6.6.2009   

RO

Jurnalul Oficial al Uniunii Europene

C 128/1

1.

La 28 mai 2008, Președinția Consiliului Uniunii Europene a anunțat Coreper, în perspectiva summitului UE de la 12 iunie 2008, că Grupul de contact la nivel înalt UE-SUA (denumit în continuare „GCNΔ) privind schimbul de informații și protecția vieții private și a datelor cu caracter personal și-a finalizat raportul. Acest raport a fost făcut public la data de 26 iunie 2008 (1).

2.

Raportul încearcă să identifice principii comune pentru protecția vieții private și a datelor cu caracter personal ca un prim pas către schimbul de informații cu Statele Unite în combaterea terorismului și a formelor grave de criminalitate transnațională.

3.

În anunțul său, Președinția Consiliului afirmă că va saluta orice idei cu privire la acțiunile de întreprins în continuarea acestui raport, și în special reacții la recomandările privind căile de urmat identificate în raport. AEPD răspunde acestei invitații emițând următorul aviz, întemeiat pe situația actuală, astfel cum a fost făcută aceasta publică și fără a aduce atingere oricărei poziții ulterioare pe care ar putea să o adopte având în vedere evoluția chestiunii.

4.

AEPD ia notă de faptul că activitatea GCNÎ s-a desfășurat într-un context care a asistat, cu precădere începând cu 11 septembrie 2001, la dezvoltarea schimbului de date între SUA și UE, prin acorduri internaționale sau alte tipuri de instrumente. Printre acestea se numără acordurile Europol și Eurojust cu Statele Unite, precum și acordurile privind registrele cu numele pasagerilor (PNR) și cazul Swift, care a generat un schimb de scrisori între autoritățile UE și autoritățile SUA pentru stabilirea unor garanții minime în materie de protecție a datelor (2).

5.

Mai mult, UE negociază de asemenea și acceptă instrumente similare permițând schimbul de date cu caracter personal cu alte țări terțe. Un exemplu recent este constituit de Acordul între Uniunea Europeană și Australia privind prelucrarea și transferul datelor din registrul de nume al pasagerilor (PNR) provenind din Uniunea Europeană de către transportatorii aerieni către Serviciul vamal australian (3).

6.

Reiese din acest context că solicitările autorităților de aplicare a legii din țările terțe cu privire la informații cu caracter personal devin în mod constant din ce în ce mai ample, și că acestea se extind, de asemenea, de la tradiționalele baze de date guvernamentale la alte tipuri de dosare, în special dosare cu date colectate de către sectorul privat.

7.

Cu titlul de element contextual important, AEPD reamintește, de asemenea, faptul că chestiunea transferului de date cu caracter personal către țări terțe în cadrul cooperării polițienești și judiciare în materie penală este abordată în Decizia-cadru a Consiliului privind protecția datelor cu caracter personal prelucrate în cadrul cooperării polițienești și judiciare în materie penală (4), cu privire la care se preconizează că urmează să fie adoptată înainte de sfârșitul anului 2008.

8.

Se preconizează că acest schimb transatlantic de informații poate evolua doar spre creștere și poate atinge sectoare colaterale în care sunt prelucrate date cu caracter personal. Într-un asemenea context, un dialog privind „aplicarea legii la nivel transatlantic” este în același timp salutar și delicat. Este salutar în sensul că ar putea furniza un cadru mai clar pentru schimburile de date aflate în curs de desfășurare sau care urmează să aibă loc. Este însă în egală măsură delicat, deoarece un asemenea cadru ar putea legitima transferuri de date masive într-un domeniu – aplicarea legii – în care impactul asupra persoanelor fizice este extrem de semnificativ și în care, cu atât mai mult, este nevoie de măsuri de securitate și garanții stricte și fiabile (5).

9.

Prezentul aviz va aborda în capitolul următor situația actuală și posibilele căi de urmat. Capitolul III se va concentra pe domeniul de aplicare și natura unui instrument care ar permite schimbul de informații. În capitolul IV, avizul va analiza dintr-o perspectivă generală chestiuni juridice legate de conținutul unui posibil acord. Acesta va aborda chestiuni precum condițiile de evaluare a nivelului de protecție oferit în Statele Unite și va discuta chestiunea utilizării cadrului de reglementare al UE drept criteriu de referință pentru a evalua nivelul acestei protecții. Prezentul capitol va enumera, de asemenea, cerințele de bază care ar trebui să fie incluse într-un asemenea acord. În cele din urmă, în capitolul V avizul va prezenta o analiză a principiilor privind viața privată anexată raportului.

10.

AEPD evaluează situația actuală după cum urmează. Au fost înregistrate unele progrese către definirea unor standarde comune privind schimbul de informații și protecția vieții private și a datelor cu caracter personal.

11.

Cu toate acestea, lucrările pregătitoare pentru orice tip de acord între UE și SUA nu sunt încă finalizate. Sunt necesare eforturi suplimentare. Însuși raportul GCNÎ menționează un număr de chestiuni nesoluționate, printre care chestiunea „căilor de atac” este cea mai semnificativă. Dezacordul persistă cu privire la domeniul de aplicare necesar al căilor de atac (6). Alte cinci chestiuni nesoluționate au fost identificate în capitolul 3 al raportului. Mai mult, rezultă din prezentul aviz că multe alte chestiuni nu sunt încă soluționate, de exemplu în ceea ce privește domeniul de aplicare și natura unui instrument privind schimbul de informații.

12.

Deoarece opțiunea preferată de raport este un acord cu forță juridică obligatorie – AEPD împărtășește această preferință – se impune cu atât mai mult o atitudine prudentă. Sunt necesare pregătiri suplimentare realizate cu atenție și în profunzime înainte de obținerea unui acord.

13.

În ultimul rând, conform AEPD, încheierea unui acord ar trebuie să aibă loc la modul ideal sub Tratatul de la Lisabona, evident în funcție de intrarea în vigoare a acestuia. Într-adevăr, sub Tratatul de la Lisabona, nu ar exista nicio nesiguranță juridică cu privire la linia de demarcare între pilonii UE. Mai mult, implicarea deplină a Parlamentului European ar fi garantată, ca și controlul judiciar exercitat de Curtea de Justiție.

14.

În aceste condiții, calea optimă de urmat ar consta în elaborarea unei foi de parcurs către un posibil acord la o etapă ulterioară. Această foaie de parcurs ar putea conține următoarele elemente:

15.

În opinia AEPD, este crucială definirea clară a domeniului de aplicare și a naturii unui posibil instrument incluzând principii privind protecția datelor, ca un prim pas pe calea elaborării ulterioare a unui asemenea instrument.

16.

În ceea ce privește domeniul de aplicare, întrebări importante care trebuie să primească un răspuns sunt:

17.

Definiția naturii instrumentului ar trebui să clarifice următoarele chestiuni;

18.

Deși nu există nicio indicație clară în raportul GCNÎ cu privire la domeniul de aplicare precis al viitorului instrument, se poate deduce din principiile menționate în raport că acesta are în vedere acoperirea atât a transferurilor între actorii publici și privați (7), cât și a transferurilor dintre autoritățile publice.

19.

AEPD vede logica aplicabilității unui viitor instrument la transferuri între actorii publici și privați. Dezvoltarea unui astfel de instrument se produce pe fundalul unor solicitări din partea SUA, survenite în ultimii ani, vizând informații provenite de la entități private. AEPD ia notă de faptul că, într-adevăr, actorii privați devin o sursă de informații sistematică în perspectiva aplicării legii, atât la nivelul UE, cât și la nivel internațional (8). Cazul Swift a reprezentat un precedent major în care unei companii private i s-a solicitat să transmită date în mod sistematic și masiv autorităților de aplicare a legii dintr-un stat terț (9). Colectarea de date din registrele cu numele pasagerilor (PNR) ale companiilor aeriene se încadrează în aceeași logică. În avizul său privind un proiect de decizie-cadru pentru un sistem european al registrelor cu numele pasagerilor (PNR), AEPD a pus deja sub semnul întrebării legitimitatea acestei tendințe (10).

20.

Există încă două motive suplimentare pentru a manifesta reticență cu privire la includerea transferurilor între actorii publici și privați în domeniul de aplicare al unui viitor instrument.

21.

În primul rând, această includere ar putea avea un efect nedorit în interiorul teritoriului Uniunii Europene înseși. AEPD manifestă îngrijorări serioase cu privire la faptul că, în cazul în care datele companiilor private (de tipul instituțiilor financiare) pot fi transferate în principiu către țări terțe, aceasta ar putea provoca o presiune puternică pentru a pune același tip de date în egală măsură la dispoziția autorităților de aplicare a legii, în interiorul UE. Schema PNR este un exemplu de astfel de evoluție nedorită, care a început printr-o colectare masivă a datelor pasagerilor de către SUA, urmând ulterior să fie de asemenea (11) transpusă în contextul intern european, fără ca necesitatea și proporționalitatea sistemului să fi fost clar demonstrate.

22.

În al doilea rând, în avizul său referitor la propunerea Comisiei privind PNR-UE, AEPD a ridicat, de asemenea, problema cadrului de protecție a datelor (primul sau al treilea pilon) aplicabil condițiilor cooperării între actorii publici și privați: ar trebui ca normele să fie întemeiate pe calitatea operatorului de date (sectorul privat) sau pe scopul urmărit (aplicarea legii)? Linia de demarcare între primul și cel de al treilea pilon este departe de a fi clară în situații în care sunt prevăzute obligații pentru actorii privați cu privire la prelucrarea datelor cu caracter personal în scopul aplicării legii. Este semnificativ în acest context faptul că avocatul general Bot, în avizul său recent privind cazul păstrării datelor (12) propune o linie de demarcare pentru aceste situații, adăugând însă următoarele la propunerea sa: „Această linie de demarcare nu este cu siguranță neexpusă criticilor și poate părea artificială în unele privințe.” AEPD ia notă, de asemenea, de faptul că hotărârea Curții (13) cu privire la PNR nu răspunde în totalitate la întrebarea privitoare la cadrul juridic aplicabil. De exemplu, faptul că anumite activități nu intră sub incidența Directivei 95/46/CE nu înseamnă în mod automat că activitățile respective pot fi reglementate în cadrul celui de al treilea pilon. În consecință, este posibil să persiste o lacună în privința legislației aplicabile, ceea ce generează în orice caz nesiguranță juridică cu privire la garanțiile juridice aflate la dispoziția persoanelor la care se referă datele.

23.

În această perspectivă, AEPD subliniază că trebuie să se garanteze faptul că un viitor instrument cu principii generale de protecție a datelor nu poate legitima în sine transferul transatlantic al datelor cu caracter personal între entități publice și private. Acest transfer poate fi inclus doar într-un viitor instrument, cu următoarele condiții:

Mai mult, AEPD ia notă de nesiguranța existentă cu privire la cadrul de protecție a datelor aplicabil și pledează, în orice caz, pentru neincluderea transferului de date cu caracter personal între entități publice și private în stadiul actual al legislației UE.

24.

Domeniul de aplicare exact al schimbului de informații este neclar. Ca un prim pas în continuarea activității către un instrument comun, domeniul de aplicare avut în vedere pentru un asemenea instrument ar trebui să fie clarificat. Rămân în special următoarele întrebări:

25.

Definirea scopului unui posibil acord lasă, de asemenea, loc pentru nesiguranță. Scopurile aplicării legii sunt indicate în mod clar în introducere, precum și în primul principiu anexat la raport, urmând să fie analizate mai jos în capitolul IV al prezentului aviz. AEPD ia deja notă de faptul că rezultă din aceste afirmații că schimbul de date s-ar concentra pe chestiuni ce țin de cel de al treilea pilon, dar se poate pune întrebarea dacă aceasta reprezintă doar un prim pas spre un schimb de informații mai amplu. Pare clar faptul că scopurile care țin de „securitatea publică” formulate în raport includ combaterea terorismului, a criminalității organizate și a altor forme de criminalitate. Cu toate acestea, este acesta conceput pentru a permite în egală măsură schimbul de date pentru alte interese publice cum ar fi, eventual, riscurile vizând sănătatea publică?

26.

AEPD recomandă restrângerea scopului la prelucrarea de date identificată în mod precis și justificarea alegerilor în materie de politici care duc la o astfel de definire a scopului.

27.

Scopul general al prezentului raport ar trebui să fie pus în perspectiva spațiului global de securitate transatlantică discutat de așa-numitul „Future Group” (14). Raportul acestui grup, emis în iunie 2008, se concentrează într-o anumită măsură pe dimensiunea externă a politicii afacerilor interne. Acesta susține că „până în 2014 Uniunea Europeană ar trebui să se decidă în ceea ce privește obiectivul politic de a realiza, împreună cu Statele Unite, un spațiu de cooperare euro-atlantic în domeniul libertății, securității și justiției.” Această cooperare ar depăși securitatea în sesnul strict al termenului și ar include cel puțin subiectele abordate în actualul titlu IV al Tratatului CE precum imigrația, vizele și azilul și cooperarea în materie de drept civil. Trebuie pusă întrebarea în ce măsură un acord privind principii de bază în materie de protecție a datelor, precum cele menționate în raportul GCNÎ, ar putea și ar trebui să reprezinte baza pentru un schimb de informații într-un domeniu atât de extins.

28.

În mod normal, până în 2014 structura sub formă de piloni nu va mai exista și va exista un unic temei juridic pentru protecția datelor pe teritoriul Uniunii Europene înseși (în temeiul Tratatului de la Lisabona, articolul 16 din Tratatul privind funcționarea Uniunii Europene). Cu toate acestea, faptul că există armonizare la nivelul UE cu privire la reglementarea protecției datelor nu implică faptul că orice acord cu o țară terță ar putea permite transferul oricăror date cu caracter personal, indiferent de scop. În funcție de context și de condițiile de prelucrare, garanții adaptate de protecție a datelor ar putea fi necesare pentru domenii specifice precum aplicarea legii. AEPD recomandă luarea în considerare a consecințelor acestor diferite perspective la pregătirea unui viitor acord.

29.

Pe termen scurt, în orice caz, este esențială identificarea pilonului în cadrul căruia va fi negociat acordul. Acest lucru este necesar în special datorită cadrului de reglementare internă pentru protecția datelor care va fi afectat de un asemenea acord. Va fi acesta cadrul primului pilon – în principiu Directiva 95/46/CE cu regimul său specific pentru transferul de date către țări terțe – sau va fi cadrul celui de al treilea pilon cu un regim mai puțin strict pentru transferurile către țări terțe? (15)

30.

În timp ce scopurile care țin de aplicarea legii prevalează, după cum s-a menționat deja, raportul GCNÎ menționează totuși colectarea datelor de la actorii privați, iar scopurile pot fi de asemenea interpretate într-un sens larg care ar putea depăși simpla noțiune de securitate, incluzând de exemplu imigrația și chestiunile vizând controlul frontierelor, dar posibil și sănătatea publică. Având în vedere aceste incertitudini, ar fi cu siguranță preferabil să se aștepte armonizarea pilonilor în cadrul legislației UE, astfel cum se prevede în Tratatul de la Lisabona, pentru a se stabili în mod clar temeiul juridic pentru negocieri și rolul precis al instituțiilor europene, în special al Parlamentului European și al Comisiei.

31.

Ar trebui să se clarifice dacă concluziile discuțiilor vor duce la un memorandum de înțelegere sau la alt instrument fără forță juridică obligatorie sau dacă acestea vor consta într-un acord internațional cu forță juridică obligatorie.

32.

AEPD sprijină preferința pentru un acord cu forță juridică obligatorie menționată în raport. Un acord oficial cu forță juridică obligatorie reprezintă, din punctul de vedere al AEPD, o condiție prealabilă indispensabilă pentru orice transfer de date în afara UE, indiferent de scopul pentru care datele sunt transferate. Niciun transfer de date către o țară terță nu poate avea loc în absența unor condiții adecvate și a a unor măsuri de securitate incluse într-un cadru juridic specific (și cu forță juridică obligatorie). Cu alte cuvinte, un memorandum de înțelegere sau un alt instrument fără forță juridică obligatorie poate fi util pentru a oferi îndrumări cu privire la negocieri în vederea unor acorduri ulterioare cu forță juridică obligatorie, dar nu se poate niciodată substitui nevoii de un acord cu forță juridică obligatorie.

33.

Dispozițiile instrumentului ar trebui să prezintă forță juridică obligatorie în egală măsură pentru SUA și UE și statele sale membre.

34.

Mai mult, ar trebui să se asigure faptul că persoanele fizice au dreptul de a își exercita drepturile și în special dreptul de a obține accesul la o cale de atac, pe baza principiilor convenite. Conform AEPD, acest rezultat poate fi realizat la modul optim dacă dispozițiile de fond ale instrumentului sunt formulate într-un asemenea mod încât acestea au un efect direct asupra rezidenților din Uniunea Europeană și pot fi invocate în fața unui tribunal. Prin urmare, efectul direct al dispozițiilor acordului internațional, precum și condițiile transpunerii acestuia în legislația europeană internă și în legislația națională în vederea asigurării eficienței măsurilor, trebuie să fie formulate în mod clar în instrument.

35.

Măsura în care acordul este autonom sau trebuie să fie completat de la caz la caz de acorduri ulterioare privind schimburi specifice de date este, de asemenea, o chestiune fundamentală. Faptul că un singur acord ar putea acoperi într-un mod adecvat, cu un unic set de standarde, multiplele specificități ale prelucrării de date în cadrul celui de al treilea pilon poate fi într-adevăr pus sub semnul întrebării. Există încă și mai multe îndoieli în privința faptului că acesta ar putea permite, fără discuții și măsuri de securitate suplimentare, un mecanism generalizat de aprobare a oricărui transfer de date cu caracter personal, indiferent de scopul și de natura datelor respective. În plus, acordurile cu țări terțe nu sunt în mod necesar permanente, deoarece ele pot fi legate de amenințări specifice, pot face obiectul unei revizuiri sau al unor clauze de caducitate. Pe de altă parte, standardele minime comune recunoscute de un instrument cu forță juridică obligatorie ar putea facilita orice discuție ulterioară privind transferul datelor cu caracter personal referitor la o bază de date specifică sau la anumite operațiuni de prelucrare.

36.

Prin urmare, AEPD ar privilegia dezvoltarea unui set minim de criterii în materie de protecție a datelor, care ar urma să fie completat de la caz la caz cu dispoziții suplimentare specifice, astfel cum se menționează în raportul GCNÎ, față de alternativa unui acord autonom. Acele dispoziții suplimentare specifice reprezintă o condiție prealabilă pentru a permite transferul de date într-un anumit caz. Aceasta ar încuraja o abordare armonizată în materie de protecție a datelor.

37.

Ar trebui, de asemenea, examinat modul în care un posibil acord general s-ar combina cu acorduri deja existente încheiate între UE și SUA. Ar trebui notat faptul că aceste acorduri deja existente nu au aceeași forță juridică: demne de menționat în mod special sunt acordul PNR (cel care prezintă cel mai înalt grad de siguranță juridică), acordurile Europol și Eurojust sau schimbul de scrisori SWIFT (16). Ar completa un nou cadru general aceste instrumente deja existente sau ar rămâne acestea neatinse, noul cadru aplicându-se doar viitoarelor schimburi de date cu caracter personal? În opinia AEPD, consecvența juridică ar necesita un set armonizat de norme, care să se aplice atât viitoarelor acorduri cu forță juridică obligatorie privind transferurile de date, cât și celor deja existente, precum și să le completeze.

38.

Aplicarea acordului general la instrumentele deja existente ar prezenta avantajul de a consolida forța juridică obligatorie a acestora. Acest lucru ar fi extrem de bine-venit în ceea ce privește instrumentele care nu au forță juridică obligatorie, cum ar fi schimbul de scrisori SWIFT, deoarece ar impune cel puțin respectarea unui set de principii generale privind viața privată.

39.

Prezentul capitol va examina modul în care trebuie evaluat nivelul de protecție al unui cadru sau instrument specific, incluzând chestiunea criteriilor de referință care trebuie utilizate și cerințele de bază necesare.

40.

În opinia AEPD, ar trebui să fie clar că unul dintre principalele rezultate ale unui viitor instrument ar fi faptul că transferul de date cu caracter personal către Statele Unite poate avea loc doar în măsura în care autoritățile din Statele Unite garantează un nivel adecvat de protecție (și viceversa).

41.

AEPD consideră că doar un test efectiv de evaluare a caracterului adecvat ar asigura garanții suficiente pentru nivelul de protecție a datelor cu caracter personal. AEPD consideră că un acord-cadru general cu un domeniu de aplicare la fel de extins ca cel al raportului GCNÎ ar avea dificultăți în a trece cu succes testul efectiv de evaluare a caracterului adecvat. Caracterul adecvat al acordului general ar putea fi recunoscut doar în cazul în care acesta este combinat cu caracterul adecvat al acordurilor specifice încheiate de la caz la caz.

42.

Aprecierea nivelului de protecție furnizat de țări terțe nu reprezintă un exercițiu neobișnuit, în special pentru Comisia Europeană: caracterul adecvat reprezintă în cadrul primului pilon o cerință care trebuie îndeplinită pentru transfer. Acesta a fost măsurat cu multiple ocazii în temeiul articolului 25 din Directiva 95/46/CE pe baza unor criterii specifice, și a fost confirmat de decizii ale Comisiei Europene (17). În cadrul celui de al treilea pilon, un asemenea sistem nu este prevăzut în mod explicit: măsurarea caracterului adecvat al protecției este prescrisă doar în situația specifică a articolelor 11 și 13 din Decizia-cadru privind protecția datelor (18) (neadoptată încă) și este lăsată la latitudinea statelor membre.

43.

În cazul de față, domeniul de aplicare al exercițiului are incidență asupra scopurilor ce vizează aplicarea legii, iar discuțiile sunt conduse de către Comisie sub supravegherea Consiliului. Contextul este diferit de evaluarea principiilor „Safe Harbour” sau de caracterul adecvat al legislației canadiene, și prezintă mai multe conexiuni cu negocierile recente privind PNR cu SUA și Australia, desfășurate în cadrul juridic al celui de al treilea pilon. Cu toate acestea, principiile GCNÎ au fost de asemenea menționate în contextul Programului de scutire de vize („Visa Waiver Programme”), care vizează frontierele și imigrația și, prin urmare, chestiuni ce țin de primul pilon.

44.

AEPD recomandă ca orice examinare a caracterului adecvat realizată în cadrul unui viitor instrument să se întemeieze pe experiențele înregistrate în aceste domenii diverse. AEPD recomandă, de asemenea, dezvoltarea în continuare a noțiunii de „caracter adecvat” în contextul unui viitor instrument, pe baza unor criterii similare, astfel cum au fost utilizate în determinările anterioare ale caracterului adecvat.

45.

Cel de al doilea element al nivelului de protecție vizează recunoașterea reciprocă a sistemelor UE și SUA. Raportul GCNÎ menționează în această privință că obiectivul ar fi de a „obține recunoașterea eficienței sistemelor de protecție a vieții private și a datelor ale celeilalte părți pentru domeniile acoperite de principiile respective” (19), și de a obține o „aplicare echivalentă și reciprocă a legislației în materie de protecție a vieții private și a datelor cu caracter personal”.

46.

Este evident pentru AEPD că recunoașterea reciprocă (sau reciprocitatea) poate fi posibilă doar în cazul în care este garantat un nivel adecvat de protecție. Cu alte cuvinte, viitorul instrument ar trebui să armonizeze un nivel minim de protecție (prin intermediul examinării caracterului adecvat, luând în considerare nevoia de acorduri specifice de la caz la caz). Reciprocitatea ar putea fi recunoscută doar cu îndeplinirea acestei condiții prealabile.

47.

Primul element care trebuie luat în considerare este reciprocitatea dispozițiilor de fond în materie de protecție a datelor. În opinia AEPD, un acord ar trebui să abordeze noțiunea reciprocității dispozițiilor de fond în materie de protecție a datelor într-un mod care să garanteze, pe de o parte, faptul că prelucrarea datelor în cadrul teritoriului UE (și al SUA) respectă pe deplin legislațiile naționale în materie de protecție a datelor, și pe de altă parte faptul că prelucrarea în afara țării de origine a datelor care intră sub incidența acordului respectă principiile de protecție a datelor prevăzute în acord.

48.

Cel de al doilea element este reciprocitatea mecanismelor privind căile de atac. Ar trebui să se asigure faptul că cetățenii europeni dispun de o cale de atac adecvată atunci când datele care îi vizează sunt prelucrate în Statele Unite (indiferent de legislația care se aplică respectivei prelucrări), dar, în egală măsură, și faptul că Uniunea Europeană și statele sale membre conferă drepturi echivalente cetățenilor SUA.

49.

Cel de al treilea element este reciprocitatea accesului la datele cu caracter personal pentru autoritățile de aplicare a legii. În cazul în care un instrument le permite autorităților Statelor Unite accesul la date originare din Uniunea Europeană, reciprocitatea ar implica că același acces ar trebui să le fie acordat autorităților UE, cu privire la datele originare din SUA. Reciprocitatea nu trebuie să aducă atingere eficienței protecției persoanei la care se referă datele. Aceasta este o condiție prealabilă pentru a le permite accesul „transatlantic” autorităților de aplicare a legii. În termeni concreți, aceasta înseamnă că:

50.

Specificarea condițiilor evaluării (caracterul adecvat, echivalența, recunoașterea reciprocă) este esențială, deoarece aceasta determină conținutul, în termeni de precizie, siguranță juridică și eficiență a protecției. Conținutul unui viitor instrument trebuie să fie precis și exact.

51.

Pe lângă aceasta, ar trebui să fie clar faptul că orice acord specific încheiat într-o etapă ulterioară va trebui în continuare să includă măsuri de securitate detaliate și complete în materie de protecție a datelor cu privire la subiectul schimbului de date preconizat. Doar un asemenea nivel dublu de principii concrete în materie de protecție a datelor ar garanta „apropierea” necesară între acordul general și acordurile specifice, după cum s-a menționat deja la punctul 35, respectiv punctul 36 al prezentului aviz.

52.

Măsura în care un acord cu Statele Unite ar putea reprezenta un model pentru alte țări terțe merită o atenție deosebită. AEPD ia notă de faptul că, pe lângă SUA, raportul anterior menționat al Grupului consultativ informal la nivel înalt privind viitorul politicii europene în domeniul afacerilor interne („Grupul Future”) menționează de asemenea Rusia ca partener strategic al UE. În măsura în care principiile sunt neutre și respectă măsurile de securitate fundamentale ale UE, acestea ar putea constitui un precedent util. Cu toate acestea, specificitățile legate de exemplu de cadrul legal al țării de destinație sau de scopul transferului ar împiedica simpla transpunere a acordului. La fel de decisivă va fi și situația democratică a țărilor terțe: ar trebui să se asigure garantarea și punerea în aplicare efectivă a principiilor convenite în țara de destinație.

53.

Un caracter adecvat implicit sau explicit ar trebui în orice caz să respecte cadrul juridic internațional și european și în special măsurile de securitate pentru protecția datelor convenite de comun acord. Acestea sunt consacrate în liniile directoare ale Organizației Națiunilor Unite, Convenția 108 a Consiliului Europei și protocolul adițional la aceasta, liniile directoare ale OCDE și proiectul de decizie-cadru privind protecția datelor, precum și, pentru chestiuni ce țin de primul pilon, în Directiva 95/46/CE (20). Toate aceste instrumente conțin principii similare care sunt recunoscute pe plan mai larg ca fiind nucleul de bază al protecției datelor cu caracter personal.

54.

Este cu atât mai important ca principiile sus-menționate să fie luate în considerare în mod corespunzător, având în vedere impactul unui eventual acord precum cel prevăzut de raportul GCNÎ. Un instrument care abordează întregul sector de aplicare a legii dintr-o țară terță ar reprezenta, într-adevăr, o situație fără precedent. Deciziile privind caracterul adecvat existente în cadrul primului pilon și acordurile încheiate cu țări terțe în cadrul celui de al treilea pilon al UE (Europol, Eurojust) au fost întotdeauna conectate cu un transfer specific de date, în timp ce în cazul de față ar putea deveni posibile transferuri cu un domeniu de aplicare mult mai larg, având în vedere obiectivul extins urmărit (combaterea infracțiunilor penale, securitatea națională și publică, aplicarea legii la frontiere) și numărul necunoscut de baze de date implicate.

55.

Condițiile care trebuie îndeplinite în contextul transferului de date cu caracter personal către țările terțe au fost dezvoltate într-un document de lucru al Grupului de lucru al articolului 29 (21). Orice acord privind principiile minime referitoare la viața privată ar trebui să treacă un test de respectare a cerințelor care să asigure eficacitatea măsurilor de securitate pentru protecția datelor.

56.

În afară de aceste trei cerințe de bază, o atenție deosebită ar trebui acordată specificităților legate de prelucrarea datelor cu caracter personal în contextul aplicării legii. Într-adevăr, acesta reprezintă un domeniu în care drepturile fundamentale pot suferi o serie de restricții. Așadar ar trebui adoptate măsuri de securitate care să compenseze restricționarea drepturilor individuale, în special în privința următoarelor aspecte, avându-se în vedere impactul asupra persoanei:

57.

Prezentul capitol analizează cele 12 principii incluse în documentul GCNÎ din următoarea perspectivă:

58.

Primul principiu menționat în anexa la raportul GCNÎ arată faptul că informațiile cu caracter personal sunt prelucrate pentru scopuri legitime de aplicare a legii. Așa cum se menționează anterior, în cazul Uniunii Europene, acest lucru se referă la prevenirea, depistarea, cercetarea sau urmărirea infracțiunilor penale. Cu toate acestea, pentru SUA, interpretarea aplicării legii depășește infracțiunile penale și include „scopuri vizând aplicarea legii la frontiere, securitatea publică și națională”. Consecințele unor astfel de discrepanțe între scopurile declarate ale UE și cele ale SUA nu sunt clare. Întrucât raportul menționează faptul că în practică scopurile pot coincide în mare măsură, este de o importanță decisivă să se știe precis în ce măsură acestea nu coincid. În domeniul aplicării legii, având în vedere impactul măsurilor adoptate asupra persoanelor fizice, principiul limitării scopurilor trebuie respectat cu strictețe, iar scopurile declarate trebuie să fie clare și circumscrise. Luând în considerare reciprocitatea avută în vedere în raport, aproximarea respectivelor scopuri pare de asemenea esențială. Pe scurt, este nevoie de o clarificare modului în care este înțeles acest principiu.

59.

AEPD salută dispoziția care solicită informații cu caracter personal exacte, relevante, oportune și complete, după cum este necesar pentru prelucrarea conform legii. Un astfel de principiu reprezintă o condiție de bază pentru o prelucrare eficientă a datelor.

60.

Principiul arată o legătură clară între informațiile colectate și necesitatea ca respectivele informații servească unui scop referitor la aplicarea legii, prevăzut de un act legislativ. Cerința unui temei juridic reprezintă un element pozitiv care asigură legitimitatea prelucrării. Cu toate acestea, AEPD ia act de faptul că, deși acest lucru consolidează siguranța juridică a prelucrării, temeiul juridic al unei astfel de procesări îl reprezintă un act legislativ al unei țări terțe. Un act legislativ al unei țări terțe nu poate reprezenta în sine un temei legitim pentru transferul datelor cu caracter personal (22). În contextul raportului GCNÎ, pare să se prezume faptul că legitimitatea actului legislativ al unei țări terțe, de exemplu Statele Unite, este recunoscută în principiu. Ar trebui să se aibă în vedere faptul că, dacă un asemenea raționament își poate găsi justificarea în acest caz, considerând ca Statele Unite sunt un stat democratic, respectiva schemă nu poate fi valabilă și nu ar putea fi transpusă în relațiile cu orice alte țări terțe.

61.

Orice transfer de date cu caracter personal trebuie să fie relevant, necesar și adecvat în conformitate cu anexa la raportul GCNÎ. AEPD subliniază faptul că, pentru a fi proporțională, prelucrarea nu trebuie să fie inutil de intruzivă, iar modalitățile acesteia trebuie să fie echilibrate, luând în considerare drepturile și interesele persoanelor la care se referă datele.

62.

Din acest motiv, accesul la informații ar trebui să aibă loc numai după o apreciere de la caz la caz, în funcție de necesitățile practice din contextul unei cercetări specifice. Accesul permanent al autorităților de aplicare a legii din țările terțe la bazele de date situate în UE ar fi considerat disproporționat și insuficient justificat. AEPD reamintește că, chiar în contextul acordurilor existente referitoare la schimbul de date, de exemplu în cazul acordului PNR, schimbul de date se bazează pe circumstanțe specifice și se desfășoară pe o perioadă limitată de timp (23).

63.

Urmând aceeași logică, perioada de păstrare a datelor ar trebui să fie relglementată: datele ar trebui păstrate numai atât timp cât acest lucru este necesar, avându-se în vedere scopul specific urmărit. În cazul în care datele nu mai sunt relevante cu privire la scopul identificat, acestea ar trebui eliminate. AEPD se opune în mod ferm constituirii unor depozite de date în care informații privind persoane fizice nesuspectate să poată fi stocate în vederea unei eventuale necesități viitoare.

64.

În cadrul principiilor se dezvoltă de asemenea măsuri și proceduri care să protejeze datele împotriva utilizării incorecte, a modificării sau a altor riscuri, precum și o dispoziție care limitează accesul la persoanele autorizate. AEPD consideră acest lucru satisfăcător.

65.

În plus, principiul ar putea fi completat printr-o dispoziție care să menționeze că ar trebui păstrate registre cu persoanele care accesează datele. Aceasta ar consolida eficacitatea măsurilor de securitate privind limitarea accesului și prevenirea utilizării incorecte a datelor.

66.

În plus, ar trebui prevăzută informarea reciprocă în caz de încălcare a securității: destinatarii din SUA, precum și cei din UE, ar fi responsabili de informarea omologilor lor în cazul în care datele primite au făcut obiectul unei divulgări ilegale. Acest lucru va contribui la o responsabilitate consolidată către o prelucrare sigură a datelor.

67.

Principiul interzicerii prelucrării datelor sensibile este, în opinia AEPD, diminuat în mod considerabil de excepția care permite orice prelucrare a datelor sensibile pentru care legislația națională prevede „măsuri de securitate corespunzătoare”. Tocmai din cauza caracterului sensibil al datelor, orice derogare de la principiul interzicerii trebuie să fie justificată în mod adecvat și precis, cu o listă de scopuri și circumstanțe în care un tip identificat de date sensibile poate fi prelucrat, precum și cu o indicare a calității operatorilor care au dreptul de a prelucra astfel de date. Printre măsurile de securitate care urmează să fie adoptate, AEPD consideră că datele sensibile nu ar trebui considerate un element care ar putea declanșa o cercetare. Acestea ar putea fi disponibile în anumite circumstanțe, dar numai în calitate de informații suplimentare cu privire la o persoană la care se referă datele aflată deja în cercetare. Aceste măsuri de securitate și condiții trebuie enumerate în mod limitativ în textul principiului.

68.

Astfel cum a fost dezvoltat la punctele 55-56 ale prezentului aviz, trebuie asigurată răspunderea entităților publice care prelucrează datele cu caracter personal într-un mod eficace, și trebuie prevăzute asigurări în cadrul acordului referitoare la modalitatea în care va fi asigurată respectiva răspundere. Acest lucru este cu atât mai important cu cât se are în vedere lipsa transparenței asociată în mod tradițional cu prelucrarea datelor cu caracter personal în contextul aplicării legii. În acest sens, menționarea – astfel cum este cazul în prezent în anexă – a faptului că entitățile publice sunt ținute responsabile fără a alte explicații suplimentare privind modalitățile și consecințele unei astfel de răspunderi, nu reprezintă o garanție satisfăcătoare. AEPD recomandă menționarea unei astfel de explicații în textul instrumentului.

69.

AEPD sprijină pe deplin includerea unei dispoziții care să prevadă o supraveghere independentă și eficace, de către una sau mai multe autorități publice de supraveghere. AEPD consideră că ar trebui fie arătat în mod clar cum se interpretează independența, în special față de cine respectivele autorități sunt independente și către cine prezintă rapoarte. În acest sens sunt necesare criterii, care să ia în considerare independența instituțională și funcțională, în relația cu organismele executive și legislative. AEPD reamintește faptul că acesta reprezintă un element esențial pentru a asigura respectarea eficace a principiilor convenite. Competențele de intervenție și de asigurare a aplicării legii ale acestor autorități sunt de asemenea cruciale în raport cu problema răspunderii entităților publice de prelucrare a datelor cu caracter personal, după cum se arată mai sus. Existența și competențelor lor ar trebui să fie vizibile în mod clar pentru persoanele la care se referă datele, pentru a le permite acestora să își exercite drepturile, în special dacă o serie de autorități sunt competente în funcție de contextul prelucrării.

70.

Mai mult, AEPD recomandă ca un viitor acord să prevadă de asemenea mecanisme de cooperare între autoritățile de supraveghere.

71.

Sunt necesare garanții specifice atunci când este vorba de acces și rectificare în contextul aplicării legii. În acest sens, AEPD salută principiul care afirmă că persoanelor fizice li se furnizează/ar trebui să li se furnizeze accesul la informațiile cu caracter personal care îi vizează și mijloacele de a obține „rectificarea și/sau eliminarea informațiilor cu caracter personal care îi vizează”. Cu toate acestea, rămân o serie de incertitudini în privința definiției persoanelor fizice (toate persoanele la care se referă datele ar trebui să fie protejate și nu numai cetățenii țării în cauză) și a condițiilor în care persoanele fizice ar putea să obiecteze cu privire la prelucrarea informațiilor care îi vizează. Sunt necesare precizări cu privire la „cazurile adecvate” în care ar putea sau nu să fie formulată o obiecție. Pentru persoanele la care se referă datele ar trebui fie clar în ce împrejurări – de exemplu, în funcție de tipul autorității, de tipul cercetării sau de alte criterii – își vor putea exercita aceste drepturi.

72.

În plus, dacă nu există nicio posibilitate directă de a obiecta față de o prelucrare pentru motive întemeiate, ar trebui să fie posibilă o verificare indirectă, prin intermediul autorității independente care răspunde de supravegherea prelucrării.

73.

AEPD evidențiază încă o dată importanța transparenței eficace, pentru a permite persoanelor fizice să își exercite drepturile și să contribuie la răspunderea generală a autorităților publice care prelucrează datele. AEPD sprijină principiile astfel cum au fost redactate și insistă în special asupra necesității unei notificări generale și individuale a persoanei fizice în cauză. Acest lucru se reflectă în principiul formulat la punctul 9 al anexei.

74.

Cu toate acestea, raportul, la capitolul 2, A. B („Principii convenite”) menționează că în SUA transparența poate include „în mod individual sau împreună, publicarea în registrul federal, notificarea individuală și divulgarea în cadrul procedurilor din instanță”. Trebuie să fie clar faptul că o publicare într-un monitor oficial nu este suficientă în sine pentru a garanta informarea corespunzătoare a persoanei la care se referă datele. În plus față de notificarea individuală, AEPD reamintește că informațiile trebuie furnizate într-o formă și în termeni care să poată fi înțelese cu ușurință de către persoana la care se referă datele.

75.

Pentru a garanta exercitarea eficace a drepturilor lor, persoanele fizice trebuie să poată să înainteze o plângere unei autorități independente de protecție a datelor, precum și să dispună de o cale de atac în fața unei instanțe imparțiale și independente. Ambele posibilități de atac ar trebui să fie disponibile în egală măsură.

76.

Accesul la o autoritate independentă de protecție a datelor este necesar întrucât furnizează o asistență flexibilă și mai puțin costisitoare, într-un context – aplicarea legii – care poate fi mai degrabă opac pentru persoanele fizice. Autoritățile de protecție a datelor pot furniza, de asemenea, asistență prin exercitarea drepturilor de acces în numele persoanelor la care se referă datele, în situația în care excepțiile le împiedică pe acestea din urmă să aibă acces direct la datelor cu caracter personal care îi vizează.

77.

Accesul la sistemul judiciar reprezintă o garanție suplimentară și indispensabilă a faptului că persoanele la care se referă datele pot apela la o cale de atac în fața unei autorități care aparține unei ramuri a sistemului democratic distinctă față de instituțiile publice care prelucrează de fapt datele care îi vizează. O astfel de cale de atac eficace în fața unei instanțe a fost considerată de Curtea Europeană de Justiție (24) ca fiind „esențială pentru a asigura persoanei fizice protecția eficace a dreptului său. (…) [Aceasta] reflectă un principiu general al dreptului comunitar care stă la baza tradițiilor constituționale comune ale statelor membre și a fost consacrat în articolele 6 și 13 din Convenția europeană pentru protecția drepturilor omului și a libertăților fundamentale.” Existența unei căi de atac judiciare este de asemenea prevăzută în mod explicit în articolul 47 din Carta Drepturilor Fundamentale a Uniunii Europene și în articolul 22 din Directiva 95/46/CE, fără a aduce atingere oricărei căi de atac administrative.

78.

AEPD salută dispoziția care prevede măsuri de securitate adecvate în cazul prelucrării automatizate a informațiilor cu caracter personal. AEPD remarcă că o modalitate comună de înțelegere a ceea ce se consideră a fi „o acțiune care prejudiciază în mod semnificativ interesele relevante ale persoanei” ar clarifica condițiile de aplicare a prezentului principiu.

79.

Condițiile fixate pentru transferurile ulterioare sunt neclare pentru o parte dintre acestea. În special, în cazul în care un transfer ulterior trebuie să respecte acorduri internaționale și acorduri între țările de origine și de destinație, ar trebui să se specifice dacă aceasta se referă la acorduri între cele două țări care au inițiat primul transfer sau la cele două țări implicate în transferul ulterior. În conformitate cu AEPD, acordurile între două țări care au inițiat primul transfer sunt în orice caz necesare.

80.

AEPD ia act de asemenea de o definiție foarte largă a „intereselor publice legitime” care permit un transfer ulterior. Domeniul de aplicare al securității publice rămâne neclar, iar extinderea transferurilor în cazul nerespectării eticii sau al profesiilor reglementate pare să fie nejustificată și excesivă în contextul aplicării legii.

81.

AEPD salută activitatea comună a autorităților UE și SUA în domeniul aplicării legii în cadrul căruia protecția datelor este crucială. Cu toate acestea, AEPD dorește să insiste asupra faptului că această chestiune este complexă, în privința domeniului de aplicare precis și a naturii precise a acesteia, și că prin urmare acesta necesită o analiză atentă și aprofundată. Impactul unui instrument transatlantic privind protecția datelor ar trebui examinat cu atenție în legătură cu cadrul juridic existent și cu consecințele asupra cetățenilor.

82.

AEPD solicită o mai mare claritate și dispoziții concrete în special cu privire la următoarele aspecte:

83.

AEPD insistă asupra faptului că ar trebui evitată orice grabă în elaborarea principiilor, întrucât ar duce numai la soluții nesatisfăcătoare, cu efecte opuse celor avute în vedere în termeni de protecție a datelor. În stadiul actual, calea optimă de urmat ar consta așadar în elaborarea unei foi de parcurs către un posibil acord la o etapă ulterioară.

84.

AEPD solicită, de asemenea, o mai mare transparență în privința procesului de elaborare a principiilor privind protecția datelor. Instrumentul ar putea beneficia de o dezbatere democratică și ar putea câștiga susținerea și recunoașterea necesare numai cu implicarea tuturor actorilor interesați, incluzând Parlamentul European.

—

Acordul între Statele Unite ale Americii și Oficiul European de Poliție din 6 decembrie 2001 și Acordul suplimentar între Europol și SUA privind schimbul de date cu caracter personal și de informații aferente, publicat pe site-ul web al Europol;

—

Acordul între Statele Unite ale Americii și Eurojust privind cooperarea judiciară, 6 noiembrie 2006, publicat pe site-ul web al Eurojust;

—

Acordul între Uniunea Europeană și Statele Unite ale Americii privind prelucrarea și transferul de date din registrul cu numele pasagerilor (PNR), de către transportatorii aerieni, către Departamentul pentru Securitate Internă al Statelor Unite (DHS) (Acordul PNR 2007), semnat la Bruxelles, la 23 iulie 2007 și la Washington, la 26 iulie 2007, JO L 204, 4.8.2007, p. 18;

—

Schimb de scrisori între autoritățile SUA și autoritățile UE privind „Terrorist Finance Tracking Program” (Programul de urmărire a finanțării activităților teroriste), 28 iunie 2007.

—

Liniile directoare ale Organizației Națiunilor Unite privind prelucrarea informatizată a datelor cu caracter personal, adoptate de Adunarea Generală din 14 decembrie 1990, disponibile la www.unhchr.ch/html/menu3/b/71.htm

—

Convenția Consiliului Europei pentru protecția persoanelor cu privire la prelucrarea automată a datelor cu caracter personal din 28 ianuarie 1981, disponibilă la www.conventions.coe.int/treaty/en/Treaties/html/108.htm

—

Liniile directoare ale OCDE privind protecția vieții private și fluxul transfrontalier de date cu caracter personal, adoptate la 23 septembrie 1980, disponibile la www.oecd.org/document/20/0,3343,en_2649_34255_15589524_1_1_1_1,00.html

—

Proiectul de decizie-cadru a Consiliului privind protecția datelor cu caracter personal prelucrate în cadrul cooperării polițienești și judiciare în materie penală, disponibil la http://ec.europa.eu/prelex/detail_dossier_real.cfm?CL=en&DosId=193371

—

Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date, JO L 281, 23.11.1995, p. 31.

6.6.2009   

RO

Jurnalul Oficial al Uniunii Europene

C 128/13

1.

La 30 mai 2008, a fost adoptată Comunicarea Comisiei către Parlamentul European, Consiliu și Comitetul Economic și Social European „Către o strategie europeană în domeniul e-justiției” (denumită în continuare „Comunicarea”). În conformitate cu articolul 41 din Regulamentul (CE) nr. 45/2001, Autoritatea Europeană pentru Protecția Datelor (AEPD) prezintă prezentul aviz.

2.

Comunicarea urmărește să propună o strategie în domeniul e-justiției menită să sporească încrederea cetățenilor în spațiul european de justiție. Obiectivul principal al e-justiției ar trebui să fie acela de a ajuta în sensul unei administrări mai eficiente a justiției în întreaga Europă, în beneficiul cetățenilor. Acțiunea UE ar trebui să le permită cetățenilor să aibă acces la informații fără a fi împiedicați de bariere de ordin lingvistic, cultural și juridic care rezultă din multitudinea de sisteme existente. Un proiect de plan de acțiune și de program pentru diferitele proiecte sunt anexate la comunicare.

3.

Prezentul aviz al AEPD comentează asupra comunicării în măsura în care se referă la prelucrarea datelor cu caracter personal, protecția vieții private în sectorul comunicațiilor electronice și al liberei circulații a acestor date.

4.

Consiliul JAI (3) a identificat câteva priorități pentru dezvoltarea e-justiției în iunie 2007:

5.

Activitățile legate de e-justiție au evoluat în mod constant de atunci. În opinia Comisiei, activitățile realizate în acest cadru trebuie să asigure faptul că se acordă prioritate proiectelor operaționale și structurilor descentralizate, asigurând, în același timp, coordonarea la nivel european, pe baza instrumentelor juridice și prin utilizarea instrumentelor informatice, pentru îmbunătățirea eficienței acestora. Parlamentul European și-a exprimat, de asemenea, sprijinul pentru proiectul e-justiției (4).

6.

Atât în domeniul civil, cât și în domeniul penal, utilizarea tehnologiilor moderne ale informațiilor a fost, în mod constant, încurajată de Comisie. Aceasta a dus la instrumente precum dispoziția de plată europeană. Din 2003, Comisia gestionează „portalul” Rețelei Judiciare Europene în materie civilă și comercială, accesibilă cetățenilor în 22 de limbi. De asemenea, Comisia a conceput și înființat Atlasul judiciar european. Aceste instrumente sunt elemente precursoare ale unui viitor cadru european pentru e-justiție. În domeniul penal, Comisia a lucrat la elaborarea unui instrument menit să permită schimbul de informații extrase din cazierele judiciare ale statelor membre (5). Atât Comisia, cât și Eurojust au dezvoltat sisteme de comunicare sigure cu autoritățile naționale.

7.

E-justiția intenționează să ofere multe posibilități pentru a face spațiul judiciar european mai concret pentru cetățeni în următorii ani. În vederea elaborării unei strategii globale referitoare la această chestiune importantă, Comisia a adoptat comunicarea menționată privind e-justiția. Comunicarea stabilește criterii obiective pentru identificarea priorităților, în special pentru viitoarele proiecte la nivel european, pentru a obține rezultate concrete într-un timp rezonabil.

8.

Documentul de lucru al serviciilor Comisiei, un document de însoțire a comunicării conținând un rezumat al evaluării impactului, oferă, de asemenea, câteva informații generale (6). Raportul asupra evaluării impactului a fost pregătit ținându-se seama de reacțiile statelor membre, ale autorităților judiciare, ale persoanelor exercitând profesii juridice, ale cetățenilor și ale celor din domeniul afacerilor. AEPD nu a fost consultată. Raportul asupra evaluării impactului a acordat preferință unei opțiuni de politică de abordare a problemelor care combină dimensiunea europeană și competența națională. Comunicarea a optat pentru această opțiune de politică. Strategia se va axa pe utilizarea videoconferinței, pe crearea unui portal e-justiție, pe îmbunătățirea serviciilor de traducere prin dezvoltarea instrumentelor de traducere automată on-line, pe îmbunătățirea comunicării dintre autoritățile judiciare, pe interconectarea crescută între registrele naționale și instrumentele on-line pentru procedurile europene (de exemplu, dispoziția de plată europeană).

9.

AEPD sprijină axarea pe acțiunile menționate anterior. În general, AEPD sprijină o abordare globală a e-justiției. Autoritatea aprobă nevoia întreită de a îmbunătăți accesul la justiție, cooperarea între autoritățile judiciare europene și eficiența sistemului judiciar în sine. Ca rezultat al acestei abordări, sunt afectate o serie de instituții și persoane:

10.

Comunicarea este strâns legată de o propunere de decizie a Consiliului de instituire a sistemului european de informații cu privire la cazierele judiciare (ECRIS). La 16 septembrie 2008, AEPD a adoptat un aviz cu privire la această propunere (7). Autoritatea a sprijinit propunerea, cu condiția ca un număr de observații să fie luate în considerare. În special, Autoritatea a arătat că garanții suplimentare de protecție a datelor ar trebui să compenseze lipsa actuală a unui cadru juridic global privind protecția datelor în domeniul cooperării dintre autoritățile polițienești și judiciare. În consecință, Autoritatea a subliniat necesitatea unei coordonări eficiente în supravegherea protecției datelor din cadrul sistemului, ceea ce implică autoritățile statelor membre și Comisia, ca furnizor al infrastructurii comune de comunicații.

11.

Câteva dintre recomandările prezentului aviz care merită reamintite sunt:

12.

Aceste recomandări sunt încă ilustrative pentru contextul în care actuala comunicare va fi analizată.

13.

E-justiția are un domeniu de aplicare foarte larg, incluzând, în general, utilizarea tehnologiei informației și comunicațiilor în administrarea justiției în cadrul Uniunii Europene. Aceasta acoperă un număr de chestiuni precum proiecte care furnizează justițiabililor informații într-un mod mai eficient. Aceasta include informații on-line privind sistemele judiciare, legislație și jurisprudență, sisteme de comunicații electronice care îi leagă justițiabilii și instanțele și stabilirea de proceduri complet electronice. E-justiția acoperă, de asemenea, proiecte europene precum utilizarea instrumentelor electronice pentru a înregistra audierile și proiecte care implică schimbul de informații sau interconectarea.

14.

Chiar dacă domeniul de aplicare este foarte larg, AEPD a observat că vor exista informații privind procedurile penale și privind sistemele judiciare civile și comerciale, dar nu și privind sistemele judiciare administrative. Va exista, de asemenea, o legătură cu atlasul penal și civil, dar nu și cu un atlas administrativ, deși ar putea fi mai bine ca cetățenii și întreprinderile să aibă acces la sistemele administrative judiciare, adică la dreptul administrativ și la procedurile de tratare a reclamațiilor. Ar trebui, de asemenea, să se stabilească o legătură cu Asociația Consiliilor de Stat. Toate aceste adăugări ar putea fi mai bune pentru cetățenii care încearcă să se orienteze în junglă – care este adesea constituită de dreptul administrativ cu toate tribunalele sale – pentru a deveni mai informați cu privire la sistemele judiciare administrative.

15.

În consecință, AEPD recomandă includerea procedurilor administrative în e-justiție. Ca parte a acestui nou element, ar trebui demarate proiecte e-justiție pentru a spori vizibilitatea normelor de protecție a datelor, precum și a autorităților naționale de protecție a datelor, în special în ceea ce privește tipurile de date prelucrate în cadrul e-justiției. Aceasta ar fi în conformitate cu așa-zisa „inițiativă de la Londra”, care a fost lansată de autoritățile de protecție a datelor în noiembrie 2006 și al cărei scop este „Cum să comunicăm despre protecția datelor și cum să realizăm o protecție mai eficientă”.

16.

În urma creșterii schimbului de date cu caracter personal între autoritățile judiciare, preconizată în comunicare, cadrul juridic aplicabil privind protecția datelor dobândește și mai multă importanță. În acest context, AEPD ia act de faptul că, la trei ani de la propunerea inițială a Comisiei, Consiliul Uniunii Europene a adoptat, la 27 noiembrie, Decizia-cadru privind protecția datelor cu caracter personal în cadrul cooperării polițienești și judiciare în materie penală (8). Acest nou act legislativ va asigura un cadru juridic general privind protecția datelor pentru chestiunile din „cel de al treilea pilon”, pe lângă dispozițiile de protecție a datelor din „primul pilon” existente în Directiva 95/46/CE.

17.

AEPD salută acest instrument juridic ca pe un prim pas important înainte pentru protecția datelor în cooperarea polițienească și judiciară. Totuși, nivelul de protecție a datelor obținut în textul final nu este pe deplin satisfăcător. În special, decizia-cadru acoperă doar date polițienești și judiciare schimbate între statele membre, autoritățile și sistemele UE, și nu include date interne. În plus, decizia-cadru adoptată nu stipulează obligația de a distinge între diferite categorii de persoane vizate, precum suspecți, infractori, martori și victime, pentru a asigura faptul că datele acestora sunt prelucrate cu garanții mai adecvate. Decizia-cadru nu asigură o coerență deplină cu Directiva 95/46/CE, în special în ceea ce privește limitarea scopurilor pentru care datele cu caracter personal pot fi în continuare prelucrate. Nici nu prevede un grup independent de autorități relevante de protecție a datelor la nivel național și european, care ar putea asigura atât o mai bună coordonare între autoritățile de protecție a datelor, cât și o contribuție substanțială la aplicarea uniformă a deciziei-cadru.

18.

Aceasta ar însemna că, într-un context în care se depun multe eforturi pentru a dezvolta sisteme comune de schimb transfrontalier de date cu caracter personal, există încă divergențe cu privire la normele conform cărora aceste date sunt prelucrate și cetățenii își pot exercita drepturile în diferite țări ale UE.

19.

AEPD reamintește încă odată faptul că asigurarea unui nivel înalt de protecție a datelor în cooperarea polițienească și judiciară, precum și coerența cu Directiva 95/46/CE, reprezintă o completare necesară a altor măsuri introduse sau preconizate pentru facilitarea schimbului transfrontalier al datelor cu caracter personal în aplicarea legii. Aceasta derivă nu numai din dreptul cetățenilor la respectarea dreptului fundamental de protecție a datelor cu caracter personal, dar și din nevoia autorităților de aplicare a legii de a asigura calitatea datelor schimbate – după cum se confirmă în anexa la comunicare referitoare la interconectarea cazierelor judiciare – încrederea între autorități în țări diferite și, în cele din urmă, validitatea juridică a dovezilor obținute într-un context transfrontalier.

20.

În consecință, AEPD încurajează instituțiile UE să ia aceste elemente în considerare în mod special nu doar cu ocazia punerii în aplicare a măsurilor preconizate în comunicare, dar și în vederea inițierii, cât mai rapid posibil, a reflecțiilor cu privire la alte îmbunătățiri aduse cadrului juridic pentru protecția datelor în aplicarea legii.

21.

AEPD recunoaște faptul că schimburile de date cu caracter personal sunt elemente esențiale ale creării unui spațiu de libertate, securitate și justiție. Din acest motiv, AEPD sprijină propunerea unei strategii în domeniul e-justiției, subliniind, în același timp, importanța protecției datelor în acest context. Într-adevăr, respectarea protecției datelor nu este doar o obligație legală, dar este și un element-cheie pentru succesul sistemelor preconizate, de exemplu asigurarea calității schimburilor de date. Acest lucru este în egală măsură valabil pentru instituții și organe, atunci când acestea prelucrează date cu caracter personal, și pentru momentul în care noi politici sunt dezvoltate. Normele și principiile ar trebui aplicate și urmate în practică și ar trebui luate în considerare în mod special în fazele de proiectare și construire a sistemelor de informații. Protecția vieții private și protecția datelor sunt, în esență, „factori-cheie de succes” pentru o societate informațională prosperă și echilibrată. În consecință, pare logic să se investească în acești factori și aceasta cât mai rapid cu putință.

22.

În acest context, AEPD subliniază faptul că în comunicare nu se prevede o bază de date centrală europeană. AEPD salută preferința pentru arhitecturi descentralizate. AEPD reamintește faptul că a emis un aviz cu privire la ECRIS (9) și la inițiativa de la Prüm (10). În avizul său referitor la ECRIS, AEPD a declarat că o arhitectură descentralizată evită duplicarea suplimentară a datelor cu caracter personal într-o bază de date centrală. În avizul referitor la inițiativa de la Prüm, AEPD a sfătuit să se ia în considerare dimensiunea sistemului atunci când se discută interconectarea dintre bazele de date. În special, ar trebui stabilite anumite formate specifice pentru comunicarea datelor, precum solicitările on-line de caziere judiciare, cu luarea în considerare a diferențelor lingvistice și ar trebui monitorizată în mod constant acuratețea schimburilor de date. Aceste elemente ar trebui, de asemenea, luate în considerare în contextul inițiativelor care rezultă din strategia în domeniul e-justiției.

23.

Comisia Europeană intenționează să contribuie la consolidarea și dezvoltarea instrumentelor în domeniul e-justiției la nivel european, în strânsă cooperare cu statele membre și alți parteneri. În același timp cu sprijinirea eforturilor statelor membre, Comisia intenționează să dezvolte, în nume propriu, o serie de instrumente informatice pentru a crește interoperabilitatea sistemelor, pentru a facilita accesul la justiție și comunicarea între autoritățile judiciare și pentru a face importante economii de scară la nivel european. În ceea ce privește interoperabilitatea aplicațiilor software utilizate de statele membre, nu toate statele membre trebuie să utilizeze în mod necesar același software – deși aceasta ar fi cea mai practică opțiune – dar aplicațiile software trebuie să fie pe deplin interoperabile.

24.

AEPD recomandă ca interconectarea și interoperabilitatea sistemelor să ia în considerare în mod adecvat principiul limitării la un scop specific și să fie construite în jurul standardelor de protecție a datelor [„viață privată prin concepție” („privacy by design”)]. Orice formă de interacțiune între diferitele sisteme ar trebui documentată în mod amănunțit. Interoperabilitatea nu ar trebui să ducă niciodată la o situație în care o autoritate, care nu este îndreptățită să acceseze sau să utilizeze anumite date, să poată obține acest acces printr-un alt sistem de informații. AEPD dorește să sublinieze încă odată faptul că interoperabilitatea nu ar trebui să justifice, în sine, eludarea principiului limitării la un scop specific (11).

25.

În plus, un alt punct crucial este asigurarea faptului că schimbul transfrontalier consolidat de date cu caracter personal este însoțit de supravegherea și cooperarea consolidată de către autoritățile de protecție a datelor. AEPD a evidențiat deja, în avizul său din 29 mai 2006 referitor la decizia-cadru privind schimbul de informații extrase din cazierele judiciare (12), faptul că decizia-cadru propusă nu ar trebui să abordeze doar cooperarea între autoritățile centrale, ci și cooperarea între diferitele autorități competente de protecție a datelor. Această necesitate a devenit și mai importantă de când negocierile privind recent adoptata decizie-cadru privind protecția datelor cu caracter personal prelucrate în cadrul cooperării polițienești și judiciare (13) a dus la eliminarea dispoziției de înființare a unui grup de lucru care să reunească autoritățile UE de protecție a datelor și care să coordoneze activitățile acestora în ceea ce privește prelucrarea datelor în cadrul cooperării polițienești și judiciare în materie penală. În consecință, în vederea asigurării supravegherii eficiente și a calității circulației transfrontaliere a datelor extrase din cazierele judiciare, ar trebui prevăzute mecanisme de coordonare eficientă între autoritățile de protecție a datelor (14). Aceste mecanisme ar trebui, de asemenea, să ia în considerare competențele de supraveghere ale AEPD cu privire la infrastructura s-TESTA (15). Instrumentele în domeniul e-justiției ar putea sprijini aceste mecanisme care ar putea fi dezvoltate în strânsă cooperare cu autoritățile de protecție a datelor.

26.

La punctul 4.2.1, comunicarea arată că va fi important ca schimbul de informații extrase din cazierele judiciare să treacă dincolo de cooperarea judiciară pentru a încorpora alte obiective, de exemplu accesul la anumite posturi. AEPD subliniază că orice prelucrare a datelor cu caracter personal pentru alte scopuri decât cele pentru care acestea au fost culese ar trebui să respecte condițiile specifice stabilite de legislația aplicabilă în domeniul protecției datelor. În special, prelucrarea datelor cu caracter personal pentru alte scopuri ar trebui să fie permisă doar dacă este necesar să fie urmărite interese enumerate în legislația comunitară din domeniul protecției datelor (16) și cu condiția ca acestea să fie stabilite prin măsuri legislative.

27.

În comunicare se afirmă că, în ceea ce privește interconectarea cazierelor judiciare, ca parte a pregătirilor pentru intrarea în vigoare a deciziei-cadru privind schimbul de informații extrase din cazierele judiciare, Comisia va lansa două studii de fezabilitate pentru a organiza proiectul, pe măsură ce acesta evoluează, și pentru a extinde schimbul de informații pentru a reglementa resortisanții țărilor terțe condamnați pentru infracțiuni. În 2009, Comisia va pune la dispoziția statelor membre aplicații software concepute pentru a permite schimbul tuturor cazierelor judiciare într-un interval scurt de timp. Acest sistem de referință, combinat cu utilizarea s-TESTA pentru schimbul informațiilor, va genera economii de scară deoarece statele membre nu vor trebui să desfășoare propria activitate de elaborare. De asemenea, aceasta va ușura desfășurarea proiectului.

28.

În această perspectivă, AEPD salută utilizarea infrastructurii s-TESTA, care s-a dovedit un sistem sigur pentru schimbul datelor și recomandă ca elementele statistice referitoare la sistemele preconizate de schimb de date să fie definite în detaliu și cu luarea în considerație în mod adecvat a necesității asigurării supravegherii protecției datelor. De exemplu, datele statistice ar putea include în mod explicit elemente precum numărul de cereri de acces la sau de rectificare a datelor cu caracter personal, durata sau exhaustivitatea procesului de actualizare, calitatea persoanelor care au acces la aceste date, precum și cazurile de încălcare a normelor de securitate. În plus, datele statistice și rapoartele care le au la bază ar trebui puse complet la dispoziție autorităților competente de protecție a datelor.

29.

Utilizarea traducerii automate este un instrument folositor și poate favoriza înțelegerea reciprocă dintre actorii relevanți din statele membre. Totuși, utilizarea traducerii automate nu ar trebui să conducă la diminuarea calității informațiilor schimbate, în special atunci când aceste informații sunt utilizate pentru a lua decizii cu efecte juridice asupra persoanelor vizate. AEPD indică faptul că este important să se definească și să se delimiteze în mod clar utilizarea traducerii automate. Utilizarea traducerii automate pentru transmiterea de informații care nu au fost pre-traduse în mod adecvat, precum comentariile suplimentare sau precizările adăugate în cazurile individuale, poate afecta calitatea informațiilor transmise – și, în acest fel, calitatea deciziilor luate pe baza acestora – și ar trebui exclusă, în principiu (17). AEPD propune luarea în considerare a prezentei recomandări în măsurile care rezultă din comunicare.

30.

Comunicarea dorește crearea unei baze de date de traducători și interpreți juridici astfel încât să se determine o ameliorare a calității traducerii și interpretării juridice. AEPD subscrie la acest scop, dar reamintește faptul că această bază de date va fi supusă aplicării legislației corespunzătoare privind protecția datelor. În special, dacă baza de date conține date de evaluare despre performanța traducătorilor, aceasta ar putea fi supusă unei verificări prealabile de către autoritățile relevante de protecție a datelor.

31.

La punctul 5, comunicarea indică faptul că responsabilitățile trebuie atribuite în mod clar între Comisie, statele membre și alți actori implicați în cooperarea judiciară. Comisia își va asuma un rol general de coordonare prin încurajarea schimbului de practici și va concepe, înființa și coordona informațiile privind portalul e-justiție. În afară de aceasta, Comisia va continua să lucreze la interconectarea cazierelor judiciare și va continua să își asume responsabilitatea directă pentru rețeaua judiciară în materie civilă și să sprijine rețeaua judiciară în materie penală. Va trebui ca statele membre să actualizeze informațiile referitoare la propriile sisteme judiciare care apare pe site-ul e-justiției. Alți actori sunt rețelele judiciare în materie civilă și penală și Eurojust. Acestea vor dezvolta instrumentele necesare pentru o cooperare judiciară mai eficientă, în special instrumentele de traducere automată și sistemul de schimb securizat, în strânsă cooperare cu Comisia. Un proiect de plan de acțiune și un program pentru diferitele proiecte sunt anexate la comunicare.

32.

În acest context, AEPD subliniază faptul că, în sistemul ECRIS, pe de o parte, nu este stabilită o bază de date centrală europeană și nu se prevede un acces direct la bazele de date precum cele care conțin cazierele judiciare ale altor state membre, în timp ce, pe de altă parte, la nivel național responsabilitățile pentru corectitudinea informațiilor sunt centralizate în cadrul autorităților centrale ale statelor membre. În cadrul acestui mecanism, statele membre sunt responsabile cu operarea bazelor de date naționale și cu desfășurarea eficientă a schimburilor. Nu este clar dacă statele membre sunt sau nu responsabile cu interconectarea aplicațiilor software. Comisia va pune la dispoziția statelor membre aplicațiile software concepute pentru a permite schimbul tuturor cazierelor judiciare într-un interval scurt de timp. Acest sistem de referință va fi combinat cu utilizarea s-TESTA pentru schimbul informațiilor.

33.

AEPD înțelege că de asemenea în contextul inițiativelor analoage în domeniul e-justiției, ar putea fi implementate sisteme similare și Comisia va fi responsabilă pentru infrastructura comună, deși acest lucru nu se precizează în comunicare. AEPD sugerează clarificarea acestei responsabilități în măsura care reiese din comunicare, din motive de certitudine juridică.

34.

Anexa enumeră o serie de proiecte care să fie dezvoltate în următorii cinci ani. Primul proiect, dezvoltarea paginilor referitoare la e-justiție, se referă la portalul e-justiție. Acțiunea are nevoie de un studiu de fezabilitate și de elaborarea portalului. Pe lângă aceasta, acțiunea necesită o punere în aplicare a metodelor de gestionare și o informare on-line în toate limbile UE. Al doilea și al treilea proiect se referă la interconectarea cazierelor judiciare. Al doilea proiect se referă la interconectarea cazierelor judiciare naționale. Al treilea proiect preconizează crearea unui registru european al resortisanților țărilor terțe condamnați, în urma unui studiu de fezabilitate și a prezentării unei propuneri legislative. AEPD ia act de faptul că al treilea proiect nu mai este menționat în programul de lucru al Comisiei și se întreabă dacă acest lucru reflectă o schimbare în proiectele preconizate ale Comisiei sau doar o amânare a acestui proiect anume.

35.

Comunicarea enumeră, de asemenea, trei proiecte în domeniul schimburilor electronice și trei proiecte în domeniul ajutoarelor pentru traducere. Va începe un proiect pilot referitor la elaborarea treptată a unui vocabular juridic multilingv comparativ. Alte proiecte relevante se referă la crearea unor forme dinamice de însoțire a textelor legislative europene, precum și la stimularea utilizării videoconferințelor de către autoritățile judiciare. În final, ca parte a forumurilor e-justiție, vor avea loc reuniuni anuale pe teme din domeniul e-justiției și va fi dezvoltată formarea reprezentanților profesiilor juridice în cadrul cooperării judiciare. AEPD sugerează ca în cadrul acestor reuniuni și formări să se acorde suficientă atenție legilor și practicilor privind protecția datelor.

36.

În consecință, anexa preconizează o gamă largă de instrumente europene, în vederea facilitării schimbului de informații între actorii din diferite state membre. Între aceste instrumente, un rol important va fi jucat de portalul e-justiție, de care va răspunde în mod special Comisia.

37.

O caracteristică comună a multora dintre aceste instrumente va fi aceea că informațiile și datele cu caracter personal vor fi schimbate și gestionate de diferiți actori, atât la nivel național, cât și la nivelul UE, acești actori fiind supuși obligațiilor de protecție a datelor și autorităților de supraveghere instituite în temeiul Directivei 95/46/CE sau al Regulamentului (CE) nr. 45/2001. În această privință, AEPD a arătat deja în mod clar în avizul său referitor la Sistemul de informare al pieței interne (IMI) (18) că este esențială garantarea faptului că responsabilitățile referitoare la respectarea normelor de protecție a datelor se asigură într-un mod eficient și neîntrerupt.

38.

Aceasta necesită, în principal, pe de o parte, ca responsabilitățile pentru prelucrarea datelor cu caracter personal din cadrul acestor sisteme să fie clar definite și atribuite; pe de altă parte, ca mecanismele de coordonare adecvate – în special în ceea ce privește supravegherea – să fie prevăzute de fiecare dată când este necesar.

39.

Utilizarea noilor tehnologii este una dintre pietrele de temelie ale inițiativelor din domeniul e-justiției: interconectarea cazierelor naționale, dezvoltarea semnăturii electronice, rețele sigure, platforme de schimb virtuale și utilizarea crescută a video-conferințelor vor fi elemente esențiale ale inițiativelor în domeniul e-justiției în cursul următorilor ani.

40.

În acest context, este esențială luarea în considerare a chestiunilor privind protecția datelor cât mai devreme posibil și integrarea acestora în arhitectura instrumentelor preconizate. În special, atât arhitectura sistemului, cât și punerea în aplicare a măsurilor de securitate adecvate sunt deosebit de importante. Această abordare de tipul „viață privată prin concepție” („privacy by design”) ar permite ca inițiativele relevante din domeniul e-justiției să asigure o gestionare eficientă a datelor cu caracter personal, asigurând, în același timp, respectarea principiilor de protecție a datelor și securitatea schimburilor de date între diferite autorități.

41.

În plus, AEPD subliniază faptul că instrumentele tehnologice ar trebui utilizate nu numai pentru a asigura schimbul de informații, cât și pentru a consolida drepturile persoanelor vizate. În această perspectivă, AEPD salută faptul că în comunicare se face referire la posibilitatea ca cetățenii europeni să își solicite cazierele judiciare on-line și în limba aleasă (19). În ceea ce privește această chestiune, AEPD reamintește faptul că a salutat, în avizul său referitor la propunerea Comisiei privind schimbul de caziere judiciare, posibilitatea ca persoana vizată să solicite autorității centrale dintr-un stat membru informații referitoare la propriul cazier judiciar, cu condiția ca persoana vizată să fie sau să fi fost rezident sau cetățean al statului membru solicitat sau solicitant. Ideea utilizării, drept „birou unic”, a autorității care este cea mai apropiată de persoana vizată a fost, de asemenea, avansată de AEPD în domeniul coordonării sistemelor de securitate socială. În consecință, AEPD încurajează Comisia să continue în aceeași direcție, prin încurajarea instrumentelor tehnologice – și, în special, a accesului on-line – care le permit cetățenilor să aibă un control mai bun asupra datelor lor cu caracter personal, chiar și atunci când aceștia se deplasează în diferite state membre.

42.

AEPD sprijină prezenta propunere de a înființa e-justiția și recomandă luarea în considerare a observațiilor făcute în acest aviz, între care:

6.6.2009   

RO

Jurnalul Oficial al Uniunii Europene

C 128/20

1.

La 2 iulie 2008, Comisia a adoptat o propunere de directivă a Parlamentului European și a Consiliului privind aplicarea drepturilor pacienților în cadrul asistenței medicale transfrontaliere (denumită în continuare: „propunerea”) (1). Propunerea a fost transmisă AEPD de către Comisie spre consultare, în conformitate cu articolul 28 alineatul (2) din Regulamentul (CE) nr. 45/2001.

2.

Propunerea are scopul de a stabili un cadru comunitar pentru furnizarea asistenței medicale transfrontaliere în cadrul UE, în cazurile în care asistența de care au nevoie pacienții este acordată într-un alt stat membru decât în țara lor de reședință. Aceasta este structurată în jurul a trei domenii principale:

3.

Obiectivele acestui cadru sunt: să ofere suficientă claritate cu privire la drepturile de rambursare pentru asistența medicală acordată în alte state membre și să garanteze că cerințele necesare pentru o asistență medicală sigură, eficientă și de înaltă calitate sunt asigurate pentru asistența transfrontalieră.

4.

Punerea în aplicare a unei scheme de asistență medicală transfrontalieră necesită schimbul de date cu caracter personal relevante privind sănătatea (denumite în continuare: „date privind sănătatea”) ale pacienților între organizațiile autorizate și cadrele medicale din diferitele state membre. Aceste date sunt considerate sensibile și fac obiectul unor norme mai stricte de protecție a datelor, astfel cum este prevăzut la articolul 8 din Directiva 95/46/CE privind categoriile speciale de date.

5.

AEPD salută faptul că este consultată cu privire la această chestiune și că se face trimitere la această consultare în preambulul propunerii, în conformitate cu articolul 28 din Regulamentul (CE) nr. 45/2001.

6.

Este prima dată când AEPD este consultată în mod oficial cu privire la o propunere de directivă în domeniul asistenței medicale. În cadrul acestui aviz, prin urmare, unele din observațiile formulate țin de un domeniu de aplicare mai larg, abordând chestiuni generale de protecție a datelor cu caracter personal în sectorul asistenței medicale, care ar putea, de asemenea, să fie aplicabile în cazul altor instrumente juridice relevante (cu forță juridică obligatorie sau nu).

7.

De la bun început, AEPD ar dori să își exprime sprijinul față de inițiativele de îmbunătățire a condițiilor de asistență medicală transfrontalieră. Propunerea în discuție ar trebui de fapt examinată în contextul programului global al CE de îmbunătățire a sănătății cetățenilor în societatea informațională. Alte inițiative în acest sens sunt Directiva și Comunicarea preconizate ale Comisiei privind donarea și transplantul de organe umane (2), Recomandarea privind interoperabilitatea sistemelor de evidență electronică a datelor medicale (3), precum și Comunicarea preconizată privind telemedicina (4). Cu toate acestea, AEPD este preocupată de faptul că toate aceste inițiative conexe nu sunt strâns legate și/sau interconectate în domeniul vieții private și al securității datelor, constituind astfel un impediment în adoptarea unei abordări uniforme privind protecția datelor în asistența medicală, în special cu privire la utilizarea noilor tehnologii TIC. Drept exemplu, în propunerea actuală, deși telemedicina este menționată în mod explicit în considerentul 10 al propunerii de directivă, nu se face nicio trimitere la dimensiunea de protecție a datelor din comunicarea relevantă a CE. De asemenea, deși sistemele de evidență electronică a datelor medicale reprezintă o posibilă modalitate de comunicare transfrontalieră a datelor privind sănătatea, nu se face nicio legătură cu chestiunile privind viața privată abordate în recomandarea relevantă a Comisiei (5). Aceasta conduce la impresia că o perspectivă globală privind viața privată în domeniul asistenței medicale nu este încă definită în mod clar și, în anumite cazuri, lipsește cu desăvârșire.

8.

Acest lucru este, de asemenea, evident în propunerea actuală, în care AEPD observă cu regret faptul că implicațiile privind protecția datelor nu sunt abordate în mod concret. Se regăsesc desigur trimiteri la protecția datelor, însă acestea au în principal un caracter general și nu reflectă în mod corespunzător nevoile și cerințele specifice ale asistenței medicale transfrontaliere legate de viața privată.

9.

AEPD dorește să sublinieze faptul că o abordare uniformă și solidă privind protecția datelor în cadrul instrumentelor propuse de asistență medicală nu numai că va asigura dreptul fundamental al cetățenilor la protecția datelor lor, ci va contribui și la dezvoltarea ulterioară a asistenței medicale transfrontaliere în UE.

10.

Obiectivul principal al Comunității Europene a fost de a stabili o piață internă, un spațiu fără frontiere interne în interiorul căruia este asigurată libera circulație a mărfurilor, a persoanelor, a serviciilor și a capitalurilor. Faptul de a oferi cetățenilor posibilitatea de a se deplasa și de a-și stabili mai ușor reședința în alte state membre decât cele de origine a condus în mod evident la chestiuni legate de sănătate. Din acest motiv, în anii ’90, Curtea de Justiție s-a confruntat în contextul pieței interne cu chestiuni privind posibila rambursare a cheltuielilor medicale din alt stat membru. Curtea de Justiție a recunoscut faptul că libertatea de a presta servicii, astfel cum este prevăzut la articolul 49 din Tratatul CE, include libertatea persoanelor de a se deplasa în alt stat membru pentru a beneficia de asistență medicală (6). Prin urmare, pacienții care doreau să beneficieze de asistență medicală transfrontalieră nu au mai putut fi tratați diferit față de resortisanții din țara lor de origine care primeau același tratament medical fără a trece frontiera.

11.

Aceste hotărâri ale Curții se află în centrul propunerii actuale. Întrucât jurisprudența Curții se bazează pe cazuri individuale, propunerea actuală are scopul de îmbunătăți claritatea pentru a asigura o aplicare mai generală și eficientă a libertății de a beneficia și, respectiv, de a furniza servicii de asistență medicală. Cu toate acestea, astfel cum a fost deja menționat, propunerea face parte, de asemenea, dintr-un program mai ambițios cu scopul de a îmbunătăți sănătatea cetățenilor în societatea informațională, în care UE întrevede posibilități majore de intensificare a asistenței medicale transfrontaliere prin utilizarea tehnologiei informațiilor.

12.

Din motive evidente, stabilirea unor norme pentru asistența medicală transfrontalieră reprezintă o chestiune delicată. Aceasta atinge un domeniu sensibil în care statele membre au instituit sisteme naționale divergente, de exemplu cu privire la asigurare și rambursarea costurilor sau organizarea infrastructurii asistenței medicale, inclusiv aplicații și rețele de informații în domeniul asistenței medicale. Cu toate că legislatorul comunitar, în propunerea actuală, se axează numai pe asistența medicală transfrontalieră, normele vor influența cel puțin modul în care sistemele naționale de asistență medicală sunt organizate.

13.

Îmbunătățirea condițiilor de asistență medicală transfrontalieră va fi în beneficiul cetățenilor. Totuși, aceasta va implica în același timp și anumite riscuri pentru cetățeni. Trebuie rezolvate multe probleme de ordin practic, inerente cooperării transfrontaliere între persoane din țări diferite și care vorbesc limbi diferite. Întrucât o bună sănătate este de o importanță vitală pentru fiecare cetățean, ar trebui exclus orice risc privind o comunicare necorespunzătoare și inexactitățile care rezultă. Este de la sine înțeles că intensificarea cooperării transfrontaliere coroborată cu utilizarea progreselor în tehnologia informației are implicații deosebite pentru protecția datelor cu caracter personal. Un schimb mai eficient și, prin urmare, sporit de date privind sănătatea, distanța din ce în ce mai mare dintre persoane și instanțele în cauză, diferitele legislații naționale de punere în aplicare a normelor de protecție a datelor conduc la chestiuni privind securitatea datelor și certitudinea juridică.

14.

Trebuie subliniat faptul că datele privind sănătatea sunt considerate o categorie specială de date care merită o mai mare protecție. Astfel cum a precizat recent Curtea Europeană a Drepturilor Omului în contextul articolului 8 din Convenția Europeană a Drepturilor Omului: „Protecția datelor cu caracter personal, în special a datelor medicale, este de o deosebită importanță pentru ca o persoană să beneficieze de dreptul său de respectare a vieții private și a vieții de familie, astfel cum este garantat la articolul 8 din convenție” (7). Înainte de a explica normele mai stricte pentru prelucrarea datelor privind sănătatea care sunt prevăzute de Directiva 95/46/CE, câteva cuvinte vor fi consacrate noțiunii de „date privind sănătatea”.

15.

Directiva 95/46/CE nu include o definiție explicită a datelor privind sănătatea. În mod obișnuit, se aplică o interpretare largă, care definește adesea datele privind sănătatea drept „date cu caracter personal care au o legătură clară și strânsă cu descrierea statutului unei persoane privind sănătatea” (8). În acest sens, datele privind sănătatea includ în mod normal date medicale (de exemplu, trimiteri și prescripții medicale, rapoarte de examinare medicală, teste de laborator, radiografii etc.), precum și date administrative și financiare legate de sănătate (de exemplu, documente privind spitalizările, numărul de asigurare socială, programarea vizitelor medicale, facturi pentru serviciile medicale acordate etc.). Ar trebui notat faptul că sintagma „date medicale” (9) este, de asemenea, utilizată câteodată pentru a face trimitere la date legate de sănătate, precum și sintagma „date privind asistența medicală” (10). În cadrul prezentului aviz, se va utiliza noțiunea „date privind sănătatea”.

16.

O definiție utilă a „datelor privind sănătatea” este prevăzută de ISO 27799: „orice informații legate de sănătatea fizică sau mentală a unei persoane sau legate de acordarea de servicii medicale persoanei și care pot include: (a) informații privind înscrierea persoanei pentru acordarea de servicii medicale; (b) informații privind plățile sau eligibilitatea pentru asistența medicală cu privire la persoana în cauză; (c) un număr, simbol sau semn distinctiv atribuit unei persoane pentru a identifica persoana în cauză în scopuri medicale; (d) orice informații privind persoana culese în cursul acordării de servicii medicale persoanei în cauză; (e) informații rezultate din testarea sau examinarea unei părți a corpului sau a unei substanțe din corp; și (f) identificarea unei persoane (cadru medical) drept furnizor de asistență medicală al persoanei în cauză.”

17.

AEPD se exprimă în favoarea adoptării unei definiții specifice a sintagmei „date privind sănătatea” în contextul propunerii actuale, care ar putea fi, de asemenea, utilizată în viitor în cadrul altor texte juridice relevante ale CE (a se vedea secțiunea III de mai jos).

18.

Articolul 8 din Directiva 95/46/CE stabilește normele privind prelucrarea categoriilor speciale de date. Aceste norme sunt mai stricte decât cele pentru prelucrarea altor date, astfel cum este prevăzut la articolul 7 din Directiva 95/46/CE. Aceasta indică deja cazurile în care articolul 8 alineatul (1) precizează în mod explicit că statul membru interzice prelucrarea, inter alia, a datelor privind sănătatea. La următoarele alineate ale articolului, sunt formulate câteva excepții de la această interdicție, însă acestea sunt mai restrânse decât motivele pentru prelucrarea datelor obișnuite, astfel cum este prevăzut la articolul 7. De exemplu, interdicția nu se aplică în cazul în care persoana vizată și-a dat consimțământul explicit [articolul 8 alineatul (2) litera (a)], contrar consimțământului neechivoc necesar prevăzut la articolul 7 litera (a) din Directiva 95/46/CE. De asemenea, legislația statului membru poate hotărî că, în anumite cazuri, chiar consimțământul persoanei vizate nu poate ridica interdicția. Articolul 8 alineatul (3) este consacrat exclusiv prelucrării datelor privind sănătatea. În conformitate cu acest alineat, interdicția prevăzută la alineatul (1) nu se aplică în cazul în care prelucrarea este necesară în scopul medicinii preventive, stabilirii diagnosticelor medicale, acordării de servicii medicale, administrării unui tratament sau gestionării serviciilor de asistență medicală și în cazul în care datele respective sunt prelucrate de către un cadru medical supus, în temeiul dreptului intern sau al normelor instituite de organisme naționale competente, obligației de păstrare a secretului profesional sau de către altă persoană supusă, de asemenea, unei obligații echivalente de păstrare a secretului.

19.

Articolul 8 din Directiva 95/46/CE pune accentul pe faptul că statele membre ar trebui să prevadă garanții corespunzătoare. De exemplu, articolul 8 alineatul (4) permite statelor membre să prevadă derogări suplimentare de la interdicția de a prelucra date sensibile din motive de interes public semnificativ, sub rezerva furnizării unor garanții corespunzătoare. În termeni generali, aceasta subliniază responsabilitatea statelor membre de a acorda o atenție deosebită prelucrării datelor sensibile, precum datele privind sănătatea.

20.

Statele membre ar trebui să fie în special conștiente de responsabilitatea sus-menționată atunci când este vorba de chestiunea schimbului transfrontalier de date privind sănătatea. Astfel cum a fost evidențiat anterior, schimbul transfrontalier de date privind sănătatea sporește riscul prelucrării unor date inexacte sau ilegitime. În mod evident, aceasta poate avea consecințe negative semnificative pentru persoana vizată. Atât statul membru de afiliere (în care pacientul este asigurat), cât și statul membru de tratament (în care este realmente acordată asistența medicală transfrontalieră) sunt implicate în acest proces și, prin urmare, împart această responsabilitate.

21.

Securitatea datelor privind sănătatea reprezintă, în acest context, o chestiune importantă. În cauza recentă citată mai sus, Curtea Europeană a Drepturilor Omului a acordat o importanță deosebită confidențialității datelor privind sănătatea: „Respectarea confidențialității datelor privind sănătatea constituie un principiu vital în sistemele juridice ale tuturor părților contractante la convenție. Este esențială nu numai respectarea vieții private a unui pacient, ci și menținerea încrederii sale în profesia medicală și în serviciile medicale în general.” (11)

22.

Normele de protecție a datelor, astfel cum sunt prevăzute de Directiva 95/46/CE, prevăd, de asemenea, că statul membru de afiliere ar trebui să furnizeze pacientului informații adecvate, corecte și actualizate privind transferul datelor sale cu caracter personal către un alt stat membru, precum și să asigure transferul securizat al datelor către statul membru respectiv. Statul membru de tratament ar trebui, de asemenea, să asigure recepția securizată a acestor date și să ofere un nivel corespunzător de protecție atunci când datele sunt realmente prelucrate, conform dreptului său intern în materie de protecție a datelor.

23.

AEPD ar dori să clarifice responsabilitățile comune ale statelor membre în cadrul propunerii, ținând seama, de asemenea, de comunicarea sub formă electronică a datelor, în special în contextul noilor aplicații TIC, astfel cum este menționat mai jos.

24.

Îmbunătățirea schimbului transfrontalier de date privind sănătatea se realizează în principal prin utilizarea tehnologiei informației. Cu toate că schimbul de date în cadrul unei scheme de asistență medicală transfrontalieră poate fi în continuare realizat pe suport de hârtie (de exemplu, pacientul se deplasează în alt stat membru cu toate datele sale relevante privind sănătatea, precum examene de laborator, trimiteri medicale etc.), acesta este în mod clar conceput să utilizeze în schimb mijloace electronice. Comunicarea sub formă electronică a datelor privind sănătatea va fi susținută de sistemele de informații privind asistența medicală instituite (sau care urmează a fi instituite) în statele membre (în spitale, clinici etc.), de utilizarea noilor tehnologii, cum ar fi aplicațiile electronice de evidență a datelor medicale (care să funcționeze posibil pe internet), precum și de alte instrumente cum ar fi cardurile de sănătate ale pacienților și ale doctorilor. Desigur, este de asemenea posibil să se utilizeze forme combinate de schimb, electronice și pe suport de hârtie, în funcție de sistemele de asistență medicală ale statelor membre.

25.

Aplicațiile e-sănătate și de telemedicină, care intră în domeniul de aplicare al propunerii de directivă, vor depinde exclusiv de schimbul sub formă electronică de date privind sănătatea (de exemplu, semne vitale, imagini etc.), de obicei coroborate cu alte sisteme electronice existente de informații privind asistența medicală care au sediul în statul membru de tratament și, respectiv, de afiliere. Aceasta include sisteme care se bazează atât pe relația pacient-doctor (de exemplu, monitorizarea și diagnosticul la distanță), cât și pe relația doctor-doctor (de exemplu, teleconsultare între cadrele medicale pentru avize specializate privind cazuri medicale specifice). Alte aplicații de asistență medicală specifice care vin în sprijinul asistenței medicale transfrontaliere acordate ar putea depinde, de asemenea, de schimbul sub formă electronică de date, de exemplu prescripția electronică (e-prescripție) sau trimiterea electronică (e-trimitere), care este deja aplicat la nivel național în câteva state membre (12).

26.

Ținând seama de considerațiile sus-menționate, împreună cu diversitatea existentă a sistemelor de sănătate ale statelor membre, precum și de evoluția continuă a aplicațiilor e-sănătate, rezultă următoarele două domenii de interes cu privire la protecția datelor cu caracter personal în cadrul asistenței medicale transfrontaliere: (a) diferite niveluri de securitate care pot fi aplicate de statele membre pentru protecția datelor cu caracter personal (în ceea ce privește măsurile tehnice și organizaționale) și (b) integrarea vieții private în aplicațiile e-sănătate, în special în noile evoluții. În plus, alte aspecte precum utilizarea secundară a datelor privind sănătatea, în special în domeniul elaborării de statistici, ar putea de asemenea să necesite o atenție specială. Aceste chestiuni sunt examinate mai detaliat în continuarea prezentei secțiuni.

27.

Deși Directivele 95/46/CE și 2002/58/CE sunt aplicate în mod uniform în Europa, interpretarea și punerea în aplicare a anumitor elemente pot fi diferite de la o țară la alta, în special în domenii în care dispozițiile juridice sunt generale și lăsate la latitudinea statelor membre. În acest sens, principalul domeniu care trebuie examinat este securitatea prelucrării, și anume măsurile (tehnice și organizaționale) pe care statele membre le adoptă pentru a asigura securitatea datelor privind sănătatea.

28.

Deși protecția strictă a datelor privind sănătatea reprezintă o responsabilitate a tuturor statelor membre, în prezent nu există nicio definiție general acceptată a unui nivel de securitate „corespunzător” pentru asistența medicală în cadrul UE care ar putea fi aplicat în cazul asistenței medicale transfrontaliere. Prin urmare, de exemplu, un spital dintr-un stat membru poate fi obligat prin regulamente de protecție a datelor impuse la nivel național să adopte măsuri specifice de securitate (de exemplu, definirea politicii de securitate și a codurilor de conduită, norme specifice de externalizare și prin care se recurge la contractanți externi, cerințe de audit etc.), în timp ce în alte state membre situația ar putea fi diferită. Această inconsecvență poate avea impact asupra schimbului transfrontalier de date, în special atunci când se realizează sub formă electronică, întrucât nu se poate garanta că datele sunt securizate (din punct de vedere tehnic și organizațional) la același nivel între diferitele state membre.

29.

Prin urmare, este necesară o mai bună armonizare în acest domeniu, în ceea ce privește definirea unui set comun de cerințe de securitate pentru asistența medicală care ar trebui să fie adoptat în comun de furnizorii de servicii de asistență medicală din statele membre. Această necesitate este cu siguranță în conformitate cu necesitatea globală a definirii unor principii comune în sistemele de sănătate din UE, astfel cum este evidențiat în cadrul propunerii.

30.

Acest lucru ar trebui făcut într-un mod generic, fără a impune soluții tehnice specifice statelor membre, stabilind însă o bază pentru recunoașterea și acceptarea reciprocă, de exemplu în domeniile definirii politicii de securitate, identificării și autentificării pacienților și cadrelor medicale etc. Standardele europene și internaționale existente (de exemplu, ISO și CEN) privind asistența medicală și securitatea, precum și conceptele tehnice larg acceptate și cu temei juridic (de exemplu, semnăturile electronice (13) ar putea fi utilizate ca foaie de parcurs într-o astfel de încercare.

31.

AEPD susține ideea armonizării privind securitatea în domeniul asistenței medicale la nivel european și este de opinie că Comisia ar trebui să demareze inițiative relevante, deja în cadrul propunerii actuale (a se vedea secțiunea III de mai jos).

32.

Respectarea vieții private și securitatea ar trebui să facă parte din concepția și punerea în aplicare a oricărui sistem de sănătate, în special în aplicațiile e-sănătate, astfel cum este menționat în cadrul propunerii („respectarea vieții private prin concepție”). Această cerință fermă a fost deja susținută în alte documente strategice relevante (14), atât generale, cât și specifice asistenței medicale (15).

33.

În contextul interoperabilității e-sănătate discutate în cadrul propunerii, noțiunea de „respectarea vieții private prin concepție” ar trebui subliniată încă o dată drept bază pentru toate evoluțiile preconizate. Această noțiune se aplică la câteva niveluri diferite: organizațional, semantic, tehnic.

34.

AEPD consideră că domeniul prescripțiilor electronice ar putea servi drept bază pentru integrarea vieții private și a cerințelor de securitate chiar în stadiul inițial al evoluției (a se vedea secțiunea III de mai jos).

35.

Un aspect suplimentar care ar putea fi examinat în cadrul schimbului transfrontalier de date privind sănătatea este utilizarea secundară a datelor privind sănătatea și în special utilizarea datelor în scopuri statistice, astfel cum a fost deja stabilit în propunerea actuală.

36.

Astfel cum s-a menționat anterior la punctul 18, articolul 8 alineatul (4) din Directiva 95/46/CE prevede posibilitatea utilizării secundare a datelor privind sănătatea. Cu toate acestea, această prelucrare ulterioară ar trebui realizată numai din motive de „interes public semnificativ” și sub rezerva unor „garanții corespunzătoare” prevăzute de dreptul intern sau ca urmare a deciziei autorității de supraveghere (16). De asemenea, în cazul prelucrării datelor statistice, astfel cum este menționat de asemenea în avizul AEPD asupra propunerii de regulament privind statisticile comunitare referitoare la sănătatea publică și la sănătatea și securitatea în muncă (17), un risc suplimentar rezultă din înțelesul diferit pe care noțiunile de „confidențialitate” și „protecția datelor” l-ar putea avea în aplicarea legislației privind protecția datelor, pe de o parte, și a legislației privind statisticile, pe de altă parte.

37.

AEPD dorește să sublinieze elementele de mai sus în contextul propunerii actuale. Ar trebui incluse trimiteri mai explicite la cerințele de protecție a datelor privind utilizarea ulterioară a datelor privind sănătatea (a se vedea secțiunea III de mai jos).

38.

Propunerea include o serie de trimiteri la protecția datelor și viața privată în diferite părți ale documentului, și anume:

39.

AEPD salută faptul că protecția datelor a fost luată în considerare la elaborarea propunerii și că se încearcă să se demonstreze necesitatea globală a respectării vieții private în contextul asistenței medicale transfrontaliere. Cu toate acestea, dispozițiile existente ale propunerii privind protecția datelor fie sunt prea generale, fie se referă la responsabilitățile statelor membre în mod selectiv și dispersat:

De asemenea, astfel cum a fost deja menționat în introducerea prezentului aviz, nu există nicio legătură și/sau trimitere la aspecte privind viața privată abordate în alte instrumente juridice ale CE (cu forță juridică obligatorie sau nu) în domeniul asistenței medicale, în special cu privire la utilizarea noilor aplicații TIC (precum telemedicina sau sistemele de evidență electronică a datelor medicale).

40.

Astfel, deși respectarea vieții private este în general precizată drept cerință a asistenței medicale transfrontaliere, lipsește încă o imagine globală, atât în ceea ce privește obligațiile statelor membre, cât și în ceea ce privește particularitățile introduse prin caracterul transfrontalier al furnizării serviciilor de asistență medicală (în contrast cu furnizarea serviciilor naționale de asistență medicală). Mai explicit:

41.

În plus, articolul 18, care se referă la culegerea datelor în scopuri statistice și de supraveghere, ridică anumite probleme. Alineatul (1) se referă la „date statistice și alte date suplimentare”; de asemenea, acesta se referă, folosind pluralul, la „scopuri de supraveghere” și, prin urmare, enumără domeniile care fac obiectul acestor scopuri de supraveghere, și anume furnizarea de asistență medicală transfrontalieră, serviciile acordate, furnizorii acestora și pacienții, costurile și rezultatele. În acest context, deja destul de neclar, se face o trimitere generală la legislația de protecție a datelor, însă nu se stabilesc cerințe specifice legate de utilizarea ulterioară a datelor privind sănătatea, astfel cum este prevăzut la articolul 8 alineatul (4) din Directiva 95/46/CE. De asemenea, alineatul (2) cuprinde obligația necondiționată de a transfera Comisiei cantitatea semnificativă de date cel puțin o dată pe an. Întrucât nu se face nicio trimitere explicită la o evaluare a necesității acestui transfer, se pare că legislatorul comunitar însuși a stabilit deja necesitatea acestor transferuri către Comisie.

42.

Pentru a aborda în mod corespunzător elementele menționate anterior, AEPD oferă o serie de recomandări, sub forma a cinci etape principale pentru modificări, astfel cum este descris mai jos.

43.

Articolul 4 definește termenii principali utilizați în cadrul propunerii. AEPD recomandă ferm introducerea în acest articol a unei definiții a datelor privind sănătatea. Ar trebui aplicată o interpretare mai largă a datelor privind sănătatea, precum cea descrisă în secțiunea II a prezentului aviz (punctele 14 și 15).

44.

AEPD recomandă, de asemenea, cu fermitate introducerea unui articol explicit privind protecția datelor în cadrul propunerii, care ar putea stabili dimensiunea globală a vieții private în mod clar și ușor de înțeles. Acest articol ar trebui (a) să descrie responsabilitățile statului membru de afiliere și, respectiv, de tratament, inclusiv – printre altele – necesitatea securității prelucrării, și (b) să identifice principalele domenii pentru viitoare evoluții, și anume armonizarea securității și integrarea vieții private în e-sănătate. Pentru aceste aspecte, pot fi formulate dispoziții specifice (în cadrul articolului propus), astfel cum este prezentat în etapele 3 și 4 de mai jos.

45.

În urma modificării etapei 2, AEPD recomandă Comisiei să adopte un mecanism pentru definirea unui nivel de securitate general acceptabil al datelor privind sănătatea la nivel național, ținând seama de standardele tehnice existente în acest domeniu. Aceasta ar trebui să se reflecte în cadrul propunerii. O posibilă punere în aplicare ar putea fi realizată prin utilizarea procedurii comitetului, astfel cum este deja descris la articolul 19 și se aplică pentru alte părți ale propunerii. De asemenea, ar putea fi utilizate instrumente suplimentare pentru elaborarea unor orientări relevante, care să includă toate părțile interesate, precum Grupul de lucru al articolului 29 și AEPD.

46.

Articolul 14 privind recunoașterea prescripțiilor eliberate în alt stat membru prevede elaborarea unui model comunitar de prescripție, care să sprijine interoperabilitatea e-prescripțiilor. Această măsură va fi adoptată prin procedura comitetului, astfel cum este definit la articolul 19 alineatul (2) din propunere.

47.

AEPD recomandă ca modelul propus de e-prescripție să incorporeze viața privată și securitatea, chiar în definiția semantică de bază a acestui model. Aceasta ar trebui menționată în mod explicit la articolul 14 alineatul (2) litera (a). Din nou, implicarea tuturor părților interesate relevante este de o importanță deosebită. În acest sens, AEPD dorește să fie informată cu privire la și implicată în viitoare măsuri adoptate privind această chestiune prin procedura propusă a comitetului.

48.

Pentru a preveni orice neînțelegere, AEPD încurajează clarificarea noțiunii de „alte date suplimentare” de la articolul 18 alineatul (1). De asemenea, articolul ar trebui modificat astfel încât să facă trimitere în mod mai explicit la cerințele de utilizare ulterioară a datelor privind sănătatea, astfel cum este prevăzut la articolul 8 alineatul (4) din Directiva 95/46/CE. În plus, obligația de a transmite Comisiei toate datele, cuprinsă la alineatul (2), ar trebui să facă obiectul unei evaluări a necesității unor astfel de transferuri în scopuri legitime care sunt precizate în mod corespunzător în prealabil.

49.

AEPD ar dori să își exprime sprijinul față de inițiativele de îmbunătățire a condițiilor de asistență medicală transfrontalieră. Totuși, aceasta își exprimă preocuparea privind faptul că inițiativele CE legate de asistența medicală nu sunt totdeauna bine coordonate în privința utilizării TIC, a vieții private și a securității, constituind astfel un impediment în adoptarea unei abordări universale privind protecția datelor pentru asistența medicală.

50.

AEPD salută faptul că se face trimitere la viața privată în cadrul propunerii actuale. Cu toate acestea, sunt necesare o serie de modificări, astfel cum este explicat în secțiunea III a prezentului aviz, pentru a oferi cerințe clare, atât pentru staul membru de tratament și, respectiv, de afiliere, cât și pentru a aborda în mod corespunzător dimensiunea de protecție a datelor din cadrul asistenței medicale transfrontaliere:

6.6.2009   

RO

Jurnalul Oficial al Uniunii Europene

C 128/28

1.

La 13 noiembrie 2007, Comisia Europeană a adoptat o propunere de modificare, printre altele, a Directivei asupra confidențialității și comunicațiilor electronice, de obicei denumită Directiva privind confidențialitatea în mediul electronic (1) (denumită în continuare „propunerea” sau „propunerea Comisiei”). La 10 aprilie 2008, Autoritatea Europeană pentru Protecția Datelor (AEPD) a adoptat un aviz privind propunerea Comisiei prin care prevede recomandări pentru îmbunătățirea propunerii în încercarea de a sprijini asigurarea faptului că modificările propuse au ca rezultat protejarea cât mai bună a confidențialității și a datelor cu caracter personal ale persoanelor („primul aviz al AEPD”) (2).

2.

AEPD a salutat propunerea Comisiei de creare a unui sistem de notificare obligatorie privind încălcarea securității care să impună societăților notificarea persoanelor în cazul în care datele cu caracter personal ale acestora au fost compromise. Mai mult, aceasta și-a manifestat aprecierea față de noua dispoziție care dă posibilitatea persoanelor juridice (de exemplu, asociațiile de consumatori și furnizorii de servicii internet) să îi acționeze în instanță pe autorii de mesaje electronice nesolicitate („spammer”) și să completeze în continuare instrumentele existente de combatere a mesajelor electronice nesolicitate („spam”).

3.

În cursul discuțiilor parlamentare care au precedat prima lectură a Parlamentului European, AEPD a continuat să ofere consiliere prin formularea unor observații privind anumite probleme care reies din rapoartele elaborate de comitetele Parlamentului European responsabile cu revizuirea Directivei privind serviciul universal (3) și a Directivei privind confidențialitatea în mediul electronic („Observații”) (4). Observațiile au abordat, în principal, aspecte legate de prelucrarea datelor cu caracter personal și de protejarea drepturilor de proprietate intelectuală.

4.

La 24 septembrie 2008, Parlamentul European („PE”) a adoptat o rezoluție legislativă privind Directiva privind confidențialitatea în mediul electronic („prima lectură”) (5). AEPD a avut o opinie favorabilă cu privire la amendamentele PE care au fost adoptate ulterior avizului și observațiilor AEPD menționate anterior. Printre modificările cele mai importante s-au numărat includerea furnizorilor de servicii ale societății informaționale (și anume societățile care funcționează pe internet) în domeniul de aplicare a obligației de notificare a încălcărilor securității. AEPD a salutat, de asemenea, amendamentul care dă posibilitatea persoanelor fizice și juridice să acționeze în justiție pentru încălcarea oricărei dispoziții a Directivei privind confidențialitatea în mediul electronic (nu numai pentru violarea dispozițiilor privind „spam”-ul, cum propunea inițial propunerea Comisiei). Prima lectură a Parlamentului a fost urmată de adoptarea de către Comisie a unei propuneri modificate privind Directiva privind confidențialitatea în mediul electronic (denumită în continuare „propunerea modificată”) (6).

5.

La 27 noiembrie 2008, Consiliul a ajuns la un acord politic cu privire la revizuirea normelor privind pachetul telecomunicații, inclusiv Directiva privind confidențialitatea în mediul electronic, care va deveni poziția comună a Consiliului („poziția comună”) (7). Poziția comună va fi comunicată PE în temeiul articolului 251 alineatul (2) din Tratatul de instituire a Comunității Europene, care este posibil să atragă după sine propuneri de amendamente ale PE.

6.

Consiliul a modificat elemente esențiale ale textului propunerii și nu a acceptat multe dintre amendamentele adoptate de PE. Deși poziția comună conține cu siguranță elemente pozitive, în general, AEPD își exprimă preocuparea față de conținutul acesteia, în special deoarece poziția comună nu include unele dintre amendamentele pozitive propuse de PE, de propunerea modificată sau de avizele AEPD și ale autorităților europene de protecție a datelor emise prin intermediul Grupului de lucru „articolul 29” (8).

7.

Pe de altă parte, într-un număr semnificativ de cazuri, unele dispoziții prevăzute de propunerea modificată și de amendamentele PE, care oferă cetățenilor garanții de protecție, sunt eliminate sau diluate în mod substanțial. Ca rezultat, nivelul de protecție acordat persoanelor prin poziția comună este diminuat în mod substanțial. Din aceste motive, AEPD emite acum un al doilea aviz în speranța că, în timp ce Directiva privind confidențialitatea în mediul electronic își continuă parcursul în cadrul procesului legislativ, vor fi adoptate noi amendamente care vor restabili garanțiile de protecție a datelor.

8.

Prezentul al doilea aviz se concentrează asupra unor preocupări esențiale și nu repetă nici toate argumentele din cadrul primului aviz al AEPD, nici observațiile, care rămân în întregime valabile. Prezentul aviz discută, în special, următoarele aspecte:

9.

În abordarea aspectelor sus-menționate, prezentul aviz analizează poziția comună a Consiliului și o compară cu prima lectură a PE și cu propunerea modificată a Consiliului. Avizul include recomandări menite să simplifice dispozițiile Directivei privind confidențialitatea în mediul electronic și să se asigure că directiva continuă să protejeze în mod adecvat confidențialitatea și datele cu caracter personal ale persoanelor.

10.

AEPD sprijină adoptarea unui sistem de notificare a încălcărilor securității potrivit căruia autoritățile și persoanele vor fi notificate atunci când datele cu caracter personal ale acestora au fost compromise (9). Notificările încălcărilor securității pot ajuta persoanele să ia măsurile necesare pentru diminuarea potențialelor prejudicii rezultate în urma compromiterii datelor. În plus, obligația de a trimite notificări care să informeze cu privire la încălcările securității vor încuraja societățile să-și îmbunătățească securitatea datelor și să-și sporească responsabilitatea cu privire la datele cu caracter personal de care răspund.

11.

Propunerea modificată a Comisiei, prima lectură a Parlamentului European și poziția comună a Consiliului reprezintă trei abordări diferite ale notificării încălcărilor securității aflate actualmente în discuție. Fiecare dintre cele trei abordări are aspecte pozitive. Cu toate acestea, AEPD crede că rămâne loc pentru îmbunătățiri în fiecare dintre abordări și recomandă să se țină seama de recomandările prezentate mai jos la stabilirea etapelor finale către adoptarea unui sistem de notificare a încălcărilor securității.

12.

La analizarea celor trei sisteme de notificare a încălcărilor securității, trebuie analizate cinci aspecte de importanță majoră: (i) definiția unei încălcări a securității; (ii) entitățile care intră sub incidența obligației de notificare („entități reglementate”); (iii) standardul care conduce la obligația de notificare; (iv) identificarea entității responsabile să stabilească dacă o încălcare a securității îndeplinește sau nu standardul, și (v) destinatarii notificării.

13.

Parlamentul European, Comisia și Consiliul au adoptat fiecare diferite abordări pentru notificarea încălcărilor securității. Prima lectură a PE a modificat sistemul inițial de notificare a încălcărilor securității prezentat de propunerea Comisiei (10). Potrivit abordării PE, obligația de notificare se aplică nu numai furnizorilor de servicii de comunicații electronice accesibile publicului, ci și furnizorilor de servicii ai societății informaționale („FSCEP” și „FSSI”). În plus, potrivit acestei abordări, toate violările datelor cu caracter personal vor trebui să fie comunicate autorității naționale de reglementare sau autorităților competente ( denumite împreună „autoritățile”). Dacă autoritățile ar determina că violarea este gravă, acestea ar impune FSCEP și FSSI să notifice fără întârziere persoana. În cazul unor violări care reprezintă un pericol iminent și direct, FSCEP și FSSI ar notifica persoanele înainte de notificarea autorităților și nu ar aștepta o hotărâre de reglementare. O derogare de la obligația de notificare a consumatorilor are ca obiect entitățile care pot demonstra autorităților că „s-au aplicat măsurile adecvate de protecție tehnică” care fac datele ininteligibile pentru orice persoană care nu are acces autorizat la acestea.

14.

Potrivit abordării Consiliului, notificarea trebuie, de asemenea, să fie asigurată atât abonaților, cât și autorităților, dar numai în cazurile în care entitățile reglementate consideră că violarea reprezintă un risc grav la adresa confidențialității abonatului (și anume furtul sau frauda de identitate, vătămări fizice, umilința gravă sau compromiterea reputației).

15.

Propunerea modificată a Comisiei menține obligația PE de a notifica autoritățile în cazul tuturor violărilor. Cu toate acestea, spre deosebire de abordarea PE, propunerea modificată include o derogare de la cerința de notificare a persoanele vizate în cazul în care furnizorul de servicii de comunicații electronice (FSCE) demonstrează autorității competente că (i) este „destul de puțin probabil” ca violarea datelor cu caracter personal să conducă la prejudicii (de exemplu pagube de ordin economic, prejudicii sociale sau furtul de identitate) sau (ii) datelor compromise li s-au aplicat „măsuri adecvate de protecție tehnologică”. Astfel, abordarea Comisiei include o analiză bazată pe prejudicii în conexiune cu notificările persoanelor.

16.

Este important de remarcat că, potrivit abordărilor PE (11) și a Comisiei, autoritățile sunt cele care, în ultimă instanță, sunt însărcinate să stabilească dacă violarea este gravă sau dacă este destul de probabil ca aceasta să aducă prejudicii. Din contră, potrivit abordării Consiliului, decizia rămâne la latitudinea autorităților vizate.

17.

Atât abordarea Consiliului, cât și a Comisiei, se aplică numai FSCEP, nu și FSSI, ca în cazul abordării PE.

18.

AEPD își exprimă satisfacția cu privire la faptul că cele trei propuneri legislative conțin aceeași definiție a notificării încălcărilor securității, care este descrisă ca „orice încălcare a securității având ca rezultat distrugerea accidentală sau ilegală, pierderea, alterarea, divulgarea neautorizată sau accesul neautorizat la datele personale transmise, stocate sau prelucrate în alt mod […]” (12).

19.

Astfel cum se descrie în continuare, această definiție este binevenită deoarece aceasta este suficient de amplă încât să cuprindă majoritatea situațiilor relevante în care notificarea încălcărilor securității ar putea fi justificată.

20.

În primul rând, această definiție include situațiile în care o parte terță a avut acces neautorizat la date cu caracter personal, cum ar fi hacking-ul unui server care conține date cu caracter personal și extragerea de astfel de informații.

21.

În al doilea rând, această definiție ar include, de asemenea, situațiile în care s-a înregistrat o pierdere sau divulgarea de date cu caracter personal, iar accesul neautorizat nu a fost încă dovedit. Aceasta ar include situațiile în care este posibilă pierderea unor date cu caracter personal (de exemplu CD-ROM-uri, memorii USB sau alte tipuri de memorii portabile), sau punerea la dispoziția publicului a unor astfel de date de către utilizatorii obișnuiți (fișiere de date cu caracter personal ale angajaților puse din neatenție sau temporar la dispoziția publicului prin intermediul internetului). Deoarece deseori nu vor exista dovezi care să demonstreze că astfel de date pot sau nu pot, la una moment dat, fi accesate sau utilizate de părți terțe neautorizate, pare adecvată includerea acestor situații în domeniul de aplicare al definiției. Prin urmare, AEPD recomandă menținerea acestei definiții. AEDP recomandă, de asemenea, includerea definiției încălcării securității în articolul 2 din Directiva privind confidențialitatea în mediul electronic, deoarece aceasta ar fi mai compatibilă cu structura generală a directivei și ar oferi mai multă claritate.

22.

Potrivit abordării PE, obligația de notificare se aplică atât FSCEP, cât și FSSI. Pe de altă parte, în cadrul sistemelor Consiliului și Comisiei, numai FSCEP cum ar fi companiile de telecomunicații și furnizorii de acces la internet vor avea obligația să notifice persoanele în cazul unor încălcări ale securității care au ca rezultat compromiterea unor date cu caracter personal. Alte sectoare de activitate, de exemplu băncile online, comercianții cu amănuntul online, furnizorii de servicii medicale online și alții nu sunt supuși acestei obligații. Din motivele prezentate mai jos, AEDP consideră că din punctul de vederea al unei politici publice este critică asigurarea faptului că serviciile societății informaționale care includ afaceri online, bănci online, furnizori de servicii medicale online etc. intră, de asemenea, sub incidența obligației de notificare.

23.

În primul rând, AEPD constată că, deși companiile de telecomunicații sunt, desigur, ținta încălcărilor securității care justifică obligația notificării, acest lucru este valabil și pentru alte tipuri de societăți/furnizori. Comercianții cu amănuntul online, băncile online, farmaciile online sunt la fel de expuși riscului de a suferi încălcări ale securității ca și companiile de telecomunicații, dacă nu chiar în măsură și mai mare. Prin urmare, evaluarea riscurilor nu înclină balanța în favoarea limitării domeniului de aplicare al cerinței de notificare a încălcărilor securității numai la FSCEP. Necesitatea unei abordări mai largi este ilustrată de experiența altor țări. De exemplu, în Statele Unite ale Americii aproape toate statele (mai mult de 40 în această situație) au adoptat legi privind notificarea încălcărilor securității care au un domeniu de aplicare mai larg, cuprinzând nu numai FSCEP, ci și orice entitate care deține datele cu caracter personal solicitate.

24.

În al doilea rând, în timp ce orice violare a tipurilor de date cu caracter personal prelucrate în mod regulat de către FSCEP poate avea, în mod clar, impact asupra confidențialității persoanelor, același lucru este valabil, dacă nu chiar într-o măsură și mai mare, și în cazul tipurilor de informații personale procesate de FSSI. Băncile și alte instituții financiare pot fi, desigur, în posesia unor informații cu grad înalt de confidențialitate (de exemplu date privind conturile bancare), a căror divulgare poate servi în scopuri de furt al identității. De asemenea, divulgarea unor informații foarte sensibile cu privire la sănătate de către serviciile medicale online poate fi deosebit de dăunătoare persoanelor. Prin urmare, tipurile de date cu caracter personal care pot fi compromise necesită, de asemenea, o aplicare mai largă a notificării încălcărilor securității care ar include cel puțin FSSI.

25.

S-au semnalat unele probleme juridice împotriva extinderii domeniului de aplicare al prezentului articol, și anume cu privire la entitățile care intră sub incidența acestei obligații. În mod deosebit, faptul că domeniul de aplicare general al Directivei privind confidențialitatea în mediul electronic vizează numai FSCEP a fost semnalat ca un obstacol în calea aplicării obligației notificării și furnizorilor de servicii ale societăți informaționale.

26.

În acest context, AEPD ar dori să reamintească următoarele: (i) Nu există niciun obstacol juridic care să împiedice includerea altor actori în afara FSCEP în domeniul de aplicare al anumitor dispoziții din directivă. Legiuitorul comunitar dispune de libertate totală în această privință. (ii) Există și alte precedente în Directiva privind confidențialitatea în mediul electronic existentă privind aplicarea în cazul altor entități în afara FSCEP.

27.

De exemplu, articolul 13 se aplică nu numai FSCEP, ci și oricărei societăți care trimite informații nesolicitate, necesitând consimțământ prealabil pentru aceasta. În plus, articolul 5 alineatul (3) din Directiva privind confidențialitatea în mediul electronic, care interzice, printre altele, stocarea informațiilor cum ar fi cookies în echipamentul terminal al utilizatorilor, are caracter obligatoriu nu numai pentru FSCEP, ci și pentru oricine încearcă să stocheze informații sau să obțină acces la informații stocate în echipamentul terminal al persoanelor. În plus, în procesul legislativ actual, Comisia a propus extinderea aplicării articolului 5 alineatul (3) în cazul în care tehnologii similare (cookies/spyware) sunt distribuite nu numai prin intermediul sistemelor de comunicații electronice, ci și prin orice altă metodă posibilă (distribuire prin descărcări de pe internet sau prin intermediul mediilor externe de stocare a datelor, cum ar CD-ROM-urile, cheile USB, flash drive-urile etc.). Toate aceste elemente sunt binevenite și ar trebui nu numai să fie păstrate, ci și să creeze precedente relevante pentru prezenta discuție cu privire la domeniul de aplicare.

28.

În plus, în cadrul procesului legislativ actual, Comisia, PE și se poate spune că și Consiliul au propus un nouă versiune a articolului 6 alineatul 6 litera (a), discutată mai jos, care se aplică altor entități în afara FSCEP.

29.

În cele din urmă, ținând seama de elementele pozitive cuprinzătoare derivate din obligația notificării încălcărilor de securitate, este foarte probabil ca cetățenii să se aștepte la aceste beneficii nu numai atunci când datele cu caracter personal au fost compromise de către FSCEP, ci și în cazul FSSI. Este posibil ca așteptările cetățenilor să nu fie îndeplinite dacă, de exemplu, aceștia nu sunt notificați în cazul în care o bancă online a pierdut informațiile acestora privind conturile bancare.

30.

Pe scurt, AEPD este convinsă că beneficiile depline ale notificării încălcărilor securității vor fi mai bine obținute numai dacă domeniul de aplicare al entităților reglementate va include atât FSCEP, cât și FSSI.

31.

În ceea ce privește elementul declanșator al notificării, astfel cum se explică în continuare, AEDP este de părere că standardul propunerii modificate, care include criteriul „este destul de probabil să aducă prejudicii”, reprezintă varianta cea mai adecvată dintre cele trei standarde propuse. Cu toate acestea, este important să se asigure faptul că „prejudicii” este un termen suficient de amplu încât să cuprindă toate situațiile de efecte negative asupra confidențialității sau asupra altor interese legitime ale persoanelor. În caz contrar, ar fi de preferat să se creeze un nou standard potrivit căruia notificarea să fie obligatorie „dacă este destul de probabil ca încălcarea să aibă efecte nefavorabile asupra persoanelor”.

32.

Astfel cum s-a subliniat în secțiunea precedentă, condițiile în care notificarea persoanelor trebuie efectuată (denumite „elementul declanșator” sau „standardul”) sunt diferite în abordările PE, a Comisiei și a Consiliului. În mod evident, volumul notificărilor pe care le vor primi persoanele va depinde, în mare parte, de elementul declanșator sau de standardul stabilit pentru notificare.

33.

Potrivit sistemelor Consiliului și Comisiei, notificarea trebuie efectuată dacă încălcarea reprezintă o „încălcare gravă la adresa confidențialității abonatului” (Consiliul) și dacă „este destul de probabil ca încălcarea să aibă ca rezultat prejudicii aduse intereselor consumatorilor” (Comisia). Potrivit sistemului Parlamentului European, elementul declanșator al notificării persoanelor este „gravitatea încălcării” (adică notificarea persoanelor este necesară dacă încălcarea este considerată „gravă”). Notificarea nu este necesară dacă acest prag nu a fost atins (13).

34.

AEPD înțelege că, dacă au fost compromise date cu caracter personal, se poate susține că persoanele cărora le aparțin datele au dreptul să afle, în orice situație, acest lucru. Cu toate acestea, ținând seama de alte interese și considerații, este corect să se analizeze atent dacă aceasta este o soluție adecvată.

35.

S-a sugerat că obligația de a trimite notificări ori de câte ori au fost compromise date cu caracter personal, cu alte cuvinte fără nicio limitare, poate conduce la notificare exagerată și la o „oboseală a notificării”, care ar avea ca rezultat desensibilizarea. Astfel cum se descrie în continuare, AEPD este sensibilă la acest argument; cu toate acestea, AEPD dorește să-și sublinieze preocuparea față de notificarea exagerată ca posibil indicator al unui eșec larg răspândit al practicilor din domeniul securității informațiilor.

36.

Așa cum s-a menționat anterior, AEPD a remarcat potențialele consecințe negative ale notificării exagerate și ar dori să contribuie la asigurarea faptului că adoptarea cadrului legal pentru notificarea încălcărilor securității nu produce acest rezultat. Dacă persoanele ar primi notificări frecvente ale încălcării, chiar și în situații în care nu există efecte nefavorabile, prejudicii sau pericol, este posibil să se ajungă la subminarea unuia din scopurile-cheie ale notificării, deoarece, în mod ironic, persoanele pot să ignore notificările în acele situații în care ar putea fi necesar să ia măsuri să se protejeze. Așadar este important să se găsească echilibrul potrivit în efectuarea notificărilor deoarece, dacă persoanele nu reacționează la notificările primite, eficacitatea sistemelor de notificare va fi semnificativ redusă.

37.

Pentru a adopta un standard adecvat care să nu conducă la notificare exagerată, trebuie să se țină seama, în afara elementului declanșator al notificării, și de alți factori, în special de definiția încălcărilor securității și de informația care face obiectul obligației de notificare. În această privință, AEPD constată că potrivit celor trei abordări propuse, volumul notificărilor poate fi ridicat dacă se ține seama de definiția extinsă a încălcărilor securității discutată anterior. Această preocupare față de notificarea exagerată evidențiată în continuare de faptul că definiția încălcărilor securității are ca obiect toate tipurile de date cu caracter personal. Deși AEPD consideră că aceasta este abordarea corectă (fără a limita tipul de date cu caracter personal care fac obiectul notificării), spre deosebire de alte abordări, cum ar fi cea a legislației USA, în care obligațiile se concentrează asupra sensibilității informațiilor, notificarea exagerată constituie, totuși, un factor de care să se țină seama.

38.

În lumina celor sus-menționate, și luând în considerare diferitele variabile luate în ansamblu, AEPD consideră adecvat să includă un prag sau un standard sub nivelul căruia notificarea să nu fie obligatorie.

39.

Ambele standarde propuse, și anume faptul că încălcarea reprezintă un „risc grav la adresa confidențialității” sau că este „destul de probabil să aducă prejudicii” par să includă, de exemplu, prejudicii sociale sau în privința reputației și pagube economice. De exemplu, aceste standarde ar aborda situațiile de expunere la furtul de identitate prin divulgarea de identificatori care nu sunt puși la dispoziția publicului cum ar fi numerele pașapoartelor, precum și dezvăluirea de informații cu privire la viața personală a persoanelor. AEPD salută această abordare. Aceasta este convinsă că beneficiile notificării încălcărilor securității nu ar fi pe deplin obținute dacă sistemul de notificare ar avea ca obiect numai încălcările care au ca rezultat pagube economice.

40.

Dintre cele două standarde propuse, AEPD preferă standardul Comisiei, „este destul de probabil să aducă prejudicii”, deoarece acesta ar oferi un nivel de protecție a persoanelor mai adecvat. Este de departe mult mai probabil ca încălcările să se califice pentru notificare dacă este „destul de probabil ca acestea să aducă prejudicii” decât dacă reprezintă un „risc grav” la adresa confidențialității persoanelor. Astfel, reducerea reglementării numai la încălcările care prezintă un risc grav la adresa confidențialității persoanelor ar limita considerabil numărul de încălcări care trebuie notificate. Reducerea reglementării numai la astfel de încălcări ar da o libertate prea mare FSCEP și FSSI în stabilirea necesității unei notificări, în măsura în care ar fi mult ușor pentru aceștia să justifice concluzia că nu există niciun „risc grav” de prejudiciu, decât că este „destul de probabil să nu se aducă” niciun prejudiciu. În timp ce notificările exagerate trebuie, desigur, evitate, pentru a avea echilibru trebuie acordat beneficiul îndoielii protejării intereselor de confidențialitate ale persoanelor, iar persoanele ar trebui să fie protejate cel puțin în situația în care este destul de probabil ca o încălcare să le aducă prejudicii. Mai mult, expresia „destul de probabil” va fi mai eficace în practică, atât în cazul entităților reglementate, cât și în cazul autorităților competente, deoarece impune o evaluare obiectivă a situației și a contextului relevant al acesteia.

41.

În plus, violările datelor cu caracter personal pot aduce prejudicii care sunt dificil de cuantificat și care pot fi de natură diferită. Într-adevăr, dezvăluirea aceluiași tip de date, în funcție de circumstanțele individuale, pot provoca prejudicii semnificative unei persoane și în mai mică măsură alteia. Un standard care ar impune ca prejudiciul să fie de natură materială, semnificativ sau grav, nu ar fi adecvat. De exemplu, abordarea Consiliului, care impune ca încălcarea să aducă grav atingere confidențialității cuiva, ar asigura protecție inadecvată persoanelor în măsura în care un astfel de standard impune ca efectul asupra confidențialității să fie „grav”. Aceasta lasă loc, de asemenea, unei evaluări subiective.

42.

Cu toate că, astfel cum s-a descris anterior, „destul de probabil să aducă prejudicii” pare să fie un standard adecvat pentru notificarea unei încălcării a securității, AEDP rămâne preocupată de faptul că acesta ar putea să nu includă toate situațiile în care notificarea persoanelor este justificată, de exemplu toate situațiile în care efecte negative asupra confidențialității sau asupra altor drepturi legitime ale persoanelor sunt destul de probabile. Din acest motiv, ar putea fi luat în considerare un standard care să impună notificare „dacă este destul de probabil ca încălcarea să aibă efecte nefavorabile”.

43.

Acest standard alternativ are avantajul suplimentar al coerenței cu legislația UE privind protecția datelor. Într-adevăr, Directiva privind protecția datelor se referă adesea la efectele nefavorabile asupra drepturilor și libertăților persoanelor vizate. De exemplu, articolul 18 și considerentul 49, care fac referire la obligația de a înregistra operațiunile de prelucrare a datelor la autoritățile de protecție a datelor autorizează statele membre să facă derogare de la această obligație în cazurile în care prelucrarea „nu poate aduce atingere drepturilor și libertăților persoanelor vizate”. O formulare similară este utilizată la articolul 16 alineatul (6) din poziția comună pentru a da posibilitatea peroanelor juridice să acționeze în justiție împotriva spammer-ilor.

44.

Mai mult, ținând seama de cele sus-menționate, s-ar putea preconiza, de asemenea, ca entitățile reglementate și, în special, autoritățile responsabile cu aplicarea legislației privind protecția datelor să cunoască mai bine standardul menționat anterior și astfel să-și ușureze evaluarea prin care stabilesc dacă o anumită încălcare îndeplinește sau nu standardul cerut.

45.

Potrivit abordării PE (cu excepția cazurilor de pericol iminent) și propunerii modificate a Comisiei, va rămâne la latitudinea autorităților statelor membre să determine dacă o încălcare a securității îndeplinește sau nu standardul care declanșează obligația de notificare a persoanelor vizate.

46.

AEPD consideră că implicarea unei autorități joacă un rol important în a determina dacă standardul este îndeplinit în măsura în care, acesta reprezintă, într-o oarecare măsură, o garanție pentru aplicarea corectă a legii. Un astfel de sistem poate evita situația în care societățile evaluează încălcarea ca nefiind gravă/serioasă și astfel evită notificarea deși, de fapt, notificarea este necesară.

47.

Pe de altă parte, AEPD își manifestă preocuparea că un regim prin care autorităților li se impune să efectueze evaluarea ar putea fi imposibil în practică sau greu de aplicat, sau se poate dovedi contraproductiv în practică. Astfel s-ar putea chiar diminua garanțiile de protecție a datelor pentru persoane.

48.

Într-adevăr, potrivit unei astfel de abordări, este posibil ca autoritățile de protecție a datelor să fie inundate cu notificări de încălcări ale securității și să fie confruntate cu dificultăți serioase în efectuarea evaluărilor necesare. Este important să reamintim că pentru a efectua evaluarea dacă o încălcare îndeplinește standardul, autorităților vor trebui să li se asigure suficiente informații din interior, deseori de natură tehnică complexă, pe care vor trebui să le prelucreze foarte repede. Ținând seama de dificultatea evaluării și de faptul că unele autorități au resurse limitate, AEPD își manifestă teama că va fi dificil pentru autorități să respecte această obligație și că aceasta va prelua resurse de la alte priorități importante. În plus, un astfel de sistem ar putea exercita o presiune nejustificată asupra autorităților; într-adevăr, dacă autoritățile au decis că încălcarea nu este gravă și, cu toate acestea, persoanele suferă prejudicii, autoritățile ar putea fi trase la răspundere.

49.

Dificultatea sus-menționată este subliniată mai mult dacă se ține seama că timpul este un factor-cheie în reducerea riscurilor derivate din încălcări ale securității. Dacă autoritățile nu reușesc să efectueze evaluarea în termene foarte scurte, răstimpul suplimentar necesar autorităților în efectuarea evaluărilor poate spori prejudiciile suferite de persoanele vizate. Prin urmare, această măsură suplimentară, menită să asigure o protecție sporită persoanelor, poate, în mod ironic, să aibă ca rezultat asigurarea unei protecții mai reduse decât sistemele bazate pe notificarea directă.

50.

Din motivele sus-menționate, AEPD consideră că ar fi preferabilă instituirea unui sistem prin care ar trebui să rămână la latitudinea entităților vizate să facă evaluarea dacă o încălcare îndeplinește sau nu standardul, astfel cum prevede abordarea Consiliului.

51.

Cu toate acestea, pentru a evita riscurile de abuz, de exemplu refuzul entităților de a notifica în circumstanțe în care notificarea este în mod clar necesară, este deosebit de important să se includă anumite garanții de protecție a datelor prezentate în continuare.

52.

În primul rând, obligația care revine entităților reglementate de a stabili dacă trebuie să notifice trebuie să fie însoțită de o altă obligație prin care se impune autorităților notificarea obligatorie a tuturor încălcărilor care îndeplinesc standardul cerut. Entitățile vizate ar trebui, în acele cazuri, să fie obligate să informeze autoritățile cu privire la încălcare și la motivele evaluării privind notificarea, precum și la conținutul oricărei notificări efectuate.

53.

În al doilea rând, autorităților trebuie să li se dea un rol de supraveghere veritabil. În exercitarea acestui rol, autoritățile trebuie să aibă permisiunea, dar să nu fie obligate, să investigheze circumstanțele încălcării și să solicite orice măsuri de remediere pe care le consideră adecvate (14). Acesta ar trebui să includă nu numai notificarea persoanelor (în cazul în care acesta nu a fost deja efectuată), ci și competența de a impune obligația de a lua măsuri pentru prevenirea altor încălcări. Autorităților ar trebui să li se acorde competențe și resurse efective în această privință și trebuie să aibă marja de manevră necesară pentru a decide când să reacționeze la o notificare a unei încălcări a securității. Cu alte cuvinte, aceasta ar da autorităților posibilitatea să fie selective și să înceapă investigații cu privire la, de exemplu, încălcări de anvergură ale securității, care aduc prejudicii cu adevărat grave, verificând și asigurând respectarea cerințelor legii.

54.

Pentru a realiza cele sus-menționate, pe lângă competențele recunoscute în temeiul Directivei privind confidențialitatea în mediul electronic, cum ar fi articolul 15a alineatul (3), și al Directivei privind protecția datelor, AEPD recomandă inserarea următoarea formulări: „Dacă abonatul sau persoana vizată nu a fost deja notificată, autoritatea națională competentă, în urma analizării naturii încălcării, poate solicita FSCEP sau FSSI să efectueze notificarea”.

55.

În plus, AEPD recomandă PE și Consiliului să confirme obligația propusă de PE [amendamentul 122, articolul 4 alineatul (1) litera (a)] ca entitățile să efectueze o evaluare și o identificare a riscurilor privind sistemele lor și datele cu caracter personal pe care intenționează să le prelucreze. Pe baza acestei obligații, entitățile elaborează o definiție adaptată și precisă a măsurilor de securitate care vor fi aplicate în cazurile lor și care ar trebui să fie puse la dispoziția autorităților. Dacă se produce o încălcare a securității, această obligație va ajuta entitățile reglementate – și, în cele din urmă, și autoritățile în rolul lor de supraveghere – să determine dacă compromiterea informațiilor poate cauza efecte nefavorabile sau prejudicii la adresa persoanelor.

56.

În al treilea rând, obligația aplicabilă entităților reglementate de a determina dacă trebuie să notifice persoanele trebuie însoțită de obligația de a înregistra un parcurs de audit intern detaliat și cuprinzător care să descrie toate încălcările care au avut loc și toate notificările acestora, precum și orice măsuri întreprinse pentru evitarea încălcărilor viitoare. Acest parcurs de audit intern trebuie să fie pus la dispoziția autorităților pentru examinare și o posibilă investigație. Aceasta va permite autorităților să-și exercite rolul de supraveghere. Aceasta se va putea realiza prin adoptarea unei formulări de tipul următor: „FSCEP și FSSI țin și actualizează o evidență cuprinzătoare care să prezinte în detaliu toate încălcările care au avut loc, informațiile tehnice relevante conexe și măsurile de remediere adoptate. Evidența face, de asemenea, referire la toate notificările emise abonaților sau persoanelor vizate și autorităților naționale competente, inclusiv data și conținutul acestora. Evidența este prezentată autorității naționale competente la cererea acesteia.”

57.

Desigur, pentru a asigura coerență în implementarea acestui standard, precum și alte aspecte relevante ale cadrului încălcării securității, cum ar fi formatul și procedurile de notificare, ar fi adecvat ca Comisia să ia măsurile de implementare tehnică, în urma consultării cu AEPD, Grupul de lucru „articolul 29” și cu părțile interesate relevante.

58.

În ceea ce privește destinatarii notificării, AEPD preferă terminologia PE și a Comisiei în detrimentul celei a Consiliului. Într-adevăr, PE a înlocuit termenul „abonați” cu expresia „utilizatori”. Comisia utilizează „abonați” și „persoane vizate”. Atât limbajul PE, cât și al Comisiei ar include ca destinatari ai notificărilor nu numai abonații actuali, ci și foști abonați și părți terțe, cum ar fi utilizatorii care interacționează cu unele entități reglementate fără să se aboneze la acestea. AEPD salută această abordare și face apel către PE și Consiliu să o mențină.

59.

Cu toate acestea, AEPD constată un număr de inconsecvențe cu privire la terminologia din prima lectură a PE care ar trebui remediate. De exemplu, termenul „abonați” a fost înlocuit în majoritatea cazurilor, dar nu în toate, cu expresia „utilizatori”, iar în alte cazuri cu termenul „consumatori”. Aceștia ar trebui armonizați.

60.

Articolul 3 alineatul (1) din actuala Directivă privind confidențialitatea în mediul electronic stabilește entitățile vizate în primul rând de către directivă, și anume acelea care prelucrează date „legate de” furnizarea de servicii de comunicații electronice publice prin intermediul rețelelor publice (la care se face referire anterior sub denumirea de „FSCEP”) (15). Printre activitățile unui FSCEP se numără furnizarea accesului la internet, transmiterea de informații prin rețele electronice, conectarea la o rețea de telefonie fixă sau mobilă, etc.

61.

PE a adoptat amendamentul 121 de modificare a articolului 3 din propunerea inițială a Comisiei, în temeiul căruia domeniul de aplicare al Directivei privind confidențialitatea în mediul electronic a fost extins pentru a include „prelucrarea de date personale legate de furnizarea de servicii de comunicații electronice accesibile publicului prin intermediul rețelelor publice și private de comunicații electronice și al rețelelor private accesibile publicului din cadrul Comunității, […]” [articolul 3 alineatul (1) din Directiva privind confidențialitatea în mediul electronic]. Din păcate, Consiliul și Comisia nu au putut accepta acest amendament și prin urmare nu au inclus această abordare în poziția comună și nici în propunerea modificată.

62.

Din motivele explicate mai jos și pentru a sprijini ajungerea la un consens, AEPD încurajează menținerea elementelor esențiale ale amendamentului 121. În plus, AEPD sugerează includerea unui amendament care să clarifice mai bine tipurile de servicii care ar fi incluse în domeniul de aplicare extins.

63.

Rețelele private sunt deseori utilizate pentru a oferi servicii de comunicații electronice, cum ar fi accesul la internet, unui număr nedefinit de persoane, care ar putea fi ridicat. Acesta este, de exemplu, cazul accesului la internet în cafenelele internet, precum și spațiile WiFi disponibile în hoteluri, restaurante, aeroporturi, trenuri și în alte instituții deschise publicului unde astfel de servicii sunt deseori furnizate în completarea altor servicii (băuturi, cazare etc.).

64.

În toate exemplele anterioare, un serviciu de comunicații, de exemplu accesul la internet, este pus la dispoziția publicului nu prin intermediul unei rețele publice, ci mai curând prin ceea ce poate fi considerat o rețea privată, adică o rețea care funcționează într-un spațiu privat. Mai mult, deși în cazurile descrise anterior, serviciile de comunicații sunt furnizate publicului, deoarece tipul de rețea utilizată este mai curând privat decât public, s-ar putea spune că aceste servicii nu sunt reglementate de întreaga Directivă privind confidențialitatea în mediul electronic sau cel puțin de unele din articolele acesteia (16). Ca urmare, drepturile fundamentale ale persoanelor garantate de Directiva privind confidențialitatea în mediul electronic nu sunt protejate în aceste situații și se creează o situație juridică inegală pentru utilizatorii care recurg la aceleași servicii de acces la internet prin mijloace de telecomunicații publice față de cei care recurg la acestea prin mijloace private. Aceasta în ciuda faptului că riscurile privind confidențialitatea și datele cu caracter personal în toate aceste cazuri există în același grad ca și în cazul în care sunt utilizate rețele publice pentru furnizarea serviciilor. Pe scurt, se pare că nu există niciun motiv care să justifice, în temeiul Directivei, tratamentul diferențiat al serviciilor de comunicații furnizate printr-o rețea privată față de cele furnizate printr-o rețea publică.

65.

Prin urmare, AEPD ar sprijini un amendament, cum ar fi amendamentul 121 ale PE, în temeiul căruia Directiva privind confidențialitatea în mediul electronic s-ar aplica și prelucrării datelor cu caracter personal coroborate cu furnizarea de servicii de comunicații electronice accesibile publicului prin intermediul rețelelor private de comunicații.

66.

Cu toate acestea, AEPD recunoaște că această formulare ar putea conduce la consecințe neprevăzute și posibil neintenționate. Într-adevăr, simpla trimitere la rețelele private ar putea fi interpretată că reglementează situații pentru care în mod clar nu sunt există intenția de a fi reglementate de directivă. De exemplu, s-ar putea susține că interpretarea literală sau strictă a acestei formulări ar putea aduce în domeniul de aplicare al directivei deținătorii de echipamente WiFi în locuințele acestora (17), ceea ce ar da oricui din raza lor de acțiune (de obicei locuința) posibilitatea să se conecteze, deși nu aceasta este intenția amendamentului 121. Pentru a evita acest rezultat, AEPD sugerează reformularea amendamentului 121 astfel încât să se includă în domeniul de aplicare al Directivei privind confidențialitatea în mediul electronic „prelucrarea de date personale legate de furnizarea de servicii de comunicații electronice accesibile publicului prin intermediul rețelelor publice sau al rețelelor private accesibile publicului din cadrul Comunității, …”.

67.

Aceasta ar ajuta să se clarifice că numai rețelele private care sunt accesibile publicului ar fi reglementate în temeiul Directivei privind confidențialitatea în mediul electronic. Prin aplicarea dispozițiilor Directivei privind confidențialitatea în mediul electronic numai rețelelor private accesibile publicului (și nu tuturor rețelelor private), se stabilește o limită, astfel încât directiva va reglementa numai serviciile de comunicații furnizate în rețele private care sunt intenționat menite a fi accesibile publicului. Această formulare va ajuta să se sublinieze și mai mult faptul că disponibilitatea unei rețele private publicului larg este factorul-cheie în a determina dacă directiva ar fi aplicabilă (în afara furnizării unui serviciu de comunicații accesibile publicului). Cu alte cuvinte, independent de faptul că o rețea este publică sau privată, dacă rețeaua a fost intenționat menită a fi accesibilă publicului pentru a furniza un serviciu public de comunicații, cum ar fi accesul la internet, chiar dacă un astfel de serviciu este complementar altuia (de exemplu cazarea hotelieră), acest tip de serviciu/rețea ar fi reglementat de Directiva privind confidențialitatea în mediul electronic.

68.

AEPD constată că abordarea sprijinită anterior, potrivit căreia dispozițiile Directivei privind confidențialitatea în mediul electronic sunt aplicate rețelelor private accesibile publicului, este compatibilă cu abordările adoptate în unele state membre, în care autoritățile au considerat acest tip de servicii, precum și serviciile furnizate în rețele complet private ca intrând sub incidența dispozițiilor naționale de punere în aplicare a Directivei privind confidențialitatea în mediul electronic (18).

69.

Pentru a consolida certitudinea juridică cu privire la entitățile reglementate de noul domeniu de aplicare, ar putea fi utilă introducerea în Directiva privind confidențialitatea în mediul electronic a unui amendament care să definească „rețelele private accesibile publicului” după cum urmează: „rețea privată accesibilă publicului înseamnă o rețea care funcționează într-un spațiu privat ai cărei membri din rândul publicului larg au, de obicei, acces nerestricționat, fie că este sau nu furnizat cu plată sau în completarea unor alte servicii sau oferte, cu condiția acceptării termenilor și condițiilor aplicabile.”

70.

În practică, abordarea sus-menționată ar însemna că sunt reglementate rețele private din hoteluri și alte instituții care furnizează acces la internet publicului larg prin intermediul unei rețele private. Din contră, nu ar fi reglementată furnizarea de servicii de comunicații în rețele complet private, unde serviciul este limitat la un grup restrâns de persoane identificabile. Prin urmare, rețele private virtuale și locuințele consumatorilor echipate cu Wi-Fi nu ar fi reglementate de directivă. Nici serviciile furnizate prin rețele în întregime corporatiste nu ar fi reglementate.

71.

Excluderea rețelelor private per se, așa cum s-a sugerat anterior, ar trebui considerată ca o măsură provizorie care ar trebui să facă obiectul unei dezbateri ulterioare. Într-adevăr, date fiind, pe de o parte, implicațiile privind confidențialitatea ale excluderii rețelelor complet private, și, pe altă parte, faptul că aceasta afectează un mare număr de persoane care de obicei accesează internetul prin intermediul rețelelor corporatiste, este posibil ca pe viitor această excludere să fie reanalizată. Din acest motiv, și pentru a înlesni dezbaterea pe marginea acestui subiect, AEPD recomandă includerea în Directiva privind confidențialitatea în mediul electronic a unui considerent în temeiul căruia Comisia să efectueze o consultare publică privind aplicarea Directivei privind confidențialitatea în mediul electronic la toate rețelele private, cu contribuția AEPD, a autorităților de protecție a datelor și a altor părți interesate relevante. În plus, acest considerent ar putea specifica că, ca rezultat al consultării publice, Comisia ar trebui să facă orice propunere adecvată pentru extinderea sau limitarea tipurilor de entități care ar trebui reglementate de Directiva privind confidențialitatea în mediul electronic.

72.

În plus față de cele sus-menționate, diferitele articole ale Directivei privind confidențialitatea în mediul electronic ar trebui modificate astfel încât toate dispozițiile operaționale să facă referire în mod explicit la rețelele private accesibile publicului, pe lângă rețelele publice.

73.

În cursul procesului legislativ conex revizuirii Directivei privind confidențialitatea în mediul electronic, societățile furnizoare de servicii de securitate au susținut că este necesară introducerea în Directiva privind confidențialitatea în mediul electronic a unei dispoziții care să aducă în legitimitate colectarea datelor de trafic pentru a garanta o securitate online eficientă.

74.

Prin urmare, PE a inserat amendamentul 181, care a creat noul articol 6 alineatul (6) litera (a), care ar autoriza în mod explicit prelucrarea datelor de trafic în scopuri de securitate: „Fără a aduce atingere respectării dispozițiilor relevante, altele decât cele prevăzute la articolul 7 din Directiva 95/46/CE și la articolul 5 din prezenta directivă, datele de trafic pot fi prelucrate în interesul legitim al controlorului de date în scopul punerii în aplicare a măsurilor tehnice pentru a garanta securitatea rețelelor informatice și a datelor în sensul articolului 4 litera (c) din Regulamentul (CE) nr. 460/2004 al Parlamentului European și al Consiliului din 10 martie 2004 privind instituirea Agenției Europene pentru Securitatea Rețelelor Informatice și a Datelor, în interesul legitim al unui serviciu public de comunicații electronice, al unei rețele publice sau private de comunicații electronice, al unui serviciu al societății informaționale sau al unui echipament conex terminal sau de comunicație electronică, cu condiția ca acest interes să nu prejudicieze interesul asociat drepturilor și libertăților fundamentale ale persoanei vizate. Prelucrarea datelor trebuie limitată la strictul necesar realizării acestui tip de activități de securitate”.

75.

Propunerea modificată a Comisiei a acceptat, în principiu, acest amendament, dar prin eliminarea clauzei cu formularea „Fără a aduce atingere […]… din prezenta directivă”, aceasta a eliminat o clauză-cheie menită să asigure că celelalte dispoziții ale directivei trebuie respectate. Consiliul a adoptat o versiune reformulată, care a făcut încă un pas în direcția diminuării protecțiilor importante și a echilibrării intereselor care erau înscrise în amendamentul 181, prin adoptarea formulării următoare: „Datele de transfer pot fi prelucrate în măsura strict necesară asigurării securității rețelei și a informațiilor, în conformitate cu articolul 4 litera (c) din Regulamentul (CE) nr. 460/2004 al Parlamentului European și al Consiliului din 10 martie 2004 de înființare a Agenției Europene pentru Securitatea Rețelelor Informatice și a Datelor.”

76.

Astfel cum se descrie mai jos, articolul 6 alineatul (6) litera (a) nu este necesar și este expus riscului de abuz, îndeosebi dacă este adoptat într-o formă care nu include garanțiile importante, clauzele care respectă alte dispoziții ale directivei și echilibrarea intereselor. Prin urmare, AEPD recomandă ca acest articol să fie respins, sau cel puțin, să se asigure faptul că orice articol privind această chestiune include tipurile de garanții care erau incluse în amendamentul 181, astfel cum a fost adoptat de PE.

77.

Măsura în care furnizorii de servicii de comunicații electronice accesibile publicului pot prelucra legal date de trafic este reglementată în temeiul articolului 6 din Directiva privind confidențialitatea în mediul electronic, care restricționează prelucrarea datelor de trafic la un număr de scopuri cum ar fi facturarea, interconectarea și marketingul. Această prelucrare poate avea loc numai în anumite condiții specifice, cum ar fi consimțământul persoanelor în cazul marketingului. În plus, alți controlori de date, cum ar fi furnizorii de servicii ale societății informaționale pot prelucra datele de trafic în temeiul articolul 7 din Directiva privind protecția datelor, care stabilește că controlorii de date pot prelucra date cu caracter personal dacă respectă cel puțin unul dintr-un număr de temeiuri juridice, denumite, de asemenea, fundamente juridice.

78.

Un exemplu de astfel de temei juridic este articolul 7 litera (a) din Directiva privind protecția datelor, care impune consimțământul persoanei vizate. De exemplu, dacă un detailist online dorește să prelucreze date de trafic în scopul expedierii de material publicitar sau de marketing, acesta trebuie să obțină consimțământul persoanei. Un alt temei juridic prevăzut în articolul 7 poate permite, în anumite situații, prelucrarea datelor de trafic în scopuri de securitate de către, de exemplu, societățile de securitate care oferă servicii de securitate. Aceasta se bazează pe articolul 7 litera (f) care stabilește că controlorii de date pot prelucra date cu caracter personal dacă „prelucrarea este necesară pentru realizarea interesului legitim urmărit de operator sau de către unul sau mai mulți terți, cu condiția ca acest interes să nu prejudicieze interesul sau drepturile și libertățile fundamentale ale persoanei vizate…”. Directiva privind protecția datelor nu precizează situațiile în care prelucrarea datelor cu caracter personal ar îndeplini această obligație. Într-adevăr, evaluările sunt efectuate de controlorii de date, de la caz la caz, deseori cu acordul autorităților naționale de protecție a datelor și al altor autorități.

79.

Ar trebui luată în considerare coroborarea articolului 7 din Directiva privind protecția datelor cu articolul 6 alineatul (6) litera (a) din Directiva privind confidențialitatea în mediul electronic. Articolul 6 alineatul (6) litera (a) propus este o specificare a situațiilor în care sunt îndeplinite obligațiile menționate la articolul 7 litera (f) prezentate anterior. Într-adevăr, prin autorizarea prelucrărilor datelor de trafic pentru a sprijini asigurarea securității rețelelor și informațiilor, articolul 6 alineatul (6) litera (a) permite prelucrarea în scopurile interesului legitim urmărite de controlorul de date.

80.

Astfel cum se descrie mai jos, AEPD consideră că articolul 6 alineatul (6) litera (a) propus nu este nici necesar, nici util. Într-adevăr, din punct de vedere juridic, în principiu, nu este necesar să se stabilească dacă un anumit tip de activitate de prelucrare a datelor, în cazul acesta prelucrarea datelor de trafic în scopuri de securitate, îndeplinește sau nu obligațiile prevăzute la articolul 7 litera (f) din Directiva privind protecția datelor, caz în care consimțământul persoanei poate fi necesar ex articolul 7 litera (a). După cum s-a constatat anterior, această evaluare este, de obicei, efectuată de controlorii de date, adică de societăți, la nivelul implementării, în consultare cu autoritățile de protecție a datelor și, dacă este necesar, de către instanță. În general, AEPD consideră că, în anumite cazuri, prelucrarea legitimă a datelor de trafic în scopuri de securitate, efectuată fără a pune în pericol drepturile și libertățile fundamentale ale persoanelor, este posibil să îndeplinească obligațiile de la articolul 7 litera (f) din Directiva privind protecția datelor și, prin urmare, poate fi efectuată. În plus, nu există niciun alt precedent în Directiva privind protecția datelor și nici în Directiva privind confidențialitatea în mediul electronic care să evidențieze sau să ofere tratament special pentru anumite tipuri de activități de prelucrare a datelor care ar satisface obligațiile de la articolul 7 litera (f), și nici nu s-a demonstrat nevoia unei astfel de excepții. Din contră, după cum s-a constatat mai sus, se pare că în multe situații, acest tip de activități și-ar găsi în mod confortabil locul în textul actual. Prin urmare, o dispoziție juridică care să confirme această evaluare nu este, în principiu, necesară.

81.

Conform celor expuse anterior, deși inutil, este important să subliniem că amendamentul 181, în forma adoptată de PE, a fost formulat, cu toate acestea, într-o oarecare măsură, ținând seama de principiile confidențialității și protecției datelor prevăzute de legislația privind protecția datelor. Amendamentul 181 al PE ar putea să abordeze în continuare interesele privind protecția datelor și confidențialitatea, de exemplu prin inserarea termenilor „în cazuri specifice” pentru a asigura aplicarea selectivă a acestui articol sau prin includerea unei perioade specifice de păstrare.

82.

Amendamentul 181 conține unele elemente pozitive. Acesta confirmă că prelucrarea ar trebui să respecte orice alt principiu de protecție a datelor aplicabil prelucrării datelor cu caracter personal („Fără a aduce atingere respectării dispozițiilor […] Directivei 95/46/CE și […] din prezenta directivă”). În plus, deși amendamentul 181 permite prelucrarea datelor de trafic în scopuri de securitate, acesta echilibrează interesele entității care prelucrează datele de trafic cu cele ale persoanelor ale căror date sunt prelucrate astfel încât prelucrările de date să se efectueze numai dacă interesele pentru drepturile și libertățile fundamentale ale persoanelor nu sunt prejudiciate de interesele entității care prelucrează datele („cu condiția ca acest interes să nu prejudicieze interesul asociat drepturilor și libertăților fundamentale ale persoanei vizate”). Această obligație este esențială în măsura în care aceasta poate permite prelucrarea de date de trafic pentru cazuri specifice; cu toate acestea, aceasta nu ar permite entității să prelucreze marea masă a datelor de trafic.

83.

Versiunea amendamentului reformulat de Consiliu conține elemente lăudabile, cum ar fi menținerea termenului „strictul necesar”, care subliniază domeniul limitat de aplicare al acestui articol. Cu toate acestea, versiunea Consiliului elimină garanțiile privind protecția datelor și confidențialitatea menționate anterior. În timp ce, în principiu, dispozițiile privind protecția datelor sunt aplicabile, indiferent dacă se face referire specifică în fiecare caz, versiunea articolului 6 alineatul (6) litera (a) a Consiliului poate, cu toate acestea, să fie interpretată că acordă competențe discreționare depline prelucrării datelor de trafic fără a mai face obiectul altor garanții privind protecția datelor și confidențialitatea aplicabile ori de câte ori se prelucrează date. Prin urmare, s-ar putea argumenta că datele de trafic pot fi colectate, stocate sau utilizate în continuare fără a mai trebui să se respecte principiile de protecție a datelor și obligațiile specifice care altfel se aplică părților responsabile, cum ar fi principiul calității sau obligația unei prelucrări echitabile și legale, și de a păstra datele în condiții de confidențialitate și securitate. În plus, deoarece în cadrul articolului nu se face nicio referire la principiile aplicabile privind protecția datelor care impun termene pentru stocarea informațiilor sau la termene specifice, versiunea Consiliului poate fi interpretată că dă posibilitatea colectării și prelucrării datelor de trafic în scopuri de securitate pentru o perioadă de timp neprecizată.

84.

În plus, Consiliul a diminuat protecția confidențialității în anumite porțiuni ale textului prin folosirea unor formulări cu sens mai general. De exemplu, referirea la „interesul legitim al controlorului de date” a fost eliminată, provocând îndoieli cu privire la tipurile de entități care s-ar putea folosi de această excepție. Este deosebit de important să se evite posibilitatea ca utilizatorii sau entitățile juridice să profite de acest amendament.

85.

Experiențele recente ale PE și ale Consiliului demonstrează că este dificil să se definească prin lege măsura și condițiile în care prelucrarea datelor de trafic în scopuri de securitate poate fi executată legal. Este puțin probabil ca orice articol existent sau viitor să îndepărteze riscurile evidente ale unei aplicări prea ample ale excepției din alte motive decât cele legate strict de securitate sau de către entități care ar trebui să nu poată beneficia de această excepție. Aceasta nu înseamnă că o astfel de prelucrare nu se poate efectua în nicio situație. Cu toate acestea, dacă și în ce măsură aceasta poate fi efectuată, se poate mai bine evalua la nivel de implementare. Entitățile care doresc să efectueze astfel de prelucrări ar trebui să discute domeniul și condițiile de aplicare cu autoritățile de protecție a datelor și, eventual, cu Grupul de lucru „articolul 29”. Alternativ, Directiva privind confidențialitatea în mediul electronic ar putea include un articol care să permită prelucrarea datelor de trafic în scopuri de securitate, cu condiția unei autorizări explicite acordate de către autoritățile de protecție a datelor.

86.

Ținând seama, pe de o parte, de riscurile pe care articolul 6 alineatul (6) litera (a) le creează pentru dreptul fundamental la protecția datelor și la confidențialitate al persoanelor, și, pe de altă parte, de faptul că, astfel cum s-a explicat în prezentul aviz, acest articol nu este necesar, AEPD a ajuns la concluzia că cel mai bun rezultat ar fi ca articolul 6 alineatul (6) litera (a) propus să fie eliminat în întregime.

87.

Dacă se adoptă orice text asemănător versiunii actuale a articolului 6 alineatul (6) litera (a), contrar recomandării AEPD, acesta ar trebui, în orice caz, să includă garanțiile privind protecția datelor discutate anterior. Acesta ar trebui, de asemenea, să fie integrat în cadrul structurii existente a articolului 6, de preferat ca un nou alineat (2a).

88.

PE a adoptat amendamentul 133 care dă posibilitatea furnizorilor de acces la internet și altor entități juridice, cum ar fi asociațiile de consumatori, de a intenta o acțiune în justiție în cazul încălcării oricărei dispoziții a Directivei privind confidențialitatea în mediul electronic (19). Din păcate, nici Comisia, nici Consiliul nu l-au acceptat. AEPD consideră acest amendament pozitiv și recomandă menținerea acestuia.

89.

Pentru a înțelege importanța acestui amendament, este necesar să se țină seama de faptul că, în domeniul confidențialității și protecției datelor, prejudiciile în sine cauzate unei persoane, în mod individual, nu sunt în general suficiente pentru ca persoana respectivă să intenteze acțiune în justiție. În mod normal, persoanele nu se adresează justiției în mod individual pentru că au fost afectate de spam sau pentru că numele lor a fost în mod eronat inclus într-un director. Acest amendament ar permite asociațiilor de consumatori și sindicatelor care reprezintă interesele consumatorilor la nivel colectiv să deschidă acțiune în justiție în numele acestora. O mai mare diversitate a mecanismelor de aplicare a legii ar putea să încurajeze, de asemenea, un nivel mai bun al respectării legii și, prin urmare, ar fi în interesul unei aplicări eficiente a dispozițiilor Directivei privind confidențialitatea în mediul electronic.

90.

În cadrul juridic al unor state membre există precedente juridice care deja prevăd posibilitatea reparațiilor colective pentru a permite consumatorilor și grupurilor de interese să ceară despăgubiri părții care a cauzat prejudiciul.

91.

În plus, dreptul concurenței din unele state membre (20) dă dreptul consumatorilor, grupurilor de interese (în afara concurentului afectat) să deschidă acțiune în justiție împotriva entității vinovată de încălcare. Motivația acestei abordări este că societățile care încalcă dreptul concurenței ar putea să profite, de vreme ce consumatorii cărora li se aduc doar prejudicii marginale se dovedesc, de regulă, reticenți în ceea ce privește intentarea unei acțiuni în justiție. Această motivație poate fi aplicată mutantis mutandi în domeniul protecției datelor și al confidențialității.

92.

Mai important, astfel cum s-a menționat anterior, acordarea posibilității de a deschidă acțiune în justiție entităților juridice, cum ar fi asociațiile de consumatori și FSCEP, sprijină poziția consumatorilor și respectarea generală a legislației din domeniul protecției datelor. Dacă companiile care se fac vinovate de o încălcare sunt confruntate cu un risc mai mare de a fi date în judecată, este posibil ca acestea să investească mai mult pentru a respecta legislația din domeniul protecției datelor, ceea ce, pe termen lung, va spori nivelul de confidențialitate și de protecție al consumatorilor. Din toate aceste motive, AEPD face apel la Parlamentul European și la Consiliu să adopte o dispoziție care să dea dreptul entităților juridice să intenteze acțiune în justiție pentru în cazul încălcării oricărei dispoziții a Directivei privind confidențialitatea în mediul electronic.

93.

Poziția comună a Consiliului, prima lectură a PE și propunerea modificată a Comisiei conțin, în grade diferite, elemente pozitive care ar fi utile pentru consolidarea protecției confidențialității persoanelor și a datelor personale.

94.

Cu toate acestea, AEPD consideră că se mai pot aduce îmbunătățiri, în special cu privire la poziția comună a Consiliului, care, din păcate, nu a menținut unele din amendamentele PE menite să sprijine asigurarea unei protecții adecvate a confidențialității persoanelor și a datelor personale. AEPD îndeamnă PE și Consiliul să refacă garanțiile privind confidențialitatea înscrise în prima lectură a PE.

95.

În plus, AEPD consideră că ar fi adecvată simplificarea unora dintre dispozițiile directivei. Acest lucru este adevărat în special în cazul dispozițiilor privind încălcările securității, deoarece AEPD consideră că se vor obține cel mai bine avantaje depline din notificarea încălcărilor dacă cadrul legal este corect stabilit de la bun început. În cele din urmă, AEPD consideră că ar fi adecvate îmbunătățirea și clarificarea formulării unora dintre dispozițiile directivei.

96.

Pe baza celor sus-menționate, AEPD îndeamnă PE și Consiliul să-și intensifice eforturile de îmbunătățire și clarificare a unora dintre dispozițiile Directivei privind confidențialitatea în mediul electronic, și să reintroducă, în același timp, amendamentele adoptate în primă lectură de PE, menite să asigure un nivel adecvat de confidențialitate și protecție a datelor. În acest scop, punctele 97, 98, 99 și 100 prezentate în continuare fac rezumatul aspectelor de interes și fac unele recomandări și propuneri de formulare. AEPD face apel la toate părțile implicate să țină seama de acestea în procesul de adoptare finală a Directivei privind confidențialitatea în mediul electronic.

97.

Parlamentul European, Comisia și Consiliul au adoptat fiecare diferite abordări pentru notificarea încălcărilor securității. Diferențele între cele trei modele există, printre altele, cu privire la entitățile care intră sub incidența obligației, la standardul sau elementul declanșator al notificării, la persoanele vizate care au dreptul să fie notificate etc. Este necesar ca PE și Consiliul să facă tot ce este posibil pentru a stabili un cadru juridic solid pentru încălcările securității. În acest scop, PE și Consiliul ar trebui:

98.

Serviciile de comunicații sunt deseori puse la dispoziția publicului nu prin intermediul rețelelor publice, ci prin rețele care funcționează într-un spațiu privat (de exemplu spațiile Wi-Fi disponibile în hoteluri, aeroporturi), despre care se poate spune că nu sunt reglementate de directivă. PE a adoptat amendamentul 121 (articolul 3) care extinde domeniul de aplicare al directivei pentru a include rețelele publice și private de comunicații electronice, precum și rețelele private accesibile publicului. În această privință, PE și Consiliul ar trebui:

99.

PE a adoptat în primă lectură amendamentul 181 [articolul 6 alineatul (6) litera (a)], care autorizează prelucrarea datelor de trafic în scopuri de securitate. Poziția comună a Consiliului a adoptat o nouă versiune care diminuează unele din garanțiile privind confidențialitatea. În această privință, AEPD recomandă PE și Consiliului:

100.

Parlamentul a adoptat amendamentul 133 [articolul 13 alineatul (6)] care dă posibilitatea entităților să intenteze o acțiune în justiție în cazul încălcării oricărei dispoziții a directivei. Din păcate, Consiliul nu a păstrat acest amendament. Consiliul și PE ar trebui:

101.

Cu privire la toate chestiunile sus-menționate, PE și Consiliul trebuie să răspundă provocării de a elabora norme și dispoziții care să fie utilizabile și funcționale și, în același timp, să respecte drepturile la confidențialitate și protecția datelor persoanelor. AEPD speră că toate părțile implicate vor face tot posibilul să răspundă acestei provocări și că prezentul aviz va contribui la acest efort.

6.6.2009   

RO

Jurnalul Oficial al Uniunii Europene

C 128/42

1.

La data de 13 noiembrie 2008, Comisia a adoptat o propunere de directivă a Consiliului privind obligația statelor membre de a menține un nivel minimal de stocuri de petrol brut și/sau de produse petroliere (denumită în continuare: „propunerea”) (3).

2.

Propunerea urmărește garantarea unui nivel ridicat de siguranță a aprovizionării cu petrol în Comunitate prin intermediul unor mecanisme viabile și transparente bazate pe solidaritatea între statele membre, menținerea unui nivel minimal al stocurilor de petrol sau de produse petroliere, precum și instituirea mijloacelor procedurale necesare pentru remedierea unei penurii grave.

3.

La data de 14 noiembrie 2008, propunerea a fost transmisă AEPD de către Comisie spre consultare, în conformitate cu articolul 28 alineatul (2) din Regulamentul (CE) nr. 45/2001. AEPD salută faptul că este consultată cu privire la această chestiune și remarcă faptul că se face trimitere la această consultare în preambulul propunerii, în conformitate cu articolul 28 din Regulamentul (CE) nr. 45/2001.

4.

Anterior adoptării propunerii, Comisia a consultat informal AEPD cu privire la un anumit articol al proiectului de propunere (actualul articol 19). AEPD a salutat consultarea informală, întrucât i-a dat posibilitatea de a face unele sugestii anterior adoptării propunerii de către Comisie.

5.

Chestiunea actuală servește drept o bună ilustrare a faptului că ar trebui să existe o conștientizare constantă a normelor de protecție a datelor. Într-o situație care privește statele membre și obligația acestora de a menține stocurile de petrol de urgență, care sunt deținute, în principal, de persoane juridice, prelucrarea datelor cu caracter personal nu este foarte evidentă, dar, chiar dacă nu este preconizată astfel, poate totuși să aibă loc. În orice caz, ar trebui să se ia în considerare posibilitatea unor prelucrări a datelor cu caracter personal și ar trebui să se acționeze în consecință.

6.

În situația actuală, există, în principiu, două activități prevăzute de directivă care ar putea include prelucrarea datelor cu caracter personal. Prima constă în colectarea de informații, de către statele membre, cu privire la stocurile de petrol și la transferul ulterior al acestor informații către Comisie. Cea de a doua activitate se referă la puterea Comisiei de a efectua controale în statele membre. Colectarea informațiilor despre proprietarii stocurilor de petrol ar putea include date cu caracter personal, cum ar fi numele și datele de contact ale directorilor de companii. Această colectare de informații, precum și transferul ulterior către Comisie, ar constitui prelucrare de date cu caracter personal și ar determina aplicabilitatea fie a legislației naționale care transpune dispozițiile Directivei 95/46/CE, fie a Regulamentului (CE) nr. 45/2001, în funcție de cine prelucrează datele în mod concret. De asemenea, acordarea către Comisie a competenței de a efectua verificări cu privire la stocurile de urgență din statele membre, ceea ce presupune competența de a culege informații în general, ar putea include colectarea și, deci, prelucrarea datelor cu caracter personal.

7.

În timpul consultării informale, al cărei obiect a fost limitat la dispoziția privind competența de investigație a Comisiei, AEPD a recomandat Comisiei să determine dacă prelucrarea datelor cu caracter personal în contextul unei investigații a Comisiei ar fi doar ocazională sau ar apărea în mod periodic și ar servi scopului investigației. În urma rezultatului prezentei evaluări, s-au sugerat două abordări.

8.

Dacă prelucrarea datelor cu caracter personal nu a fost preconizată și, în consecință, ar fi pur ocazională, AEPD a recomandat ca, în primul rând, să excludă în mod explicit prelucrarea datelor cu caracter personal ca servind scopurilor investigației Comisiei și, în al doilea rând, să declare că orice date cu caracter personal pe care Comisia le-ar descoperi în cursul investigației să nu fie colectate sau luate în considerare și, în cazul colectării accidentale, să fie distruse fără întârziere. Ca o clauză generală de sprijin, AEPD a sugerat, în plus, includerea unei dispoziții prin care s-a afirmat că directiva nu ar aduce atingere normelor privind protecția datelor stabilite prin Directiva 95/46/CE și Regulamentul (CE) nr. 45/2001.

9.

Dacă, pe de o parte, s-a prevăzut faptul că prelucrarea datelor ar avea loc în mod periodic în contextul unei investigații a Comisiei, AEPD a recomandat Comisiei includerea unui text care să reflecte rezultatul unei evaluări adecvate a protecției datelor. Aceasta ar include următoarele elemente: (I) scopul concret al prelucrării datelor, (II) necesitatea prelucrării datelor pentru realizarea acestui scop, și (III) proporționalitatea prelucrării datelor.

10.

Deși avizul informal al AEPD s-a referit doar la competența de investigare a Comisiei, comentariile AEPD s-au aplicat, în egală măsură, celeilalte activități principale prezentate în directiva propusă, și anume colectarea și transferul, către Comisie, a informațiilor din partea statelor membre.

11.

Propunerea finală de directivă arată în mod clar concluzionarea, de către Comisie, a faptului că, în sensul directivei, nu este preconizată o prelucrare a datelor cu caracter personal. AEPD constată cu plăcere faptul că prima sa abordare sugerată se reflectă pe deplin în propunere.

12.

În consecință, AEPD își exprimă sprijinul față de modul în care Comisia a asigurat conformitatea cu normele de protecție a datelor în directiva propusă. În continuarea prezentului aviz, vor fi oferite doar câteva recomandări detaliate.

13.

Articolul 15 din directiva propusă reglementează obligația statelor membre de a transmite Comisiei situații statistice săptămânale referitoare la nivelurile stocurilor comerciale deținute pe teritoriul național. Astfel de informații vor conține, în mod normal, puține date cu caracter personal. Totuși, ar putea conține informații referitoare la persoanele fizice care dețin proprietatea stocurilor de petrol, sau care lucrează pentru o persoană juridică care deține stocul. Pentru a împiedica statele membre să furnizeze Comisiei astfel de informații, la articolul 15 alineatul (1) se afirmă că, dacă statele membre se află în această situație, acestea „se abțin de la a menționa numele proprietarilor stocurilor în cauză.” Deși ar trebui să se conștientizeze faptul că îndepărtarea unui nume nu va rezulta întotdeauna în date care să nu poată conduce la o persoană fizică, se pare că în situația actuală (rezumate statistice ale nivelurilor stocurilor de petrol), această frază suplimentară va fi suficientă pentru a asigura faptul că nu are loc niciun transfer de date cu caracter personal către Comisie.

14.

Competența de investigare a Comisiei este stabilită la articolul 19 din directiva propusă. Articolul arată în mod clar faptul că, după cum s-a explicat la punctul 8 de mai sus, Comisia a urmat prima abordare. Se afirmă faptul că colectarea datelor cu caracter personal nu poate face parte din verificările efectuate de Comisie. Și chiar dacă astfel de date sunt descoperite de către Comisie, acestea nu pot fi luate în considerare și, în cazul colectării accidentale, trebuie distruse. Pentru a alinia formularea la formularea utilizată în legislația privind protecția datelor și pentru a preveni orice neînțelegere, AEPD recomandă înlocuirea cuvântului „colectarea” din prima teză de la alineatul (2) cu cuvântul „prelucrare”.

15.

AEPD observă cu satisfacție că în propunere este inclusă și o clauză generală de sprijin referitoare la legislația relevantă privind protecția datelor. Articolul 20 reamintește foarte clar statelor membre, Comisiei și altor organe comunitare obligațiile ce le revin în temeiul Directivei 95/46/CE și al Regulamentului (CE) nr. 45/2001. În plus, clauza subliniază drepturile pe care persoanele vizate le au, în temeiul acestor norme, precum dreptul de a se opune prelucrării datelor care îi privesc, dreptul de acces la datele respective și dreptul de a obține rectificarea datelor în caz de inexactitate. Poate că ar putea fi făcut un comentariu cu privire la plasarea acestei dispoziții în cadrul propunerii. Din cauza caracterului său general, nu se restrânge doar la competența de investigație a Comisiei. În consecință, AEPD recomandă mutarea articolului în prima parte a directivei, de exemplu după articolul 2.

16.

De asemenea, în considerentul 25 se face trimitere la Directiva 95/46/CE și la Regulamentul (CE) nr. 45/2001. Obiectivul considerentului este, totuși, mai degrabă neclar, deoarece doar menționează legislația privind protecția datelor ca atare, neafirmând nimic altceva. În considerent ar trebui să se afirme foarte clar faptul că dispozițiile directivei nu aduc atingere legislației menționate. În plus, ultima teză a considerentului pare a presupune faptul că legislația privind protecția datelor solicită în mod explicit operatorilor să distrugă fără întârziere datele colectate în mod accidental. Deși poate fi o consecință a normelor stabilite, o astfel de obligație nu poate fi găsită în acea legislație. Este un principiu general al protecției datelor faptul că datele cu caracter personal nu sunt păstrate decât pentru o perioadă de timp care nu o depășește pe cea necesară scopurilor pentru care au fost colectate sau pentru care sunt ulterior prelucrate. Dacă prima parte a considerentului este modificată în modul deja propus, ultima teză a devenit inutilă. În consecință, AEPD propune eliminarea ultimei teze a recitalului 25.

17.

AEPD dorește să își exprime sprijinul față de modul în care Comisia a asigurat conformitatea cu normele de protecție a datelor în directiva propusă.

18.

La un nivel detaliat, AEPD recomandă următoarele:

6.6.2009   

RO

Jurnalul Oficial al Uniunii Europene

C 128/45

6.6.2009   

RO

Jurnalul Oficial al Uniunii Europene

C 128/46