13.10.2017   

RO

Jurnalul Oficial al Uniunii Europene

C 345/138

Raportor:

Laure BATUT

1.1.

CESE regretă profund că, din cauza suprapunerii conținutului textelor privind protecția datelor, a volumului și a întrepătrunderii lor și a referințelor reciproce necesare înțelegerii lor, lizibilitatea și implementarea acestora este posibil să se restrângă la un cerc de inițiați. Ca atare, valoarea lor adăugată pentru cetățeni nu este vizibilă, acest aspect lipsind cu desăvârșire din textul proiectului de regulament. Comitetul recomandă publicarea online a unei broșuri care să sintetizeze și să explice publicului aceste elemente, făcându-le accesibile tuturor.

1.2.

CESE subliniază că, printre opțiunile propuse în analiza de impact, Comisia a ales-o pe cea care reprezintă o consolidare moderată a protecției vieții private. Vizează această alegere garantarea unui echilibru cu interesele industriei? Comisia nu precizează ce elemente ale unei consolidări importante a protecției vieții private ar fi putut aduce atingere intereselor industriei. Prin adoptarea acestei poziții, textul și-a pierdut din consistență încă din stadiul de concepție.

1.3.

CESE recomandă Comisiei următoarele:

2.1.

Rețelele de comunicații electronice au evoluat în mod considerabil de la intrarea în vigoare a Directivelor 95/46 și 2002/58/CE  (2) privind protecția vieții private în comunicațiile electronice.

2.2.

Regulamentul general privind protecția datelor (RGPD), adoptat în 2016 [Regulamentul (UE) 2016/679], a devenit temeiul acțiunilor și a stabilit principiile de bază, inclusiv pentru datele judiciare și penale. În conformitate cu acest regulament, datele cu caracter personal pot fi colectate numai în condiții stricte, doar în scopuri legitime și cu respectarea confidențialității (articolul 5 din RGPD).

2.2.1.

În octombrie 2016, Comisia a prezentat o propunere de directivă care stabilește un Cod european al comunicațiilor electronice (3) (care conține 300 de pagini), cod ce nu a fost încă adoptat, dar la care Comisia se referă pentru anumite definiții care nu figurează nici în RGPD, nici în textul supus examinării.

2.2.2.

În două propuneri din ianuarie 2017 sunt precizate anumite aspecte cuprinse în RGDP: este vorba de Propunerea de regulament privind protecția persoanelor fizice cu privire la prelucrarea datelor cu caracter personal de către instituțiile și organele Uniunii [COM(2017) 8 final, raportor: domnul Pegado Liz] și de textul abordat de avizul de față [COM(2017) 10 final], referitor la respectarea vieții private și la protecția datelor cu caracter personal.

2.3.

Cele trei texte menționate mai sus vor fi aplicabile la aceeași dată, începând cu 25 mai 2018, și urmăresc armonizarea drepturilor și a procedurilor de control.

2.4.

Ar trebui remarcat că, pentru a facilita această abordare, s-a decis să se recurgă, pentru protecția vieții private, la un regulament, și nu la o directivă.

3.1.

Societatea civilă dorește să înțeleagă dacă, în lumea digitală care se întrevede, Uniunea oferă o valoare adăugată care să le asigure oamenilor cadre în care viața privată se poate dezvolta fără teamă.

3.2.

Prin datele generate în mod constant, toți consumatorii pot fi regăsiți și identificați oriunde s-ar afla. Prelucrarea datelor, efectuată în centre situate fizic, în cea mai mare parte, în exteriorul Europei, reprezintă un motiv de preocupare.

3.3.

Volumele mari de date („Big Data”) au devenit o valoare în sine și permit – prin prelucrare inteligentă – determinarea unor profiluri ale persoanelor fizice și juridice care sunt „comercializate”, câștigându-se – astfel – bani de pe urma utilizatorilor, fără ca ei să fie conștienți de acest lucru.

3.4.

Mai presus de toate însă apariția unor noi operatori în sectorul prelucrării datelor, în afara furnizorilor de acces la internet, trebuie să ducă la o revizuire a textelor.

4.1.

Prin acest text, Comisia ar dori să instaureze un echilibru între consumatori și industrie:

4.2.

Propunerea se referă la aplicarea RGPD (de aplicabilitate generală, precum confidențialitatea datelor personale și dreptul la ștergerea datelor) în ceea ce privește aspectul specific al respectării vieții private și al protecției datelor cu caracter personal în sectorul telecomunicațiilor și urmărește să introducă norme mai stricte cu privire la protecția vieții private, pe lângă controale coordonate și sancțiuni.

4.3.

Ea nu prevede măsuri specifice privind „lacunele” existente în datele cu caracter personal care provin de la utilizatorii înșiși, dar confirmă încă din primele articole (articolul 5) principiul confidențialității comunicațiilor electronice.

4.4.

Furnizorii pot procesa conținutul comunicațiilor electronice:

4.5.

Furnizorii au obligația de a șterge sau de a anonimiza conținuturile după primirea lor de către destinatari.

4.6.

În conformitate cu articolul 4 alineatul (11) din RGPD, consimțământul persoanei vizate înseamnă orice manifestare de voință liberă, specifică, informată și lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă, printr-o declarație sau printr-o acțiune fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate.

4.7.

Proiectul menține cerința de consimțământ exprimat în mod explicit, definit de RGPD, sarcina probei revenindu-le operatorilor.

4.8.

Procesarea se bazează pe acest consimțământ. Operatorul trebuie să fie „în măsură să demonstreze că persoana vizată și-a dat consimțământul pentru prelucrarea datelor sale cu caracter personal” [articolul 7 alineatul (1) din RGPD].

4.9.

Dreptul Uniunii sau dreptul intern pot aduce anumite limitări (obligații și drepturi) ale confidențialității, pentru a garanta interesele publice sau o misiune de inspecție.

4.10.

Persoanele fizice trebuie să-și fi dat acordul pentru a figura într-un anuar accesibil publicului în format electronic, cu mijloace de verificare și corectare a datelor care le privesc (articolul 15).

4.11.

Dreptul de a se opune va permite oricărui utilizator să blocheze utilizarea datelor sale încredințate unui terț (cum ar fi un comerciant) și apoi, de fiecare dată când este trimis un mesaj (articolul 16). Noile norme vor oferi utilizatorilor o mai bună înțelegere a propriilor parametri („cookies” și identificatori), iar comunicările nesolicitate (spam, mesaje, SMS-uri, apeluri) vor putea fi blocate în cazul în care nu există consimțământul utilizatorului.

4.12.

În ceea ce privește identificarea apelurilor și blocarea apelurilor nedorite (articolele 12 și 14), regulamentul subliniază că aceste drepturi se aplică și persoanelor juridice.

4.13.

Structurarea unui sistem de monitorizare este conformă RGPD (capitolul VI, referitor la autoritățile de supraveghere, și capitolul VII – privind cooperarea dintre autoritățile de supraveghere).

4.13.1.

Statele membre și autoritățile lor naționale responsabile cu protecția datelor sunt cele care vor trebui să asigure respectarea regulilor de confidențialitate. Celelalte autorități de supraveghere vor putea să elaboreze, în cadrul asistenței reciproce, obiecții înaintate eventual autorităților naționale de supraveghere. Ele cooperează cu acestea din urmă și cu Comisia Europeană în cadrul mecanismului de asigurare a coerenței (articolul 63 din RGPD).

4.13.2.

La rândul său, Comitetul european pentru protecția datelor (CEPD) este responsabil pentru asigurarea aplicării coerente a regulamentului (articolele 68 și 70 din RGPD).

4.14.

Persoanele fizice și juridice, în calitatea lor de utilizatori finali, au la dispoziție căi de atac pentru a-și apăra interesele lezate de încălcări. Ele vor putea să obțină despăgubiri pentru prejudiciul suferit.

4.15.

Se urmărește ca sumele prevăzute pentru amenzile administrative să fie disuasive, ele putând să se ridice, pentru contravenienți, până la 10 milioane EUR și, pentru o întreprindere, până la 2 % din cifra de afaceri anuală la nivel mondial din anul precedent, fiind luată în considerare suma cea mai ridicată (articolul 23). Statele membre stabilesc sancțiunile pentru cazul în care nu există amendă administrativă și informează Comisia în acest sens.

4.16.

Noul text privind respectarea vieții private și utilizarea datelor cu caracter personal va fi aplicabil începând cu 25 mai 2018, adică în aceeași zi cu RGPD din 2016, cu Regulamentul privind protecția persoanelor fizice cu privire la prelucrarea datelor cu caracter personal de către instituțiile, organismele, birourile și agențiile Uniunii și cu proiectul de directivă privind reformarea Codului european al comunicațiilor electronice [COM(2016) 590 final], dacă aceste texte vor fi adoptate.

4.17.

Domeniul de aplicare a lex specialis, care pune în aplicare RGPD:

—

ratione personae: actori

—

ratione materiae: date

—

ratione loci: unde?

4.18.

Obiectivele UE: piața unică digitală

5.1.

Comitetul salută introducerea simultană pe întreg teritoriul Uniunii a unui set cuprinzător de norme menite să protejeze drepturile persoanelor fizice și juridice legate de utilizarea datelor digitale prin intermediul comunicațiilor electronice.

5.1.1.

Comitetul salută rolul de apărător al drepturilor cetățenilor și consumatorilor jucat de Uniune.

5.1.2.

El evidențiază că, deși se urmărește armonizarea, interpretarea multor concepte le revine statelor membre, ceea ce transformă regulamentul într-un fel de directivă care lasă mult spațiu de manevră comercializării datelor cu caracter personal. Mai ales domeniul sănătății lasă ușa larg deschisă pentru colectarea unui număr imens de date cu caracter personal.

5.1.3.

Articolele 11 alineatul (1), 13 alineatul (2), 16 alineatele (4) și (5) și 24 sunt mai degrabă măsuri de transpunere, potrivite pentru o directivă, dar nu pentru un regulament. Operatorilor li se lasă prea multă libertate, pentru a îmbunătăți calitatea serviciilor (articolele 5 și 6). Acest regulament ar trebui să facă parte din propunerea de directivă „de instituire a Codului european al comunicațiilor electronice” [COM(2016) 590 final].

5.1.4.

CESE regretă profund că, din cauza suprapunerii conținutului textelor, a volumului și a întrepătrunderii lor, lizibilitatea este posibil să se restrângă la un cerc de inițiați. Într-adevăr, este necesar să se treacă în continuu de la un text la altul. În plus, valoarea lor adăugată nu este vizibilă pentru cetățeni. Această dificultate de lectură și această complexitate a propunerii sunt contrare spiritului Programului privind o reglementare adecvată și funcțională (REFIT) și obiectivului unei „mai bune legiferări”. Ele fac ca propunerea să fie dificil de interpretat și provoacă breșe în ceea ce privește protecția.

5.1.5.

Spre exemplificare, propunerea de regulament nu cuprinde definiția noțiunii de „operator”. Pentru aceasta trebuie să se facă referire la proiectul de Cod european al comunicațiilor electronice (4), care nu a intrat încă în vigoare și care va modifica normele din sector în cadrul pieței unice digitale, anume Directiva-cadru 2002/21/CE, Directiva 2002/20/CE privind autorizarea, Directiva 2002/22/CE privind serviciul universal, Directiva 2002/19/CE privind accesul, astfel cum au fost acestea modificate, Regulamentul (CE) nr. 1211/2009 de instituire a OAREC, Decizia nr. 676/2002/CE privind spectrul de frecvențe radio, Decizia 2002/622/CE de instituire a unui Grup pentru politica în domeniul spectrului de frecvențe radio și Decizia nr. 243/2012/UE de instituire a unui program multianual pentru politica în domeniul spectrului de frecvențe radio (RSPP). Referința de bază rămâne, desigur, RGPD (cf. punctul 2.2), pe care propunerea de față își propune să-l completeze și care îi este, prin urmare, subsidiar.

5.2.

CESE subliniază în special conținutul articolului 8, referitor la protecția informațiilor stocate în echipamentele terminale și potențialele excepții. Acesta este un articol fundamental, pentru că acordă societății informaționale posibilități de acces la date private. Și articolul 12, referitor la restricționarea identificării liniilor apelante și a celor conectate, este foarte important. Aceste articole sunt greu de înțeles pentru un cititor neinițiat.

5.2.1.

Directiva din 1995 (articolul 2) definea datele cu caracter personal ca fiind orice informație „referitoare la o persoană fizică identificată sau identificabilă (persoana vizată)”. Prezentul regulament extinde protecția datelor la metadate și se aplică începând de acum atât persoanelor fizice, cât și persoanelor juridice. Trebuie subliniat din nou că propunerea are un obiectiv dublu: pe de o parte, protejarea datelor cu caracter personal și, pe de altă parte, asigurarea liberei circulații a datelor și a serviciilor de comunicații electronice în interiorul UE (articolul 1).

5.2.2.

CESE subliniază că dorința de a proteja datele persoanelor juridice [articolul 1 alineatul (2)] va intra în conflict cu alte texte din care aceasta lipsește, adică texte unde nu se menționează în mod clar că sunt aplicabile datelor persoanelor juridice (RGPD, prelucrarea datelor în instituțiile europene).

5.3.

CESE se întreabă dacă obiectivul real al acestei propuneri nu este de a scoate mai mult în evidență articolul 1 alineatul (2), și anume să asigure „libera circulație a datelor transmise în cadrul comunicațiilor electronice și a serviciilor de comunicații electronice în cadrul Uniunii”, pe care textul nu le limitează sau interzice din motive legate de respectarea vieții private și a comunicațiilor persoanelor fizice, mai degrabă decât să garanteze cu adevărat ceea ce anunță deja la articolul 1 alineatul (1), și anume „dreptul la respectarea vieții private și a comunicațiilor și la protecția persoanelor fizice cu privire la prelucrarea datelor cu caracter personal”.

5.4.

Totul se bazează pe exprimarea consimțământului persoanei fizice sau juridice. Ca atare, CESE consideră că utilizatorii trebuie să fie informați și formați și să rămână prudenți, deoarece, după ce și-au dat consimțământul, furnizorii vor putea procesa în continuare conținuturile și metadatele, pentru a obține cele mai mari efecte și beneficii cu putință. Câți știu, înainte de a accepta un cookie, că acesta este un marcator? Educarea utilizatorilor, pentru a se folosi de drepturile lor, precum și anonimizarea sau criptarea ar trebui să fie aspecte prioritare legate de acest regulament.

6.1.

Datele cu caracter personal ar trebui comparate doar de organisme care respectă ele însele condițiile foarte stricte și ale căror obiective sunt cunoscute și legitime (RGPD).

6.2.

Din nou, CESE regretă „prea multele excepții și restricții care afectează principiile afirmate ale dreptului la protecția datelor cu caracter personal” (5). Echilibrul dintre libertate și securitate trebuie să rămână trăsătura specifică Uniunii Europene, mai degrabă decât echilibrul dintre drepturile fundamentale ale omului și industrie. În analiza sa cu privire la proiectul de regulament (WP247 din 4.4.2017, avizul 1/2017, punctul 17), Grupul de lucru „Articolul 29” a arătat fără rezerve că acesta reduce nivelul de protecție definit în RGPD, mai ales în ce privește localizarea terminalului, că domeniul datelor care pot fi colectate nu este delimitat și că nu instituie din oficiu o protecție a vieții private (punctul 19).

6.3.

Datele sunt un fel de prelungire a persoanei, identitatea sa fantomă („Shadow-ID”). Datele aparțin persoanei care le generează, după procesarea lor ele sustrăgându-se, însă, influenței acesteia. Pentru conservarea și transferul datelor, fiecare stat rămâne responsabil și nu există armonizare în acest caz, din cauza eventualelor limitări de drepturi deschise prin textul propunerii. Comitetul subliniază riscul unor disparități legate de faptul că limitarea drepturilor este lăsată la latitudinea statelor membre.

6.4.

Apare o întrebare mai ales în cazul persoanelor care lucrează în întreprinderi: cui aparțin datele generate în cursul muncii? Și cum sunt protejate acestea?

6.5.

Structura mecanismelor de control nu este foarte clară (6). În ciuda supravegherii de către CEPD, garanțiile împotriva comportamentelor arbitrare nu par a fi suficiente, iar timpul necesar pentru ca procedurile să ducă la o sancțiune nu a fost evaluat.

6.6.

CESE solicită crearea unui portal european unde să fie colectate și actualizate toate textele europene și naționale, toate drepturile, căile de atac, cazurile de jurisprudență, unele elemente practice, pentru a-i ajuta pe cetățeni și consumatori să se orienteze în hățișul textelor și al punerilor în aplicare, astfel încât să-și poată exercita drepturile. Acest portal ar trebui să se inspire cel puțin din cerințele Directivei (UE) 2016/2102 din 26 octombrie 2016 privind accesibilitatea site-urilor web și a aplicațiilor mobile ale organismelor din sectorul public și din principiile enunțate la considerentele 12, 15 și 21 din Propunerea de directivă 2015/0278 (COD) referitoare la Actul european privind accesibilitatea și ar trebui să ofere conținuturi accesibile și comprehensibile pentru toți utilizatorii finali. CESE este gata să participe la etapele de concepție ale acestui portal.

6.7.

La articolul 22 lipsește o referire la „acțiunile colective”, așa cum a semnalat deja CESE în avizul său privind Codul european al comunicațiilor electronice.

6.8.

Limitarea domeniului de aplicare material [articolul 2 alineatul (2)], extinderea competenței de prelucrare a datelor fără consimțământul titularului [articolul 6 aliniatele (1) și (2)] și noțiunea improbabilă a consimțământului TUTUROR utilizatorilor în cauză [articolul 6 alineatul (3) litera (b) și articolul 8 aliniatele (1), (2) și (3)], limitările drepturilor pe care le pot impune statele membre în cazul în care consideră că reprezintă măsuri „necesare, adecvate și proporționale” sunt tot atâtea norme al căror conținut poate primi atât de multe interpretări, încât pot să contravină unei protecții efective a vieții private. De asemenea, trebuie să se acorde o atenție deosebită protecției datelor referitoare la minori.

6.9.

CESE salută menționarea la articolul 12 a dreptului de control, subliniind însă formularea sa foarte opacă, ce pare să privilegieze utilizarea unor convorbiri telefonice „necunoscute” sau „ascunse”, ca și cum anonimatul ar fi recomandat, deși principiul ar trebui să fie identificarea apelurilor.

6.10.

Comunicațiile nesolicitate (articolul 16) și marketingul direct fac deja obiectul directivei privind „practicile comerciale neloiale” (7). Sistemul ar trebui să se bazeze prin definiție pe opțiunea de participare (opt-in) și nu pe neparticipare (opt-out).

6.11.

Evaluarea Comisiei este prevăzută o dată la trei ani. Or, în domeniul digital, acest termen este prea lung. După două evaluări, lumea digitală se va fi schimbat complet. Cu toate acestea, delegarea (articolul 25), care ar putea fi extinsă, ar trebui să aibă o durată determinată, putând fi eventual reînnoită.

6.12.

Legislația trebuie să protejeze drepturile utilizatorilor (articolul 3 din TUE), asigurând totodată stabilitatea juridică necesară pentru activitatea comercială. CESE regretă că circulația datelor de la mașină la mașină (M2M) nu este menționată în propunere, fiind necesar să se facă referire la Codul european al comunicațiilor electronice (propunerea de directivă, articolele 2 și 4).

6.12.1.

Internetul obiectelor (IOT) (8) va determina transformarea volumelor mari de date („Big Data”) în „Huge Data” și apoi în Omnidata („All Data”). Acest lucru este crucial pentru viitoarele valuri de inovare. Iar mașinile – mari sau mici – comunică și își transmit reciproc date personale (ceasurile inteligente colectează date precum ritmul cardiac, pe care le transmit medicului etc.). Numeroși actori din sectorul digital și-au lansat propria platformă rezervată obiectelor conectate: Amazon, Microsoft, Intel sau, în Franța, Orange și La Poste.

6.12.2.

Internetul obiectelor de zi cu zi poate face cu ușurință obiectul unor intruziuni răuvoitoare, cantitatea de informații cu caracter personal care pot fi colectate la distanță este în creștere (geolocalizare, date privind sănătatea, fluxuri video și audio). Neajunsurile în materie de protecție a datelor stârnesc – între altele – interesul societăților de asigurări, care au început să le propună clienților lor să se doteze cu obiecte conectate și să-și responsabilizeze comportamentul.

6.13.

Mulți giganți ai internetului încearcă să-și convertească aplicațiile de origine în platforme, fiind necesar să se facă o distincție între aplicația Facebook și platforma Facebook, aceasta din urmă permițând dezvoltatorilor să conceapă aplicații accesibile din profilul utilizatorilor. Amazon, la rândul său, era la început o aplicație web specializată în vânzările online. A devenit astăzi o platformă, permițând astfel unor terți – de la persoane private și până la mari grupuri – să-și comercializeze produsele beneficiind de resursele Amazon (reputație, logistică etc.). Tot acest flux trece prin transferul de date cu caracter personal.

6.14.

Sectorul economiei colaborative cunoaște o proliferare a platformelor: „cu rol de intermediar, care creează contacte, în special prin mijloace electronice, între o multitudine de actori care dispun de bunuri și servicii și o multitudine de utilizatori” (9). Deși astfel de platforme sunt căutate pentru activitatea pe care o generează și locurile de muncă pe care le oferă, CESE se întreabă cum vor putea fi controlate transferurile de date pe care acestea le generează, atât prin aplicarea RGPD, cât și prin cea a acestui regulament.