenței între sisteme diferite de protecție a vieții private înseamnă și a învăța unii de la alții, prin schimbul de cunoștințe, experiență și bune practici. Astfel de schimburi sunt esențiale pentru a aborda noile provocări, tot mai globale ca natură și scop. Din acest motiv, Comisia și-a intensificat dialogul cu privire la protecția datelor și fluxurile de date cu o gamă largă de actori și în diverse foruri, la nivel bilateral, regional și multilateral.
Dimensiunea bilaterală
Adoptarea RGPD a suscitat un interes sporit în legătură cu experiența UE în ceea ce privește conceperea, negocierea și punerea în aplicare a normelor moderne privind protecția vieții private. Dialogul cu țările care parcurg procese similare a îmbrăcat diverse forme.
Serviciile Comisiei au transmis observații în cadrul mai multor consultări publice organizate de guvernele străine care iau în considerare adoptarea legislației în domeniul protecției vieții private, de exemplu cele din SUA, India, Malaysia și Etiopia. În anumite țări terțe, serviciile Comisiei au avut privilegiul de a prezenta aceste aspecte în fața organismelor parlamentare competente, de exemplu în Brazilia, Chile, Ecuador și Tunisia.
În plus, în contextul reformelor în curs ale legislației privind protecția datelor, au avut loc o serie de întâlniri speciale cu reprezentanți ai guvernului sau delegații parlamentare din nenumărate regiuni ale globului (de exemplu, Georgia, Kenya, Taiwan, Thailanda, Maroc). Ele au inclus organizarea de seminare și vizite de studiu, de exemplu, cu reprezentanți ai guvernului indonezian și o delegație de membri ai personalului Congresului SUA. Acestea au oferit oportunități de clarificare a unor importante concepte ale RGPD, de îmbunătățire a înțelegerii reciproce a aspectelor legate de protecția vieții private și de ilustrare a beneficiilor convergenței în vederea asigurării unui nivel ridicat de protecție a drepturilor persoanelor, schimburi comerciale și cooperare. În unele cazuri, ele au permis corectarea anumitor concepții greșite privind protecția datelor, care pot conduce la măsuri protecționiste, precum cerințele de localizare forțată.
De la adoptarea RGPD, Comisia a colaborat și cu o serie de organizații internaționale, inclusiv având în vedere importanța schimburilor de date cu organizațiile respective în mai multe domenii de politică. În special, a fost stabilit un dialog specific cu Organizația Națiunilor Unite pentru a înlesni discuțiile cu toate părțile interesate implicate în vederea asigurării transferurilor de date fără dificultăți și a dezvoltării unei mai mari convergențe între regimurile respective de protecție a datelor. În cadrul acestui dialog, Comisia va colabora îndeaproape cu CEPD pentru a clarifica suplimentar modul în care operatorii privați și publici din UE își pot respecta obligațiile în temeiul RGPD atunci când realizează schimburi de date cu organizații internaționale precum ONU.
Comisia este pregătită să continue să disemineze lecțiile învățate în cadrul procesului de reformă țărilor și organizațiilor internaționale interesate, în același fel în care a învățat de la alte sisteme la momentul elaborării propunerii sale de norme noi în domeniul protecției datelor la nivelul UE. Acest tip de dialog este benefic atât pentru UE, cât și pentru partenerii săi, deoarece permite obținerea unei mai bune înțelegeri a peisajului protecției vieții private în continuă evoluție și schimbul de perspective asupra soluțiilor tehnologice și juridice emergente.
În acest spirit, Comisia pregătește o „academie de protecție a datelor”, în vederea promovării schimburilor dintre autoritățile de reglementare din Europa și din țări terțe și, astfel, a îmbunătățirii cooperării „pe teren”.
În plus, este necesar să se elaboreze instrumente juridice adecvate pentru forme mai strânse de cooperare și asistență reciprocă, inclusiv prin permiterea schimbului de informații necesar în contextul anchetelor. Astfel, Comisia va face uz de competențele conferite în acest domeniu de articolul 50 din RGPD și, în special, va solicita autorizarea inițierii negocierilor pentru încheierea unor acorduri de cooperare în materie de asigurare a respectării legislației cu țări terțe relevante. În acest context, Comisia va ține seama și de poziția comitetului privind țările cărora ar trebui să li se acorde prioritate pentru inițierea unui astfel de dialog, având în vedere volumul transferurilor de date, rolul și competențele autorității de asigurare a respectării legislației în domeniul protecției vieții private din țara terță și nevoia de cooperare în materie de asigurare a respectării legislației în vederea soluționării cazurilor de interes comun.
|
Dimensiunea multilaterală
Pe lângă schimburile bilaterale, Comisia participă activ și în cadrul unor foruri multilaterale, promovând valori comune și consolidând convergența la nivel regional și global.
Aderarea tot mai universală la „Convenția 108” a Consiliului Europei, singurul instrument multilateral obligatoriu din punct de vedere juridic în domeniul protecției datelor cu caracter personal, este un semn clar al acestei tendințe de (creștere a nivelului de) convergență. Convenția, care se adresează și țărilor care nu sunt membre ale Consiliului Europei, a fost deja ratificată de 55 de țări, inclusiv de o serie de state din Africa și America Latină. Comisia a contribuit semnificativ la succesul negocierilor cu privire la modernizarea convenției, asigurându-se că aceasta reflectă același principii precum cele consacrate de normele privind protecția datelor la nivelul UE. Majoritatea statele membre ale UE au semnat protocolul de modificare, însă mai lipsesc semnătura Danemarcei, a Maltei și a României. Doar patru state membre (Bulgaria, Croația, Lituania și Polonia) au ratificat protocolul de modificare până în prezent. Comisia invită insistent cele trei state membre rămase să semneze convenția în forma sa modernizată și toate statele membre să ia rapid măsurile necesare în vederea ratificării acesteia, pentru a permite intrarea sa în vigoare în viitorul apropiat. În plus, aceasta va continua să încurajeze proactiv aderarea țărilor terțe.
Fluxurile de date și protecția datelor au fost abordate recent și în cadrul summiturilor G20 și G7. În 2019, liderii mondiali au susținut pentru prima dată ideea că protecția datelor contribuie la încrederea în economia digitală și facilitează fluxurile de date. Cu sprijinul activ al Comisiei
, liderii au recunoscut conceptul de „data free flow with trust” (DFFT), propus inițial de Japonia în cadrul Declarației liderilor G20 de la Osaka
, precum și în cadrul summitului G7 de la Biarritz
. Această abordare se reflectă și în Comunicarea Comisiei din 2020 „O strategie europeană privind datele”, care evidențiază intenția Comisiei de a continua să promoveze schimbul de date cu parteneri fiabili, combătând în același timp abuzurile, cum ar fi accesul disproporționat al autorităților publice (străine) la date.
Acționând astfel, UE se va putea baza și pe o serie de instrumente în domenii de politică diferite, ce țin tot mai mult seama de impactul asupra vieții private: de exemplu, primul cadru la nivel UE de examinare a investițiilor străine, ce va deveni pe deplin aplicabil în octombrie 2020, oferă UE și statelor membre posibilitatea de a identifica tranzacții de investiții cu efecte asupra „accesului la informații sensibile, inclusiv la date cu caracter personal sau asupra capacității de a controla aceste informații”, în cazul în care ele afectează securitatea și ordinea publică.
Comisia colaborează cu țări care împărtășesc aceeași viziune în multe alte foruri multilaterale pentru a-și promova activ valorile și standardele. Un for important îl reprezintă recent înființatul Grup de lucru privind guvernanța și protecția datelor (DGP) din cadrul OCDE, care derulează mai multe inițiative importante cu privire la protecția datelor, partajarea și transferul de date. Aceasta include evaluarea Orientărilor OCDE privind viața privată din 2013. În plus, Comisia a contribuit activ la Recomandarea Consiliului OCDE privind inteligența artificială și s-a asigurat că textul final al acesteia reflectă abordarea UE centrată pe factorul uman, ceea ce înseamnă că aplicațiile IA trebuie să respecte drepturile fundamentale și, în special, dreptul la protecția datelor. Este important de menționat că Recomandarea privind IA – inclusă ulterior în Principiile privind IA ale G20 anexate la Declarația liderilor G20 de la Osaka – prevede principiul transparenței și al explicabilității pentru „a permite celor afectați negativ de un sistem IA să îi conteste rezultatul în baza unor informații simple și ușor de înțeles cu privire la factorii și logica utilizate ca bază de predicție, recomandare sau decizie”, astfel, reflectând îndeaproape principiile RGPD privind procesul decizional automatizat.
De asemenea, Comisia și-a intensificat dialogul cu o serie de organizații și rețele regionale, care joacă un rol tot mai important în conturarea standardelor de protecție a datelor, promovarea schimbului de bune practici și stimularea cooperării între autoritățile de asigurare a respectării legislației. Această activitate vizează, în special, Asociația Națiunilor din Asia de Sud-Est (ASEAN) – inclusiv în contextul activității actuale a acesteia privind instrumentele de transfer al datelor –, Uniunea Africană, Forumul autorităților de protecție a vieții private din zona AsiaPacific (APPA) și Rețeaua ibero-americană de protecție a datelor; toate aceste organizații au lansat inițiative importante în acest domeniu și constituie foruri în care sunt promovate dialoguri fructuoase între autoritățile de reglementare a protecției vieții private și alte părți interesate.
Africa reprezintă un exemplu grăitor de complementaritate între dimensiunea națională, cea regională și cea globală a protecției vieții private. Tehnologiile digitale transformă rapid și profund continentul african. Această situație are potențialul de a accelera atingerea obiectivelor de dezvoltare durabilă prin stimularea creșterii economice, atenuarea sărăciei și îmbunătățirea calității vieții. Existența unui cadru modern de protecție a datelor, care atrage investiții și promovează dezvoltarea de afaceri competitive, contribuind, în același timp, la respectarea drepturilor omului, a democrației și a statului de drept, reprezintă un element-cheie al acestei transformări. Armonizarea normelor de protecție a datelor la nivelul Africii ar permite integrarea pieței digitale, iar convergența cu standardele globale ar înlesni schimburile de date cu UE. Aceste dimensiuni diferite ale protecției datelor sunt interconectate și se susțin reciproc.
În prezent, multe state africane manifestă un interes în creștere privind protecția datelor, iar numărul de țări africane care au adoptat sau se află în proces de adoptare a unor norme moderne de protecție a datelor sau care au ratificat Convenția 108 sau Convenția de la Malabo continuă să crească. În același timp, cadrul de reglementare rămâne profund inegal și fragmentat pe teritoriul african. Multe țări oferă încă puține garanții de protecție a datelor sau chiar nu oferă astfel de garanții. Măsurile care restricționează fluxurile de date sunt încă larg răspândite și împiedică dezvoltarea unei economii digitale regionale.
Pentru a exploata beneficiile reciproce ale normelor convergente de protecție a datelor, Comisia va colabora cu partenerii săi africani atât la nivel bilateral, cât și în cadrul unor foruri regionale. Această colaborare are la bază activitatea Grupului operativ pentru economia digitală UE-UA în contextul Noului parteneriat Africa-Europa privind economia digitală. De asemenea, ea vine în completarea obiectivelor pe care domeniul de aplicare al instrumentului de parteneriat al Comisiei „Protecție sporită a datelor și a fluxurilor de date” le-a extins pentru a include și Africa. Proiectul va fi mobilizat pentru a susține țările africane care intenționează să dezvolte cadre moderne de protecție a datelor sau care doresc să consolideze capacitatea autorităților de reglementare ale acestora prin formare, schimb de cunoștințe și bune practici.
|
În fine, Comisia promovează convergența standardelor de protecție a datelor la nivel internațional, ca modalitate de a facilita fluxurile de date și, prin urmare, comerțul, dar este hotărâtă să abordeze, în același timp, și protecționismul digital, astfel cum a fost evidențiat recent în strategia privind datele. În acest scop, Comisia a elaborat dispoziții specifice privind fluxurile de date și protecția datelor în acordurile comerciale, pe care le înscrie sistematic pe agenda negocierilor bilaterale - cel mai recent cu Australia, Noua Zeelandă și Regatul Unit - și multilaterale, cum ar fi discuțiile în curs privind comerțul electronic din cadrul OMC. Aceste dispoziții orizontale exclud restricțiile nejustificate, precum cerințele de localizare forțată a datelor, păstrând în același timp autonomia în materie de reglementare a părților, pentru a proteja dreptul fundamental la protecția datelor.
Deși trebuie să urmeze căi diferite, dialogurile privind protecția datelor și negocierile comerciale se pot completa reciproc. De fapt, convergența, bazându-se pe standarde înalte și fiind susținută de asigurarea eficace a respectării legii, asigură cea mai solidă fundație pentru schimbul de date cu caracter personal, un aspect tot mai des recunoscut de partenerii noștri internaționali. Întrucât întreprinderile își desfășoară tot mai mult activitatea dincolo de frontiere și preferă să aplice seturi similare de norme în toate operațiunile lor comerciale desfășurate la nivel mondial, o astfel de convergență contribuie la crearea unui mediu care favorizează investițiile directe, facilitând schimburile comerciale și îmbunătățind nivelul de încredere dintre partenerii comerciali. Sinergiile dintre comerț și instrumentele de protecție a datelor ar trebui să fie analizate în continuare, pentru a se asigura fluxuri internaționale libere și sigure de date, care sunt esențiale pentru operațiunile comerciale, pentru competitivitate și pentru dezvoltarea întreprinderilor europene, inclusiv a IMM-urilor, într-o economie din ce în ce mai digitalizată.
|
Anexa I – Clauzele de specificare facultative la nivelul legislației naționale
Subiect
|
Domeniu de aplicare
|
Articole RGPD
|
Specificații pentru obligații legale și sarcini publice
|
Adaptarea aplicării dispozițiilor cu privire la prelucrare în vederea respectării unei obligații legale sau a unei sarcini publice, inclusiv cu privire la situațiile specifice de prelucrare prevăzute în capitolul IX
|
Articolul 6 alineatele (2) și (3)
|
Limita de vârstă pentru consimțământul în legătură cu serviciile societății informaționale
|
Stabilirea vârstei minime între 13 și 16 ani
|
Articolul 8 alineatul (1)
|
Prelucrarea unor categorii speciale de date
|
Menținerea sau introducerea unor condiții suplimentare, inclusiv a unor limitări, de prelucrare a datelor genetice, a datelor biometrice sau a datelor privind sănătatea
|
Articolul 9 alineatul (4)
|
Derogări de la cerințele de informare
|
Obținerea sau divulgarea datelor prevăzută în mod expres de lege sau în legătură cu un secret profesional reglementat prin lege
|
Articolul 14 alineatul (5) literele (c) și (d)
|
Procesul decizional individual automatizat
|
Autorizarea procesului decizional automatizat prin derogare de la interdicția cu caracter general
|
Articolul 22 alineatul (2) litera (b)
|
Limitări ale drepturilor persoanelor vizate
|
Restricțiile de la articolul 12 la articolul 22, articolul 34 și dispozițiile corespunzătoare de la articolul 5, după caz și dacă este proporțional pentru a asigura obiectivele importante enumerate exhaustiv
|
Articolul 23 alineatul (1)
|
Cerința de consultare și autorizare
|
Cerința ca operatorii să se consulte cu autoritatea pentru protecția datelor sau să obțină autorizarea din partea acesteia în legătură cu prelucrarea datelor în vederea îndeplinirii unei sarcini exercitate de aceștia în interes public
|
Articolul 36 alineatul (5)
|
Desemnarea unui responsabil cu protecția datelor în cazuri suplimentare
|
Desemnarea unui responsabil cu protecția datelor în alte cazuri decât cele prevăzute la articolul 37 alineatul (1)
|
Articolul 37 alineatul (4)
|
Limite asupra transferurilor
|
Limite asupra transferurilor unor categorii specifice de date cu caracter personal
|
Articolul 49 alineatul (5)
|
Plângeri și acțiuni în justiție înaintate de organizații în nume propriu
|
Autorizarea organizațiilor din domeniul protecției vieții private de a înainta plângeri și acțiuni în justiție independent de mandatul unei persoane vizate
|
Articolul 80 alineatul (2)
|
Accesul la documente oficiale
|
Reconcilierea dintre accesul public la documente oficiale și dreptul la protecția datelor cu caracter personal
|
Articolul 86
|
Prelucrarea unui număr de identificare național
|
Condiții specifice de prelucrare a unui număr de identificare național
|
Articolul 87
|
Prelucrarea în contextul ocupării unui loc de muncă
|
Norme mai detaliate pentru prelucrarea datelor cu caracter personal ale angajaților
|
Articolul 88
|
Derogări privind prelucrarea în scopuri de arhivare în interes public, în scopuri de cercetare sau în scopuri statistice
|
Derogări de la drepturile specificate ale persoanelor vizate în măsura în care drepturile respective sunt de natură să facă imposibilă sau să afecteze în mod grav realizarea scopurilor specifice
|
Articolul 89 alineatul (2) și (3)
|
Reconcilierea protecției datelor cu obligațiile privind păstrarea confidențialității
|
Norme specifice cu privire la competențele de investigare ale autorităților pentru protecția datelor în legătură cu operatori sau persoane împuternicite de operatori care au obligația de a păstra secretul profesional
|
Articolul 90
|
Anexa II – Prezentare generală a resurselor autorităților pentru protecția datelor
Tabelul de mai jos include o prezentare generală a resurselor autorităților pentru protecția datelor (angajați și buget) per stat membru UE/țări SEE.
Atunci când se realizează o comparație a valorilor între statele membre, este important de reținut că este posibil ca autoritățile respective să aibă și alte sarcini decât cele în temeiul RGPD și că situația poate varia în funcție de statul membru vizat. Raportarea numărului de angajați ai autorităților la un milion de locuitori și a bugetului autorităților la un milion EUR din PIB este inclusă doar pentru a furniza elemente suplimentare de comparație între statele membre de dimensiuni similare și nu trebuie avută în vedere izolat. Valorile absolute, rapoartele și evoluția acestora pe parcursul ultimilor ani ar trebui avute în vedere împreună, atunci când se evaluează resursele unei anumite autorități.
|
ANGAJAȚI (echivalent normă întreagă)
|
BUGET (EUR)
|
State membre UE/țări SEE
|
2019
|
Previziune 2020
|
% creștere 2016-2019
|
% creștere 2016-2020 (previziune)
|
Angajați la un milion de locuitori (2019)
|
2019
|
Previziune 2020
|
% creștere 2016-2019
|
% creștere 2016-
2020 (previziune)
|
Buget per milion EUR din PIB (2019)
|
Austria
|
34
|
34
|
48 %
|
48 %
|
3,8
|
2 282 000
|
2 282 000
|
29 %
|
29 %
|
5,7
|
Belgia
|
59
|
65
|
9 %
|
20 %
|
5,2
|
8 197 400
|
8 962 200
|
1 %
|
10 %
|
17,3
|
Bulgaria
|
60
|
60
|
-14 %
|
-14 %
|
8,6
|
1 446 956
|
1 446 956
|
24 %
|
24 %
|
23,8
|
Croația
|
39
|
60
|
39 %
|
114 %
|
9,6
|
1 157 300
|
1 405 000
|
57 %
|
91 %
|
21,5
|
Cipru
|
24
|
22
|
Nu se aplică
|
Nu se aplică
|
27,4
|
503 855
|
Nu se aplică
|
114 %
|
Nu se aplică
|
23,0
|
Republica Cehă
|
101
|
109
|
0 %
|
8 %
|
9,5
|
6 541 288
|
6 720 533
|
10 %
|
13 %
|
29,7
|
Danemarca
|
66
|
63
|
106 %
|
97 %
|
11,4
|
5 610 128
|
5 623 114
|
101 %
|
101 %
|
18,0
|
Estonia
|
16
|
18
|
-11 %
|
0 %
|
12,1
|
750 331
|
750 331
|
7 %
|
7 %
|
26,8
|
Finlanda
|
45
|
55
|
114 %
|
162 %
|
8,2
|
3 500 000
|
4 500 000
|
94 %
|
150 %
|
14,6
|
Franța
|
215
|
225
|
9 %
|
14 %
|
3,2
|
18 506 734
|
20 143 889
|
-2 %
|
7 %
|
7,7
|
Germania
|
888
|
1002
|
52 %
|
72 %
|
10,7
|
76 599 800
|
85 837 500
|
48 %
|
66 %
|
22,3
|
Grecia
|
33
|
46
|
-15 %
|
18 %
|
3,1
|
2 849 000
|
3 101 000
|
38 %
|
50 %
|
15,2
|
Ungaria
|
104
|
117
|
42 %
|
60 %
|
10,6
|
3 505 152
|
4 437 576
|
102 %
|
155 %
|
24,4
|
Islanda
|
17
|
17
|
143 %
|
143 %
|
47,6
|
2 272 490
|
2 294 104
|
167 %
|
170 %
|
105,2
|
Irlanda
|
140
|
176
|
169 %
|
238 %
|
28,5
|
15 200 000
|
16 900 000
|
223 %
|
260 %
|
43,8
|
Italia
|
170
|
170
|
40 %
|
40 %
|
2,8
|
29 127 273
|
30 127 273
|
46 %
|
51 %
|
16,3
|
Letonia
|
19
|
31
|
-10 %
|
48 %
|
9,9
|
640 998
|
1 218 978
|
4 %
|
98 %
|
21,0
|
Lituania
|
46
|
52
|
-8 %
|
4 %
|
16,5
|
1 482 000
|
1 581 000
|
40 %
|
49 %
|
30,6
|
Luxemburg
|
43
|
48
|
126 %
|
153 %
|
70,0
|
5 442 416
|
6 691 563
|
165 %
|
226 %
|
85,7
|
Malta
|
13
|
15
|
30 %
|
50 %
|
26,3
|
480 000
|
550 000
|
41 %
|
62 %
|
36,3
|
Țările de Jos
|
179
|
188
|
145 %
|
158 %
|
10,4
|
18 600 000
|
18 600 000
|
130 %
|
130 %
|
22,9
|
Norvegia
|
49
|
58
|
2 %
|
21 %
|
9,2
|
5 708 950
|
6 580 660
|
27 %
|
46 %
|
15,9
|
Polonia
|
238
|
260
|
54 %
|
68 %
|
6,3
|
7 506 345
|
9 413 381
|
66 %
|
108 %
|
14,2
|
Portugalia
|
25
|
27
|
-4 %
|
4 %
|
2,4
|
2 152 000
|
2 385 000
|
67 %
|
86 %
|
10,1
|
România
|
39
|
47
|
-3 %
|
18 %
|
2,0
|
1 103 388
|
1 304 813
|
3 %
|
22 %
|
4,9
|
Slovacia
|
49
|
51
|
20 %
|
24 %
|
9,0
|
1 731 419
|
1 859 514
|
47 %
|
58 %
|
18,4
|
Slovenia
|
47
|
49
|
42 %
|
48 %
|
22,6
|
2 242 236
|
2 266 485
|
68 %
|
70 %
|
46,7
|
Spania
|
170
|
220
|
13 %
|
47 %
|
3,6
|
15 187 680
|
16 500 000
|
8 %
|
17 %
|
12,2
|
Suedia
|
87
|
87
|
81 %
|
81 %
|
8,5
|
8 800 000
|
10 300 000
|
96 %
|
129 %
|
18,5
|
TOTAL
|
2 966
|
3 372
|
42 %
|
62 %
|
6,6
|
249 127 139
|
273 782 870
|
49 %
|
64 %
|
17,4
|
Sursa cifrelor brute: contribuția comitetului. Calcule ale Comisiei.