23.3.2010   

RO

Jurnalul Oficial al Uniunii Europene

C 73/1

1.

La 27 iulie 2009, Comisia a adoptat o propunere de regulament al Consiliului de modificare a Regulamentului (CE) nr. 881/2002 de instituire a unor măsuri restrictive specifice împotriva anumitor persoane și entități, având în vedere situația din Somalia, precum și o propunere de regulament al Consiliului de modificare a Regulamentului (CE) nr. 314/2004 al Consiliului privind anumite măsuri restrictive împotriva Zimbabwe. La 18 septembrie, Comisia a adoptat și o propunere de regulament al Consiliului de modificare a Regulamentului (CE) nr. 329/2007 al Consiliului privind măsurile restrictive împotriva Republicii Populare Democrate Coreene. Mai mult, la 23 noiembrie, Comisia a adoptat o propunere de regulament al Consiliului de instituire a unor măsuri restrictive specifice împotriva Guineei. Toate aceste propuneri au fost transmise AEPD de către Comisie spre consultare, în conformitate cu articolul 28 alineatul (2) din Regulamentul (CE) nr. 45/2001. AEPD amintește că a furnizat inclusiv comentarii informale pe marginea proiectelor acestor propuneri, precum și a celorlalte proiecte de propuneri de modificare a regulamentelor analoage ale Consiliului care impun înghețarea unor fonduri și alte măsuri restrictive.

2.

AEPD salută faptul că este consultată și că această consultare este menționată în preambulul propunerilor, într-un mod similar celui din cadrul altor texte legislative asupra cărora a fost consultată AEPD, în conformitate cu Regulamentul (CE) nr. 45/2001.

3.

Prin modificarea actualei legislații sau prezentarea de noi instrumente juridice, toate aceste propuneri au în vedere combaterea terorismului sau încălcarea drepturilor omului prin impunerea de măsuri restrictive – în special înghețarea unor active, interdicții de călătorie – în ceea ce privește persoanele fizice și juridice bănuite de asociere cu organizații teroriste și/sau cu anumite guverne. În acest sens, Comisia Europeană publică și face publice „liste negre” cu persoane fizice sau juridice vizate de aceste măsuri restrictive.

4.

La 28 iulie 2009, AEPD a publicat un aviz privind propunerea de regulament al Consiliului de modificare a Regulamentului (CE) nr. 881/2002 de instituire a unor măsuri restrictive specifice împotriva anumitor persoane și entități care au legătură cu Osama ben Laden, cu rețeaua Al-Qaida și cu talibanii (denumită în continuare „propunerea privind Al-Qaida”). În respectivul aviz, era salutată intenția Comisiei de a garanta într-un mod mai eficient protecția drepturilor fundamentale, inclusiv a protecției datelor cu caracter personal, și se recomanda modificarea și/sau clarificarea anumitor aspecte ale propunerii în vederea respectării unor principii esențiale ale UE în materie de protecție a datelor. AEPD a monitorizat îndeaproape evoluțiile negocierilor din cadrul Consiliului referitoare la propunerea privind Al-Qaida (3) și regretă că multe dintre dispozițiile referitoare la protecția datelor cu caracter personal au fost șterse sau reduse substanțial.

5.

Argumentele subliniate în respectivul aviz sunt în continuare valabile și majoritatea dintre ele se aplică într-o anumită măsură și prezentelor propuneri, care cuprind multe dispoziții analoage celor din respectiva propunere. Prezentul aviz, care ține seama de toate propunerile primite până în prezent de către AEPD, spre consultare, precum și de evoluțiile negocierilor din cadrul Consiliului, va aborda aplicarea principiilor de protecție a datelor în domeniul măsurilor restrictive și va prezenta recomandări de îmbunătățire. Aceste recomandări vor ține seama și de intrarea în vigoare a Tratatului de la Lisabona, precum și de orientările politice importante cuprinse în Programul de la Stockholm adoptat recent (4). Această abordare va permite AEPD să emită noi avize cu privire la propuneri de legislație în acest domeniu numai în măsura în care respectivele noi propuneri diferă în mod substanțial față de dispozițiile actualelor propuneri.

6.

Prezentul aviz se concentrează asupra acelor aspecte ale măsurilor restrictive care sunt direct legate de protecția datelor cu caracter personal, în special asupra acelor aspecte în privința cărora AEPD recomandă clarificări în acest domeniu, în vederea garantării securității juridice și a eficacității măsurilor. Prezentul aviz nu abordează sau aduce atingere altor chestiuni de fond care ar putea fi legate de includerea pe listă în virtutea aplicării altor norme.

7.

Propunerile Comisiei vizează abordarea jurisprudenței Curții de Justiție, care a reafirmat în mai multe ocazii faptul că normele UE de protecție a drepturilor fundamentale ar trebui respectate independent de adoptarea unor măsuri restrictive la nivelul UE sau la nivelul unor organizații internaționale precum ONU (5).

8.

Printre drepturile fundamentale ale UE se numără și dreptul la protecția datelor cu caracter personal, care a fost recunoscut de Curtea de Justiție ca unul dintre principiile care decurg din articolul 6 alineatul (2) din TUE, fiind confirmat și de articolul 8 din Carta drepturilor fundamentale a UE (6). În cadrul măsurilor restrictive, dreptul la protecția datelor cu caracter personal joacă un rol fundamental, constituind chiar un instrument al respectării efective a celorlalte drepturi fundamentale, precum dreptul la apărare, dreptul de a fi audiat și dreptul la o protecție judiciară efectivă.

9.

Din această perspectivă, AEPD salută, ca și în avizul său din 28 iulie 2009 privind măsurile restrictive luate în privința Al-Qaida, intenția Comisiei de a îmbunătăți actualul cadru juridic prin perfecționarea procedurii de includere pe liste și prin luarea explicită în considerare a dreptului la protecția datelor cu caracter personal. Măsurile restrictive se bazează pe prelucrarea datelor cu caracter personal, proces care, independent de înghețarea activelor, respectă normele și garanțiile de protecție a datelor. Din aceste motive, este extrem de important ca normele aplicabile de prelucrare a datelor cu caracter personal ale persoanelor incluse pe listă să respecte principiul clarității și securității juridice, și în vederea asigurării legalității și legitimității măsurilor restrictive.

10.

Programul de la Stockholm subliniază că „atunci când trebuie să se evalueze cadrul privat al cetățenilor în spațiul de libertate, securitate și justiție, dreptul la libertate este primordial” și că UE ar trebui să promoveze aplicarea principiilor de protecție a datelor pe teritoriul UE și în cadrul relațiilor sale cu alte țări.

11.

Intrarea în vigoare a Tratatului de la Lisabona consolidează cadrul juridic în acest domeniu. Pe de o parte, acesta stabilește două noi temeiuri juridice (articolele 75 și 215 din TFUE) care îi permit UE să adopte măsuri restrictive împotriva persoanelor fizice sau juridice și grupurilor sau entităților nestatale. Pe de altă parte, articolul 16 din TFUE și articolul 39 din TUE reafirmă dreptul la protecția datelor și necesitatea normelor și garanțiilor de protecție a datelor în toate domeniile de activitate ale Uniunii Europene, iar Carta drepturilor fundamentale a UE obține valoare obligatorie, ceea ce, după cum recunoaște în mod explicit Programul de la Stockholm, va „consolida obligația Uniunii, inclusiv a instituțiilor sale, de a asigura faptul că drepturile fundamentale sunt promovate activ în toate domeniile sale de activitate” (7).

12.

În special, în ceea ce privește prelucrarea datelor cu caracter personal efectuată de instituțiile UE, articolul 16 din TFUE se aplică tuturor activităților UE, inclusiv în politica externă și de securitate comună, iar articolul 39 din TUE prevede o procedură decizională diferită în ceea ce privește prelucrarea datelor cu caracter personal efectuată de către statele membre în cadrul politicii externe și de securitate comună. În plus, Curtea de Justiție devine pe deplin competentă, chiar și în materie de politică externă și de securitate comună, să evalueze legalitatea – și în special respectarea drepturilor fundamentale – în cazul deciziilor care prevăd măsuri restrictive împotriva persoanelor fizice și juridice (articolul 275 din TFUE).

13.

Mai mult, prin aderarea UE la Convenția europeană a drepturilor omului, prevăzută prin Tratatul de la Lisabona, pozițiile adoptate de Consiliul Europei referitoare la introducerea pe listele negre (8) și jurisprudența Curții Europene a Drepturilor Omului vor deveni și mai pertinente pentru cadrul juridic al UE.

14.

În acest context, articolul 8 din Carta drepturilor fundamentale are o importanță deosebită, în special întrucât specifică faptul că datele cu caracter personal sunt prelucrate în baza unui temei legitim prevăzut de lege și că „orice persoană are dreptul de acces la datele colectate care o privesc”. Aceste elemente esențiale ale protecției datelor trebuie să fie respectate de către toate dispozițiile UE și persoanele se pot afla în situația de a pretinde efectul direct – indiferent de orice recunoaștere explicită în legislația secundară a UE – al drepturilor conferite de acest articol.

15.

Noul cadru juridic introdus de intrarea în vigoare a Tratatului de la Lisabona oferă legiuitorului instrumentele și obligația de a stabili norme cuprinzătoare și consecvente în ceea ce privește protecția datelor cu caracter personal, și în domeniul măsurilor restrictive. Această obligație este cu atât mai importantă în lumina proliferării și a duratei din ce în ce mai ridicate în cazul acestui tip de măsuri, care au consecințe pe termen lung asupra persoanelor respective.

16.

În acest sens, AEPD recomandă călduros Comisiei să renunțe la actuala abordare fragmentară – prin faptul că norme specifice, și câteodată diferite, privind prelucrarea datelor cu caracter personal sunt adoptate pentru fiecare țară sau organizație – și să propună un cadru general și coerent pentru toate sancțiunile avute în vedere puse în aplicare de către UE împotriva persoanelor fizice sau juridice, a entităților sau a organismelor, ceea ce asigură respectarea drepturilor fundamentale ale persoanelor respective și, în special, respectarea dreptului fundamental la protecția datelor cu caracter personal. Necesitatea restricțiilor aduse acestor drepturi ar trebui stabilită în mod clar prin lege, să fie proporțională și, în orice caz, să respecte substanța acestor drepturi.

17.

AEPD consideră că acest efort ar trebui să se desfășoare în paralel cu obiectivul stabilit de Consiliul European în cadrul Programului de la Stockholm de „a contribui la o mai bună concepere, aplicare și eficacitate a sancțiunilor Consiliului de Securitate al ONU, pentru a asigura respectarea drepturilor fundamentale și proceduri corecte și clare” (9).

18.

Următoarele puncte, consacrate analizei actualelor propuneri, nu numai că vor oferi recomandări privind îmbunătățirea dispozițiilor acestor propuneri, dar vor sublinia și acele aspecte legate de protecția datelor care nu sunt în prezent abordate și în privința cărora AEPD recomandă o clarificare în prezentele instrumente juridice sau într-un cadru mai general.

19.

După cum a fost deja afirmat în avizul AEPD din 28 iulie 2009, normele privind protecția datelor stabilite prin Regulamentul (CE) nr. 45/2001 sunt aplicabile prelucrării datelor cu caracter personal efectuate de instituțiile UE în domeniul măsurilor restrictive, chiar dacă aceste măsuri au fost emise de organizații internaționale sau prin poziții comune adoptate în cadrul politicii externe și de securitate comune.

20.

În acest sens, AEPD salută trimiterile din actualele propuneri la aplicabilitatea Regulamentului (CE) nr. 45/2001, precum și la drepturile persoanelor vizate care decurg din acesta. Cu toate acestea, AEPD regretă că evoluțiile negocierilor referitoare la măsurile restrictive în privința rețelei Al-Qaida au dus la eliminarea unora dintre aceste trimiteri.

21.

În acest sens, AEPD ar dori să sublinieze faptul că aceste eliminări nu exclud sau limitează aplicabilitatea acelor obligații și drepturi ale persoanelor vizate care nu mai sunt menționate în mod explicit în instrumentele juridice. Cu toate acestea, AEPD consideră că menționarea explicită și abordarea aspectelor legate de protecția datelor în instrumentele juridice privind măsurile restrictive nu numai că sporește protecția drepturilor fundamentale, dar și evită lăsarea unor chestiuni delicate neclarificate și, prin urmare, aducerea lor în fața instanțelor.

22.

Într-o perspectivă mai generală, AEPD subliniază că, în temeiul articolul 8 din Carta drepturilor fundamentale a UE, „orice persoană are dreptul la protecția datelor cu caracter personal care o privesc”. Acest drept fundamental ar trebui prin urmare garantat în Uniunea Europeană, indiferent de naționalitatea, locul de reședință sau activitățile profesionale ale persoanelor vizate. Aceasta înseamnă că, deși se poate dovedi necesară restricționarea acestui drept, în cadrul măsurilor restrictive, nu este permisă nicio excludere de principiu sau generalizată de la acest drept în ceea ce privește unele categorii de persoane, precum cele care au o legătură cu guvernul unei țări terțe.

23.

În conformitate cu normele de protecție a datelor [articolul 4 din Regulamentul (CE) nr. 45/2001], datele cu caracter personal trebuie să fie: prelucrate în mod corect și legal; colectate în scopuri specificate, explicite și legitime și să nu fie prelucrate ulterior într-un mod incompatibil cu aceste scopuri; adecvate, pertinente și neexcesive în raport cu scopurile pentru care sunt colectate și, ulterior, prelucrate. Datele cu caracter personal trebuie să fie exacte și actualizate: trebuie să fie luată orice măsură rezonabilă în vederea garantării eliminării sau rectificării datelor inexacte sau incomplete. De asemenea, datele cu caracter personal trebuie păstrate într-o formă care să permită identificarea persoanelor respective pe o durată care să nu depășească perioada necesară scopurilor pentru care au fost culese datele sau pentru care sunt prelucrate ulterior.

24.

AEPD salută faptul că toate propunerile Comisiei (10) definesc în mod explicit categoriile de date cu caracter personal care vor fi prelucrate în cadrul măsurilor restrictive și reglementează în mod explicit prelucrarea datelor cu caracter personal privind infracțiuni, condamnări și măsuri de securitate.

25.

Ținând seama de acestea, AEPD salută principiul prevăzut la alineatul (3), conform căruia prenumele și numele părinților unei persoane fizice pot fi incluse în anexă numai în cazurile în care sunt necesare într-un caz specific în scopul unic de a verifica identitatea persoanei fizice respective incluse pe listă. De asemenea, această dispoziție reflectă fidel și principiul de protecție a datelor care constă în limitarea scopului, conform căruia datele cu caracter personal sunt colectate în scopuri determinate și nu sunt prelucrate ulterior într-un mod incompatibil cu acele scopuri.

26.

Pentru a se garanta precizarea și aplicarea acestui principiu într-un mod adecvat în ceea ce privește prelucrarea de date cu caracter personal în acest domeniu, AEPD recomandă aplicarea explicită a acestui principiu tuturor categoriilor de date, prin modificarea articolelor relevante, astfel încât anexa cu lista de persoane să „cuprindă numai informațiile necesare pentru verificarea identității persoanelor fizice incluse pe listă și, în niciun caz, nu vor include și alte informații decât următoarele”. Această modificare ar permite evitarea colectării și publicării informațiilor care nu sunt necesare privind persoanele fizice incluse pe listă și familiile acestora.

27.

Mai mult, AEPD propune ca propunerile să afirme în mod explicit faptul că datele cu caracter personal vor fi șterse sau trecute în anonimat de îndată ce nu mai sunt necesare în fiecare caz pentru punerea în aplicare a măsurilor restrictive sau pentru litigiile pendinte în fața Curții de Justiție.

28.

În ceea ce privește obligația de a menține datele cu caracter personal exacte și actualizate, actualele propuneri prezintă abordări diferite. Propunerea privind Somalia, ca și cea privind rețeaua Al-Qaida, stabilește că atunci când ONU hotărăște scoaterea de pe listă a unei persoane, Comisia ar trebui să modifice lista UE în mod corespunzător [articolul 11 alineatul (4)]. În schimb, propunerea privind Republica Populară Democrată Coreeană prevede o obligație de revizuire a listei UE la intervale regulate și cel puțin o dată pe semestru [articolul 6 alineatul (2)]. Celelalte propuneri nu menționează vreunul dintre aceste mecanisme.

29.

Cu toate acestea, toate listele UE, indiferent de țara pe care o vizează și dacă sunt sau nu adoptate direct la nivelul UE sau pun în aplicare decizii ale ONU, trebuie să respecte principiul de calitate a datelor, care este de o importanță crucială în domeniul măsurilor restrictive. Într-adevăr, după cum a subliniat recent (11) Tribunalul de Primă Instanță, atunci când măsurile restrictive se bazează pe anchete polițienești sau de securitate, evoluțiile din cadrul acestor anchete – cum ar fi finalizarea unei investigații, încetarea urmăririi sau achitarea pe plan penal – ar trebui să fie luate în considerare în mod corespunzător în cadrul revizuirii listelor, pentru a evita astfel ca fondurile aparținând persoanei în cauză să fie înghețate pe termen nedeterminat, în afara oricărui control judiciar și indiferent de concluzia procedurilor judiciare eventuale.

30.

În acest context, AEPD recomandă instituirea de mecanisme efective de scoatere de pe listă a persoanelor fizice, precum și revizuirea listelor UE la intervale regulate, în ceea ce privește toate actualele și viitoarele propuneri în acest domeniu.

31.

În avizul său din 28 iulie 2009, AEPD a salutat intenția Comisiei de a consolida respectarea drepturilor fundamentale prin punerea la dispoziția persoanelor vizate a unor mijloace de informare privind motivele includerii pe liste, precum și a posibilității de a își exprima opiniile pe acest subiect. În prezent, se propune același tip de dispoziție în ceea ce privește Somalia (12) și Guineea (13), iar în ceea ce privește Zimbabwe (14), dreptul de a fi informat cu privire la motivele includerii pe listă și de a își exprima opiniile pe acest subiect se limitează la persoanele care nu au o legătură cu guvernul. Propunerea privind Republica Populară Democrată Coreeană nici măcar nu menționează această posibilitate.

32.

AEPD reamintește obligația de a pune informații la dispoziția persoanei vizate în temeiul articolului 11 și mai ales al articolului 12 din Regulamentul (CE) nr. 45/2001, referitoare la informații care trebuie furnizate în cazul în care datele nu au fost colectate de la persoana vizată. Aceste dispoziții trebuie respectate în privința tuturor persoanelor, indiferent de naționalitate sau de legătura lor cu guvernul unei anumite țări. Există deja diverse modalități de punere a informațiilor la dispoziția persoanelor incluse pe listă și acestea pot fi adaptate la contextul politic propriu respectivelor măsuri restrictive. Mai mult, pot fi stabilite restricții sau excepții în temeiul articolului 20 din Regulamentul (CE) nr. 45/2001 (15) în măsura în care sunt necesare în circumstanțe specifice, dar nu este posibilă o excludere generalizată și nelimitată de la obligația de a furniza informații.

33.

În acest context, AEPD recomandă abordarea într-un mod mai explicit, în toate actualele și viitoarele propuneri din acest domeniu, a dreptului la informare al persoanelor incluse pe listă, precum și a condițiilor și a modalităților restricțiilor care se pot dovedi necesare.

34.

Articolul 8 alineatul (2) din Carta drepturilor fundamentale a UE stipulează că „Orice persoană are dreptul de acces la datele colectate care o privesc, precum și dreptul de a obține rectificarea acestora”, consacrând astfel dreptul de acces drept unul dintre elementele esențiale ale dreptului fundamental la protecția datelor cu caracter personal. În același sens, articolul 13 din Regulamentul (CE) nr. 45/2001 conferă persoanei vizate dreptul să i se comunice de către operator, într-o formă inteligibilă, fără constrângere, în orice moment în termen de trei luni de la primirea cererii și în mod gratuit, între altele, datele care fac obiectul prelucrării [a se vedea litera (c)].

35.

În domeniul măsurilor restrictive, datele cu caracter personal ale persoanelor incluse pe listă, și în special acele date referitoare la motivele pe baza cărora persoanele sunt incluse pe listă, figurează adesea în documente clasificate. În privința acestor documente, toate propunerile Comisiei au prezentat dispoziții identice: în primul rând, se afirmă că, în cazul în care ONU sau un stat transmite informații clasificate, Comisia trebuie să gestioneze aceste informații în conformitate cu dispozițiile interne ale Comisiei în materie de securitate [Decizia 2001/844/CE, CECO, Euratom (16)] și, după caz, cu acordurile privind securitatea informațiilor clasificate încheiate între Uniunea Europeană și statul care transmite informațiile respective; în al doilea rând, se specifică faptul că documentele clasificate la un nivel care corespunde nivelului „EU Top Secret”, „Secret UE” sau „Confidentiel UE” nu ar trebui publicate fără acordul emitentului (17).

36.

AEPD a analizat deja în mod amănunțit aceste dispoziții în avizul său din 28 iulie 2009 (18) și a observat că nici normele interne de securitate ale Comisiei, nici acordurile cu fiecare stat membru sau cu ONU nu abordează chestiunea accesului persoanelor vizate la datele cu caracter personal care le privesc. Mai mult, deși în domeniul măsurilor restrictive, pot fi prevăzute limitări ale dreptului de acces, actualele dispoziții nu garantează faptul că o limitare intervine doar dacă este necesar și nici nu prevăd criterii de fond pentru a evalua necesitatea acesteia. Într-adevăr, conform propunerilor, dreptul de acces ar fi supus unei obligații necondiționate de obținere a consimțământului emitentului, ceea ce ar lăsa o totală libertate emitentului informațiilor, inclusiv unor părți care nu intră sub incidența dreptului UE și a normelor UE de protecție a drepturilor fundamentale.

37.

Negocierile din cadrul Consiliului au dus la eliminarea acestei dispoziții din propunerea privind Al-Qaida.

38.

În acest context, AEPD recomandă insistent legiuitorului să abordeze, în cadrul actualelor și viitoarelor propuneri, chestiunea esențială a dreptului persoanelor incluse pe listă de a dispune de acces – direct sau indirect prin intermediul altor autorități (19) – la datele cu caracter personal care le privesc, cuprinse în documentele clasificate, cu excepția unor limitări proporționale care se pot dovedi necesare în anumite situații.

39.

AEPD ar dori de asemenea să reamintească faptul că Regulamentul (CE) nr. 45/2001 prevede alte drepturi ale persoanelor vizate pe care legiuitorul le poate lua în considerare în vederea abordării în aceste propuneri sau în altele viitoare. În special, articolul 14 din Regulamentul (CE) nr. 45/2001 prevede o obligație, în privința operatorului, de rectificare fără întârziere a datelor cu caracter personal inexacte sau incomplete, iar articolul 17 prevede obligația de a notifica rectificarea sau eliminarea datelor – de exemplu, în cazul scoaterii de pe listă – părților terțe cărora le-au fost dezvăluite datele, cu excepția cazului în care acest lucru se dovedește imposibil sau presupune un efort disproporționat.

40.

De asemenea, AEPD salută faptul că toate propunerile au în vedere desemnarea explicită a unei unități din cadrul Comisiei Europene drept operator, sporind astfel vizibilitatea operatorului și facilitând exercitarea drepturilor persoanelor vizate precum și repartizarea responsabilităților în temeiul Regulamentului (CE) nr. 45/2001.

41.

O chestiune importantă care nu este abordată în prezent în mod explicit în propuneri, ci doar implicit în procedura de includere pe listă, este garantarea faptului că datele cu caracter personal sunt protejate într-un mod adecvat atunci când sunt comunicate de către UE țărilor terțe și organizațiilor internaționale, precum Organizația Națiunilor Unite.

42.

În această privință, AEPD ar dori să atragă atenția asupra articolului 9 din Regulamentul (CE) nr. 45/2001, care prevede condițiile de transfer al datelor cu caracter prsonal către alți destinatari decât organismele comunitare, destinatari care nu intră sub incidența Directivei 95/46/CE. Există o varietate de soluții posibile, de la acordul persoanei vizate [alineatul (6) litera (a)] și exercitarea unor drepturi în justiție [alineatul (6) litera (d)] – care ar fi utile în cazul în care informațiile au fost furnizate de persoana inclusă pe listă pentru a solicita o reanalizare a includerii pe listă – până la existența în cadrul ONU sau la nivelul țării terțe respective a unor mecanisme de garantare a unei protecții adecvate a datelor cu caracter personal transmise de UE.

43.

AEPD, reamintind faptul că diversele activități de prelucrare avute în vedere ar trebui să fie conforme acestui sistem, recomandă legiuitorului să se asigure că există mecanisme și garanții adecvate – de exemplu, precizări în propuneri, precum și acorduri cu ONU sau alte țări terțe relevante – în vederea garantării unei protecții adecvate a datelor cu caracter personal transmise către țări terțe și organizații internaționale.

44.

AEPD consideră că chestiunea restricțiilor și limitărilor anumitor drepturi fundamentale, precum protecția datelor cu caracter personal, ocupă un rol esențial în domeniul măsurilor restrictive, întrucât se pot dovedi necesare pentru a asigura o punere în aplicare eficientă și corespunzătoare a măsurilor restrictive.

45.

Convenția Europeană a Drepturilor Omului, Carta drepturilor fundamentale a UE, precum și instrumentele juridice privind protecția datelor, inclusiv articolul 20 din Regulamentul (CE) nr. 45/2001, prevăd această posibilitate, cu respectarea anumitor condiții care au fost reafirmate și clarificate atât de Curtea Europeană a Drepturilor Omului, cât și de Curtea Europeană de Justiție (20). Pe scurt, aceste restricții ale dreptului fundamental la protecția datelor ar trebui să se bazeze pe măsuri legislative și să fie supuse unui test strict de proporționalitate, fiind, mai exact, necesară limitarea acestora, atât din punct de vedere al conținutului, cât și al aplicării în timp, la ceea ce este necesar pentru urmărirea interesului public respectiv, fapt confirmat de jurisprudența cuprinzătoare a Curții de Justiție inclusiv în materie de măsuri restrictive. Restricțiile generale, disproporționate sau imprevizibile nu ar răspunde cerințelor acestui test.

46.

De exemplu, informarea persoanelor vizate va trebui întârziată, în măsura în care acest lucru este necesar pentru a păstra „efectul surprizei” al deciziei de includere pe listă a respectivei persoane și de înghețare a activelor acesteia. Cu toate acestea, după cum a subliniat Tribunalul de Primă Instanță în jurisprudența sa (21), refuzarea accesului în continuare sau amânarea comunicării acestei informații, chiar și ulterior înghețării, ar fi inutilă și, prin urmare, disproporționată. Restricții disproporționate și temporare ale dreptului de acces al persoanelor incluse pe listă la datele cu caracter personal care le privesc – inclusiv informații privind deciziile în temeiul cărora a avut loc includerea pe listă – pot fi de asemenea luate în considerare, dar o excludere generalizată și permanentă de la acest drept ar aduce atingere dreptului fundamental la protecția datelor cu caracter personal în substanța sa.

47.

Regulamentul (CE) nr. 45/2001 oferă deja un cadru juridic care prevede atât restricții, cât și garanții. Alineatele (3) și (4) ale articolului 20 conțin reguli referitoare la aplicarea restricțiilor. Conform alineatului (3), instituția implicată ar trebui să informeze persoana vizată privind motivele principale pe care se bazează restricția și privind dreptul său de a se adresa AEPD. Alineatul (4) mai conține o normă care se referă în mod specific la restricționarea dreptului de acces. Aceasta prevede că, în momentul investigării unei plângeri în temeiul alineatului anterior, AEPD doar informează persoana vizată dacă datele au fost prelucrate corect și, în caz contrar, dacă au fost efectuate rectificările necesare (22).

48.

Toate actualele propuneri abordează chestiunea restricțiilor în privința drepturilor la protecția datelor numai parțial sau implicit, permițând astfel existența unor norme contradictorii și a unor interpretări posibile, susceptibile de a fi prezentate în fața tribunalelor. Negocierile purtate pe marginea propunerii privind Al-Qaida par să se îndrepte către reducerea referirilor la drepturile la protecția datelor și la necesitatea restricțiilor.

49.

În acest context, AEPD recomandă legiuitorului să abordeze această chestiune delicată, prin clarificarea în actualele propuneri sau într-un alt instrument juridic a restricțiilor aduse principiilor de protecție a datelor și garanțiilor care se pot dovedi necesare în cadrul măsurilor restrictive. Aceasta ar permite ca restricțiile să fie previzibile și proporționale, asigurând în același timp eficiența măsurilor restrictive, respectarea drepturilor fundamentale și reducerea litigiilor în fața instanțelor. De asemenea, acest lucru reflectă Programul de la Stockholm în care se afirmă clar că UE trebuie să prevadă și să reglementeze situațiile în care se justifică (23) ingerința autorităților publice în exercitarea drepturilor la protecția datelor.

50.

În temeiul articolului 32 alineatul (4) din Regulamentul (CE) nr. 45/2001, precum și al articolului 23 din Directiva 95/46/CE, orice persoană care a suferit prejudicii ca urmare a unei prelucrări ilegale de date are dreptul să obțină reparații de la operator pentru prejudiciul suferit, cu excepția cazului în care operatorul dovedește că nu îi este imputabilă fapta care a provocat prejudiciul. Aceasta este o precizare a conceptului juridic general de răspundere, prin inversarea sarcinii probei.

51.

Din această perspectivă, măsurile restrictive se bazează pe prelucrarea și publicarea datelor cu caracter personal, care în caz de ilegalitate pot antrena în sine – independent de măsurile restrictive luate – daune morale, astfel cum a recunoscut deja TPI (24).

52.

AEPD subliniază că această răspundere delictuală pentru activitățile de prelucrare a datelor cu caracter personal care încalcă legislația în vigoare privind protecția datelor rămâne valabilă și nu poate fi golită de conținutul său esențial, deși unele dintre actualele propuneri (25) exclud răspunderea, cu excepția cazurilor de neglijență, a persoanelor fizice și juridice care pun în aplicare măsurile restrictive.

53.

Persoanele incluse pe listă au dreptul la căi de atac judiciare, precum și la căi de atac administrative în fața autorităților de supraveghere competente în domeniul protecției datelor. Aceste ultime căi de atac includ plângerile introduse de persoanele vizate, în conformitate cu articolul 32 din Regulamentul (CE) nr. 45/2001, și se bazează pe competența AEPD de a obține de la un operator sau de la o instituție comunitară sau organism comunitar accesul la toate datele cu caracter personal și la toate informațiile necesare realizării anchetelor sale [a se vedea articolul 47 alineatul (2) litera (b) din Regulamentul (CE) nr. 45/2001].

54.

Supravegherea independentă a respectării normelor de protecție a datelor reprezintă un principiu fundamental al protecției datelor, reafirmat explicit în prezent, în ceea ce privește prelucrarea datelor cu caracter personal efectuată în toate activitățile UE, nu numai de articolul 8 din Carta drepturilor fundamentale a UE, dar și de articolul 16 din TFUE și de articolul 39 din TUE.

55.

După cum a subliniat deja în avizul său din 28 iulie 2009 (26), AEPD este preocupată de faptul că condiția cuprinsă în actualele propuneri, conform căreia informațiile clasificate se publică doar cu consimțământul emitentului, nu numai că ar putea aduce atingere competențelor de supraveghere ale AEPD în acest domeniu, dar ar afecta și eficiența controlului judiciar, aducând atingere capacității CEJ de a controla dacă s-a realizat un echilibru între necesitatea de a combate terorismul internațional și protecția drepturilor fundamentale. Conform hotărârii Tribunalului de Primă Instanță din 4 decembrie 2008, accesul la informații clasificate poate fi necesar pentru a îi permite tribunalului să facă acest lucru (27).

56.

În acest context, AEPD recomandă ca actualele propuneri să prevadă că actualele căi de atac judiciare și supravegherea independentă efectuată de către autoritățile de supraveghere în domeniul protecției datelor din statele membre sunt pe deplin aplicabile și că nu se aduce atingere eficienței acestora prin condițiile impuse pentru accesul la documente clasificate. În acest sens, un prim pas ar fi înlocuirea cuvântului „publicarea” cu „punerea la dispoziția publicului” în articolele relevante din actualele propuneri (28).

57.

AEPD are convingerea fermă că prin respectarea drepturilor fundamentale pot fi combătute acțiunile celor care aduc atingere respectării drepturilor fundamentale.

58.

Din această perspectivă, AEPD salută, ca și în avizul său din 28 iulie 2009 privind măsurile restrictive luate în privința Al-Qaida, intenția Comisiei de a îmbunătăți actualul cadru juridic prin perfecționarea procedurii de includere pe liste și prin recunoașterea explicită a dreptului la protecția datelor cu caracter personal.

59.

Având în vedere instrumentele oferite de Tratatul de la Lisabona și viziunea pe termen lung prezentată în cadrul Programului de la Stockholm, AEPD recomandă călduros Comisiei să renunțe la actuala abordare fragmentară – prin faptul că norme specifice și, câteodată, diferite privind prelucrarea datelor cu caracter personal sunt adoptate pentru fiecare țară sau organizație – și să propună un cadru general și coerent pentru toate sancțiunile specifice puse în aplicare de către UE împotriva persoanelor fizice sau juridice, entităților sau organismelor, ceea ce asigură respectarea drepturilor fundamentale ale persoanelor implicate și, în special, respectarea dreptului fundamental la protecția datelor cu caracter personal. Restricțiile necesare aduse acestor drepturi ar trebui stabilite în mod clar prin lege, să fie proporționale și, în orice caz, să respecte substanța acestor drepturi.

60.

AEPD salută referirile din actualele propuneri la aplicabilitatea Regulamentului (CE) nr. 45/2001, precum și la drepturile persoanelor vizate care decurg din acesta.

61.

În ceea ce privește calitatea datelor și limitarea scopului, AEPD recomandă unele modificări în vederea garantării faptului că numai datele necesare sunt prelucrate, că datele respective sunt actualizate și sunt păstrate pentru o durată care nu depășește ceea ce este necesar. În special, AEPD recomandă instituirea de mecanisme efective de scoatere de pe listă a persoanelor fizice, precum și revizuirea listelor la intervale regulate, în ceea ce privește toate actualele și viitoarele propuneri în acest domeniu.

62.

AEPD recomandă abordarea într-un mod mai explicit, în toate actualele și viitoarele propuneri din acest domeniu, a dreptului la informare al persoanelor incluse pe listă, precum și a condițiilor și a modalităților restricțiilor care se pot dovedi necesare.

63.

AEPD recomandă insistent legiuitorului să abordeze, în cadrul actualelor și viitoarelor propuneri, chestiunea esențială a dreptului persoanelor incluse pe listă de a avea acces la datele cu caracter personal care le privesc cuprinse în documentele clasificate, cu excepția unor limitări proporționale care se pot dovedi necesare în anumite situații.

64.

AEPD recomandă legiuitorului să se asigure că există mecanisme și garanții adecvate – precum precizări în propuneri, precum și acorduri cu ONU sau alte țări terțe relevante – în vederea garantării unei protecții adecvate a datelor cu caracter personal transmise către țări terțe și organizații internaționale.

65.

AEPD recomandă legiuitorului să clarifice în actualele propuneri sau într-un alt instrument juridic restricțiile aduse principiilor de protecție a datelor și garanțiile care se pot dovedi necesare în cadrul măsurilor restrictive, pentru a se asigura că acestea sunt previzibile și proporționale.

66.

AEPD constată că principiul răspunderii în privința prelucrării ilegale de date cu caracter personal rămâne valabil și că nu poate fi golit de conținutul său esențial.

67.

AEPD recomandă să se aibă în vedere că actualele căi de atac judiciare și supravegherea independentă efectuată de către autoritățile de supraveghere din domeniul protecției datelor din statele membre sunt pe deplin aplicabile și că nu se aduce atingere eficienței acestora prin condițiile impuse pentru accesul la documente clasificate.