30.1.2013   

RO

Jurnalul Oficial al Uniunii Europene

C 28/6

Rezumatul Avizului Autorității Europene pentru Protecția Datelor referitor la propunerea de regulament al Parlamentului European și al Consiliului privind asigurarea încrederii în tranzacțiile electronice pe piața internă (Regulamentul privind serviciile electronice de asigurare a încrederii)

(Textul integral al prezentului aviz este disponibil în engleză, franceză și germană pe site-ul AEPD, http://www.edps.europa.eu)

2013/C 28/04

I.   Introducere

I.1.   Propunerea

1.

La 4 iunie 2012, Comisia a adoptat o propunere de regulament al Parlamentului European și al Consiliului de modificare a Directivei 1999/93/CE a Parlamentului European și a Consiliului privind identificarea electronică și serviciile de asigurare a încrederii pentru tranzacțiile electronice pe piața internă (denumită în continuare „propunerea”) (1).

2.

Propunerea face parte din măsurile prezentate de Comisie pentru a consolida desfășurarea tranzacțiilor electronice în Uniunea Europeană. Aceasta vine în completarea acțiunilor prevăzute în Agenda digitală pentru Europa (2) referitoare la îmbunătățirea legislației privind semnăturile electronice (acțiunea-cheie 3) și la furnizarea unui cadru coerent pentru recunoașterea reciprocă a identificării și autentificării electronice (acțiunea-cheie 16).

3.

Se preconizează că propunerea va spori încrederea în tranzacțiile electronice paneuropene și va asigura recunoașterea juridică transfrontalieră a identificării, autentificării și semnăturii electronice și a serviciilor conexe de asigurare a încrederii pe piața internă, garantând în același timp un nivel ridicat de protecție a datelor și responsabilizare a utilizatorilor.

4.

Un nivel ridicat de protecție a datelor este esențial pentru utilizarea sistemelor de identificare electronică și a serviciilor de asigurare a încrederii. Dezvoltarea și utilizarea acestor mijloace electronice trebuie să se bazeze pe prelucrarea adecvată a datelor cu caracter personal de către prestatorii de servicii de asigurare a încrederii și emitenții de identități electronice. Acest lucru este cu atât mai important cu cât o astfel de prelucrare se va baza, printre altele, pe identificarea și pe autentificarea, în cel mai sigur mod, a persoanelor fizice (sau juridice).

I.2.   Consultarea AEPD

5.

Înainte de adoptarea propunerii, AEPD a avut posibilitatea de a formula observații informale. Multe dintre aceste observații au fost luate în considerare în cadrul propunerii. Prin urmare, garanțiile de protecție a datelor din cadrul propunerii au fost consolidate.

6.

AEPD salută faptul că este consultată și în mod oficial de către Comisie, în conformitate cu articolul 28 alineatul (2) din Regulamentul (CE) nr. 45/2001.

I.3.   Contextul propunerii

7.

Propunerea se bazează pe articolul 114 din Tratatul privind funcționarea Uniunii Europene și stabilește condițiile și mecanismele pentru recunoașterea și acceptarea reciprocă a identificării electronice și a serviciilor de asigurare a încrederii între statele membre. În special, aceasta stabilește principiile referitoare la furnizarea de servicii electronice de identificare și de asigurare a încrederii, inclusiv normele aplicabile recunoașterii și acceptării. Propunerea prevede, de asemenea, condițiile pentru crearea, verificarea, validarea, manipularea și păstrarea semnăturilor electronice, sigiliilor electronice, mărcilor temporale electronice, documentelor electronice, serviciilor de distribuție electronică, autentificării unui site internet și certificatelor electronice.

8.

De asemenea, propunerea de regulament stabilește normele pentru supravegherea prestării de servicii de asigurare a încrederii și obligă statele membre să instituie organisme de supraveghere în acest sens. Printre alte atribuții, aceste organisme vor evalua conformitatea măsurilor tehnice și organizaționale aplicate de prestatorii de servicii electronice de asigurare a încrederii.

9.

Capitolul II tratează serviciile de identificare electronică, în timp ce capitolul III este dedicat altor servicii electronice de asigurare a încrederii, precum semnăturile electronice, sigiliile, mărcile temporale, documentele electronice, serviciile de distribuție, certificatele electronice și autentificarea unui site internet. Serviciile de identificare electronică sunt asociate cărților de identitate naționale și pot fi utilizate la accesarea serviciilor digitale și, în special, a serviciilor de guvernare electronică; aceasta înseamnă că o entitate care emite un tip de identificare electronică acționează în numele unui stat membru și că statul membru în cauză este responsabil pentru stabilirea corectă a corespondenței dintre o anumită persoană și mijlocul de identificare electronică al acesteia. În ceea ce privește alte servicii electronice de asigurare a încrederii, prestatorul/emitentul este o persoană fizică sau juridică responsabilă pentru prestarea corectă și în siguranță a acestor servicii.

I.4.   Aspecte privind protecția datelor invocate în propunere

10.

Prelucrarea datelor cu caracter personal este inerentă utilizării sistemelor de identificare și, într-o anumită măsură, și furnizării altor servicii de asigurare a încrederii (de exemplu, în cazul semnăturilor electronice). Prelucrarea datelor cu caracter personal va fi necesară pentru a stabili o legătură fiabilă între mijlocul de identificare și autentificare electronică utilizat de o persoană fizică (sau juridică) și respectiva persoană, în vederea certificării faptului că persoana din spatele certificatului electronic este într-adevăr cine pretinde că este. De exemplu, identificările electronice sau certificatele electronice se referă la persoane fizice și vor include un set de date care reprezintă fără echivoc persoanele respective. Cu alte cuvinte, crearea, verificarea, validarea și manipularea mijloacelor electronice menționate la articolul 3 alineatul (12) din propunere vor presupune, în multe cazuri, prelucrarea de date cu caracter personal, iar protecția datelor devine, în consecință, relevantă.

11.

Prin urmare, este esențial ca prelucrarea datelor în contextul furnizării sistemelor de identificare electronică sau a serviciilor electronice de asigurare a încrederii să se efectueze în conformitate cu cadrul juridic al UE privind protecția datelor, în special cu dispozițiile de drept intern de punere în aplicare a Directivei 95/46/CE.

12.

În prezentul aviz, analiza AEPD se axează pe trei aspecte principale:

(a)

modul în care este abordată protecția datelor în cadrul propunerii;

(b)

aspecte legate de protecția datelor din cadrul sistemelor de identificare electronică care trebuie recunoscute și acceptate la nivel transfrontalier;

(c)

aspecte legate de protecția datelor din cadrul serviciilor electronice de asigurare a încrederii care trebuie recunoscute și acceptate la nivel transfrontalier.

III.   Concluzii

50.

AEPD salută propunerea, întrucât aceasta poate contribui la recunoașterea (și acceptarea) reciprocă a serviciilor electronice de asigurare a încrederii și a sistemelor de identificare electronică la nivel european. Aceasta salută, de asemenea, stabilirea unui set comun de cerințe care trebuie îndeplinite de emitenții mijloacelor de identificare electronică și de prestatorii de servicii de asigurare a încrederii. În pofida sprijinului său general pentru propunere, AEPD dorește să formuleze următoarele recomandări generale:

dispozițiile în materie de protecție a datelor incluse în propunere nu trebuie să fie limitate la prestatorii de servicii de asigurare a încrederii, ci trebuie să fie, de asemenea, aplicabile prelucrării de date cu caracter personal din cadrul sistemelor de identificare electronică descrise la capitolul II din propunere;

propunerea de regulament trebuie să stabilească un set comun de cerințe în materie de securitate pentru prestatorii de servicii de asigurare a încrederii și emitenții de identificări electronice. Alternativ, aceasta ar putea permite Comisiei să definească, după caz, prin utilizarea selectivă a actelor delegate sau a măsurilor de punere în aplicare, criteriile, condițiile și cerințele în materie de securitate în cadrul serviciilor electronice de asigurare a încrederii și al sistemelor de identificare electronică;

prestatorii de servicii electronice de asigurare a încrederii și emitenții de identificări electronice trebuie să fie obligați să furnizeze utilizatorilor serviciilor lor: (i) informații adecvate privind colectarea, comunicarea și păstrarea datelor acestora, precum; și (ii) un mijloc de a-și controla datele cu caracter personal și de a-și exercita drepturile privind protecția datelor;

AEPD recomandă o includere mai selectivă în cadrul propunerii a dispozițiilor care permit Comisiei să specifice sau să detalieze dispoziții concrete în urma adoptării propunerii de regulament prin acte delegate sau de punere în aplicare.

51.

Unele dispoziții specifice privind recunoașterea reciprocă a sistemelor de identificare electronică trebuie, de asemenea, îmbunătățite:

propunerea de regulament trebuie să specifice datele sau categoriile de date care vor fi prelucrate pentru identificarea transfrontalieră a persoanelor. Această specificare trebuie să conțină cel puțin același nivel de detaliu cu cel prevăzut în anexele pentru alte servicii de asigurare a încrederii și trebuie să ia în considerare respectarea principiului proporționalității;

garanțiile necesare pentru furnizarea sistemelor de identificare trebuie să respecte cel puțin cerințele stabilite pentru prestatorii de servicii de asigurare a încrederii calificați;

propunerea trebuie să stabilească mecanisme adecvate de instituire a unui cadru pentru interoperabilitatea sistemelor naționale de identificare.

52.

În sfârșit, AEPD formulează, de asemenea, următoarele recomandări în legătură cu cerințele privind furnizarea și recunoașterea serviciilor electronice de asigurare a încrederii:

trebuie să se specifice, pentru toate serviciile electronice, dacă vor fi prelucrate date cu caracter personal și, în caz afirmativ, datele sau categoriile de date care vor fi prelucrate;

regulamentul trebuie să prevadă garanții adecvate în vederea evitării oricărei suprapuneri între competențele organismelor de supraveghere pentru serviciile electronice de asigurare a încrederii și cele ale autorităților pentru protecția datelor;

obligațiile impuse prestatorilor de servicii electronice de asigurare a încrederii cu privire la încălcări ale securității datelor și incidente de securitate trebuie să fie consecvente cu cerințele stabilite în Directiva revizuită privind confidențialitatea și comunicațiile electronice și în propunerea de regulament privind protecția datelor;

este necesară definirea cu mai multă claritate a entităților private sau publice care pot acționa ca părți terțe îndreptățite să efectueze audituri în temeiul articolelor 16 și 17 sau care pot verifica dispozitivele de creare a semnăturilor electronice în temeiul articolului 23, precum și a criteriilor pe baza cărora va fi evaluată independența acestor organisme;

regulamentul trebuie să fie mai precis în stabilirea unui termen-limită pentru păstrarea datelor menționate la articolul 19 alineatele (2) și (4) (3).

Adoptat la Bruxelles, 27 septembrie 2012.

Giovanni BUTTARELLI

Adjunctul Autorității Europene pentru Protecția Datelor

(1)  COM(2012) 238 final.

(2)  COM(2010) 245, 19.5.2010.

(3)  În temeiul articolului 19 alineatul (2) litera (g), prestatorii de servicii de asigurare a încrederii calificați trebuie să înregistreze pentru o perioadă de timp corespunzătoare toate informațiile relevante referitoare la datele emise și primite de aceștia. În temeiul articolului 19 alineatul (4), prestatorii de servicii de asigurare a încrederii calificați trebuie să furnizeze oricărui beneficiar al certificatelor informații cu privire la valabilitatea sau revocarea statutului de certificate calificate emise de aceștia.