31.7.2012

RO

Jurnalul Oficial al Uniunii Europene

C 229/90

---

Avizul Comitetului Economic și Social European privind propunerea de regulament al Parlamentului European și al Consiliului privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal și libera circulație a acestor date (Regulament general privind protecția datelor)

COM(2012) 11 final – 2012/011 (COD)

2012/C 229/17

Raportor general: dl Jorge PEGADO LIZ

La 16 februarie 2012, respectiv la 1 martie 2012, în conformitate cu articolul 304 din Tratatul privind funcționarea Uniunii Europene, Parlamentul European și Consiliul au hotărât să consulte Comitetul Economic și Social European cu privire la

Propunerea de regulament al Parlamentului European și al Consiliului privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal și libera circulație a acestor date (Regulamentul general privind protecția datelor)

COM(2012) 11 final – 2012/011 (COD).

La 21 februarie 2012, Biroul Comitetului a însărcinat Secțiunea pentru ocuparea forței de muncă, afaceri sociale și cetățenie cu pregătirea lucrărilor Comitetului pe această temă.

Având în vedere caracterul urgent al lucrărilor, Comitetul Economic și Social European a decis, în cea de-a 481-a sesiune plenară, care a avut loc la 23 și 24 mai 2012 (ședința din 23 mai 2012), să-l numească pe dl PEGADO LIZ raportor general și a adoptat prezentul aviz cu 165 de voturi pentru, 34 de voturi împotrivă și 12 abțineri.

1.   Concluzii și recomandări

1.1

CESE salută orientarea generală adoptată de Comisie, își afirmă acordul cu privire la alegerea bazei de abilitare propuse și aprobă în principiu obiectivele propunerii, care urmăresc îndeaproape un aviz al Comitetului. Cu privire la statutul juridic al protecției datelor, CESE consideră că prelucrarea și transferul de date în interiorul pieței interne trebuie să respecte dreptul la protecția datelor cu caracter personal în sensul articolului 8 din Carta drepturilor fundamentale și al articolului 16 alineatul (2) din TFUE.

1.2

În ceea ce privește alegerea unui regulament în calitate de cel mai adecvat instrument juridic, având în vedere obiectivele urmărite, părerile rămân împărțite în cadrul CESE, care solicită Comisiei să demonstreze și să justifice mai bine motivele pentru care acest instrument juridic este preferabil unei directive și chiar indispensabil.

1.3	Totuși, Comitetul regretă prea numeroasele excepții și restricții care afectează principiile afirmate ale dreptului la protecția datelor personale.

1.4

În noul context al economiei digitale, Comitetul împărtășește opinia Comisiei conform căreia „persoanele fizice vor beneficia de un control mai bun al datelor lor cu caracter personal” și dorește ca acest drept să se extindă la diferitele utilizări ale acestor date pentru care sunt create profiluri individuale, plecând de la date obținute printr-o mare diversitate de mijloace (legale sau uneori ilegale) și de la prelucrarea datelor obținute.

1.5	În ceea ce privește drepturile fundamentale, armonizarea printr-un regulament în domenii specifice ar trebui totuși să permită statelor membre să adopte, în dreptul național, dispoziții care lipsesc din respectivul regulament sau care să fie mai favorabile decât cele prevăzute de acesta.

1.6	În plus, Comitetul nu poate accepta toate trimiterile aproape sistematice la acte delegate care nu se referă în mod explicit la articolul 290 din TFUE.

1.7

Comitetul salută totuși preocuparea de a crea un cadru instituțional eficace pentru garantarea funcționării efective a dispozițiilor legale, atât la nivelul întreprinderilor (responsabilii cu protecția datelor), cât și la nivelul administrațiilor publice ale statelor membre (autoritățile independente de supraveghere). Totuși, ar fi apreciat alegerea de către Comisie a unei abordări mai conforme cu nevoile reale și aspirațiile cetățenilor și mai sistematizate în funcție de natura anumitor domenii ale activității economice și sociale.

1.8

CESE consideră că se poate aduce textului propus o întreagă serie de îmbunătățiri și precizări și oferă exemple precise cu privire la mai multe articole, exemple care merg în sensul unei mai bune definiri a drepturilor, a consolidării protecției cetățenilor, în general, și a lucrătorilor, în special, a naturii consimțământului, a legalității prelucrării și mai ales a funcțiilor responsabililor cu protecția datelor și a prelucrării datelor în contextul ocupării unui loc de muncă.

1.9	CESE consideră totodată că ar trebui incluse elemente neluate în considerare, în special extinderea domeniului de aplicare, prelucrarea datelor sensibile sau acțiunile colective.

1.10

CESE consideră astfel că motoarele de căutare pe internet care obțin cea mai mare parte a veniturilor din publicitatea orientată mulțumită colectării datelor personale ale vizitatorilor, chiar creării de profiluri ale acestora, ar trebui să intre în mod explicit în domeniul de aplicare a regulamentului. Aceeași măsură ar trebui aplicată și în cazul fermelor de servere care oferă spații de stocare și, în cazul unora, programe (cloud computing) care colectează date privind utilizatorii lor în scopuri comerciale.

1.11

Și tot aceeași măsură ar trebui aplicată și în cazul informațiilor personale publicate în rețelele sociale, care ar trebui să permită, pe baza „dreptului de a fi uitat”, modificarea sau ștergerea acestor informații de către persoana în cauză sau suprimarea, la cererea acesteia, a paginii sale personale și a linkurilor care trimit la alte site-uri foarte frecventate pe care aceste informații sunt reproduse sau comentate. În acest scop, ar trebui modificat articolul 9.

1.12

În fine, CESE solicită Comisiei să reanalizeze anumite aspecte ale propunerii pe care le consideră inacceptabile pentru domenii sensibile precum protecția copiilor, dreptul la opoziție, crearea de profiluri, anumite limitări ale drepturilor, pragul de 250 de angajați pentru numirea unui responsabil cu protecția datelor sau modul în care este reglementat „ghișeul unic”.

2.   Introducere

2.1	CESE a fost sesizat pentru a elabora un aviz privind propunerea de regulament al Parlamentului European și al Consiliului privind protecția datelor cu caracter personal și libera circulație a acestor date (Regulamentul general privind protecția datelor)  (1).

2.2

Totuși, trebuie observat că această propunere face parte dintr-un „pachet” care cuprinde și o comunicare introductivă (2), o propunere de directivă (3) și un raport al Comisiei către Parlamentului European, Consiliu și Comitetul Economic și Social European și Comitetul Regiunilor în temeiul articolului 29 alineatul (2) din Decizia-cadru a Consiliului din 27 noiembrie 2008  (4). CESE nu a fost sesizat cu privire la toate propunerile legislative, ci numai cu privire la proiectul de regulament, deși ar fi trebui să fie sesizat și cu privire la proiectul de directivă.

2.3	Potrivit Comisiei, propunerea pentru care CESE a fost sesizat se află la confluența celor mai importante orientări juridico-politice și politico-economice ale UE.

2.3.1

Pe de o parte, articolul 8 din Carta drepturilor fundamentale a Uniunii Europene, precum și articolul 16 alineatul (1) din Tratatul privind funcționarea Uniunii Europene (TFUE) consacră protecția datelor ca drept fundamental, care trebuie protejat ca atare. Această abordare se reflectă în comunicările Comisiei Europene privind Programul de la Stockholm și Planul de acțiune de la Stockholm (5).

2.3.2

Pe de altă parte, există Agenda digitală pentru Europa și, în sens mai larg, Strategia Europa 2020, care recomandă consolidarea dimensiunii legate de piața unică a protecției datelor și reducerea sarcinilor administrative pentru întreprinderi.

2.4

Intenția Comisiei este de a actualiza și moderniza principiile enunțate în Directiva 95/46/CE consolidată privind protecția datelor, cu scopul de a garanta în viitor drepturile persoanelor referitor la respectarea vieții private în societatea digitală și rețelele sale. Scopul urmărit este consolidarea drepturilor cetățenilor, consolidarea pieței interne a UE, asigurarea unui nivel ridicat de protecție a datelor în toate domeniile (inclusiv cel al cooperării judiciare în materie penală), asigurarea unei bune aplicări a dispozițiilor adoptate în acest sens, facilitarea prelucrării transfrontaliere a datelor și stabilirea normelor universale în materie de protecție a datelor.

3.   Observații generale

3.1

În noul context al economiei digitale, Comitetul împărtășește punctul de vedere al Comisiei conform căruia „persoanele fizice vor beneficia de un control mai bun al datelor lor cu caracter personal” și dorește în egală măsură ca acest drept să se extindă la diversele utilizări pentru care sunt stabilite profiluri individuale pornind de la datele obținute printr-un număr mare de mijloace (legale și uneori ilegale) și de la prelucrarea datelor obținute. Comitetul consideră totodată că prelucrarea și transferul datelor în cadrul pieței unice trebuie limitate în virtutea dreptului la protecție prevăzut în articolul 8 din Carta drepturilor fundamentale. Este vorba despre un drept fundamental, consacrat în dreptul instituțional al UE și în dreptul intern al majorității statelor membre.

3.2

Fiecare cetățean sau rezident al UE dispune, prin urmare, de drepturi fundamentale consacrate în Cartă și în tratate; aceste drepturi sunt, de asemenea, recunoscute în dreptul statelor membre, în unele cazuri, la nivel constituțional. Alte drepturi, precum dreptul la imagine și dreptul la protecția vieții private, completează și consolidează dreptul la protecția datelor cu caracter personal. Trebuie să fie posibilă respectarea acestor drepturi, prin solicitarea adresată unui site internet, de a modifica sau a retrage un profil personal sau un sistem de evidență a datelor de pe server și, în cazul neîndeplinirii acestei solicitări, de a obține din partea unui judecător o interdicție în acest sens.

3.3

Stocarea de sisteme de evidență a datelor cu caracter personal este indispensabilă administrației publice (6), gestionării personalului întreprinderilor, serviciilor comerciale, asociațiilor și sindicatelor, partidelor politice sau site-urilor de socializare și motoarelor de căutare pe internet, însă, în vederea protejării vieții private a persoanelor înregistrate legal în sistemele de evidență a datelor, aceste sisteme, care au finalități diferite, nu trebuie să conțină decât date esențiale pentru obiectivele lor specifice și nu trebuie să fie interconectate, grație TIC, fără ca acest lucru să fie necesar și în lipsa unei protecții juridice. Existența unei autorități care să aibă acces nelimitat la toate datele ar constitui un risc pentru libertățile publice și viața privată.

3.4

În cazul sistemelor de evidență a datelor stocate de către persoane de drept privat, aceste persoane trebuie să aibă drept de acces, de rectificare și chiar de retragere din sistem a datelor, atât în ceea ce privește sistemele de evidență a datelor folosite în scopuri de marketing, cât și cele de pe site-urile de socializare.

3.5

Pentru sistemele de evidență a datelor stocate de administrațiile publice sau private, și care respectă obligațiile legale, persoanele trebuie să dispună de un drept de acces, de un drept de rectificare în caz de eroare, precum și de retragere, dacă înregistrarea persoanei a devenit inutilă, de exemplu, în cazul unei amnistii în cazul unui sistem judiciar de evidență a datelor sau în cazul rezilierii unui contract de muncă, odată ce termenul legal de conservare a expirat.

3.6

CESE salută orientarea generală a Comisiei, recunoscând că obiectivele Directivei consolidate 95/46/CE rămân de actualitate, deși, după 17 ani și având în vedere toate schimbările tehnologice și sociale care au avut loc în mediul digital, o revizuire aprofundată este indispensabilă. De exemplu, Directiva 95/46/CE nu aborda anumite aspecte ale schimbului transfrontalier de informații și de date între administrațiile însărcinate cu sancționarea infracțiunilor și cu executarea hotărârilor judecătorești în cadrul cooperării polițienești și judiciare. Această chestiune este abordată în proiectul de directivă inclus în pachetul privind protecția datelor, în legătură cu care Comitetul nu a fost consultat.

3.7

CESE aprobă, în principiu, obiectivele propunerii, care se înscriu în protecția drepturilor fundamentale și care urmăresc îndeaproape avizul Comitetului (7), în special în ceea ce privește: — stabilirea unui set unic de norme privind protecția datelor, valabil în întreaga UE, la un nivel de protecție cât mai ridicat cu putință; — reafirmarea explicită a libertății de circulație a datelor cu caracter personal în cadrul UE; — anularea mai multor obligații administrative inutile, ceea ce, în opinia Comisiei, va reprezenta o economie anuală de aproximativ 2,3 miliarde de euro pentru întreprinderi; — obligația aplicată întreprinderilor și organizațiilor de a notifica autoritățile naționale de supraveghere cu privire la încălcările grave ale dreptului la protecția datelor cu caracter personal, în cel mai scurt timp (dacă este posibil în termen de 24 de ore); — posibilitatea acordată cetățenilor de a se adresa autorității însărcinate cu protecția datelor în țara acestora, chiar dacă datele lor sunt prelucrate de către o întreprindere din afara teritoriului UE; — facilitarea accesului persoanelor la propriile date, precum și transferul datelor cu caracter personal de la un furnizor de servicii la altul (dreptul la portabilitatea datelor); — „dreptul de a fi uitat în mediul online”, pentru a le asigura cetățenilor o gestionare optimă a riscurilor privind protecția datelor online, cu opțiunea de a obține ștergerea datelor lor cu caracter personal, dacă nu există niciun motiv întemeiat care să justifice păstrarea acestora; — consolidarea, în raport cu situația actuală, a rolului autorităților naționale independente responsabile cu protecția datelor, pentru ca acestea să poată aplica mai bine normele UE și impune într-o mai mare măsură respectarea lor pe teritoriul statului de care aparțin, având în special competența de a impune amenzi societăților care încalcă normele, amenzi care vor putea atinge suma de 1 milion de euro sau 2 % din cifra de afaceri anuală a întreprinderii; — neutralitatea tehnologică și aplicarea acesteia la toate prelucrările de date, automate sau manuale; — obligația de a efectua evaluări ale impactului referitoare la protecția datelor.

3.8

CESE salută punerea accentului pe protecția drepturilor fundamentale și își exprimă deplinul acord în legătură cu temeiul juridic propus, utilizat pentru prima oară în legislație. Comitetul subliniază, de asemenea, importanța deosebită a acestei propuneri pentru realizarea pieței unice și efectele sale pozitive în contextul Strategiei Europa 2020. În ceea ce privește alegerea regulamentului, o parte dintre membrii CESE, indiferent de grupul din care fac parte, sunt de acord cu Comisia și consideră că acest instrument juridic este cel mai adecvat pentru a asigura aplicarea uniformă și același nivel ridicat de protecție a datelor în toate statele membre; o altă parte consideră că directiva este instrumentul prin care s-ar putea garanta mai bine respectarea principiului subsidiarității și s-ar putea proteja mai bine datele, în special în statele membre care asigură deja un grad de protecție mai ridicat decât cel definit în propunerea Comisiei. Comitetul recunoaște, de asemenea, că statele membre au păreri împărțite cu privire la acest subiect. CESE îndeamnă Comisia să își fundamenteze mai bine propunerea, explicând într-un mod mai limpede compatibilitatea acesteia cu principiul subsidiarității, precum și motivele pentru care alegerea unui regulament este indispensabilă pentru obiectivele urmărite.

3.8.1

Întrucât este vorba de un regulament, aplicabil fără întârziere și în toate elementele sale în toate statele membre, fără a fi necesară transpunerea sa în legislația națională, CESE atrage atenția Comisiei asupra necesității de a veghea la coerența traducerilor în toate limbile, lucru care nu este valabil în cazul propunerii.

3.9

CESE consideră că, pe de o parte, propunerea ar fi putut merge mai departe sub aspectul protecției oferite de anumite drepturi, care sunt, practic, lipsite de conținut din cauza nenumăratelor excepții și limitări și că, pe de altă parte, aceasta ar fi putut să asigure un echilibru mai bun între drepturile tuturor celor vizați. Astfel, există riscul de a se genera un dezechilibru între obiectivele dreptului fundamental la protecția datelor și obiectivele pieței unice, în detrimentul celor dintâi. În esență, CESE este de acord cu avizul Autorității Europene pentru Protecția Datelor (8).

3.10

CESE ar fi apreciat adoptarea de către Comisie a unei abordări mai conforme cu nevoile reale și cu aspirațiile cetățenilor și mai sistematizate în funcție de natura anumitor domenii ale activității economice și sociale, cum ar fi, de exemplu, comerțul electronic, marketingul direct, relațiile de muncă, autoritățile publice, supravegherea și securitatea, ADN-ul etc., distingând regimul juridic în funcție de aceste aspecte foarte diferite ale prelucrării datelor.

3.11

În ceea ce privește diferitele dispoziții cuprinse în propunere (toate reluate în articolul 86), aspecte foarte importante ale instrumentului juridic și ale funcționării sistemului depind de viitoare acte delegate (26 de delegări de atribuții pe durată nedeterminată). CESE consideră că această situație depășește cu mult limitele stabilite prin articolul 290 din tratat și definite în Comunicarea Comisiei Europene privind punerea în aplicare a articolului 290 din Tratatul privind funcționarea Uniunii Europene (9), ceea ce are un impact asupra securității și certitudinii juridice ale dispozitivului. CESE consideră că un anumit număr de delegări de atribuții ar putea să fie reglementate direct de legislatorul european. Altele ar putea intra în sfera de competență a autorităților naționale de control sau a regrupării acestora la nivel european (10). Acest lucru ar putea consolida punerea în aplicare a principiilor subsidiarității și securitatea juridică.

3.12

CESE înțelege motivele pentru care Comisia nu abordează, în prezenta propunere, decât drepturile persoanelor fizice, având în vedere natura juridică specifică a propunerii, dar solicită ca datele privind persoanele juridice, mai ales cele care au personalitate juridică, să facă, de asemenea, obiectul atenției Comisiei.

4.   Observații speciale

Aspecte pozitive

4.1   Propunerea rămâne conformă cu obiectul și obiectivele Directivei 95/46/CE, în special în ceea ce privește anumite definiții, componenta esențială a principiilor privind calitatea acestor date și legitimitatea prelucrării, prelucrarea categoriilor speciale și anumite drepturi la informare și de acces la date.

4.2   Propunerea este inovatoare în sensul bun în ce privește anumite aspecte fundamentale privind noile definiții, condiții mai precise privind consimțământul, în special în ce privește consimțământul minorilor, și clasarea noilor drepturi, precum drepturile de rectificare și ștergere, în special „dreptul de a fi uitat în mediul online”, conținutul dreptului la opoziție și crearea de profiluri, precum și obligațiile foarte detaliate ale operatorilor de date și ale persoanelor împuternicite de către operator, securitatea datelor și cadrul general al sancțiunilor, în principal al celor de natură administrativă.

4.3   Comitetul salută, de asemenea, preocuparea exprimată în propunerile de a crea un cadru instituțional eficient pentru a garanta funcționarea efectivă a dispozițiilor legale, atât la nivelul întreprinderilor (responsabilii cu protecția datelor), cât și la nivelul administrațiilor publice ale statelor membre (autoritățile independente de supraveghere), precum și consolidarea cooperării între aceste autorități și cu Comisia (prin înființarea Comitetului european pentru protecția datelor)); atrage însă atenția că statele membre trebuie să respecte competențele responsabililor cu protecția datelor de la nivel național și, în parte, regional.

4.4   În fine, Comitetul consideră ca fiind pozitive încurajarea elaborării codurilor de conduită și rolul certificării și al unor sigilii și mărci în domeniul protecției datelor.

Aspecte care pot fi îmbunătățite

4.5   Articolul 3 – Domeniul de aplicare teritorială

4.5.1   Condițiile de aplicare prevăzute la alineatul (2) sunt prea restrictive; să reamintim cazul întreprinderilor farmaceutice cu sediul în afara Europei și care, pentru teste clinice, doresc să aibă acces la datele clinice ale persoanelor vizate care au reședința în UE.

4.6   Articolul 4 – Definiții

4.6.1   Definiția „consimțământului”, care reprezintă baza a oricărei structuri de protecție adatelor, ar trebui să fie mai clară în toate elementele sale, în special în ceea ce privește „o acțiune pozitivă fără echivoc” (în special în versiunea în limba franceză).

4.6.2   Noțiunea de „transfer de date”, care nu este definită nicăieri, ar trebui să facă obiectul unei definiții la articolul 4.

4.6.3   Noțiunea de „echitabil”, menționată la articolul 5 alineatul (a), trebuie să facă obiectul unei definiții.

4.6.4   Noțiunea de date „care sunt făcute publice în mod manifest” [articolul 9 alineatul (2) litera (e)] trebuie, de asemenea, să facă obiectul unei definiții precise.

4.6.5   Noțiunea de „creare de profiluri”, utilizată în cadrul propunerii, trebuie să facă obiectul unei definiții.

4.7   Articolul 6 – Legalitatea prelucrării

4.7.1   La litera (f), noțiunea de „interese legitime urmărite de operator”– interese care nu sunt deja acoperite de toate alineatele precedente– pare vagă și subiectivă și va trebui să fie mai bine precizată în text, iar nu să facă obiectul unui act delegat [alineatul (5)], cu atât mai mult cu cât la alineatul (4) nu se menționează litera (f) (propunerea este importantă, de exemplu, pentru serviciile poștale și pentru marketingul direct (11)).

4.8   Articolul 7 - Condiții privind consimțământul

4.8.1   La alineatul (3) trebuie precizat că retragerea consimțământului împiedică orice prelucrare ulterioară și că nu compromite legalitatea prelucrării decât începând cu momentul retragerii consimțământului.

4.9   Articolul 14 - Informații pentru persoana vizată

4.9.1   La alineatul (4) litera (b) trebuie stabilit un termen maxim.

4.10   Articolul 31 - Notificarea autorității de supraveghere în cazul încălcării securității datelor cu caracter personal

4.10.1   Notificarea încălcărilor, oricare ar fi acestea, riscă să compromită funcționarea sistemului și, până la urmă, să constituie un obstacol în calea responsabilizării efective a vinovaților.

4.11   Articolul 35 - Desemnarea responsabilului cu protecția datelor

4.11.1   În ceea ce privește responsabilul cu protecția datelor, ar trebui să se clarifice condițiile legate de această funcție, în special protecția împotriva concedierii, care trebuie clar definită și extinsă dincolo de perioada în care persoana în cauză își asumă această funcție; condiții de bază însoțite de cerințe clare privind exercitarea acestei activități; scutirea responsabilului cu protecția datelor de orice responsabilitate în momentul în care acesta din urmă a semnalat nereguli angajatorului sau autorităților naționale de protecție a datelor; dreptul de participare directă a reprezentanților personalului la desemnarea responsabilului cu protecția datelor și dreptul de informare periodică a acestor reprezentanți (12) cu privire la problemele întâlnite și la soluționarea acestora. De asemenea, ar trebui clarificată și chestiunea resurselor alocate acestei funcții.

4.12   Articolul 39 – Certificare

4.12.1   Certificarea trebuie să devină una dintre sarcinile Comisiei.

4.13   Articolele 82 și 33 - Prelucrarea datelor în contextul ocupării unui loc de muncă

4.13.1   La articolul 82 lipsește o menționare explicită a evaluării performanței (care nu mai este amintită la articolul 20 privind crearea de profiluri). În plus, nu se precizează dacă această autorizație se aplică, de asemenea, formulării dispozițiilor privind responsabilul cu protecția datelor. Interdicția „creării de profiluri” în materie de ocupare a forței de muncă ar trebui menționată și în ceea ce privește evaluarea impactului privind protecția datelor (articolul 33).

4.14   Articolele 81, 82, 83 și 84

4.14.1   Formularea „în limitele prevăzute de prezentul regulament” ar trebui să fie înlocuită de formularea „în temeiul prezentului regulament”.

Aspecte care lipsesc și care ar trebui să fie incluse

4.15   Domeniul de aplicare

4.15.1   Întrucât această chestiune este legată de drepturile fundamentale, armonizarea în domenii specifice ar trebui să permită statelor membre să adopte, în dreptul național, dispoziții care lipsesc sau care sunt mai favorabile decât cele prevăzute în regulament, la fel ca în cazul domeniilor menționate la articolele 80-85.

4.15.2   Adresele IP ale persoanelor ar trebui incluse în mod expres în textul regulamentului, în categoria datelor personale care trebuie protejate, și nu numai în considerente.

4.15.3   Motoarele de căutare pe internet care își obțin cea mai mare parte a veniturilor din publicitate și care colectează date personale ale utilizatorilor și le utilizează în scopuri comerciale trebuie incluse în domeniul de aplicare a regulamentului, și nu numai în considerente.

4.15.4   Ar trebui precizat faptul că rețelele de socializare intră în domeniul de aplicare a regulamentului, nu doar atunci când creează profiluri în scopuri comerciale.

4.15.5   Întrucât creează profiluri ale anumitor utilizatori ai rețelei și îi încadrează în sisteme de evidență, controlându-le fiecare mișcare, anumite metode de supraveghere și de filtrare pe internet, care pretind că duc o campanie de combatere a contrafacerilor, trebuie, în lipsa unei autorizații judiciare nominale să intre și ele în domeniul de aplicare a regulamentului.

4.15.6   Ar fi de dorit, de asemenea, ca instituțiile și organele Uniunii să respecte obligațiile prevăzute în acest regulament.

4.16   Articolul 9 – Prelucrarea categoriilor speciale de date cu caracter personal

4.16.1   Cea mai bună modalitate ar fi definirea unor regimuri speciale în funcție de împrejurări, situații și de finalitatea prelucrării datelor. Trebuie introdusă interdicția de a se „crea profiluri” în aceste domenii.

4.16.2   Trebuie introdus principiul nediscriminării în prelucrarea datelor sensibile în scopul realizării de statistici.

4.17   Ar trebui incluse posibilități (neexploatate) în domeniile următoare:

—	participarea reprezentanților personalului la toate nivelurile în statele membre și în UE la elaborarea de „norme obligatorii pentru întreprinderi”, care ar trebui admise ca o condiție pentru transferul internațional al datelor (articolul 43);

—	informarea și consultarea comitetului european de întreprindere în momentul transferurilor internaționale de date privind angajații, în special către țări terțe;

—

informarea și participarea partenerilor sociali europeni și a ONG-urilor europene pentru care activează în domeniile consumatorilor și apărării drepturilor omului la desemnarea membrilor „Comitetului european pentru protecția datelor”, care trebuie să înlocuiască Grupul de lucru pentru protecția persoanelor în ceea ce privește prelucrarea datelor cu caracter personal;

—	informarea și participarea acestor parteneri și a ONG-urilor menționate de la nivel național la desemnarea membrilor autorităților naționale pentru protecția datelor, aspect care, de asemenea, nu este prevăzut.

4.18   Articolele 74-77 – Acțiuni colective în materie de sisteme de evidență a datelor ilegale și acțiuni în despăgubiri

4.18.1   Majoritatea încălcărilor drepturilor la protecția datelor au un caracter colectiv: atunci când este săvârșită, aceeași infracțiune nu afectează o singură persoană, ci un grup sau un ansamblu de persoane ale căror date sunt înregistrate în sisteme de evidență a datelor. Acțiunile individuale în justiție tradiționale nu sunt potrivite pentru a reacționa împotriva acestui tip de încălcări. Dacă articolul 76 autorizează orice organism, organizație sau asociație activă în domeniul protecției drepturilor persoanelor vizate să inițieze procedurile menționate la articolele 74 și 75 în numele uneia sau mai multor persoane vizate, nu la fel se întâmplă când se solicită o compensație sau o despăgubire, întrucât, în acest caz, articolul 77 nu prevede această posibilitate decât pentru persoane individuale și nu admite o procedură de reprezentare colectivă sau de acțiune colectivă.

4.18.2   În acest scop, Comitetul amintește că susține de mulți ani, în mai multe avize, necesitatea și urgența dotării UE cu un instrument judiciar armonizat pentru acțiunile colective la nivel european; acest instrument este necesar în multe domenii ale dreptului UE și există în mai multe state membre.

Aspecte inacceptabile

4.19   Articolul 8 - Prelucrarea datelor cu caracter personal ale minorilor

4.19.1   Întrucât „minorul” este definit ca orice persoană cu vârsta sub 18 ani [articolul 4 alineatul (18)], în conformitate cu Convenția de la New York, este inacceptabil ca, la articolul 8 alineatul (1) să li se dea posibilitatea minorilor de 13 ani să „consimtă” la prelucrarea datelor lor personale.

4.19.2   Deși CESE înțelege necesitatea stabilirii unor reguli specifice pentru IMM-uri, este inacceptabil ca Comisia să poată, printr-un act delegat, să scutească pur și simplu IMM-urile de obligația de a respecta drepturile minorilor.

4.20   Articolul 9 – Prelucrarea categoriilor speciale de date cu caracter personal

4.20.1   De asemenea, la articolul 9 alineatul (2) litera (a), nu există niciun motiv să li se permită minorilor să-și dea „ consimțământul” pentru prelucrarea datelor care le privesc naționalitatea, opiniile politice, religia, sănătatea, viața sexuală sau condamnările penale.

4.20.2   Datele pe care persoanele le furnizează în mod voluntar, cum ar fi, de exemplu, pe Facebook, nu ar trebui să fie excluse de la protecție, astfel cum se poate deduce la articolul (9) litera (e), și ar trebui să beneficieze cel puțin de „dreptul de a fi uitat”.

4.21   Articolul 13 - Drepturi referitoare la destinatari

4.21.1   Excepția menționată în partea finală – „cu excepția cazului în care acest lucru se dovedește imposibil sau presupune un efort disproporționat” – nu este nici justificabilă, nici acceptabilă.

4.22   Articolul 14 - Informații pentru persoana vizată

4.22.1   Excepția identică cu cea de la alineatul (5) litera (b) este, de asemenea, inacceptabilă.

4.23   Articolul 19 alineatul (1) - Dreptul la opoziție

4.23.1   Formula vagă utilizată ca excepție – „motivele legitime și imperioase” nu este acceptabilă și golește de conținut dreptul la opoziție.

4.24   Articolul 20 - Măsuri bazate pe crearea de profiluri

4.24.1   Interzicerea creării de profiluri nu trebuie limitată numai la prelucrarea automată (13).

4.24.2   La alineatul (2) litera (a), formularea „atunci când au fost invocate măsuri” trebuie înlocuită cu „au fost aplicate măsuri”.

4.25   Articolul 21 – Restricții

4.25.1   Textul de la litera (c) alineatul (1) este întru totul inacceptabil, întrucât conține formulări vagi și neclare precum: „interes economic sau financiar”, „domeniile monetar, bugetar și fiscal” și chiar și „stabilitatea și integritatea pieței”, această ultimă formulă fiind adăugată la Directiva 95/46.

4.26   Articolele 25, 28 și 35 – Limitarea la 250 de angajați

4.26.1   Pragul de 250 de angajați, care determină aplicabilitatea anumitor dispoziții privind protecția, cum ar fi, de exemplu, desemnarea unui responsabil cu protecția datelor, ar avea drept consecință faptul că doar un procentaj mai mic de 40 % dintre salariați ar beneficia de o astfel de dispoziție. Aplicarea acestei limite în ceea ce privește obligația de documentare ar avea drept rezultat faptul că marea majoritate a salariaților nu ar beneficia, prin urmare, de nicio posibilitate de a supraveghea utilizarea propriilor date cu caracter personal și nu ar mai exista, în consecință, niciun control. Comitetul sugerează să se aibă în vedere posibilitatea de a se stabili un prag mai mic, care să fie egal, de exemplu, cu numărul de lucrători utilizat deja în statele membre pentru constituirea unui organ de reprezentare a intereselor personalului la nivel de întreprindere, a unui comitet al personalului sau a unui comitet de supraveghere. Ar putea fi avută în vedere o altă abordare, bazată pe criterii obiective, care să se bazeze, de exemplu, pe numărul de sisteme de evidență de protecție a datelor prelucrate într-un interval de timp determinat, indiferent de dimensiunea întreprinderii sau a serviciului respectiv.

4.27   Articolul 51 – „Ghișeul unic”

4.27.1   Dacă, pentru a facilita sarcinile întreprinderilor și pentru a eficientiza mecanismele de protecție a datelor, se introduce principiul „ghișeului unic”, acesta ar putea totuși să determine o deteriorare sensibilă a protecției datelor cetățenilor, în general, și a datelor personale ale lucrătorilor, în special, făcând să devină caducă obligația actuală conform căreia transferurile de date cu caracter personal trebuie să facă obiectul unui acord la nivel de întreprindere și să fie aprobate de o comisie națională de protecție a datelor (14).

4.27.2   În plus, acest sistem pare să se opună obiectivului privind o gestionare de proximitate și riscă să priveze cetățenii de posibilitatea de a-și vedea solicitarea preluată de autoritatea de supraveghere cea mai apropiată și mai accesibilă.

4.27.3   Așadar, există motive care pledează în favoarea menținerii competenței autorității statului membru de reședință al reclamantului.

---

(1)  COM(2012) 11 final.

(2)  COM(2012) 9 final.

(3)  COM(2012) 10 final.

(4)  COM(2012) 12 final.

(5)  Acestea insistă asupra necesității ca Uniunea să se doteze cu un regim complet de protecție a datelor personale care să acopere totalitatea competențelor Uniunii și să vegeheze la aplicarea sistematică a dreptului fundamental la protecția datelor, astfel încât persoanele fizice să aibă dreptul de a exercita un control efectiv asupra propriilor date.

(6)  A se vedea Avizul CESE privind reutilizarea informațiilor din sectorul public JO C 191, 29.6.2012, p. 129.

(7)  A se vedea Avizul CESE JO C 248, 25.8.2011, p. 123.

(8)  Avizul Autorității Europene pentru Protecția Datelor privind pachetul privind protecția datelor din 7 martie 2012.

(9)  COM(2009) 673 final din 9.12.2009.

(10)  A se vedea obiecțiile privind respectarea principiului subsidiarității formulate de Senatul Franței.

(11)  Sunt necesare mai multe precizări cu privire la chestiunea desfășurării unor activități de marketing prin trimiterea de scrisori nominale, dat fiind că aplicarea regulamentului în această formă ar duce la interzicerea acestei proceduri, deși aceasta constituie o metodă mai puținintruzivă și orientată către identificarea unorclienți.

(12)  De exemplu, unui raport periodic de activitate a responsabilului cu protecția datelor ar putea fi transmis reprezentanților personalului sau aleșilor consiliului de administrație sau Consiliului de supraveghere, național și/sau european, acolo unde există.

(13)  A se vedea recomandarea CM/Rec(2010)13 a Comitetului de Miniștri a Consiliului Europei, 23.11.2010.

(14)  În special autoritățile administrative independente însărcinate să autorizeze și să controleze sistemele nominale de evidență a datelor; din contră, competențele acestora ar trebui extinse în cadrul societății digitale și al rețelelor sociale, datorită valorii pe care o are schimbul profilurilor individuale pentru marketing.

---

---