1.4.2011   

RO

Jurnalul Oficial al Uniunii Europene

C 101/1

1.

La 20 septembrie 2010, Comisia Europeană a adoptat o propunere de regulament privind comercializarea și utilizarea precursorilor de explozivi (3) („propunerea”). La 11 noiembrie 2010, propunerea, în forma adoptată de Comisie, a fost transmisă AEPD pentru consultare, în conformitate cu articolul 28 alineatul (2) din Regulamentul (CE) nr. 45/2001. AEPD salută faptul că este consultată de către Comisie și că în expunerea de motive a propunerii se face trimitere la această consultare.

2.

Principalul obiectiv al măsurilor propuse este de a reduce riscul unor atacuri din partea teroriștilor sau altor infractori prin folosirea unor dispozitive explozive artizanale. În acest scop, regulamentul limitează accesul publicului larg la anumite substanțe chimice care pot fi utilizate în scop ilicit ca precursori pentru explozivi artizanali. În plus, propunerea impune un control mai strict al vânzării acestor substanțe chimice prin raportarea tranzacțiilor suspecte și a furturilor.

3.

În prezentul aviz, AEPD atrage atenția legiuitorilor asupra unui număr de aspecte relevante privind protecția datelor și oferă recomandări pentru asigurarea dreptului fundamental la protecția datelor cu caracter personal.

4.

Propunerea abordează probleme legate de utilizarea în scop ilicit a anumitor substanțe chimice, care sunt în mare măsură disponibile pe piață pentru publicul larg, ca precursorii de explozivi artizanali. Articolele 4 și 5 din propunere se referă la interzicerea vânzării către publicul larg, coroborată cu un sistem de acordare a licențelor și cu cerința de înregistrare a tuturor tranzacțiilor autorizate. Articolul 6 impune operatorilor economici să raporteze tranzacțiile suspecte și furturile. În sfârșit, articolul 7 se referă la necesitatea de protecție a datelor.

5.

Vânzarea către publicul larg a anumitor substanțe chimice cu concentrație peste pragurile specificate va fi interzisă. Vânzarea substanțelor cu concentrație mai ridicată va fi permisă numai către utilizatorii care pot justifica necesitatea de utilizare a substanței chimice.

6.

Domeniul de aplicare al interdicției este limitat la o listă restrânsă de substanțe chimice și amestecuri din acestea (a se vedea anexa I la Propunere) și la vânzarea lor către publicul larg. Restricțiile nu se aplică în cazul utilizatorilor profesioniști sau al operațiunilor între întreprinderi. În plus, accesul publicului larg la substanțele incluse în lista restrânsă este limitat numai dacă substanțele au o concentrație care depășește anumite niveluri. În plus, substanțele pot fi obținute în continuare prin prezentarea unei licențe emise de o autoritate publică (care să justifice utilizarea legitimă). În sfârșit, se aplică o excepție agricultorilor, cărora li se permite să cumpere nitrat de amoniu pentru a fi utilizat ca îngrășământ, fără a fi necesară o licență, indiferent de pragurile de concentrație.

7.

De asemenea, licențele vor fi necesare atunci când o persoană din publicul larg intenționează să importe în Uniunea Europeană substanțele enumerate în lista restrânsă.

8.

Un operator economic care pune la dispoziția unei persoane din publicul larg care deține licență o substanță sau un amestec are obligația de a verifica licența și de a înregistra tranzacția.

9.

Fiecare stat membru are obligația de a institui norme de acordare a licenței. Autoritatea competentă din statul membru refuză să acorde licența solicitantului dacă există motive rezonabile de îndoială privind legitimitatea utilizării preconizate. Licențele acordate sunt valabile în toate statele membre. Comisia poate elabora orientări privind detaliile tehnice ale licențelor pentru a sprijini recunoașterea reciprocă a acestora.

10.

Vânzarea unei game mai largi de substanțe chimice în cauză (cele enumerate în anexa II, pe lângă cele enumerate în anexa I, care sunt deja supuse cerinței de autorizare) va fi supusă raportării tranzacțiilor suspecte și furturilor.

11.

Propunerea impune fiecărui stat membru să desemneze un punct național de contact (cu un număr de telefon și o adresă de e-mail clar identificate) pentru raportarea tranzacțiilor suspecte și a furturilor. Operatorii economici trebuie să raporteze orice tranzacție suspectă și furt fără întârziere, menționând, dacă este posibil, identitatea clientului.

12.

Comisia elaborează și actualizează orientări pentru a oferi asistență operatorilor economici în recunoașterea și notificarea tranzacțiilor suspecte. Orientările vor include și actualizări periodice ale unei liste de substanțe suplimentare care nu sunt incluse nici în anexa I, nici în anexa II, pentru care este încurajată raportarea voluntară a tranzacțiilor suspecte și a furturilor.

13.

Considerentul 11 și articolul 7 impun ca prelucrarea datelor cu caracter personal în cadrul regulamentului să fie efectuată întotdeauna în conformitate cu legislația UE privind protecția datelor, în special Directiva 95/46/CE (4), precum și cu legile naționale privind protecția datelor care pun în aplicare această directivă. Propunerea nu conține nicio altă dispoziție privind protecția datelor.

14.

Raportarea tranzacțiilor suspecte și a furturilor și sistemul de acordare a licențelor și de înregistrare prevăzute de regulament implică prelucrarea unor date cu caracter personal. Ambele implică – în orice caz, într-o anumită măsură – o imixtiune în viața privată și în dreptul la protecția datelor cu caracter personal și, prin urmare, necesită măsuri de protecție adecvate.

15.

AEPD salută faptul că propunerea conține o dispoziție separată (articolul 7) privind protecția datelor. Însă această unică dispoziție – foarte generală – inclusă în propunere nu este suficientă pentru a răspunde în mod adecvat preocupărilor legate de protecția datelor generate de măsurile propuse. În plus, articolele relevante din propunere (articolele 4, 5 și 6) nu descriu suficient de detaliat caracteristicile operațiunilor de prelucrare a datelor prevăzute.

16.

În scop ilustrativ, în legătură cu acordarea licențelor, regulamentul impune operatorilor economici să țină evidența tranzacțiilor autorizate, fără a specifica însă ce date cu caracter personal ar trebui să fie cuprinse în aceste evidențe, cât timp ar trebui păstrate, cui pot fi dezvăluite și în ce condiții. De asemenea, nu se specifică nici ce tip de date vor fi colectate atunci când se prelucrează cererile de acordare a licenței.

17.

În ceea ce privește cerința de raportare a tranzacțiilor suspecte și a furturilor, propunerea stabilește o cerință de raportare, fără a specifica însă ce anume constituie o tranzacție suspectă, ce date personale ar trebui raportate, cât timp ar trebui păstrate informațiile raportate, cui pot fi dezvăluite aceste date și în ce condiții. De asemenea, propunerea nu conține niciun alt detaliu referitor la „punctele naționale de contact” care trebuie desemnate sau la o bază de date ce ar putea fi creată de către aceste puncte de contact pentru statele lor membre sau orice eventuală bază de date ce ar putea să fie creată la nivelul UE.

18.

Din punct de vedere al protecției datelor, colectarea datelor privind tranzacțiile suspecte este cel mai sensibil subiect cuprins în propunere. Dispozițiile relevante ar trebui clarificate astfel încât să se asigure păstrarea proporționalității în prelucrarea datelor și prevenirea abuzurilor. Pentru a realiza acest lucru se recomandă specificarea clară a condițiilor de prelucrare a datelor și aplicarea unor măsuri de protecție adecvate.

19.

Un aspect important este faptul că datele nu ar trebui folosite decât pentru combaterea terorismului (și a altor infracțiuni ce implică utilizarea în scop ilicit a substanțelor chimice pentru dispozitive explozive artizanale). De asemenea, datele nu trebuie păstrate pe o perioadă lungă de timp, în special dacă numărul destinatarilor potențiali sau reali este prea mare și/sau dacă datele urmează să fie folosite în scopul extragerii de date. Acest lucru este și mai important în cazurile în care se poate demonstra că suspiciunile inițiale au fost nefondate. În aceste cazuri trebuie să existe o justificare specifică pentru păstrarea în continuare a datelor. În acest context, AEPD menționează, în scop ilustrativ, hotărârea Curții Europene a Drepturilor Omului în cauza S și Marper/Regatul Unit (2008) (5), conform căreia păstrarea pe termen lung a ADN-ului persoanelor care nu au fost condamnate pentru o infracțiune reprezintă o încălcare a dreptului acestora la viață privată, conform articolului 8 din Convenția europeană a drepturilor omului.

20.

Din aceste motive, AEPD recomandă ca articolele 5, 6 și 7 din propunere să conțină dispoziții suplimentare și cu un grad mai mare de specificitate, care să abordeze în mod adecvat aceste probleme. Unele recomandări specifice sunt incluse în cele ce urmează.

21.

În plus, ar trebui să se ia în discuție și posibilitatea ca într-o decizie a Comisiei de punere în aplicare să fie introduse dispoziții specifice și mai detaliate în conformitate cu articolele 10, 11 și 12 din propunere, cu scopul de a aborda și alte aspecte legate de protecția datelor la nivel practic.

22.

În sfârșit, AEPD recomandă, de asemenea, ca orientările Comisiei privind tranzacțiile suspecte și detaliile tehnice ale licențelor să cuprindă mai multe dispoziții specifice cu privire la prelucrarea și protecția datelor. Ambele orientări, precum și orice eventuală decizie de punere în aplicare în domeniul protecției datelor, ar trebui să fie adoptate după consultarea AEPD și – în cazul în care este vorba despre punerea în aplicare la nivel național – a Grupului de lucru pentru protecția persoanelor în ceea ce privește prelucrarea datelor cu caracter personal. Regulamentul ar trebui să prevadă în mod clar acest lucru și, de asemenea, ar trebui să enumere în mod specific principalele aspecte ce trebuie abordate în orientări/decizia de punere în aplicare.

23.

AEPD recomandă ca articolul 5 din regulament să precizeze o perioadă maximă de păstrare a datelor (prima facie, care să nu depășească doi ani), precum și categoriile de date cu caracter personal ce trebuie înregistrate (fără a depăși numele, numărul licenței și substanțele cumpărate). Aceste recomandări decurg din principiul necesității și proporționalității: colectarea și păstrarea datelor cu caracter personal ar trebui să se limiteze la ceea ce este strict necesar pentru scopurile urmărite [a se vedea articolul 6 literele (c) și (e) din Directiva 95/46/CE]. În cazul în care aceste precizări sunt lăsate în seama legislației sau practicii naționale, acest lucru va produce, probabil, incertitudini inutile și un tratament inegal al unor situații similare în practică.

24.

În plus, articolul 5 din regulament ar trebui să interzică, de asemenea, în mod expres – în legătură cu procedura de acordare a licențelor – colectarea și prelucrarea „categoriilor speciale de date” (astfel cum sunt definite la articolul 8 din Directiva 95/46/CE), cum ar fi, printre altele, datele cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, convingerile religioase sau filozofice.

25.

Acest lucru ar trebui să contribuie și la asigurarea faptului că solicitanții nu vor fi tratați într-o manieră discriminatorie, de exemplu din motive legate de rasă, cetățenie, afiliere politică sau religioasă. În acest context, AEPD subliniază faptul că asigurarea unui nivel ridicat de protecție a datelor reprezintă și un mijloc ce contribuie la combaterea rasismului, xenofobiei și discriminării, ceea ce poate contribui, la rândul său, la prevenirea radicalizării și recrutării pentru terorism.

26.

Regulamentul prevede că cererile de acordare a licenței trebuie să fie respinse dacă există motive rezonabile de îndoială privind legitimitatea utilizării preconizate. În această privință, ar fi util ca orientările sau decizia de punere în aplicare să precizeze datele care pot fi colectate de către autoritățile de acordare a licenței în legătură cu cererea de acordare a licenței.

27.

Orientările sau decizia de punere în aplicare ar trebui să prevadă că evidențele trebuie dezvăluite doar autorităților competente de aplicare a legii care anchetează activități teroriste sau alte suspiciuni de utilizări abuzive, infracționale ale precursorilor de explozivi. Informațiile nu trebuie folosite în niciun alt scop suplimentar [a se vedea articolul 6 litera (b) din Directiva 95/46/CE].

28.

AEPD recomandă, de asemenea, ca orientările sau decizia de punere în aplicare să specifice că autoritatea de acordare a licențelor – care se află în postura cea mai bună pentru a furniza o astfel de notificare direct persoanelor vizate – ar trebui să îi informeze pe titularii licențelor în legătură cu faptul că substanțele cumpărate de către aceștia vor fi înregistrate și ar putea fi raportate în cazul în care se constată că sunt „suspecte” (a se vedea articolele 10 și 11 din Directiva 95/46/CE).

29.

AEPD recomandă clarificarea, în conținutul propunerii, a rolului și naturii punctelor naționale de contact. Evaluarea impactului se referă, în alineatul 6.33, la posibilitatea ca aceste puncte de contact să nu fie doar „autorități de aplicare a legii”, ci și „asociații”. Documentele legislative nu conțin nicio altă informație în această privință. Acest aspect ar trebui clarificat, în mod particular, la articolul 6.2 din propunere. În principiu, datele ar trebui păstrate de către autoritățile de aplicare a legii, iar în caz contrar, motivele trebuie justificate foarte clar.

30.

În plus, articolul 6 din regulament ar trebui să precizeze datele cu caracter personal care trebuie înregistrate (fără a depăși numele, numărul licenței, substanțele cumpărate și motivele care stau la baza suspiciunii). Aceste recomandări decurg din principiul necesității și proporționalității: colectarea datelor cu caracter personal trebuie să se limiteze la ceea ce este strict necesar pentru scopurile urmărite [a se vedea articolul 6 litera (c) din Directiva 95/46/CE]. În acest context, se aplică considerații similare celor exprimate la punctul 23.

31.

Articolul 6 din regulament ar trebui să interzică, de asemenea, în mod expres – în legătură cu procedura de raportare – colectarea și prelucrarea „categoriilor speciale de date” (astfel cum sunt definite la articolul 8 din Directiva 95/46/CE), cum ar fi, printre altele, datele cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, convingerile religioase sau filozofice (a se vedea și punctele 24 și 25).

32.

În sfârșit, articolul 6 ar trebui să stabilească o perioadă maximă de păstrare a datelor, ținând seama de scopurile stocării datelor. AEPD recomandă ca toate tranzacțiile suspecte și furturile raportate să fie șterse din baza de date după expirarea termenului specificat (prima facie, cel mult doi ani de la data raportării), cu excepția cazului în care tranzacția suspectă sau furtul au generat o anchetă specifică care este încă în curs. Acest lucru ar trebui să contribuie la asigurarea faptului că, în cazurile în care suspiciunea nu a fost confirmată (sau ancheta nu a fost continuată), persoanele nevinovate nu vor mai fi menținute pe „lista neagră” și nu vor mai fi considerate „suspecte” pe o perioadă mai lungă decât este necesar [a se vedea articolul 6 litera (e) din Directiva 95/46/CE]. Divergențele prea mari existente la nivel național asupra acestui punct ar trebui, în orice caz, evitate.

33.

Această limitare este necesară și pentru a asigura conformitatea cu principiul calității datelor [a se vedea articolul 6 litera (d) din Directiva 95/46/CE], precum și cu alte principii juridice importante precum prezumția de nevinovăție. Acest aspect ar putea avea ca rezultat nu doar un nivel de protecție mai adecvat pentru persoanele fizice, ci ar trebui, în același timp, să permită organelor de aplicare a legii să se concentreze mai bine asupra cazurilor mai grave în care există probabilitatea ca suspiciunea să fie confirmată în cele din urmă.

34.

Propunerea nu definește tranzacțiile care ar putea fi considerate „suspecte”. Cu toate acestea, articolul 6 alineatul (6) litera (a) din propunere prevede obligația Comisiei de a „întocmi și actualiza orientări” și de a furniza informații privind „mijloacele de recunoaștere și notificare a tranzacțiilor suspecte”.

35.

AEPD salută faptul că propunerea impune Comisiei să întocmească orientări. Acestea ar trebui să fie suficient de clare și concrete și să prevină o interpretare prea generală, astfel încât să se reducă la minimum transmiterile de date cu caracter personal către autoritățile de aplicare a legii și să se prevină orice practici arbitrare sau discriminatorii, de exemplu din motive legate de rasă, naționalitate, afiliere politică sau religioasă.

36.

Orientările/normele de aplicare ar trebui să prevadă, de asemenea, faptul că informațiile trebuie păstrate în condiții de securitate și confidențialitate și că trebuie dezvăluite doar autorităților competente de aplicare a legii care anchetează activități teroriste sau alte suspiciuni de utilizări abuzive, infracționale ale precursorilor de explozivi. Informațiile nu ar trebui să fie folosite în niciun alt scop suplimentar, de exemplu pentru anchetarea altor aspecte de către autoritățile fiscale sau de imigrare.

37.

Orientările/decizia de punere în aplicare ar trebui să specifice, în plus, cine trebuie să aibă acces la datele primite (și stocate) de punctele naționale de contact. Accesul/dezvăluirile ar trebui să fie limitat(e) strict la necesitatea de cunoaștere a datelor. De asemenea, ar trebui avută în vedere publicarea unei liste cu destinatarii posibili.

38.

Orientările/decizia de punere în aplicare ar trebui să prevadă drepturile de acces pentru persoanele vizate, inclusiv, atunci când este cazul, de corectare sau ștergere a datelor acestora (a se vedea articolele 12-14 din Directiva 95/46/CE). Existența acestui drept – sau a oricăror excepții potențiale prevăzute la articolul 13 – ar putea avea implicații importante. De exemplu, conform normelor generale, persoana vizată are și dreptul să știe dacă tranzacția sa a fost raportată ca fiind suspectă. Cu toate acestea, exercitarea (potențială) a acestui drept ar putea împiedica vânzătorul de precursori de explozivi să comunice tranzacțiile suspecte ale cumpărătorului. Prin urmare, orice excepții ar trebui justificate clar și prevăzute în mod specific, preferabil în regulament sau, în orice caz, în orientări/decizia de punere de aplicare. Ar trebui să se prevadă, de asemenea, un mecanism de recurs, cu implicarea punctelor naționale de contact.

39.

AEPD salută faptul că articolul 16 din propunere prevede o revizuire a regulamentului (la cinci ani de la adoptare). Într-adevăr, AEPD consideră că orice instrumente noi ar trebui să dovedească, în cadrul revizuirilor periodice, că ele constituie în continuare mijloace eficiente de combatere a terorismului (și a altor activități infracționale). AEPD recomandă ca regulamentul să prevadă în mod specific faptul că, în timpul acestei revizuiri, ar trebui avută în vedere eficiența regulamentului, precum și efectele sale asupra drepturilor fundamentale, inclusiv asupra protecției datelor.

40.

AEPD recomandă completarea propunerii cu mai multe dispoziții specifice pentru abordarea adecvată a problemelor legate de protecția datelor. În plus, orientările Comisiei privind tranzacțiile suspecte și detaliile tehnice ale licențelor – și o eventuală decizie de punere în aplicare în domeniul protecției datelor – ar trebui să includă, de asemenea, mai multe dispoziții specifice privind prelucrarea datelor și protecția datelor. Orientările (și decizia de punere în aplicare, dacă există) ar trebui să fie adoptate după consultarea AEPD și – dacă este cazul – a Grupului de lucru pentru protecția persoanelor în ceea ce privește prelucrarea datelor cu caracter personal, cu implicarea reprezentanților autorităților de protecție a datelor din statele membre.

41.

Articolul 5 din regulament ar trebui să precizeze o perioadă maximă de păstrare a datelor (prima facie, care să nu depășească doi ani) pentru tranzacțiile înregistrate, precum și pentru categoriile de date cu caracter personal ce trebuie înregistrate (fără a depăși numele, numărul licenței și substanțele cumpărate). Prelucrarea categoriilor speciale de date ar trebui interzisă în mod expres.

42.

Rolul și natura punctelor de contact ar trebui clarificate la articolul 6 din propunere. Această dispoziție ar trebui să precizeze, de asemenea, o perioadă maximă de păstrare pentru datele raportate în legătură cu tranzacțiile suspecte (prima facie, care să nu depășească doi ani), precum și datele cu caracter personal care trebuie înregistrate (fără a depăși numele, numărul licenței, substanțele cumpărate și motivele care stau la baza suspiciunii). Prelucrarea categoriilor speciale de date ar trebui interzisă în mod expres.

43.

În plus, orientările/decizia de punere în aplicare ar trebui să specifice datele care pot fi colectate de autoritățile de acordare a licenței în legătură cu cererea de acordare a licenței. De asemenea, acestea ar trebui să limiteze în mod clar scopurile pentru care pot fi utilizate datele. Dispoziții similare ar trebui să se aplice și pentru registrele de tranzacții suspecte. Orientările/decizia de punere în aplicare ar trebui să precizeze că autoritatea de autorizare ar trebui să îi informeze pe titularii licențelor în privința faptului că substanțele cumpărate de către aceștia vor fi înregistrate și ar putea face obiectul raportării în cazul în care se constată că sunt „suspecte”. De asemenea, orientările/decizia de punere în aplicare ar trebui să precizeze cine trebuie să aibă acces la datele primite (și stocate) de către punctele naționale de contact. Accesul/dezvăluirile ar trebui să fie limitat(e) strict la necesitatea de cunoaștere a datelor. Este recomandată, în plus, prevederea drepturilor de acces corespunzătoare pentru persoanele vizate, precum și specificarea și justificarea clară a excepțiilor.

44.

Eficiența măsurilor prevăzute ar trebui analizată periodic, având în vedere, în același timp, impactul acestora asupra vieții private.