COMISIA EUROPEANĂ

Bruxelles, 24.6.2020

SWD(2020) 115 final

DOCUMENT DE LUCRU AL SERVICIILOR COMISIEI

[…]

care însoţeşte documentul

COMUNICARE A COMISIEI CĂTRE PARLAMENTUL EUROPEAN ȘI CONSILIU

Protecția datelor ca pilon al capacitării cetățenilor și al abordării UE privind tranziția digitală - doi ani de aplicare a Regulamentului general privind protecția datelor

{COM(2020) 264 final}

Cuprins

1    Contextul    

2    Asigurarea respectării RGPD și funcționarea mecanismelor de cooperare și coerență    

2.1    Utilizarea unor competențe extinse de către autoritățile pentru protecția datelor    

Aspecte specifice sectorului public    

Colaborarea cu alte autorități de reglementare    

2.2    Mecanismele de cooperare și coerență    

Ghișeul unic    

Asistență reciprocă    

Mecanismul pentru asigurarea coerenței    

Provocările care trebuie abordate    

2.3    Consiliere și orientări    

Activități de creștere a gradului de sensibilizare și de consiliere la nivelul autorităților pentru protecția datelor    

Orientările Comitetului european pentru protecția datelor    

2.4    Resursele autorităților pentru protecția datelor    

3    Normele sunt armonizate, dar persistă un anumit grad de fragmentare și abordări divergente    

3.1    Punerea în aplicare a RGPD de către statele membre    

Principalele probleme legate de punerea în aplicare la nivel național    

Reconcilierea dintre dreptul la protecția datelor cu caracter personal și libertatea de exprimare și de informare    

3.2    Clauzele de specificare facultative și limitele acestora    

Fragmentarea ca urmare a utilizării clauzelor de specificare facultative    

4    Capacitarea persoanelor fizice pentru a-și controla datele    

5    Oportunități și provocări pentru organizații, în special pentru întreprinderile mici și mijlocii    

Seturi de instrumente pentru întreprinderi    

6    Aplicarea RGPD în cazul noilor tehnologii    

7    Transferuri internaționale și cooperare globală    

7.1    Confidențialitatea: o temă globală    

7.2    Setul de instrumente RGPD cu privire la transferuri    

Deciziile privind caracterul adecvat al nivelului de protecție    

Garanții adecvate    

Derogări    46

Deciziile instanțelor sau ale autorităților străine: nu reprezintă un motiv de transfer    47

7.3    Cooperarea internațională în domeniul protecției datelor    50

Dimensiunea bilaterală    50

Dimensiunea multilaterală    52

Anexa I: Clauzele de specificare facultative la nivelul legislației naționale

Anexa II: Prezentare generală a resurselor autorităților pentru protecția datelor

1Contextul

Regulamentul general privind protecția datelor 1 (denumit în continuare „RGPD”) reprezintă rezultatul a opt ani de pregătire, elaborare și negocieri interinstituționale, aplicându-se de la data de 25 mai 2018, după o perioadă de tranziție de doi ani (cuprinsă între mai 2016 și mai 2018). În conformitate cu articolul 97 din RGPD, Comisia are obligația de a transmite un raport privind evaluarea și revizuirea regulamentului după doi ani de aplicare și, ulterior, la fiecare patru ani.

Evaluarea respectivă face parte dintr-o abordare pluridimensională, adoptată de Comisie încă înaintea aplicării RGPD și utilizată activ în continuare. În cadrul acestei abordări, Comisia s-a implicat într-un dialog bilateral permanent cu statele membre cu privire la conformitatea legislației naționale cu RGPD, a contribuit în mod susținut la activitatea Comitetului european pentru protecția datelor (denumit în continuare „comitetul”) prin experiența și competențele sale specifice, a sprijinit autoritățile pentru protecția datelor și a menținut contacte strânse cu o gamă largă de părți interesate cu privire la aplicarea practică a regulamentului.

Evaluarea are la bază bilanțul realizat de Comisie în primul an de aplicare a RGPD, rezumat în comunicarea din iulie 2019 2 . De asemenea, ea vine în completarea comunicării din ianuarie 2018 privind aplicarea RGPD 3 . Comisia a adoptat și orientările privind utilizarea datelor cu caracter personal în contextul alegerilor, publicate în septembrie 2018, precum și orientările privind aplicațiile care sprijină combaterea pandemiei de COVID-19, din aprilie 2020.

Deși evaluarea se concentrează pe cele două aspecte evidențiate la articolul 97 alineatul (2) din RGPD, și anume transferurile internaționale și mecanismele de cooperare și coerență, aceasta are o sferă mai largă, abordând aspecte care au fost semnalate de diferiți actori în ultimii doi ani.

În vederea pregătirii evaluării, Comisia a luat în considerare contribuțiile:

·Consiliului 4 ;

·Parlamentului European (Comisia pentru libertăți civile, justiție și afaceri interne) 5 ;

·comitetului 6 și ale autorităților individuale pentru protecția datelor 7 , pe baza unui chestionar transmis de către Comisie;

·feedbackului membrilor Grupului multipartit de experți pentru susținerea aplicării RGPD 8 , de asemenea în baza unui chestionar transmis de Comisie;

·precum și contribuțiile ad-hoc primite de la părțile interesate.

2Asigurarea respectării RGPD și funcționarea mecanismelor de cooperare și coerență

RGPD a instituit un sistem de guvernanță inovator și a pus bazele unei veritabile culturi europene de protecție a datelor, care își propune să asigure nu numai o interpretare armonizată, ci și o aplicare și asigurare armonizată a respectării normelor de protecție a datelor. Pilonii săi sunt autoritățile naționale independente pentru protecția datelor și comitetul înființat recent.

Deoarece autoritățile pentru protecția datelor sunt esențiale pentru funcționarea întregului sistem de protecție a datelor la nivelul UE, Comisia monitorizează cu atenție independența efectivă a acestora, inclusiv în legătură cu resursele financiare, umane și tehnice.

Este încă prea devreme pentru a se putea evalua pe deplin funcționarea mecanismelor de cooperare și coerență, având în vedere experiența redusă acumulată până în prezent 9 . În plus, autoritățile pentru protecția datelor nu au utilizat încă întreaga gamă de instrumente puse la dispoziție de RGPD în vederea consolidării în continuare a cooperării dintre ele.

2.1Utilizarea unor competențe extinse de către autoritățile pentru protecția datelor

RGPD instituie autorități independente pentru protecția datelor și le oferă competențe de asigurare a respectării legii extinse și armonizate. De la aplicarea RGPD, aceste autorități utilizează o gamă largă de competențe corective acordate de RGPD, precum amenzile administrative (22 de autorități UE/SEE) 10 , avertizări și mustrări (23), dispoziții de respectare a cererilor persoanei vizate (26), dispoziții de asigurare a conformității operațiunilor de prelucrare cu prevederile RGPD (27), precum și dispoziții de rectificare, ștergere sau restricționare a prelucrării (17). Aproximativ jumătate dintre autoritățile pentru protecția datelor (13) au impus limitări temporare sau definitive asupra prelucrării, inclusiv interdicții. Toate acestea demonstrează o utilizare responsabilă a tuturor măsurilor corective prevăzute de RGPD; autoritățile pentru protecția datelor nu s-au ferit să impună amenzi administrative în plus față de sau în locul altor măsuri corective, în funcție de circumstanțele individuale ale cazurilor avute în vedere.

Succesul RGPD nu ar trebui cuantificat în funcție de numărul de amenzi aplicate, deoarece regulamentul prevede o paletă mai largă de competențe corective. În funcție de circumstanțe, de exemplu, efectul disuasiv al unei interdicții de prelucrare sau suspendarea fluxurilor de date poate reprezenta o măsură mult mai puternică.

Aspecte specifice sectorului public

RGPD permite statelor membre să stabilească dacă și în ce măsură pot fi impuse amenzi administrative autorităților și organismelor publice. În cazul în care statele membre recurg la această posibilitate, autoritățile pentru protecția datelor nu sunt private de dreptul de a utiliza toate celelalte competențe corective în legătură cu autoritățile și organismele publice 12 .

Un alt aspect specific îl reprezintă supravegherea instanțelor: deși RGPD se aplică și activităților instanțelor, acestea sunt exceptate de la supravegherea de către autoritățile pentru protecția datelor atunci când acționează în calitatea lor judiciară. Cu toate aceste, Carta și TFUE obligă statele membre să încredințeze unui organism independent din cadrul sistemelor judiciare ale acestora activitatea de supraveghere a acestor operațiuni de prelucrare a datelor 13 .

Colaborarea cu alte autorități de reglementare

După cum menționează în Comunicarea sa din iulie 2019, Comisia sprijină interacțiunea cu alte autorități de reglementare, cu respectarea deplină a competențelor lor respective. Protecția consumatorului și concurența reprezintă două arii promițătoare de colaborare. Comitetul și-a exprimat disponibilitatea de a colabora cu alte autorități de reglementare, în special în ceea ce privește concentrarea pe piețele digitale 14 . Comisia a recunoscut importanța protecției vieții private și a datelor drept parametru calitativ pentru concurență 15 . Membrii comitetului au participat la ateliere comune cu Rețeaua de cooperare pentru protecția consumatorului cu privire la colaborarea pentru o mai bună asigurare a respectării legislației UE în domeniul protecției consumatorului și al protecției datelor. Această abordare va fi urmată în vederea promovării unei înțelegeri comune și a dezvoltării unor modalități practice de gestionare a unor probleme concrete cu care se confruntă consumatorii, în special în cadrul economiei digitale.

Pentru a asigura o abordare coerentă în legătură cu protecția vieții private și a datelor și până la adoptarea Regulamentului privind viața privată și comunicațiile electronice, este absolut necesar să existe o strânsă colaborare cu autoritățile responsabile pentru punerea în aplicare a Directivei asupra confidențialității și comunicațiilor electronice 16 , care constituie lex specialis în domeniul comunicațiilor electronice. O mai strânsă colaborare cu autoritățile competente în conformitate cu Directiva NIS 17 , precum și cu Grupul de cooperare NIS ar fi în avantajul reciproc al autorităților respective și al autorităților pentru protecția datelor.

2.2Mecanismele de cooperare și coerență

RGPD a instituit mecanismul de cooperare (un mecanism al ghișeului unic pentru operatori, operațiuni comune și asistență reciprocă între autoritățile pentru protecția datelor) și mecanismul de coerență în vederea promovării aplicării uniforme a normelor de protecție a datelor prin intermediul unei interpretări coerente, precum și în vederea soluționării de către comitet a eventualelor neînțelegeri ce pot interveni între autorități.

Comitetul este alcătuit din reprezentanți ai tuturor autorităților pentru protecția datelor, este instituit ca organism al Uniunii Europene, are personalitate juridică și este pe deplin operațional, fiind sprijinit de un secretariat 18 . Acesta este esențial pentru funcționarea celor două mecanisme menționate mai sus. Până la sfârșitul anului 2019, comitetul adoptase 67 de documente, inclusiv 10 noi orientări 19 și 43 de avize 20 21 .

Rolul important al comitetului a ieșit la iveală în situațiile în care a fost necesar să se asigure cu promptitudine o interpretare coerentă a RGPD și să se formuleze soluții imediat aplicabile la nivelul UE. De exemplu, în contextul pandemiei de COVID-19, în luna martie 2020, comitetul a adoptat o declarație referitoare la prelucrarea datelor cu caracter personal, care vizează, inter alia, legalitatea prelucrării și utilizarea datelor de localizare cu ajutorul telefoanelor mobile în acest context 22 , iar, în luna aprilie 2020, a adoptat orientări referitoare la prelucrarea datelor privind sănătatea în scopul cercetării științifice în contextul pandemiei de COVID-19  23 și orientări privind utilizarea datelor de localizare și a instrumentelor de urmărire a contactelor în contextul pandemiei de COVID-19 24 . Comitetul a contribuit semnificativ și la conceperea abordării UE cu privire la aplicațiile de urmărire a contactelor de către Comisie și statele membre.

Cooperarea de zi cu zi dintre autoritățile pentru protecția datelor, indiferent dacă acestea acționează în calitate de autoritate pentru protecția datelor sau în calitate de membru al comitetului, are la bază schimburi de informații și notificări ale cazurilor deschise de autorități. Pentru a înlesni comunicarea între autorități, Comisia le-a oferit acestora un sprijin semnificativ prin intermediul sistemului de schimb de informații pus la dispoziție 25 . Majoritatea autorităților consideră că acest sistem este adaptat nevoilor mecanismelor de cooperare și coerență, deși ar putea fi îmbunătățit, astfel încât să devină mai ușor de utilizat.

Deși este încă devreme pentru un astfel de demers, pot fi deja identificate o serie de realizări și provocări, care sunt prezentate în continuare. Ele arată că, până în prezent, autoritățile pentru protecția datelor au utilizat în mod eficient instrumentele de cooperare, preferând soluții mai flexibile.

Ghișeul unic

Ca regulă generală, în cazurile transfrontaliere, o autoritate pentru protecția datelor dintr-un stat membru poate fi implicată fie (i) ca autoritate principală, în cazul în care sediul principal al operatorului în cauză este situat în acest stat membru, fie (ii) ca autoritate vizată, în cazul în care operatorul deține un sediu pe teritoriul acestui stat membru, în situația în care persoanele din acest stat membru sunt afectate semnificativ sau în situația în care le-a fost înaintată o plângere.

O astfel de cooperare strânsă a devenit o practică cotidiană: de la data aplicării RGPD, autoritățile pentru protecția datelor din toate statele membre s-au identificat, la un moment dat, fie ca autorități principale, fie ca autorități vizate în cazuri transfrontaliere, însă într-un grad diferit.

Între 25 mai 2018 și 31 decembrie 2019, 141 de proiecte de decizie au fost prezentate prin procedura ghișeului unic, iar pentru 79 dintre acestea s-au emis decizii finale. La data publicării prezentului raport, sunt în curs de adoptare mai multe decizii importante cu o dimensiune transfrontalieră, care fac obiectul mecanismului ghișeului unic. Unele dintre aceste decizii implică activitățile unor mari companii multinaționale din domeniul tehnologiei informației 27 . Se preconizează că aceste decizii vor oferi clarificări și vor contribui la o mai bună armonizare a interpretării RGPD.

Asistență reciprocă

Autoritățile pentru protecția datelor au utilizat pe scară largă instrumentul de asistență reciprocă.

Marea majoritate a autorităților consideră asistența reciprocă drept un instrument foarte util de cooperare și nu au întâmpinat vreun obstacol deosebit în legătură cu aplicarea procedurii de asistență reciprocă. Schimbul voluntar în baza procedurii de asistență reciprocă, ce nu face obiectul vreunui termen legal sau al unei obligații stricte de a răspunde, a fost utilizat mai frecvent, și anume în 2 427 de proceduri. Autoritatea pentru protecția datelor din Irlanda a transmis și a primit cel mai mare număr de cereri de asistență reciprocă (527 transmise și 359 primite), fiind urmată de autoritățile germane (260 transmise/356 primite).

Pe de altă parte, nu s-au desfășurat încă operațiuni comune 30 , care ar da posibilitatea autorităților pentru protecția datelor din mai multe state membre să se implice deja la nivel de investigație în cazurile transfrontaliere. Comitetul analizează în prezent aplicarea în practică a acestui instrument, precum și modul de promovare a utilizării sale.

Mecanismul pentru asigurarea coerenței

Până în prezent, s-a utilizat doar prima parte a mecanismului pentru asigurarea coerenței, și anume emiterea de avize de către comitet 31 . Pe de altă parte, nu a fost inițiată încă nicio procedură de urgență sau 32 de soluționare a litigiilor 33 la nivel de comitet.

Provocările care trebuie abordate

Deși autoritățile pentru protecția datelor au colaborat extrem de activ în cadrul comitetului și utilizează deja intens instrumentul de cooperare pentru asistență reciprocă, dezvoltarea unei veritabile culturi comune de protecție a datelor reprezintă un proces continuu.

În special, gestionarea cazurilor transfrontaliere impune o abordare mai eficientă și armonizată, precum și utilizarea eficientă a tuturor instrumentelor de cooperare prevăzute de RGPD. Există un consens foarte larg cu privire la acest aspect, având în vedere faptul că a fost menționat în diverse moduri de către Parlamentul European, Consiliu, Autoritatea Europeană pentru Protecția Datelor, părțile interesate (în cadrul Grupului multipartit de experți și în afara sa), precum și de autoritățile pentru protecția datelor.

Principalele probleme ce trebuie abordate în acest context includ diferențe în legătură cu:

·proceduri administrative naționale privind în special: procedurile de soluționare a plângerilor, criteriile de admisibilitate a plângerilor, durata procedurilor din cauza diferitelor intervale de timp sau a absenței oricăror termene, momentul în cadrul procedurii în care se acordă dreptul de a fi audiat, informarea și implicarea reclamanților în timpul procedurii;

·interpretările unor concepte cu privire la mecanismul de cooperare, precum informațiile relevante, noțiunea de „fără întârziere”, „plângere”, documentul definit ca „proiect de decizie” al autorității principale pentru protecția datelor, soluționare pe cale amiabilă (în special procedura care conduce la soluționarea pe cale amiabilă și modalitatea juridică de soluționare); și

·abordarea cu privire la momentul începerii procedurii de cooperare, implicarea autorităților vizate pentru protecția datelor și comunicarea informațiilor către acestea. Reclamanților le este neclar modul în care sunt gestionate cazurile transfrontaliere, după cum au subliniat mai mulți membri ai grupului multipartit. În plus, întreprinderile menționează că, în anumite situații, autoritățile naționale pentru protecția datelor nu au deferit cazurile autorității principale pentru protecția datelor, ci le-au gestionat local.

Comisia salută anunțul comitetului de lansare a unui proces de reflecție cu privire la modul de abordare a acestor aspecte problematice. În special, comitetul a indicat că va clarifica etapele procedurale aferente cooperării dintre autoritatea principală pentru protecția datelor și autoritățile vizate pentru protecția datelor, va analiza legislația națională în materie de proceduri administrative, va acționa pentru stabilirea unei interpretări comune a conceptelor-cheie și va contribui la consolidarea comunicării și a cooperării (inclusiv a operațiunilor comune). Procesul de reflecție și analiză al comitetului ar trebui să conducă la instituirea unor modalități de lucru mai eficiente în cazurile transfrontaliere 38 , inclusiv prin valorificarea experienței membrilor săi și prin intensificarea implicării secretariatului. În plus, ar trebui menționat faptul că responsabilitatea comitetului în legătură cu asigurarea unei interpretări coerente a RGPD nu poate fi considerată îndeplinită prin simpla identificare a celui mai mic numitor comun.

În sfârșit, în calitate de organism UE, comitetul are obligația de a aplica legislația administrativă a UE și de a asigura transparența în cadrul procesului decizional.

2.3Consiliere și orientări

Activități de creștere a gradului de sensibilizare și de consiliere la nivelul autorităților pentru protecția datelor

Mai multe autorități pentru protecția datelor au creat instrumente noi, cum ar fi liniile de asistență pentru persoane fizice și întreprinderi, precum și o serie de seturi de instrumente pentru întreprinderi 39 . Mulți operatori salută pragmatismul acestor autorități în acordarea de asistență cu privire la aplicarea RGPD. În special, o parte dintre acestea au colaborat și au comunicat activ și îndeaproape cu responsabilii cu protecția datelor, inclusiv prin intermediul asociațiilor responsabililor cu protecția datelor. De asemenea, mai multe autorități au elaborat orientări care vizează rolul și obligațiile responsabililor cu protecția datelor în vederea sprijinirii activităților cotidiene ale acestora și au organizat seminarii care li se adresează acestora. Cu toate acestea, nu toate autoritățile pentru protecția datelor au acționat astfel.

Feedbackul primit de la părțile interesate relevă și o serie de probleme în legătură cu orientările și consilierea oferită:

·absența unei abordări și a unor orientări coerente la nivelul autorităților naționale pentru protecția datelor în legătură cu o serie de aspecte (de exemplu, în privința cookie-urilor 40 , a aplicării interesului legitim, a notificărilor în caz de încălcare a securității datelor sau a evaluărilor impactului asupra protecției datelor) sau chiar la nivelul autorităților pentru protecția datelor din același stat membru (de exemplu, în Germania, în legătură cu noțiunile de operator și persoană împuternicită de operator);

·neconcordanța dintre orientările adoptate la nivel național și cele adoptate de comitet;

·absența consultărilor publice în legătură cu anumite orientări adoptate la nivel național;

·niveluri diferite de implicare în relația cu părțile interesate la nivelul autorităților pentru protecția datelor;

·întârzieri ale răspunsurilor la cererile de informații;

·dificultăți în a obține consiliere din partea autorităților pentru protecția datelor;

·nevoia de dezvoltare a nivelului competențelor sectoriale în cazul unora dintre autoritățile pentru protecția datelor (de exemplu, în sectorul farmaceutic și cel medical).

Unele dintre aceste probleme au legătură și cu lipsa de resurse la nivelul mai multor autorități pentru protecția datelor (a se vedea mai jos).

Orientările Comitetului european pentru protecția datelor

Până în prezent, comitetul a adoptat peste 20 de orientări, care vizează aspecte-cheie prevăzute în RGPD 43 . Orientările reprezintă un instrument esențial pentru aplicarea coerentă a RGPD și, pe cale de consecință, elaborarea acestora a fost salutată, în mare măsură, de părțile interesate. Părțile interesate au apreciat consultările publice sistematice (între 6 și 8 săptămâni). Cu toate acestea, ele solicită o mai mare disponibilitate pentru dialog din partea comitetului. În acest context, practica organizării de ateliere pe anumite teme anterior elaborării orientărilor ar trebui continuată și intensificată în vederea asigurării transparenței, a caracterului favorabil incluziunii și a relevanței activității comitetului. De asemenea, părțile interesate solicită ca interpretarea celor mai controversate aspecte să fie abordată în orientări, deoarece ele fac obiectul consultărilor publice și nu se încadrează în avizele prevăzute la articolul 64 alineatul (2) din RGPD. De asemenea, unele părți interesate solicită orientări mai practice, care să detalieze aplicarea conceptelor și a dispozițiilor RGPD 44 . Membrii Grupului multipartit de experți subliniază necesitatea unor exemple mai concrete pentru a reduce, pe cât posibil, marja de interpretare divergentă de către autoritățile pentru protecția datelor. În același timp, solicitările de clarificare în legătură cu aplicarea RGPD și de asigurare a securității juridice nu ar trebui să conducă la cerințe suplimentare sau să reducă avantajele abordării bazate pe riscuri și ale principiului responsabilității.

Aspectele în legătură cu care părțile interesate și-ar dori elaborarea unor orientări suplimentare de către comitet includ: domeniul de aplicare al drepturilor persoanelor vizate (inclusiv în contextul ocupării unui loc de muncă); actualizarea avizului cu privire la prelucrarea bazată pe interesul legitim; noțiunile de operator, operator asociat și persoană împuternicită de operator și toate acordurile necesare între părți 45 ; aplicarea RGPD în cazul noilor tehnologii (cum ar fi tehnologia blockchain și inteligența artificială); prelucrarea în contextul cercetării științifice (inclusiv în legătură cu cooperarea la nivel internațional); prelucrarea datelor copiilor; pseudonimizare și anonimizare; și prelucrarea datelor privind sănătatea.

Comitetul a specificat deja faptul că va publica orientări cu privire la multe din aceste subiecte și a început deja să elaboreze o serie de orientări (de exemplu, cu privire la aplicarea interesului legitim ca temei juridic pentru prelucrarea datelor).

Părțile interesate solicită comitetului să actualizeze și să revizuiască orientările existente dacă este cazul, având în vedere experiența acumulată de la publicarea acestora, și să profite de această ocazie pentru a detalia anumite aspecte, după cum este necesar.

2.4Resursele autorităților pentru protecția datelor

Asigurarea resurselor umane, tehnice și financiare, precum și a spațiilor și a infrastructurii necesare fiecărei autorități pentru protecția datelor reprezintă o condiție esențială pentru îndeplinirea cu eficacitate a sarcinilor și exercitarea competențelor acestora și, astfel, o condiție esențială pentru asigurarea independenței lor 46 .

Majoritatea autorităților pentru protecția datelor beneficiază de un număr mai mare de angajați și un volum mai mare de resurse de la intrarea în vigoare a RGPD în 2016 47 . Cu toate acestea, multe autorități continuă să raporteze că nu dispun de suficiente resurse 48 .

Tabelul din anexa II oferă o prezentare a resurselor umane și bugetare ale autorităților naționale pentru protecția datelor.

Pe lângă impactul asupra capacității acestora de a aplica normele la nivel național, lipsa resurselor limitează și capacitatea autorităților pentru protecția datelor de a participa și contribui la mecanismele de cooperare și coerență, precum și la activitatea desfășurată în cadrul comitetului. După cum a subliniat comitetul, succesul mecanismului ghișeului unic depinde de timpul alocat și efortul depus de autoritățile pentru protecția datelor în vederea gestionării și cooperării în legătură cu cazurile transfrontaliere individuale. Problema resurselor este agravată de rolul tot mai important al autorităților în legătură cu supravegherea sistemelor IT la scară largă dezvoltate în prezent. În plus, autoritățile pentru protecția datelor din Irlanda și Luxemburg au o serie de nevoi specifice în ceea ce privește resursele, în calitate de autorități principale responsabile pentru aplicarea RGPD în relația cu marile companii din domeniul tehnologiei informației, care își au cu precădere sediile în aceste state membre.

În timp ce Consiliul subliniază impactul mecanismului de cooperare și al termenelor prevăzute de acesta asupra activității autorităților pentru protecția datelor 50 , RGPD obligă statele membre să asigure autorităților naționale pentru protecția datelor resurse umane, financiare și tehnice adecvate 51 .

În prezent, secretariatul comitetului, asigurat de Autoritatea Europeană pentru Protecția Datelor 52 , este compus din 20 de persoane, inclusiv experți în domeniul juridic, IT și comunicare. Trebuie evaluat dacă este necesar ca această cifră să evolueze în viitor, având în vedere îndeplinirea eficientă a funcției sale de suport analitic, administrativ și logistic față de comitet și subgrupurile sale, inclusiv prin gestionarea sistemului de schimb de informații.

3Normele sunt armonizate, dar persistă un anumit grad de fragmentare și abordări divergente 

RGPD asigură o abordare coerentă a normelor de protecție a datelor în întreaga UE, înlocuind regimurile naționale diferite existente în baza Directivei privind protecția datelor din 1995.

3.1Punerea în aplicare a RGPD de către statele membre

RGPD este direct aplicabil în toate statele membre începând cu 25 mai 2018. Acesta a obligat statele membre să legifereze, în special să înființeze autorități naționale pentru protecția datelor și să stabilească o serie de condiții generale pentru membrii acestora, pentru a se asigura că fiecare autoritate acționează complet independent în cadrul îndeplinirii sarcinilor sale și al exercitării competențelor de care dispune în conformitate cu RGPD. Obligațiile legale și sarcinile publice pot constitui un temei juridic pentru prelucrarea datelor cu caracter personal, în cazul în care sunt prevăzute de legislația națională (sau a Uniunii). În plus, statele membre trebuie să stabilească norme cu privire la sancțiunile aplicate, în special pentru încălcări care nu fac obiectul amenzilor administrative, precum și să asigure un echilibru între dreptul la protecția datelor cu caracter personal și dreptul la libertatea de exprimare și de informare. De asemenea, legislația națională poate prevedea un temei juridic pentru exceptarea de la interdicția generală de prelucrare a unor categorii speciale de date cu caracter personal, de pildă din considerente de interes public major în domeniul sănătății publice, inclusiv protecția împotriva amenințărilor transfrontaliere grave la adresa sănătății. În plus, statele membre trebuie să asigure acreditarea organismelor de certificare.

Comisia monitorizează punerea în aplicare a RGPD în legislația națională. La data elaborării prezentului raport, toate statele membre, cu excepția Sloveniei, adoptaseră noua legislație de protecție a datelor sau își adaptaseră legislația în acest domeniu. Astfel, Comisia a solicitat Sloveniei să transmită clarificări cu privire la progresul înregistrat până în prezent și a invitat-o să finalizeze acest proces 53 .

În plus, conformitatea legislației naționale cu normele de protecție a datelor în ceea ce privește acquis-ul Schengen este de asemenea evaluată în contextul mecanismului de evaluare Schengen coordonat de Comisie. Comisia și statele membre evaluează împreună modul în care țările aplică acquis-ul Schengen în mai multe domenii; pentru protecția datelor, acest aspect se referă la sistemele IT la scara largă, cum ar fi Sistemul de informații Schengen și Sistemul de informații privind vizele, și include rolul autorităților pentru protecția datelor în legătură cu supravegherea prelucrării datelor cu caracter personal în cadrul acestor sisteme.

Activitățile de adaptare a legislației sectoriale se află încă în desfășurare la nivel național. Ca urmare a includerii RGPD în Acordul privind Spațiul Economic European, aplicarea sa a fost extinsă la Norvegia, Islanda și Liechtenstein. Și aceste țări au adoptat legislație națională privind protecția datelor.

Comisia va utiliza toate instrumentele de care dispune, inclusiv procedurile de constatare a neîndeplinirii obligațiilor, pentru a se asigura că statele membre respectă RGPD.

Principalele probleme legate de punerea în aplicare la nivel național

Principalele probleme identificate până în prezent în urma evaluării curente a legislației naționale și a schimburilor bilaterale cu statele membre includ:

·restricționări de aplicare a RGPD: unele state membre, de exemplu, exclud complet activitățile parlamentului național;

·diferențe de aplicabilitate a legislației naționale de specificare. Pentru unele state membre, aplicabilitatea legislației naționale se stabilește în funcție de locul în care sunt oferite bunurile sau serviciile, în timp ce alte state membre au în vedere locul unde își are sediul operatorul sau persoana împuternicită de operator. Această practică este contrară obiectivului de armonizare urmărit de RGPD;

·legislații naționale care ridică probleme legate de proporționalitatea interferenței cu dreptul la protecția datelor. De exemplu, Comisia a inițiat o procedură de constatare a neîndeplinirii obligațiilor împotriva unui stat membru care a adoptat o legislație ce impune judecătorilor să dezvăluie o serie de informații specifice cu privire la activitățile acestora din afara sferei profesionale, ceea ce este incompatibil cu dreptul la respectarea vieții private și dreptul la protecția datelor cu caracter personal 54 ;

·absența unui organism independent de supraveghere a prelucrării datelor de către instanțe, atunci când acționează în calitatea lor de autoritate judiciară 55 ;

·legislație în domenii reglementate integral de RGPD, care se situează în afara marjei de manevră stabilite pentru specificări sau restricționări. În special, această situație intervine atunci când legislația națională stabilește condiții de prelucrare în baza interesului legitim, asigurând un echilibru între interesele operatorului și cele ale persoanelor vizate, în timp ce RGPD obligă fiecare operator să realizeze acest echilibru individual și să aplice respectivul temei juridic;

·specificări și cerințe suplimentare care se situează în afara prelucrării în vederea respectării unei obligații legale sau a îndeplinirii unei sarcini publice (de exemplu, în legătură cu supravegherea video în sectorul privat sau activitățile de marketing direct); și în legătură cu concepte utilizate în RGPD (de exemplu, „pe scară largă” sau „ștergere”).

Unele dintre aceste aspecte pot fi clarificate de Curtea de Justiție într-o serie de cauze pendinte 56 .

Reconcilierea dintre dreptul la protecția datelor cu caracter personal și libertatea de exprimare și de informare

O problemă specifică vizează punerea în aplicare a obligației statelor membre de a realiza reconcilierea pe cale legislativă între dreptul la protecția datelor cu caracter personal și libertatea de exprimare și de informare 57 . Acest aspect este foarte complex, deoarece o evaluare a echilibrului dintre aceste drepturi fundamentale trebuie să țină seama și de dispozițiile și garanțiile din legislația privind presa și mass-media.

Comisia va continua evaluarea legislației naționale în baza cerințelor Cartei. Reconcilierea trebuie să fie prevăzută în lege, să respecte esența drepturilor fundamentale respective și să fie proporțională și necesară [articolul 52 alineatul (1) din Cartă]. Normele de protecție a datelor nu ar trebui să afecteze exercitarea libertății de exprimare și de informare, în special prin efecte de intimidare sau printr-o interpretare ca modalitate de exercitare de presiuni asupra jurnaliștilor ca să își dezvăluie sursele.

3.2Clauzele de specificare facultative și limitele acestora

RGPD oferă statelor membre posibilitatea de a detalia aplicarea sa într-un număr limitat de domenii. Această marjă de manevră oferită legislației naționale este diferită de obligația de a pune în aplicare anumite dispoziții ale RGPD, după cum s-a menționat mai sus. Clauzele de specificare facultative sunt incluse în anexa I.

Marjele de manevră oferite statelor membre sunt supuse condițiilor și limitărilor prevăzute de RGPD și nu permit un regim național paralel de protecție a datelor 58 . Statele membre au obligația de a modifica sau abroga legislația națională de protecție a datelor, inclusiv legislația sectorială, în legătură cu aspecte circumscrise protecției datelor.

În plus, legislația aferentă a unui stat membru nu trebuie să includă dispoziții ce pot crea confuzii cu privire la aplicarea directă a RGPD. Astfel, în cazul în care RGPD prevede specificări sau restricționări ale normelor sale de către legislația națională, statele membre pot, în măsura în care acest lucru este necesar pentru coerență și pentru a asigura înțelegerea dispozițiilor naționale de către persoanele cărora li se aplică acestea, să încorporeze elemente din RGPD în legislația națională a acestora 59 .

Părțile interesate consideră că statele membre ar trebui să reducă sau să nu utilizeze clauzele de specificare, deoarece acestea nu contribuie la armonizare. Diferențele de punere în aplicare a legislațiilor la nivel național, precum și de interpretare a acestora de către autoritățile pentru protecția datelor determină creșterea considerabilă a costului de respectare a cerințelor legale în cadrul UE.

Fragmentarea ca urmare a utilizării clauzelor de specificare facultative

·Limita de vârstă pentru consimțământul copiilor în raport cu serviciile societății informaționale

O serie de state membre au recurs la posibilitatea de a specifica o vârstă sub 16 ani pentru consimțământul în legătură cu serviciile societății informaționale [articolul 8 alineatul (1) din RGPD]. În timp ce nouă state membre aplică limita de vârstă de 16 ani, opt state membre au optat pentru 13 ani, șase pentru 14 ani și trei pentru 15 ani 60 .

Pe cale de consecință, o întreprindere care oferă minorilor servicii ale societății informaționale la nivelul UE trebuie să facă diferențe în legătură cu vârstele potențialilor utilizatori în funcție de statul membru în care aceștia își au domiciliul. Acest lucru contravine obiectivului-cheie al RGPD de a asigura un nivel egal de protecție persoanelor, precum și oportunități de afaceri egale în toate statele membre.

Astfel de diferențe conduc la situații în care statul membru unde își are sediul operatorul prevede o limită de vârstă diferită de cea stabilită de statul membru în care își au domiciliul persoanele vizate.

·Sănătatea și cercetarea

Atunci când pune în aplicare derogări de la interdicția generală de prelucrare a categoriilor speciale de date cu caracter personal 61 , legislația statelor membre urmărește abordări diferite în ceea ce privește nivelul specificării și al garanțiilor, inclusiv în scopuri legate de sănătate și de cercetare. Majoritatea statelor membre au introdus sau au menținut condiții suplimentare de prelucrare a datelor genetice, a datelor biometrice sau a datelor privind sănătatea. Acest lucru este valabil și pentru derogările care se referă la drepturile persoanelor vizate în scopuri de cercetare 62 , atât în ceea ce privește extinderea derogărilor respective, cât și a garanțiilor aferente. 

Viitoarele orientări ale comitetului în ceea ce privește utilizarea datelor cu caracter personal în domeniul cercetării științifice vor contribui la o abordare armonizată în această arie. Comisia va furniza contribuții comitetului, în special în ceea ce privește cercetarea în domeniul sănătății, inclusiv sub formă de întrebări concrete și analize cu privire la scenarii concrete, pe care le-a primit de la comunitatea de cercetare. Ar fi util ca aceste orientări să poată fi adoptate înainte de lansarea programului-cadru Orizont Europa, în vederea armonizării practicilor de protecție a datelor și a înlesnirii partajării datelor pentru progrese în cercetare. În egală măsură, ar putea fi utile și o serie de orientări ale comitetului în legătură cu prelucrarea datelor cu caracter personal în domeniul sănătății.

RGPD oferă un cadru robust pentru legislația națională în domeniul sănătății publice și include în mod explicit referiri la amenințări transfrontaliere la adresa sănătății, precum și la monitorizarea epidemiilor și a răspândirii acestora 63 , ce s-au dovedit relevante în contextul combaterii pandemiei de COVID-19.

La nivelul UE, la 8 aprilie 2020, Comisia a adoptat o Recomandare privind un set de instrumente pentru utilizarea tehnologiei și a datelor în acest context, în special în ceea ce privește aplicațiile mobile și utilizarea datelor anonimizate privind mobilitatea 64 , iar, la 16 aprilie 2020, Comisia a publicat orientări în domeniul protecției datelor privind aplicațiile care sprijină combaterea pandemiei 65 . Comitetul a publicat o declarație cu privire la prelucrarea datelor în acest context la 19 martie 2020 66 , urmată, la 21 aprilie 2020, de orientări privind prelucrarea datelor în scopuri de cercetare și de orientări privind utilizarea datelor de localizare și a instrumentelor de urmărire a contactelor în acest context 67 . Aceste recomandări și orientări clarifică modul de aplicare a principiilor și normelor de protecție a datelor cu caracter personal în contextul combaterii pandemiei.

·Restricții extinse în legătură cu drepturile persoanelor vizate

Majoritatea legilor naționale privind protecția datelor care restricționează drepturile persoanelor vizate nu specifică obiectivele de interes public general protejate de aceste restricții și/sau nu respectă suficient condițiile și garanțiile prevăzute la articolul 23 alineatul (2) din RGPD 68 . Mai multe state membre nu oferă posibilitatea efectuării testului de proporționalitate sau aplică restricțiile și în afara sferei de aplicare a articolului 23 alineatul (1) din RGPD. De exemplu, o serie de dispoziții de drept intern interzic dreptul de acces din considerente ce țin de efortul disproporționat al operatorului, pentru date cu caracter personal care sunt stocate în baza unei obligații de păstrare sau în legătură cu îndeplinirea unor sarcini publice, fără a limita o astfel de restricție la obiective de interes public general.

·Cerințe suplimentare pentru întreprinderi

Deși obligația existenței unui responsabil cu protecția datelor se fundamentează pe o abordare bazată pe riscuri 69 , un stat membru 70 a extins această cerință la un criteriu cantitativ, obligând întreprinderile în care 20 sau mai mulți angajați sunt permanent implicați în prelucrarea automată a datelor cu caracter personal să desemneze un responsabil cu protecția datelor, independent de riscurile aferente activităților de prelucrare 71 . Acest lucru a condus la sarcini suplimentare.

4Capacitarea persoanelor fizice pentru a-și controla datele

RGPD consolidează drepturile fundamentale, în special dreptul la protecția datelor cu caracter personal, însă și celelalte drepturile fundamentale recunoscute de Cartă, inclusiv respectarea vieții private și de familie, libertatea de exprimare și de informare, nediscriminarea, libertatea de gândire, de conștiință și de religie, libertatea de a desfășura o activitate comercială și dreptul la o cale de atac eficientă. Aceste drepturi trebuie echilibrate în conformitate cu principiul proporționalității 72 .

RGPD conferă persoanelor o serie de drepturi exercitabile, cum ar fi dreptul de acces, dreptul la rectificare, dreptul de ștergere, dreptul la opoziție, dreptul la portabilitate și transparență sporită. De asemenea, regulamentul oferă persoanelor dreptul de a depune o plângere la o autoritate pentru protecția datelor, inclusiv prin acțiuni de reprezentare, precum și dreptul la reparații pe cale judiciară.

Persoanele fizice sunt din ce în ce mai conștiente de drepturile lor, după cum evidențiază rezultatele Eurobarometrului din iulie 2019 73 și sondajul realizat de Agenția pentru Drepturi Fundamentale 74 .

Persoanele fizice își exercită din ce în ce mai des dreptul de a depune o plângere la autoritățile pentru protecția datelor, fie individual, fie prin acțiuni de reprezentare 75 . Doar câteva state membre au permis organizațiilor neguvernamentale să inițieze acțiuni fără mandat, în conformitate cu posibilitatea oferită de RGPD. Propunerea de directivă privind acțiunile de reprezentare pentru protecția intereselor colective ale consumatorilor 76 , odată adoptată, va consolida cadrul pentru acțiunile de reprezentare și în domeniul protecției datelor.

Feedbackul primit de la Grupul multipartit de experți indică faptul că organizațiile au luat o serie de măsuri în vederea înlesnirii exercitării drepturilor de care dispun persoanele vizate, inclusiv proceduri de punere în aplicare care asigură revizuirea individuală a cererilor și un răspuns din partea operatorului, utilizarea mai multor canale (e-mail, adresă de e-mail specială, site web etc.), proceduri și politici interne actualizate cu privire la gestionarea internă a cererilor și formarea personalului. Unele întreprinderi au creat portaluri digitale, accesibile prin intermediul site-ului web al întreprinderii respective (sau al rețelei intranet pentru angajați) în vederea înlesnirii exercitării drepturilor de care dispun persoanele vizate.

Totuși, sunt necesare progrese suplimentare în legătură cu următoarele aspecte:

·nu toți operatorii de date își respectă obligația de a înlesni exercitarea drepturilor de care dispun persoanele vizate 79 . Aceștia trebuie să se asigure că persoanele vizate dispun de un punct de contact eficient, căruia i se pot adresa pentru a comunica problemele cu care se confruntă. Acest punct de contact poate fi responsabilul cu protecția datelor, ale cărui coordonate trebuie comunicate proactiv persoanei vizate 80 . Modalitățile de contact nu trebuie să se limiteze la e-mail, ci trebuie să permită persoanei vizate să se adreseze operatorului și prin alte mijloace;

·persoanele fizice se confruntă în continuare cu o serie de dificultăți atunci când solicită accesul la datele lor, de exemplu, platformelor, brokerilor de date și societăților de publicitate online;

·dreptul la portabilitatea datelor nu este utilizat la potențialul maxim. Strategia europeană privind datele (denumită în continuare „strategia privind datele”) 81 , adoptată de Comisie la 19 februarie 2020, a subliniat necesitatea înlesnirii tuturor utilizărilor posibile ale acestui drept [de exemplu, prin impunerea unor interfețe tehnice și a unor formate ce pot fi citite automat, care să permită portabilitatea datelor în timp real (sau aproape în timp real)]. Operatorii menționează că uneori există dificultăți de furnizare a datelor într-un format structurat, utilizat în mod curent și prin dispozitive de citire optică (ca urmare a lipsei unui standard în acest sens). Doar organizațiile din anumite sectoare, cum ar fi sistemul bancar, telecomunicațiile, sistemele de contorizare a consumului de apă și căldură, raportează utilizarea interfețelor necesare 82 . Au fost dezvoltate noi instrumente tehnologice în vederea înlesnirii exercitării de către persoanele fizice a drepturilor de care dispun în conformitate cu RGPD, iar acestea nu se limitează la portabilitatea datelor (de exemplu, servicii de administrare a informațiilor cu caracter personal și spații pentru datele cu caracter personal);

·drepturile copiilor: Mai mulți membri ai Grupului multipartit de experți subliniază necesitatea furnizării de informații copiilor, precum și faptul că multe organizații ignoră eventualele preocupări ale copiilor în legătură cu prelucrarea datelor acestora. Consiliul a subliniat faptul că s-ar putea acorda o atenție specială protecției copiilor în cadrul elaborării codurilor de conduită. Protecția copiilor este, de asemenea, un aspect central al preocupărilor autorităților pentru protecția datelor 83 ;

·dreptul la informare: unele întreprinderi au o abordare strict juridică, considerând notificările în legătură cu protecția datelor un demers juridic și incluzând informații destul de complexe, dificil de înțeles sau incomplete, cu toate că RGPD prevede ca orice informație să fie concisă și exprimată într-un limbaj clar și simplu 84 . Se pare că unele întreprinderi nu urmează recomandările comitetului, de pildă, în legătură cu enumerarea denumirilor entităților cărora le partajează date;

·mai multe state membre au restrâns semnificativ drepturile persoanelor vizate prin intermediul legislației naționale, iar unele dintre ele chiar au depășit limitele prevăzute la articolul 23 din RGPD;

·exercitarea drepturilor de care dispun persoanele fizice este uneori împiedicată de practicile aplicate de câțiva actori importanți de pe piața digitală, care îngreunează selectarea de către persoanele respective a setărilor care le protejează confidențialitatea în cea mai mare măsură (ceea ce încalcă cerința de protecție a datelor începând cu momentul conceperii și cea de protecție implicită a datelor 85 ) 86 .

Părțile interesate așteaptă cu nerăbdare publicarea orientărilor comitetului cu privire la drepturile persoanelor vizate.

5Oportunități și provocări pentru organizații, în special pentru întreprinderile mici și mijlocii

Oportunități pentru organizații

RGPD încurajează concurența și inovația. Împreună cu Regulamentul privind un cadru pentru libera circulație a datelor fără caracter personal 87 , acesta asigură fluxul liber de date în cadrul UE și creează condiții de concurență echitabile în relația cu întreprinderile care sunt stabilite în afara UE. Prin crearea unui cadru armonizat de protecție a datelor cu caracter personal, RGPD se asigură că toți actorii de pe piața internă trebuie să respecte aceleași norme și beneficiază de aceleași oportunități, indiferent de locul unde se află sediul acestora și indiferent unde se desfășoară prelucrarea datelor. Neutralitatea tehnologică a RGPD asigură cadrul de protecție a datelor pentru noile evoluții tehnologice. Principiul protecției datelor începând cu momentul conceperii și cel al protecției implicite a datelor stimulează dezvoltarea de soluții inovatoare, care au în vedere protecția datelor de la bun început și pot reduce costul respectării normelor de protecție a datelor.

În plus, confidențialitatea devine un important parametru competitiv și este luată în considerare din ce în ce mai mult în alegerea serviciilor. Persoanele care sunt mai informate și care manifestă o sensibilitate mai ridicată în legătură cu considerațiile privind protecția datelor își doresc produse și servicii ce asigură o protecție efectivă a datelor cu caracter personal. Punerea în aplicare a dreptului la portabilitatea datelor are potențialul de a reduce barierele de acces pentru întreprinderile care oferă servicii inovatoare, orientate spre protecția datelor. Ar trebui monitorizate efectele unei eventuale utilizări mai ample a acestui drept pe piețele din diferite sectoare. Respectarea normelor de protecție a datelor și aplicarea transparentă a acestora vor crea un climat de încredere cu privire la utilizarea datelor cu caracter personal ale cetățenilor și, astfel, vor conduce la noi oportunități de afaceri.

Ca toate regulamentele, normele de protecție a datelor implică o serie de costuri inerente legate de respectarea acestora de către întreprinderi. Cu toate acestea, costurile respective sunt contrabalansate de oportunitățile și avantajele conferite de o încredere solidă în inovația digitală și de beneficiile sociale care decurg din respectarea unui drept fundamental. Asigurând condiții de concurență echitabile și oferind autorităților pentru protecția datelor ceea ce le trebuie pentru a putea aplica cu eficacitate normele, RGPD împiedică întreprinderile care nu respectă obligațiile privind protecția datelor să profite de pe urma încrederii dobândite de cele care respectă aceste norme.

Provocări specifice pentru întreprinderile mici și mijlocii (IMM-uri)

Percepția generală la nivelul părților interesate, însă și la nivelul Parlamentului European, al Consiliului și al autorităților pentru protecția datelor, este că RGPD ridică o serie de probleme în special pentru microîntreprinderi și întreprinderile mici și mijlocii, precum și pentru organizațiile de voluntariat și caritabile de dimensiuni mici.

Conform abordării bazate pe riscuri, nu ar fi adecvat să se prevadă derogări în funcție de dimensiunea operatorilor, întrucât dimensiunea nu constituie, în sine, un indicator al riscurilor pe care le poate crea pentru persoanele fizice prelucrarea datelor cu caracter personal. Abordarea bazată pe riscuri combină flexibilitatea cu protecția eficace. Aceasta ține seama de nevoile IMM-urilor care nu au inclus prelucrarea datelor în activitățile lor principale și le calibrează obligațiile în special în funcție de probabilitatea și gravitatea riscurilor aferente activității specifice de prelucrare pe care o desfășoară 88 .

Prelucrarea de date care presupune riscuri reduse sau puține nu ar trebui tratată în același mod precum activitățile de prelucrare frecvente și care presupun un nivel ridicat al riscurilor – indiferent de dimensiunea întreprinderii care desfășoară aceste activități. Astfel, după cum concluzionează comitetul, „în orice caz, abordarea bazată pe riscuri promovată de legiuitor în cadrul textului ar trebui menținută, deoarece riscurile pentru persoanele vizate nu depind de dimensiunea operatorilor” 89 . Autoritățile pentru protecția datelor ar trebui să își însușească pe deplin acest principiu în aplicarea RGPD, de preferință în cadrul unei abordări europene comune, astfel încât să nu se creeze bariere în calea pieței unice.

Autoritățile pentru protecția datelor au dezvoltat mai multe instrumente și și-au exprimat ferm intenția de a le îmbunătăți în continuare. Unele autorități au lansat campanii de sensibilizare și vor organiza chiar și „cursuri privind RGPD” pentru IMM-uri.

Mai multe acțiuni care sprijină în mod specific IMM-urile au beneficiat de finanțare din partea UE. Comisia a oferit sprijin financiar prin granturi organizate în trei etape, în valoare totală de 5 milioane EUR, cele mai recente două astfel de etape vizând în special sprijinirea autorităților naționale pentru protecția datelor în eforturile lor de a comunica cu persoanele fizice și cu IMM-urile. Drept urmare, în 2018, s-au alocat 2 milioane EUR unui număr de nouă autorități pentru protecția datelor pentru activități derulate în 2018-2019 (Belgia, Bulgaria, Danemarca, Ungaria, Lituania, Letonia, Țările de Jos, Slovenia și Islanda) 91 , iar în 2019 s-a alocat suma de 1 milion EUR unui număr de patru autorități pentru protecția datelor pentru activități ce urmează a se desfășura în 2020 (Belgia, Malta, Slovenia și Croația în parteneriat cu Irlanda) 92 . În 2020 se va aloca încă 1 milion EUR.

În pofida acestor inițiative, IMM-urile și întreprinderile nou-înființate raportează adesea că se confruntă cu dificultăți în ceea ce privește aplicarea principiului responsabilității prevăzut în RGPD 93 . Acestea raportează în mod special că nu beneficiază întotdeauna de îndrumare și consiliere practică suficientă din partea autorităților naționale pentru protecția datelor sau că durează prea mult până când le sunt oferite. Au existat și unele cazuri în care autoritățile s-au arătat reticente în a se implica în aspecte de ordin juridic. Când se confruntă cu astfel de situații, IMM-urile apelează adesea la consilieri externi și la avocați în legătură cu punerea în aplicare a principiului responsabilității și cu abordarea bazată pe riscuri (inclusiv în legătură cu cerințele de transparență, evidențele activității de prelucrare și notificările în caz de încălcare a securității datelor). Acest lucru poate conduce la o serie de costuri suplimentare.

Un aspect specific îl reprezintă ținerea evidenței activităților de prelucrare, pe care IMM-urile și asociațiile de dimensiuni reduse o consideră o sarcină administrativă excesivă. Posibilitatea de a fi exceptate de la îndeplinirea obligației respective în conformitate cu articolul 30 alineatul (5) din RGPD este într-adevăr extrem de redusă. Totuși, eforturile depuse pentru respectarea acestei obligații nu ar trebui supraestimate. În situațiile în care activitățile principale ale IMM-urilor nu implică prelucrarea datelor cu caracter personal, astfel de evidențe pot fi simple și nu împovărătoare. Același lucru este valabil și pentru asociațiile de voluntariat și de alt tip. O serie de modele ale acestor documente ar înlesni ținerea unor astfel de evidențe simplificate, după cum se și întâmplă deja în practică la nivelul unora dintre autoritățile pentru protecția datelor. În orice caz, orice operator care prelucrează date cu caracter personal ar trebui să întocmească o situație generală a activităților sale de prelucrare a datelor, aceasta fiind o cerință de bază a principiului responsabilității.

Dezvoltarea de către comitet a unor instrumente practice la nivelul UE, cum ar fi formulare armonizate pentru încălcarea securității datelor și evidențe simplificate ale activităților de prelucrare a datelor, pot fi utile IMM-urilor și asociațiilor de dimensiuni reduse 94 , ale căror activități principale nu se axează pe prelucrarea datelor cu caracter personal, în vederea îndeplinirii obligațiilor ce le revin în legătură cu aceste aspecte.

Asociații din diverse industrii au depus eforturi în vederea sporirii gradului de sensibilizare și a informării membrilor lor, de exemplu, prin intermediul unor conferințe și seminare, prin oferirea de informații întreprinderilor cu privire la orientările disponibile sau prin dezvoltarea unui serviciu de asistență cu privire la viața privată pentru membrii lor. De asemenea, ele raportează un număr în creștere de seminare, reuniuni și evenimente organizate de grupuri de reflecție și asociații de IMM-uri pe teme legate de RGPD.

Pentru a spori libera circulație a tuturor datelor la nivelul UE și pentru a stabili o aplicare coerentă a RGPD și a Regulamentului privind un cadru pentru libera circulație a datelor fără caracter personal, Comisia a elaborat o orientare practică cu privire la normele care se aplică în cazul prelucrării unor seturi de date mixte, respectiv care cuprind atât date cu caracter personal, cât și date fără caracter personal, destinate special IMM-urilor 95 .

Seturi de instrumente pentru întreprinderi

RGPD pune la dispoziție instrumente care ajută la demonstrarea conformității, cum ar fi coduri de conduită, mecanisme de certificare și clauze contractuale standard.

·Codurile de conduită

Comitetul a publicat o serie de orientări 96 pentru a sprijini și înlesni elaborarea, modificarea sau extinderea codurilor de către „responsabilii de cod”, precum și pentru a oferi îndrumare practică și asistență în legătură cu interpretarea. În plus, aceste orientări clarifică procedurile de depunere, aprobare și publicare a codurilor la nivel național și la nivelul UE și prevăd criteriile minime necesare.

Părțile interesate consideră că aceste coduri de conduită sunt instrumente foarte utile. Deși nenumărate coduri sunt aplicate la nivel național, în prezent se află în elaborare și o serie de coduri la nivelul UE (de exemplu, cu privire la aplicațiile mobile în domeniul sănătății, cercetarea în domeniul genomicii, tehnologia de tip cloud computing, marketingul direct, asigurările, prelucrarea în scopuri de prevenție și serviciile de consiliere pentru copii) 97 . Operatorii consideră că aceste coduri de conduită la nivelul UE ar trebui promovate într-o mai mare măsură, deoarece încurajează aplicarea RGPD în toate statele membre.

Totuși, elaborarea codurilor de conduită și înființarea organismelor independente de monitorizare impuse necesită timp și investiții din partea operatorilor. Reprezentanții IMM-urilor subliniază importanța și utilitatea codurilor de conduită, care sunt adaptate situației lor și care nu implică costuri disproporționate.

Pe cale de consecință, asociațiile de întreprinderi dintr-o serie de sectoare au implementat alte tipuri de instrumente de autoreglementare, cum ar fi codurile de bună practică sau îndrumări. Deși aceste instrumente pot oferi informații utile, ele nu beneficiază de aprobarea autorităților pentru protecția datelor și nu pot fi utilizate ca instrument în vederea demonstrării conformității cu RGPD.

Consiliul subliniază că, în cadrul codurilor de conduită, trebuie să se acorde o atenție specială prelucrării datelor copiilor, precum și celor privind sănătatea. Comisia susține elaborarea unui cod/a unor coduri de conduită care să armonizeze abordarea în domeniul sănătății și al cercetării și să înlesnească prelucrarea transfrontalieră a datelor cu caracter personal 98 . La nivelul comitetului, se află în curs de aprobare un proiect de cerințe de acreditare pentru organismele de monitorizare a codurilor de conduită, înaintat de o serie de autorități pentru protecția datelor 99 . De îndată ce codurile de conduită transnaționale sau la nivelul UE sunt pregătite pentru a fi transmise spre aprobare autorităților pentru protecția datelor, acestea vor face obiectul unei consultări la nivelul comitetului. Introducerea rapidă a codurilor de conduită transnaționale este importantă în special pentru domeniile în care se prelucrează un volum considerabil de date (de exemplu, tehnologia de tip cloud computing) sau date sensibile (de exemplu, în domeniul sănătății/în cercetare).

·Certificare

Certificarea poate fi un instrument util pentru a demonstra respectarea anumitor cerințe specifice din RGPD. Aceasta poate spori securitatea juridică pentru întreprinderi și poate promova RGPD la nivel global.

După cum se menționează în studiul cu privire la certificare publicat în aprilie 2019 100 , obiectivul ar trebui să fie înlesnirea adoptării schemelor relevante. Dezvoltarea unor scheme de certificare în UE va fi sprijinită prin intermediul orientărilor publicate de comitet cu privire la criteriile de certificare 101 și cu privire la acreditarea organismelor de certificare 102 .

Securitatea și protecția datelor începând cu momentul conceperii sunt elemente-cheie care trebuie luate în considerare în cadrul schemelor de certificare în conformitate cu RGPD și ar beneficia de o abordare comună și ambițioasă în întreaga UE. Comisia va continua să sprijine contactele curente dintre Agenția Uniunii Europene pentru Securitate Cibernetică (ENISA), autoritățile pentru protecția datelor și comitet.

În ceea ce privește securitatea cibernetică, în urma adoptării Regulamentului privind securitatea cibernetică, Comisia a solicitat Agenției Europene pentru Securitate Cibernetică (ENISA) să elaboreze două scheme de certificare, inclusiv o schemă pentru servicii în cloud 103 . Se au în vedere și alte scheme care vizează securitatea cibernetică a serviciilor și produselor pentru consumatori. Deși aceste scheme de certificare instituite în conformitate cu Regulamentul privind securitatea cibernetică nu vizează explicit protecția datelor și a vieții private, ele contribuie la sporirea încrederii consumatorilor în serviciile și produsele digitale. Aceste scheme pot furniza dovezi de respectare a principiilor de securitate începând cu momentul conceperii, precum și de punere în aplicare a măsurilor tehnice și organizaționale corespunzătoare în legătură cu securitatea prelucrării datelor cu caracter personal.

·Clauze contractuale standard

Comisia lucrează la elaborarea unor clauze contractuale standard între operatori și persoanele împuternicite de către operatori 104 , având în vedere și modernizarea clauzelor contractuale standard pentru transferurile internaționale (a se vedea secțiunea 7.2). Un act legislativ la nivelul Uniunii, adoptat de Comisie, va conduce la obligativitatea sa în întreaga UE, ceea ce va asigura securitate juridică și armonizare deplină.

6Aplicarea RGPD în cazul noilor tehnologii

Un cadru neutru din punct de vedere tehnologic și deschis la tehnologii noi

RGPD este neutru din punct de vedere tehnologic, conferă încredere și are la bază principii 105 . Aceste principii, inclusiv prelucrarea legală și transparentă, limitările legate de scop și principiul reducerii la minimum a datelor, oferă un fundament solid de protecție a datelor cu caracter personal, indiferent de operațiunile și tehnicile de prelucrare aplicate.

Membrii Grupului multipartit de experți raportează că, per ansamblu, RGPD are un impact pozitiv asupra dezvoltării de noi tehnologii și oferă o bază solidă pentru inovație. RGPD este considerat un instrument esențial și flexibil, al cărui obiectiv este asigurarea dezvoltării noilor tehnologii cu respectarea drepturilor fundamentale. Punerea în aplicare a principiilor sale de bază este deosebit de importantă pentru activitățile de prelucrare intensivă a datelor. Abordarea bazată pe riscuri și neutră din punct de vedere tehnologic a RGPD oferă un nivel de protecție a datelor adecvat pentru a gestiona riscul de prelucrare, inclusiv cel al tehnologiilor emergente.

În special, părțile interesate menționează că principiile prevăzute în RGPD privind limitările legate de scop și prelucrarea ulterioară compatibilă, reducerea la minimum a datelor, limitările legate de stocare, transparența, responsabilitatea, precum și condițiile în baza cărora se pot desfășura legal procese decizionale automate 106 răspund într-o mare măsură preocupărilor legate de utilizarea inteligenței artificiale.

Abordarea bazată pe riscuri și adaptată exigențelor viitorului a RGPD se va aplica și într-un eventual cadru viitor care implică utilizarea inteligenței artificiale și la momentul punerii în aplicare a strategiei privind datele. Strategia privind datele își propune să promoveze disponibilitatea datelor și să creeze spații comune ale datelor la nivel european, susținute de servicii de infrastructură de tip cloud federation. RGPD prevede principalul cadru juridic cu privire la datele cu caracter personal, în limitele căruia pot fi concepute soluții eficiente de la caz la caz, în funcție de natura și conținutul fiecărui spațiu al datelor.

RGPD a sporit gradul de sensibilizare cu privire la protecția datelor cu caracter personal atât în interiorul cât și în afara UE și a determinat întreprinderile să își adapteze practicile pentru a ține seama de principiile de protecție a datelor în contextul inovării. Cu toate acestea organizațiile societății civile observă că, deși impactul RGPD asupra dezvoltării de noi tehnologii pare a fi pozitiv, practicile actorilor importanți de pe piața digitală nu s-au schimbat fundamental în sensul asigurării unor activități de prelucrare mai favorabile vieții private. Aplicarea fermă și eficace a RGPD în ceea ce privește platformele digitale de mari dimensiuni și companiile integrate, inclusiv în domenii precum publicitatea online și adresarea de conținut personalizat, reprezintă un element esențial pentru protejarea persoanelor.

Comisia analizează aspecte mai ample legate de comportamentul pe piață al actorilor de dimensiuni mari de pe piața digitală în contextul pachetului legislativ privind serviciile digitale 107 . În ceea ce privește cercetarea în legătură cu platformele de comunicare socială, Comisia reamintește că RGPD nu poate fi utilizat ca pretext de către platformele de comunicare socială pentru a limita accesul cercetătorilor și al verificatorilor de fapte la date fără caracter personal, cum ar fi statisticile cu privire la ce tip de mesaje publicitare orientate au fost transmise căror categorii de persoane, criteriile în baza cărora s-a decis această orientare, informațiile cu privire la conturile false etc.

Abordarea neutră din punct de vedere tehnologic și adaptată exigențelor viitorului a RGPD a fost pusă la încercare pe parcursul pandemiei de COVID-19 și și-a dovedit eficacitatea. Normele sale bazate pe principii au sprijinit dezvoltarea de instrumente de combatere și monitorizare a răspândirii virusului.

Provocările care trebuie abordate

Dezvoltarea și aplicarea de noi tehnologii nu pun aceste principii sub semnul îndoielii. Provocările vizează clarificarea modului în care principiile consacrate se pot aplica utilizării tehnologiilor specifice, cum ar fi inteligența artificială, tehnologia blockchain, internetul obiectelor, recunoașterea facială sau informatica cuantică.

În acest context, Parlamentul European și Consiliul au subliniat necesitatea unei monitorizări continue în vederea clarificării modului în care se aplică RGPD noilor tehnologii și marilor companii multinaționale din domeniul tehnologiei informației. În plus, părțile interesate avertizează că evaluarea adecvării RGPD în ceea ce privește obiectivele sale impune, de asemenea, o monitorizare constantă.

Părțile interesate din industrie subliniază că inovarea impune ca aplicarea RGPD să se bazeze pe principiile avute în vedere la momentul elaborării sale și nu de o manieră formală și rigidă. Acestea sunt de părere că orientările comitetului cu privire la modalitatea de aplicare a principiilor, a conceptelor și a normelor RGPD în legătură cu noile tehnologii, precum inteligența artificială, tehnologia blockchain sau internetul obiectelor, ținând seama de abordarea bazată pe riscuri, ar contribui prin furnizarea de clarificări și asigurarea unui nivel mai ridicat de securitate juridică. Aceste instrumente juridice neobligatorii se potrivesc foarte bine aplicării RGPD în cazul noilor tehnologii, deoarece asigură o mai bună securitate juridică și pot fi revizuite în conformitate cu evoluțiile tehnologice. De asemenea, unele părți interesate sugerează că ar putea fi utile și mai multe orientări sectoriale cu privire la modalitatea de aplicare a RGPD în cazul noilor tehnologii.

Comitetul a afirmat că va continua să aibă în vedere impactul tehnologiilor emergente asupra protecției datelor cu caracter personal.

Totodată, părțile interesate subliniază importanța înțelegerii profunde de către autoritățile de reglementare a modului în care sunt utilizate noile tehnologii, precum și importanța dialogului acestora cu industria respectivă în legătură cu dezvoltarea tehnologiilor emergente. Acestea sunt de părere că o abordare în sensul instituirii unui spațiu de testare în materie de reglementare – ca mijloc de formulare a unor orientări cu privire la aplicarea normelor – ar putea fi o opțiune interesantă de testare a noilor tehnologii și ar putea ajuta întreprinderile să aplice principiul protecției datelor începând cu momentul conceperii și al protecției implicite a datelor în legătură cu noile tehnologii.

În ceea ce privește acțiunile de politici ulterioare, părțile interesate recomandă ca orice propuneri viitoare în legătură cu politicile privind inteligența artificială să se bazeze pe cadrele juridice existente și să fie aliniate la RGPD. Eventualele aspecte specifice ar trebui evaluate cu atenție, pe baza dovezilor relevante, înainte de propunerea unor noi norme prescriptive.

Cartea albă a Comisiei privind inteligența artificială formulează o serie de opțiuni de politică cu privire la care se solicită poziția părților interesate până la data de 14 iunie 2020. În ceea ce privește recunoașterea facială, o tehnologie ce poate avea un impact semnificativ asupra drepturilor persoanelor, Cartea albă a reamintit cadrul legislativ actual și a deschis o dezbatere publică cu privire la circumstanțele specifice, dacă există, care ar putea justifica folosirea inteligenței artificiale pentru identificare prin recunoaștere facială și alte tipuri de identificare la distanță a datelor biometrice în locuri publice, precum și cu privire la garanțiile comune.

7Transferuri internaționale și cooperare globală

7.1Confidențialitatea: o temă globală

Nevoia de protecție a datelor cu caracter personal nu cunoaște limite, iar cetățenii din întreaga lume apreciază din ce în ce mai mult confidențialitatea și securitatea propriilor date.

În același timp, importanța fluxurilor de date pentru persoanele fizice, autoritățile publice, întreprinderi și, în general, societatea în ansamblu reprezintă o certitudine inevitabilă în lumea noastră interconectată. Ele fac parte integrantă din activitățile comerciale, colaborarea dintre autoritățile publice și interacțiunile sociale. În această privință, actuala pandemie de COVID-19 subliniază cât de importante sunt transferul și schimbul de date cu caracter personal pentru numeroase activități esențiale, inclusiv asigurarea operațiunilor autorităților publice și ale întreprinderilor – prin asigurarea condițiilor pentru telemuncă și alte soluții care se bazează în mare măsură pe tehnologii ale informației și comunicațiilor –, susținerea colaborării în domeniul cercetării științifice cu privire la diagnosticare, tratamente și vaccinuri, precum și combaterea noilor forme de infracțiuni cibernetice, cum ar fi fraudele online prin care se oferă medicamente contrafăcute care ar preveni sau ar vindeca COVID-19.

În acest context, mai mult ca oricând, protecția confidențialității și facilitarea fluxurilor de date trebuie să fie complementare. Uniunea Europeană, cu regimul său de protecție a datelor, care combină deschiderea la transferurile internaționale cu un nivel ridicat de protecție pentru persoanele fizice, este foarte bine poziționată pentru a putea promova fluxuri de date sigure și de încredere. RGPD s-a dovedit deja a fi un punct de referință la nivel internațional și a acționat ca un catalizator pentru multe țări din întreaga lume, care au luat astfel în considerare introducerea unor norme moderne privind viața privată.

Se conturează o tendință cu adevărat mondială, care se manifestă din Chile până în Coreea de Sud, din Brazilia până în Japonia, din Kenya până în India, din Tunisia până în Indonezia și din California până în Taiwan, pentru a da doar câteva exemple. Aceste evoluții sunt remarcabile nu numai din punct de vedere cantitativ, ci și din punct de vedere calitativ: o mare parte din legislația recent adoptată sau care este în curs de adoptare se bazează pe un set fundamental de garanții, drepturi și mecanisme de asigurare a aplicării comune la nivelul UE. Într-o lume care este prea des caracterizată de abordări diferite, dacă nu chiar divergente, această tendință către o convergență globală este o evoluție pozitivă care aduce noi oportunități de sporire a protecției persoanelor fizice din Europa, facilitând, în același timp, fluxurile de date și reducând costurile cu tranzacțiile înregistrate de operatorii economici.

7.2Setul de instrumente RGPD cu privire la transferuri 

Pe măsură ce tot mai mulți operatori publici și din mediul privat se bazează pe fluxurile internaționale de date în cadrul operațiunilor lor curente, există o nevoie tot mai mare ca instrumentele flexibile să poată fi adaptate diverselor sectoare, modele de afaceri și soluții de transfer. Reflectând aceste nevoi, RGPD oferă un set de instrumente modernizat pentru a facilita transferul de date cu caracter personal din UE către o țară terță sau o organizație internațională, asigurându-se în același timp faptul că datele continuă să beneficieze de un nivel ridicat de protecție. Această continuitate a protecției este importantă, ținând seama de faptul că, în lumea actuală, datele circulă ușor dincolo de granițe, iar protecția garantată de RGPD ar fi incompletă în cazul în care aceasta s-ar limita la prelucrarea datelor în interiorul UE.

Prin intermediul capitolului V din RGPD, legiuitorul a confirmat arhitectura normelor de transfer, prevăzute deja în Directiva 95/46: transferurile de date pot avea loc în situația în care Comisia a emis o decizie privind caracterul adecvat al nivelului de protecție în legătură cu o țară terță sau o organizație internațională sau, în lipsa unei astfel de decizii, în situația în care operatorul sau persoana împuternicită de operator („exportatorul de date”) a furnizat garanțiile corespunzătoare, de exemplu, printr-un contract cu destinatarul datelor („importatorul de date”). În plus, motivele statutare de transfer (așa-numitele derogări) rămân disponibile pentru situații specifice, în legătură cu care legiuitorul a hotărât că echilibrul dintre interese permite un transfer de date în anumite condiții. În același timp, reforma a condus la clarificarea și simplificarea normelor existente, de pildă, specificând în detaliu condițiile aferente unei decizii privind caracterul adecvat al nivelului de protecție sau normele corporative obligatorii, limitând cerințele de autorizare la foarte puțin cazuri specifice și eliminând complet cerințele de notificare. În plus, au fost introduse instrumente noi de transfer, cum ar fi codurile de conduită sau schemele de certificare, și au fost extinse posibilitățile de utilizare a instrumentelor existente (de exemplu, clauze contractuale standard).

Economia digitală actuală permite operatorilor străini să participe (de la distanță, însă) direct pe piața internă UE și să concureze pentru a atrage consumatori europeni și datele lor cu caracter personal. În situațiile în care aceștia vizează în mod specific consumatorii europeni prin bunurile sau serviciile oferite sau prin monitorizarea comportamentului acestora, operatorii ar trebui să respecte legislația UE în același fel în care o fac operatorii din UE. Articolul 3 din RGPD reflectă acest aspect, extinzând aplicabilitatea directă a normelor de protecție a datelor la nivelul UE și în cazul anumitor operațiuni de prelucrare a datelor ale operatorilor și ale persoanelor împuternicite de operatori din afara granițelor UE. Astfel, sunt asigurate garanțiile necesare și, în plus, condiții de concurență echitabile pentru toate întreprinderile care își desfășoară activitatea pe piața UE.

Aplicabilitatea sa extinsă este unul din motivele pentru care efectele RGPD s-au resimțit și în alte regiuni ale globului. Orientările detaliate ale comitetului cu privire la domeniul de aplicare teritorial al RGPD, în urma unei ample consultări publice, sunt prin urmare importante, pentru a ajuta operatorii străini să stabilească dacă și ce activități de prelucrare a datelor fac în mod direct obiectul garanțiilor sale, inclusiv prin furnizarea de exemple concrete 109 .

Cu toate acestea, extinderea domeniului de aplicare al legislației europene de protecție a datelor nu este în sine și prin sine suficientă pentru a garanta respectarea sa în practică. După cum subliniază și Consiliul 110 , conformarea operatorilor străini la această legislație și asigurarea aplicării sale cu eficacitate în relația cu aceștia sunt esențiale. Desemnarea unui reprezentant în UE [articolul 27 alineatele (1) și (2) din RGPD], căruia i se pot adresa persoanele fizice și autoritățile de supraveghere în plus față de sau în locul întreprinderii responsabile care acționează din afara UE 111 , ar trebui să joace un rol-cheie în această privință. Această abordare, preluată tot mai des în alte contexte 112 , ar trebui să fie aplicată cu mai multă rigoare, pentru a transmite un mesaj clar că lipsa unui sediu în UE nu scutește operatorii străini de responsabilitatea care le revine în temeiul RGPD. În cazul în care acești operatori nu își respectă obligația de desemnare a unui reprezentant 113 , autoritățile de supraveghere ar trebui să utilizeze întregul set de instrumente de asigurare a respectării legislației prevăzut la articolul 58 din RGPD (de exemplu, avertismente publice, interdicții temporare sau definitive în legătură cu prelucrarea datelor în UE, aplicarea dispozițiilor legale împotriva operatorilor asociați cu sediul în UE).

În sfârșit, o acțiune foarte importantă a comitetului este finalizarea activității sale de clarificare suplimentară a legăturii dintre articolul 3 cu privire la aplicarea directă a RGPD și normele privind transferurile internaționale prevăzute la capitolul V 114 .

Deciziile privind caracterul adecvat al nivelului de protecție

Contribuțiile părților interesate confirmă faptul că deciziile privind caracterul adecvat al nivelului de protecție continuă să reprezinte un instrument esențial pentru operatorii din UE în ceea ce privește transferul în siguranță al datelor cu caracter personal către țări terțe 115 . Aceste decizii oferă soluția cea mai cuprinzătoare, simplă și eficientă din punctul de vedere al costurilor pentru transferurile de date, deoarece ele sunt asimilate transmiterilor intra-UE, asigurându-se astfel un flux sigur și liber al datelor cu caracter personal, fără impunerea unor condiții suplimentare sau necesitatea unei autorizări. Astfel, deciziile privind caracterul adecvat al nivelului de protecție deschid canale comerciale pentru operatorii din UE, înlesnind cooperarea dintre autoritățile publice și asigurând, în același timp, accesul privilegiat la piața unică a UE. Pe baza practicii în temeiul Directivei din 1995, RGPD permite în mod explicit ca stabilirea caracterului adecvat să vizeze un anumit teritoriu al unei țări terțe sau un anumit sector sau o industrie dintr-o țară terță (așa-numitul caracter adecvat „parțial”).

RGPD are la bază experiența anilor anteriori și clarificările furnizate de Curtea de Justiție a Uniunii europene și prevede o listă detaliată a elementelor de care Comisia trebuie să țină seama în evaluarea sa. Standardul privind caracterul adecvat necesită un nivel de protecție comparabil (sau „echivalent în esență”) cu cel asigurat în cadrul UE 116 . Acest lucru implică o evaluare cuprinzătoare a sistemului țării terțe per ansamblu, inclusiv a fondului măsurilor de protecție a vieții private, punerea eficientă în aplicare și asigurarea respectării acestora, precum și normele privind accesul autorităților publice la datele cu caracter personal, în special în scopuri de aplicare a legii și de securitate națională 117 .

Acest aspect este reflectat și în orientarea adoptată de Grupul de lucru instituit prin articolul 29 (și aprobată de comitet), în special așa-numitele „criterii de referință privind caracterul adecvat al nivelului de protecție”, care clarifică suplimentar elementele de care Comisia trebuie să țină seama atunci când realizează o evaluare a caracterului adecvat, inclusiv prin furnizarea unei prezentări generale a „garanțiilor esențiale” privind accesul autorităților publice la datele cu caracter personal 118 . Cele din urmă se bazează în special pe jurisprudența Curții Europene a Drepturilor Omului. Deși standardul de „echivalență esențială” nu implică o reproducere punct cu punct („fotocopiere”) a normelor UE, având în vedere că mijloacele de asigurare a unui nivel comparabil de protecție pot varia în funcție de diversele sisteme de protecție a vieții private, care de multe ori respectă tradiții juridice diferite, totuși, acesta necesită un nivel ridicat de protecție.

Acest standard este justificat de faptul că, în esență, o decizie privind caracterul adecvat al nivelului de protecție conferă unei țări terțe beneficiile pieței unice în ceea ce privește fluxul liber de date. Cu toate acestea, vor exista uneori diferențe relevante între nivelul de protecție asigurat în țara terță și cel conferit de RGPD, iar aceste diferențe trebuie remediate, de pildă, prin negocierea unor garanții suplimentare. Astfel de garanții ar trebui considerate benefice, deoarece consolidează suplimentar protecția disponibilă persoanelor fizice în UE. În același timp, Comisia împărtășește opinia comitetului cu privire la importanța monitorizării continue a punerii în practică a acestora, inclusiv prin intermediul asigurării aplicării eficace a legislației de către autoritățile pentru protecția datelor din țara terță respectivă 119 .

RGPD clarifică faptul că deciziile privind caracterul adecvat al nivelului de protecție sunt „instrumente vii”, care ar trebui monitorizate continuu și revizuite periodic 120 . În conformitate cu aceste cerințe, Comisia comunică regulat cu autoritățile relevante pentru a monitoriza proactiv noile evoluții. De exemplu, de la adoptarea deciziei privind Scutul de confidențialitate UE-SUA în 2016 121 , Comisia, împreună cu reprezentanții comitetului, au realizat trei revizuiri anuale pentru a evalua toate aspectele legate de funcționarea cadrului 122 . Aceste revizuiri au avut la bază informații obținute prin schimburile cu autoritățile din SUA, precum și contribuții de la alte părți interesate, cum ar fi autorități pentru protecția datelor din UE, societatea civilă și asociațiile comerciale. Ele au permis îmbunătățirea funcționării practice a diverselor elemente ale cadrului. Dintr-o perspectivă mai largă, revizuirile anuale au contribuit la stabilirea unui dialog mai amplu cu administrația SUA cu privire la viața privată în general și limitările și garanțiile privind securitatea națională în particular.

În cadrul primei evaluări a RGPD, Comisia are obligația să revizuiască și deciziile privind caracterul adecvat al nivelului de protecție adoptate în conformitate cu Directiva din 1995 123 . Serviciile Comisiei s-au implicat într-un dialog intens cu fiecare dintre cele 11 țări și teritorii vizate pentru a evalua modul în care sistemele lor de protecție a datelor cu caracter personal au evoluat de la adoptarea deciziei privind caracterul adecvat al nivelului de protecție și a determina dacă acestea respectă standardele stabilite în RGPD. Necesitatea de a asigura continuitatea acestor decizii, deoarece ele sunt instrumente esențiale pentru cooperarea comercială și internațională, reprezintă unul dintre factorii care au determinat mai multe astfel de țări și teritorii să își modernizeze și să își consolideze legile privind viața privată. Aceste evoluții sunt cu siguranță binevenite. Cu unele dintre aceste țări și teritorii se discută garanții suplimentare pentru a rezolva diferențele relevante în materie de protecție.

Cu toate acestea, având în vedere că este posibil ca, printr-o hotărâre pronunțată la 16 iulie, Curtea de Justiție să ofere clarificări care ar putea fi relevante pentru anumite elemente ale standardului privind caracterul adecvat, Comisia va elabora un raport separat cu privire la evaluarea celor 11 decizii menționate privind caracterul adecvat după ce Curtea de Justiție a Uniunii Europene își va fi pronunțat hotărârea în cauza respectivă 124 .

Pentru a pune în aplicare strategia prevăzută în Comunicarea din 2017 intitulată „Schimbul de date cu caracter personal și protecția acestora într-o lume globalizată”, Comisia s-a implicat în noi dialoguri privind caracterul adecvat al nivelului de protecție 125 . Această activitate a obținut deja rezultate importante, cu implicarea unor parteneri-cheie ai UE. În luna ianuarie 2019, Comisia a adoptat decizia privind caracterul adecvat al nivelului de protecție în legătură cu Japonia; aceasta are la bază un nivel ridicat de convergență, obținut inclusiv prin garanții specifice, cum ar fi cele din domeniul transferurilor ulterioare, și prin crearea unui mecanism de cercetare și soluționare a plângerilor înaintate de persoanele fizice cu privire la accesul autorităților publice la datele cu caracter personal, în scopuri de aplicare a legii și de securitate națională. Fiind prima decizie privind caracterul adecvat al nivelului de protecție adoptată în conformitate cu RGPD, cadrul convenit cu Japonia oferă un precedent util pentru decizii viitoare 126 . În plus, partea japoneză a emis, la rândul său, o decizie privind „caracterul adecvat al nivelului de protecție” în legătură cu UE. Împreună, aceste decizii reciproce privind caracterul adecvat al nivelului de protecție creează cel mai amplu spațiu de circulație liberă și sigură a datelor cu caracter personal, completând astfel Acordul de parteneriat economic UE-Japonia. De fapt, acordul susține schimburi comerciale anuale de bunuri și servicii, în valoare de aproximativ 124 miliarde EUR și, respectiv, 42,5 miliarde EUR.

Comisia este pe deplin de acord cu solicitarea părților interesate de intensificare a dialogului cu țările terțe selectate în vederea emiterii unor noi posibile decizii privind caracterul adecvat al nivelului de protecție 127 . Aceasta explorează activ posibilitatea sus-menționată, alături de alți parteneri importanți din Asia, America Latină și țările vizate de politica de vecinătate, pornind de la tendința actuală de convergență globală în ceea ce privește standardele de protecție a datelor. De exemplu, a fost adoptată o legislație cuprinzătoare cu privire la protecția vieții private sau procesul legislativ în acest sens se află într-un stadiu avansat în America Latină (Brazilia, Chile) și se pot observa o serie de evoluții promițătoare în Asia (de exemplu, India, Indonezia, Malaysia, Sri Lanka, Taiwan și Thailanda), Africa (de exemplu, Etiopia, Kenya), precum și în vecinătatea europeană estică și sudică (de exemplu, Georgia, Tunisia). În măsura în care acest lucru este posibil, Comisia va acționa în sensul unor decizii cuprinzătoare privind caracterul adecvat al nivelului de protecție, care să vizeze atât sectorul privat, cât și sectorul public 128 .

În plus, RGPD a introdus și posibilitatea adoptării de către Comisie a unor decizii privind caracterul adecvat pentru organizații internaționale. Într-un moment în care unele organizații internaționale își modernizează regimul de protecție a datelor prin aplicarea unor reguli cuprinzătoare, precum și a unor mecanisme care să asigure existența căilor de atac și supravegherea independentă, această soluție ar putea fi explorată pentru prima dată.

Caracterul adecvat joacă, de asemenea, un rol important în contextul relațiilor cu Regatul Unit după Brexit, dacă sunt îndeplinite condițiile relevante. Acesta constituie un factor favorizant pentru comerț, inclusiv pentru comerțul digital, și o condiție prealabilă esențială pentru o cooperare strânsă și ambițioasă în domeniul asigurării respectării legii și al securității 129 . Mai mult, având în vedere importanța fluxurilor de date cu Regatul Unit și proximitatea acestuia față de piața UE, un grad ridicat de convergență în privința normelor de protecție a datelor de ambele părți ale Canalului Mânecii reprezintă un element important pentru asigurarea unor condiții de concurență echitabile. În conformitate cu Declarația politică de stabilire a cadrului viitoarelor relații dintre Uniunea Europeană și Regatul Unit, Comisia efectuează în prezent o evaluare a caracterului adecvat atât în temeiul RGPD, cât și al Directivei privind protecția datelor în materie de asigurare a respectării legii 130 . Având în vedere natura autonomă și unilaterală a unei evaluări a caracterului adecvat, aceste tratative urmează o cale diferită de cea privind negocierea unui acord cu privire la relațiile viitoare dintre UE și Regatul Unit.

În sfârșit, Comisia salută inițiativele altor țări de instituire a unor mecanisme de transfer al datelor similare unei decizii privind caracterul adecvat al nivelului de protecție. Acționând astfel, acestea recunosc adesea UE și țările pentru care Comisia a adoptat o decizie privind caracterul adecvat al nivelului de protecție drept destinații sigure de transfer al datelor 131 . Numărul în creștere al țărilor care beneficiază de decizii privind caracterul adecvat al nivelului de protecție, pe de-o parte, și această formă de recunoaștere de către alte țări, pe de altă parte, au potențialul de a crea o rețea de țări în care datele pot circula liber și sigur. Comisia consideră acest aspect drept o evoluție binevenită, care va spori și mai mult beneficiile unei decizii privind caracterul adecvat al nivelului de protecție pentru țări terțe și care va contribui la convergența globală. De asemenea, aceste sinergii pot contribui în mod util la dezvoltarea de cadre pentru o circulație liberă și sigură a datelor, cum ar fi în contextul inițiativei „Data Free Flow with Trust” (a se vedea mai jos).

Garanții adecvate

RGPD prevede o serie de alte instrumente de transfer în afara soluției cuprinzătoare a unei decizii privind caracterul adecvat al nivelului de protecție. Flexibilitatea acestui „set de instrumente” este demonstrată de articolul 46 din RGPD, care reglementează transferurile de date în baza unor „garanții adecvate”, inclusiv în baza unor drepturi opozabile și a unor căi de atac eficiente pentru persoanele vizate. Pentru a asigura garanțiile adecvate, sunt disponibile o serie de instrumente diferite, care vin în întâmpinarea atât a nevoilor operatorilor comerciali, cât și a celor ale organismelor publice.

·Clauze contractuale standard (CCS)

Primul grup de astfel de instrumente vizează instrumentele contractuale, care pot fi clauze personalizate, clauze de protecție a datelor ad-hoc convenite între un exportator de date din UE și un importator de date din afara UE, autorizate de autoritatea competentă pentru protecția datelor [articolul 46 alineatul (3) litera (a) din RGPD] sau clauze standard, pre-aprobate de către Comisie [articolul 46 alineatul (2) literele (c) și (d) din RGPD 132 ]. Cele mai importante astfel de instrumente sunt așa-numitele clauze contractuale standard (CCS), respectiv clauze standard de protecție a datelor, pe care exportatorul și importatorul de date le pot include în acordurile lor contractuale (de exemplu, un contract de servicii care implică transferul de date cu caracter personal) în mod voluntar și care prevăd cerințele legate de garanțiile adecvate.

Clauzele contractuale standard reprezintă, de departe, mecanismul de transfer de date utilizat cel mai des 133 . Mii de întreprinderi din UE se bazează pe clauzele contractuale standard pentru a oferi o gamă largă de servicii clienților, furnizorilor, partenerilor și angajaților lor, inclusiv servicii esențiale pentru funcționarea economiei. Utilizarea la scară largă a clauzelor contractuale standard indică faptul că acestea sunt extrem de utile întreprinderilor în demersurile lor de asigurare a conformității și oferă avantaje deosebite întreprinderilor care nu dețin resursele necesare în vederea negocierii unor contracte individuale cu fiecare dintre partenerii lor comerciali. Fiind standardizate și pre-aprobate, clauzele contractuale standard oferă întreprinderilor un instrument ușor de aplicat în vederea îndeplinirii tuturor cerințelor de protecție a datelor în contextul unui transfer.

Seturile existente de clauze contractuale standard 134 au fost adoptate și aprobate în temeiul Directivei din 1995. Aceste clauze contractuale standard rămân în vigoare până la modificarea, înlocuirea sau abrogarea lor, după caz, în baza unei decizii a Comisiei [articolul 46 alineatul (5) din RGPD]. RGPD extinde posibilitățile de utilizare a clauzelor contractuale standard atât pe teritoriul UE, cât și pentru transferurile internaționale. Comisia conlucrează cu părțile interesate în vederea utilizării acestor posibilități și a actualizării clauzelor existente 135 . În vederea asigurării caracterului adecvat al formei viitoare a clauzelor contractuale standard în funcție de scopul acestora, Comisia colectează feedback de la părțile interesate referitor la experiența acestora legată de clauzele contractuale standard prin intermediul Grupului multipartit de experți privind RGPD și un atelier specializat organizat în septembrie 2019, însă și prin intermediul multiplelor contacte cu întreprinderile care utilizează clauzele contractuale standard, precum și cu organizații ale societății civile. De asemenea, comitetul actualizează o serie de orientări ce ar putea fi relevante pentru revizuirea clauzelor contractuale standard, de exemplu cele privind conceptele de operator și persoană împuternicită de operator.

În cadrul abordării acestor aspecte, Comisia are în vedere și modalități de simplificare a „arhitecturii” actuale a clauzelor contractuale standard pentru a le face mai ușor de utilizat, de exemplu, prin înlocuirea seturilor multiple de clauze contractuale standard cu un document cuprinzător unic. Provocarea acestui demers este, pe de-o parte, menținerea unui echilibru adecvat între nevoia de claritate și un anumit grad de standardizare și, pe de altă parte, flexibilitatea necesară care să permită utilizarea acestor clauze de operatori cu cerințe diferite, în contexte diferite și pentru tipuri diferite de transfer.

Un alt aspect important de avut în vedere este, ținând seama de cauzele actuale aflate pe rolul Curții de Justiție 137 , posibila necesitate de clarificare suplimentară a garanțiilor cu privire la accesul autorităților publice străine la datele transferate în baza clauzelor contractuale standard, în special în scopuri de securitate națională. Acest lucru poate include obligarea importatorului sau a exportatorului de date sau a amândurora să ia măsuri și să clarifice rolul autorităților pentru protecția datelor în contextul respectiv. Deși revizuirea clauzelor contractuale standard se află într-un stadiu avansat, va fi necesar să se aștepte hotărârea Curții pentru a se putea reflecta orice eventuale cerințe suplimentare în cadrul clauzelor revizuite, înainte de transmiterea unui proiect de decizie cu privire la un nou set de clauze contractuale standard către comitet pentru emiterea unui aviz și, ulterior, propunerea sa spre adoptare în cadrul „procedurii comitetului” 138 .

În paralel, Comisia ține legătura cu parteneri internaționali care elaborează instrumente similare 139 . Acest dialog, care permite un schimb de experiență și de bune practici, ar putea contribui semnificativ la dezvoltarea în continuare a convergenței „pe teren” și, în acest fel, ar putea înlesni respectarea normelor de transfer transfrontalier pentru întreprinderile care își desfășoară activitatea în diferite regiuni ale globului.

·Norme corporative obligatorii

Un alt instrument important sunt așa-numitele norme corporative obligatorii. Ele sunt politici și acorduri obligatorii din punct de vedere juridic, care se aplică membrilor unei corporații, inclusiv angajaților acestora [articolul 46 alineatul (2) litera (b) și articolul 47 din RGPD]. Utilizarea regulilor corporatiste obligatorii permite circulația liberă a datelor cu caracter personal între diverșii membri ai unui grup la nivel mondial – fără a mai fi nevoie de acorduri contractuale între fiecare entitate corporativă – în același timp asigurându-se respectarea unui nivel ridicat de protecție a datelor cu caracter personal în cadrul grupului. Acestea oferă o soluție bună mai ales pentru grupurile corporative mari și complexe și pentru colaborarea strânsă dintre întreprinderi care derulează schimburi de date în jurisdicții multiple. Spre deosebire de Directiva din 1995, RGPD prevede că regulile corporatiste obligatorii pot fi utilizate de un grup de întreprinderi implicate într-o activitate comună, care însă nu fac parte din același grup corporativ.

Procedural, regulile corporatiste obligatorii trebuie aprobate de autoritățile competente pentru protecția datelor în baza unui aviz fără caracter obligatoriu al comitetului 140 . Pentru a ghida acest proces, comitetul a revizuit criteriile de referință privind regulile corporatiste obligatorii (stabilind standarde materiale) pentru operatori 141 și persoanele împuternicite de operatori 142 din prisma RGPD și continuă să actualizeze aceste documente pe baza experienței practice a autorităților de supraveghere. De asemenea, acesta a adoptat diverse documente de orientare pentru a ajuta solicitanții și a simplifică procesul de solicitare și aprobare în legătură cu regulile corporatiste obligatorii 143 . Potrivit comitetului, peste 40 de reguli corporatiste obligatorii sunt în curs de aprobare, jumătate din acestea urmând a fi aprobate până la finele anului 2020 144 . Este important ca autoritățile pentru protecția datelor să își continue activitatea în vederea simplificării procesului de aprobare, având în vedere că durata acestor proceduri este adesea menționată de părțile interesate ca fiind un obstacol în calea utilizării la scară mai largă a regulilor corporatiste obligatorii.

În final, în legătură cu regulile corporatiste obligatorii aprobate în mod specific de autoritatea pentru protecția datelor din Regatul Unit – Information Commissioner Office – întreprinderile vor putea continua să le utilizeze ca mecanism valabil de transfer în temeiul RGPD după încheierea perioadei de tranziție în conformitate cu Acordul de retragere încheiat între UE și Regatul Unit, însă numai dacă acestea sunt modificate în sensul înlocuirii oricărei referiri la ordinea juridică a Regatului Unit cu trimiteri corespunzătoare la entități corporative și autorități competente din cadrul UE. Aprobarea oricăror reguli corporatiste obligatorii noi ar trebui propusă de una dintre autoritățile de supraveghere din UE.

·Mecanisme de certificare și coduri de conduită

În plus față de modernizarea și lărgirea cadrului de aplicare a instrumentelor deja existente de transfer, RGPD a introdus și o serie de instrumente noi, extinzând astfel posibilitățile de transfer internațional. Aceasta include, în anumite condiții, utilizarea codurilor de conduită și a mecanismelor de certificare aprobate (cum ar fi mărcile de protecție a vieții private) pentru a asigura garanții adecvate. Ele sunt instrumente ascendente, care permit soluții personalizate – ca mecanism general de responsabilitate (a se vedea articolele 40-42 din RGPD) și, în mod specific, transferuri internaționale de date – reflectând, de pildă, caracteristici și nevoi specifice ale unui anumit sector sau ale unei anumite industrii sau ale unor anumite fluxuri de date. Prin calibrarea obligațiilor cu riscurile, codurile de conduită pot fi, de asemenea, o modalitate foarte utilă și eficientă din punctul de vedere al costurilor pentru întreprinderile mici și mijlocii în vederea îndeplinirii obligațiilor care le revin în temeiul RGPD.

În ceea ce privește mecanismele de certificare, deși comitetul a adoptat orientări în vederea promovării utilizării acestora la nivelul UE, activitatea sa de elaborare a criteriilor de aprobare a mecanismelor de certificare ca instrumente de transfer internațional este încă în curs. Același lucru este valabil și în cazul codurilor de conduită, în legătură cu care, la nivelul comitetului, sunt în curs de elaborare orientări de utilizare a acestora ca instrument de transfer.

Având în vedere importanța furnizării unei game largi de instrumente de transfer pentru operatori și, în special, potențialul mecanismelor de certificare de înlesnire a transferurilor de date, cu menținerea, totodată, a unui nivel ridicat de protecție, Comisia îndeamnă comitetul să finalizeze aceste orientări cât mai curând posibil. Acest lucru vizează atât aspecte materiale (criterii), cât și aspecte procedurale (aprobare, monitorizare etc.). Părțile interesate au manifestat un interes deosebit în legătură cu aceste mecanisme de transfer și ar trebui să poată utiliza pe deplin acest set de instrumente în baza RGPD. De asemenea, orientările comitetului ar contribui la promovarea modelului UE de protecție a datelor la nivel global și ar încuraja convergența, având în vedere faptul că și alte sisteme de protecție a vieții private utilizează instrumente similare.

Eforturile de standardizare actuale în domeniul vieții private la nivel european și internațional pot conduce la concluzii valoroase. Un exemplu interesant îl reprezintă standardul internațional publicat recent ISO 27701 145 , care își propune să ajute întreprinderile să îndeplinească cerințele de protejare a vieții private și să gestioneze riscurile legate de prelucrarea datelor cu caracter personal prin intermediul „sistemelor de management aplicate pentru managementul informațiilor privind confidențialitatea”. Deși certificarea doar în baza acestui standard nu îndeplinește cerințele articolelor 42 și 43 din RGPD, aplicarea sistemelor de management aplicate pentru managementul informațiilor privind confidențialitatea poate contribui la respectarea principiului responsabilității, inclusiv în contextul transferurilor internaționale de date.

·Acorduri internaționale și acorduri administrative

RGPD oferă posibilitatea de asigurare a unor garanții adecvate pentru transferurile de date între autorități sau organisme publice în baza acordurilor internaționale [articolul 46 alineatul (2) litera (a)] sau a acordurilor administrative [articolul 46 alineatul (3) litera (b)]. Deși ambele instrumente trebuie să garanteze același rezultat în ceea ce privește garanțiile, inclusiv drepturi opozabile și căi de atac eficiente pentru persoanele vizate, ele diferă în privința caracterului lor juridic și a procedurii de adoptare.

Spre deosebire de acordurile internaționale, care creează obligații angajante în temeiul legislației internaționale, de regulă, acordurile administrative (de exemplu, sub forma unui memorandum de înțelegere) nu au caracter obligatoriu și, astfel, impun autorizarea prealabilă din partea autorității competente pentru protecția datelor (a se vedea și considerentul 108 din RGPD). Unul dintre primele exemple în acest sens se referă la acordul administrativ pentru transferul de date cu caracter personal dintre autorități de supraveghere financiară din SEE și din afara SEE, care colaborează în cadrul Organizației Internaționale a Comisiilor de Valori Mobiliare (IOSCO), cu privire la care comitetul a emis un aviz 146 la începutul anului 2019. De la momentul respectiv, comitetul și-a nuanțat interpretarea cu privire la „garanțiile minime” pe care acordurile internaționale (de cooperare) și acordurile administrative dintre autoritățile sau organismele publice (inclusiv organizații internaționale) trebuie să le asigure în vederea respectării cerințelor articolului 46 din RGPD. La data de 18 ianuarie 2020, acesta a adoptat un proiect de orientări 147 , abordând solicitarea statelor membre de clarificări suplimentare și îndrumare cu privire la ceea ce poate fi considerat garanție adecvată pentru transferurile dintre autoritățile publice 148 . Comitetul recomandă cu insistență autorităților publice să utilizeze aceste orientări ca punct de referință în cadrul negocierilor cu terțe părți 149 .

Orientările demonstrează flexibilitatea structurii acestor instrumente, inclusiv în legătură cu aspecte importante, cum ar fi supravegherea 150 și căile de atac 151 . Acest lucru ar trebui să permită autorităților publice să depășească, de exemplu, dificultățile legate de asigurarea drepturilor opozabile ale persoanelor vizate prin intermediul acordurilor fără caracter obligatoriu. Un element important al acordurilor de acest fel îl reprezintă monitorizarea continuă a acestora de către autoritatea pentru protecția datelor – susținută de cerințe de informare și ținere a evidențelor – și suspendarea fluxurilor de date, în cazul în care garanțiile adecvate nu mai pot fi asigurate în practică.

Derogări

În final, RGPD oferă clarificări cu privire la utilizarea așa-numitelor „derogări”. Ele sunt motive specifice de transfer al datelor (de exemplu, consimțământul explicit 152 , executarea unui contract sau motive importante de interes public) recunoscute de lege și care pot fi utilizate de entități în absența altor instrumente de transfer și în anumite condiții.

Pentru a clarifica utilizarea acestor motive statutare, comitetul a publicat o orientare specifică 153 și a interpretat articolul 49 în mai multe cazuri în legătură cu scenarii specifice de transfer 154 . Deoarece au caracter excepțional, comitetul consideră că derogările trebuie interpretate restrictiv, de la caz la caz. În ciuda interpretării stricte, aceste motive se aplică unei game largi de scenarii de transfer. Aceasta include, în special, transferurile de date efectuate atât de autoritățile publice, cât și de entități private, necesare „din considerente importante de interes public”, de exemplu între autorități de concurență, financiare, fiscale sau vamale, servicii competente în domeniul securității sociale sau al sănătății publice (cum este cazul activității de depistare a contacților în contextul unor boli contagioase sau în vederea eliminării dopajului din sport) 155 . Un alt domeniu este cel al cooperării transfrontaliere în scopuri de aplicare a legislației în materie penală, în special în legătură cu infracțiunile grave 156 .

Comitetul a clarificat că, deși interesul public relevant trebuie recunoscut în legislația UE sau a statelor membre, acesta poate fi de asemenea stabilit având în vedere „existența unui acord sau a unei convenții internaționale care recunoaște un anumit obiectiv și care prevede cooperarea internațională în vederea promovării acestui obiectiv poate constitui un indicator atunci când se evaluează existența unui interes public în conformitate cu articolul 49 alineatul (1) litera (d), atât timp cât UE sau statele membre sunt parte la acordul sau convenția respectivă” 157 .

Deciziile instanțelor sau ale autorităților străine: nu reprezintă un motiv de transfer

În plus față de stabilirea pozitivă a motivelor de transfer al datelor, capitolul V din RGPD clarifică, în articolul 48, faptul că hotărârile instanțelor și deciziile autorităților administrative din afara UE nu reprezintă astfel de motive, decât dacă sunt recunoscute sau executorii în baza unui acord internațional (de exemplu, un tratat de asistență judiciară reciprocă). Orice divulgare de informații de către entitatea din UE căreia i se adresează solicitarea în acest sens, către o instanță sau autoritate străină ca răspuns la o astfel de hotărâre sau decizie constituie un transfer internațional de date și trebuie să aibă la bază unul dintre instrumentele de transfer menționate 158 . 

RGPD nu reprezintă „o lege de blocare” și, în anumite condiții, va permite transferul de date, ca răspuns la o solicitare corespunzătoare de asigurare a respectării legislației dintr-o țară terță. Cel mai important element este că regulamentul reprezintă o lege a UE ce ar trebui să stabilească aplicabilitatea situației respective și care sunt garanțiile în baza cărora pot avea loc astfel de transferuri.

Comisia a explicat funcționarea articolului 48 din RGPD, inclusiv posibilitatea de utilizare a derogării din considerente de interes public, în contextul emiterii unui ordin (mandat) de divulgare de către o autoritate de asigurare a respectării legislației în materie penală din străinătate în cauza Microsoft aflată pe rolul Curții Supreme a SUA 159 . În observațiile transmise, Comisia a subliniat interesul UE de a asigura cooperarea în vederea asigurării respectării legislației „într-un cadru legal, care să evite conflictele de legi și să se bazeze pe […] respectul față de interesele fundamentale reciproce, atât în domeniul vieții private, cât și în cel al asigurării respectării legislației” 160 . În special, „din perspectiva dreptului internațional public, atunci când o autoritate publică solicită unei întreprinderi cu sediul în jurisdicția sa să pună la dispoziție date electronice stocate pe un server dintr-o jurisdicție străină, sunt implicate principiile teritorialității și ale curtoaziei în temeiul dreptului internațional public” 161 . Acest aspect se reflectă și în propunerea Comisiei de regulament al Parlamentului European și al Consiliului privind ordinele europene de divulgare și de păstrare a probelor electronice în materie penală 162 , care conține o „clauză specifică de curtoazie” ce conferă posibilitatea de ridicare a unei obiecții împotriva unui ordin de divulgare, în cazul în care respectarea acestui ordin ar intra în conflict cu legislația unei țări terțe, care interzice divulgarea datelor respective în special pe motiv că acest lucru este necesar pentru protecția drepturilor fundamentale ale persoanelor vizate 163 .

Asigurarea curtoaziei este importantă, ținând seama de faptul că asigurarea respectării legislației – precum criminalitatea și, în special, criminalitatea cibernetică – are o componentă transfrontalieră din ce în ce mai mare și, astfel, ridică adesea probleme de jurisdicție și creează potențiale conflicte de legi 164 . Nu în mod surprinzător, cea mai bună modalitate de abordare a acestor aspecte o reprezintă acordurile internaționale, care prevăd limitările și garanțiile necesare pentru accesul transfrontalier la datele cu caracter personal, inclusiv prin asigurarea unui nivel ridicat de protecție a datelor la nivelul autorității solicitante.

Acționând în numele UE, Comisia derulează în prezent negocieri multilaterale în legătură cu un al doilea protocol adițional la Convenția Consiliului Europei privind criminalitatea informatică (Convenția de la Budapesta), care își propune să consolideze normele existente în vederea obținerii accesului la probelele electronice în cadrul anchetelor penale, furnizând, în același timp, garanții de protecție a datelor în cadrul acestui protocol 165 . În mod similar, au început negocierile bilaterale cu privire la un acord între Uniunea Europeană și Statele Unite ale Americii privind accesul transfrontalier la probele electronice în scopul cooperării judiciare în materie penală 166 . Pe parcursul acestor negocieri, Comisia se bazează pe sprijinul Parlamentului European și al Consiliului, precum și pe îndrumarea CEPD.

La modul general, este important să se asigure faptul că, atunci când întreprinderilor care desfășoară activități pe piața europeană li se solicită, pe baza unei cereri legitime, să comunice date în scopul aplicării legii, acestea se pot conforma fără să se confrunte cu conflicte de legi și respectând pe deplin drepturile fundamentale ale UE. Pentru a îmbunătăți aceste transferuri, Comisia se angajează să dezvolte cadre juridice adecvate cu partenerii săi internaționali pentru a evita conflictele de legi și a sprijini formele de cooperare eficace, în special prin asigurarea garanțiilor necesare pentru protecția datelor, contribuind astfel la combaterea cu mai multă eficacitate a criminalității.

7.3Cooperarea internațională în domeniul protecției datelor

Promovarea convergenței între sisteme diferite de protecție a vieții private înseamnă și a învăța unii de la alții, prin schimbul de cunoștințe, experiență și bune practici. Astfel de schimburi sunt esențiale pentru a aborda noile provocări, tot mai globale ca natură și scop. Din acest motiv, Comisia și-a intensificat dialogul cu privire la protecția datelor și fluxurile de date cu o gamă largă de actori și în diverse foruri, la nivel bilateral, regional și multilateral.

Dimensiunea bilaterală

Adoptarea RGPD a suscitat un interes sporit în legătură cu experiența UE în ceea ce privește conceperea, negocierea și punerea în aplicare a normelor moderne privind protecția vieții private. Dialogul cu țările care parcurg procese similare a îmbrăcat diverse forme.

Serviciile Comisiei au transmis observații în cadrul mai multor consultări publice organizate de guvernele străine care iau în considerare adoptarea legislației în domeniul protecției vieții private, de exemplu cele din SUA 167 , India 168 , Malaysia și Etiopia. În anumite țări terțe, serviciile Comisiei au avut privilegiul de a prezenta aceste aspecte în fața organismelor parlamentare competente, de exemplu în Brazilia 169 , Chile 170 , Ecuador și Tunisia 171 .

În plus, în contextul reformelor în curs ale legislației privind protecția datelor, au avut loc o serie de întâlniri speciale cu reprezentanți ai guvernului sau delegații parlamentare din nenumărate regiuni ale globului (de exemplu, Georgia, Kenya, Taiwan, Thailanda, Maroc). Ele au inclus organizarea de seminare și vizite de studiu, de exemplu, cu reprezentanți ai guvernului indonezian și o delegație de membri ai personalului Congresului SUA. Acestea au oferit oportunități de clarificare a unor importante concepte ale RGPD, de îmbunătățire a înțelegerii reciproce a aspectelor legate de protecția vieții private și de ilustrare a beneficiilor convergenței în vederea asigurării unui nivel ridicat de protecție a drepturilor persoanelor, schimburi comerciale și cooperare. În unele cazuri, ele au permis corectarea anumitor concepții greșite privind protecția datelor, care pot conduce la măsuri protecționiste, precum cerințele de localizare forțată.

De la adoptarea RGPD, Comisia a colaborat și cu o serie de organizații internaționale, inclusiv având în vedere importanța schimburilor de date cu organizațiile respective în mai multe domenii de politică. În special, a fost stabilit un dialog specific cu Organizația Națiunilor Unite pentru a înlesni discuțiile cu toate părțile interesate implicate în vederea asigurării transferurilor de date fără dificultăți și a dezvoltării unei mai mari convergențe între regimurile respective de protecție a datelor. În cadrul acestui dialog, Comisia va colabora îndeaproape cu CEPD pentru a clarifica suplimentar modul în care operatorii privați și publici din UE își pot respecta obligațiile în temeiul RGPD atunci când realizează schimburi de date cu organizații internaționale precum ONU.

Comisia este pregătită să continue să disemineze lecțiile învățate în cadrul procesului de reformă țărilor și organizațiilor internaționale interesate, în același fel în care a învățat de la alte sisteme la momentul elaborării propunerii sale de norme noi în domeniul protecției datelor la nivelul UE. Acest tip de dialog este benefic atât pentru UE, cât și pentru partenerii săi, deoarece permite obținerea unei mai bune înțelegeri a peisajului protecției vieții private în continuă evoluție și schimbul de perspective asupra soluțiilor tehnologice și juridice emergente.

În acest spirit, Comisia pregătește o „academie de protecție a datelor”, în vederea promovării schimburilor dintre autoritățile de reglementare din Europa și din țări terțe și, astfel, a îmbunătățirii cooperării „pe teren”. În plus, este necesar să se elaboreze instrumente juridice adecvate pentru forme mai strânse de cooperare și asistență reciprocă, inclusiv prin permiterea schimbului de informații necesar în contextul anchetelor. Astfel, Comisia va face uz de competențele conferite în acest domeniu de articolul 50 din RGPD și, în special, va solicita autorizarea inițierii negocierilor pentru încheierea unor acorduri de cooperare în materie de asigurare a respectării legislației cu țări terțe relevante. În acest context, Comisia va ține seama și de poziția comitetului privind țările cărora ar trebui să li se acorde prioritate pentru inițierea unui astfel de dialog, având în vedere volumul transferurilor de date, rolul și competențele autorității de asigurare a respectării legislației în domeniul protecției vieții private din țara terță și nevoia de cooperare în materie de asigurare a respectării legislației în vederea soluționării cazurilor de interes comun.

Dimensiunea multilaterală

Pe lângă schimburile bilaterale, Comisia participă activ și în cadrul unor foruri multilaterale, promovând valori comune și consolidând convergența la nivel regional și global.

Aderarea tot mai universală la „Convenția 108” a Consiliului Europei, singurul instrument multilateral obligatoriu din punct de vedere juridic în domeniul protecției datelor cu caracter personal, este un semn clar al acestei tendințe de (creștere a nivelului de) convergență 172 . Convenția, care se adresează și țărilor care nu sunt membre ale Consiliului Europei, a fost deja ratificată de 55 de țări, inclusiv de o serie de state din Africa și America Latină 173 . Comisia a contribuit semnificativ la succesul negocierilor cu privire la modernizarea convenției 174 , asigurându-se că aceasta reflectă același principii precum cele consacrate de normele privind protecția datelor la nivelul UE. Majoritatea statele membre ale UE au semnat protocolul de modificare, însă mai lipsesc semnătura Danemarcei, a Maltei și a României. Doar patru state membre (Bulgaria, Croația, Lituania și Polonia) au ratificat protocolul de modificare până în prezent. Comisia invită insistent cele trei state membre rămase să semneze convenția în forma sa modernizată și toate statele membre să ia rapid măsurile necesare în vederea ratificării acesteia, pentru a permite intrarea sa în vigoare în viitorul apropiat 175 . În plus, aceasta va continua să încurajeze proactiv aderarea țărilor terțe.

Fluxurile de date și protecția datelor au fost abordate recent și în cadrul summiturilor G20 și G7. În 2019, liderii mondiali au susținut pentru prima dată ideea că protecția datelor contribuie la încrederea în economia digitală și facilitează fluxurile de date. Cu sprijinul activ al Comisiei 176 , liderii au recunoscut conceptul de „data free flow with trust” (DFFT), propus inițial de Japonia în cadrul Declarației liderilor G20 de la Osaka 177 , precum și în cadrul summitului G7 de la Biarritz 178 . Această abordare se reflectă și în Comunicarea Comisiei din 2020 „O strategie europeană privind datele 179 ”, care evidențiază intenția Comisiei de a continua să promoveze schimbul de date cu parteneri fiabili, combătând în același timp abuzurile, cum ar fi accesul disproporționat al autorităților publice (străine) la date.

Acționând astfel, UE se va putea baza și pe o serie de instrumente în domenii de politică diferite, ce țin tot mai mult seama de impactul asupra vieții private: de exemplu, primul cadru la nivel UE de examinare a investițiilor străine, ce va deveni pe deplin aplicabil în octombrie 2020, oferă UE și statelor membre posibilitatea de a identifica tranzacții de investiții cu efecte asupra „accesului la informații sensibile, inclusiv la date cu caracter personal sau asupra capacității de a controla aceste informații”, în cazul în care ele afectează securitatea și ordinea publică 180 .

Comisia colaborează cu țări care împărtășesc aceeași viziune în multe alte foruri multilaterale pentru a-și promova activ valorile și standardele. Un for important îl reprezintă recent înființatul Grup de lucru privind guvernanța și protecția datelor (DGP) din cadrul OCDE, care derulează mai multe inițiative importante cu privire la protecția datelor, partajarea și transferul de date. Aceasta include evaluarea Orientărilor OCDE privind viața privată din 2013. În plus, Comisia a contribuit activ la Recomandarea Consiliului OCDE privind inteligența artificială 181 și s-a asigurat că textul final al acesteia reflectă abordarea UE centrată pe factorul uman, ceea ce înseamnă că aplicațiile IA trebuie să respecte drepturile fundamentale și, în special, dreptul la protecția datelor. Este important de menționat că Recomandarea privind IA – inclusă ulterior în Principiile privind IA ale G20 anexate la Declarația liderilor G20 de la Osaka 182 – prevede principiul transparenței și al explicabilității pentru „a permite celor afectați negativ de un sistem IA să îi conteste rezultatul în baza unor informații simple și ușor de înțeles cu privire la factorii și logica utilizate ca bază de predicție, recomandare sau decizie”, astfel, reflectând îndeaproape principiile RGPD privind procesul decizional automatizat 183 .

De asemenea, Comisia și-a intensificat dialogul cu o serie de organizații și rețele regionale, care joacă un rol tot mai important în conturarea standardelor de protecție a datelor 184 , promovarea schimbului de bune practici și stimularea cooperării între autoritățile de asigurare a respectării legislației. Această activitate vizează, în special, Asociația Națiunilor din Asia de Sud-Est (ASEAN) – inclusiv în contextul activității actuale a acesteia privind instrumentele de transfer al datelor –, Uniunea Africană, Forumul autorităților de protecție a vieții private din zona Asia­Pacific (APPA) și Rețeaua ibero-americană de protecție a datelor; toate aceste organizații au lansat inițiative importante în acest domeniu și constituie foruri în care sunt promovate dialoguri fructuoase între autoritățile de reglementare a protecției vieții private și alte părți interesate.

Africa reprezintă un exemplu grăitor de complementaritate între dimensiunea națională, cea regională și cea globală a protecției vieții private. Tehnologiile digitale transformă rapid și profund continentul african. Această situație are potențialul de a accelera atingerea obiectivelor de dezvoltare durabilă prin stimularea creșterii economice, atenuarea sărăciei și îmbunătățirea calității vieții. Existența unui cadru modern de protecție a datelor, care atrage investiții și promovează dezvoltarea de afaceri competitive, contribuind, în același timp, la respectarea drepturilor omului, a democrației și a statului de drept, reprezintă un element-cheie al acestei transformări. Armonizarea normelor de protecție a datelor la nivelul Africii ar permite integrarea pieței digitale, iar convergența cu standardele globale ar înlesni schimburile de date cu UE. Aceste dimensiuni diferite ale protecției datelor sunt interconectate și se susțin reciproc. În prezent, multe state africane manifestă un interes în creștere privind protecția datelor, iar numărul de țări africane care au adoptat sau se află în proces de adoptare a unor norme moderne de protecție a datelor sau care au ratificat Convenția 108 185 sau Convenția de la Malabo 186 continuă să crească 187 . În același timp, cadrul de reglementare rămâne profund inegal și fragmentat pe teritoriul african. Multe țări oferă încă puține garanții de protecție a datelor sau chiar nu oferă astfel de garanții. Măsurile care restricționează fluxurile de date sunt încă larg răspândite și împiedică dezvoltarea unei economii digitale regionale. Pentru a exploata beneficiile reciproce ale normelor convergente de protecție a datelor, Comisia va colabora cu partenerii săi africani atât la nivel bilateral, cât și în cadrul unor foruri regionale 188 . Această colaborare are la bază activitatea Grupului operativ pentru economia digitală UE-UA în contextul Noului parteneriat Africa-Europa privind economia digitală 189 . De asemenea, ea vine în completarea obiectivelor pe care domeniul de aplicare al instrumentului de parteneriat al Comisiei „Protecție sporită a datelor și a fluxurilor de date” le-a extins pentru a include și Africa. Proiectul va fi mobilizat pentru a susține țările africane care intenționează să dezvolte cadre moderne de protecție a datelor sau care doresc să consolideze capacitatea autorităților de reglementare ale acestora prin formare, schimb de cunoștințe și bune practici.

În fine, Comisia promovează convergența standardelor de protecție a datelor la nivel internațional, ca modalitate de a facilita fluxurile de date și, prin urmare, comerțul, dar este hotărâtă să abordeze, în același timp, și protecționismul digital, astfel cum a fost evidențiat recent în strategia privind datele 190 . În acest scop, Comisia a elaborat dispoziții specifice privind fluxurile de date și protecția datelor în acordurile comerciale, pe care le înscrie sistematic pe agenda negocierilor bilaterale - cel mai recent cu Australia, Noua Zeelandă și Regatul Unit - și multilaterale, cum ar fi discuțiile în curs privind comerțul electronic din cadrul OMC. Aceste dispoziții orizontale exclud restricțiile nejustificate, precum cerințele de localizare forțată a datelor, păstrând în același timp autonomia în materie de reglementare a părților, pentru a proteja dreptul fundamental la protecția datelor. Deși trebuie să urmeze căi diferite, dialogurile privind protecția datelor și negocierile comerciale se pot completa reciproc. De fapt, convergența, bazându-se pe standarde înalte și fiind susținută de asigurarea eficace a respectării legii, asigură cea mai solidă fundație pentru schimbul de date cu caracter personal, un aspect tot mai des recunoscut de partenerii noștri internaționali. Întrucât întreprinderile își desfășoară tot mai mult activitatea dincolo de frontiere și preferă să aplice seturi similare de norme în toate operațiunile lor comerciale desfășurate la nivel mondial, o astfel de convergență contribuie la crearea unui mediu care favorizează investițiile directe, facilitând schimburile comerciale și îmbunătățind nivelul de încredere dintre partenerii comerciali. Sinergiile dintre comerț și instrumentele de protecție a datelor ar trebui să fie analizate în continuare, pentru a se asigura fluxuri internaționale libere și sigure de date, care sunt esențiale pentru operațiunile comerciale, pentru competitivitate și pentru dezvoltarea întreprinderilor europene, inclusiv a IMM-urilor, într-o economie din ce în ce mai digitalizată.

Anexa I – Clauzele de specificare facultative la nivelul legislației naționale

Subiect	Domeniu de aplicare	Articole RGPD
Specificații pentru obligații legale și sarcini publice	Adaptarea aplicării dispozițiilor cu privire la prelucrare în vederea respectării unei obligații legale sau a unei sarcini publice, inclusiv cu privire la situațiile specifice de prelucrare prevăzute în capitolul IX	Articolul 6 alineatele (2) și (3)
Limita de vârstă pentru consimțământul în legătură cu serviciile societății informaționale	Stabilirea vârstei minime între 13 și 16 ani	Articolul 8 alineatul (1)
Prelucrarea unor categorii speciale de date	Menținerea sau introducerea unor condiții suplimentare, inclusiv a unor limitări, de prelucrare a datelor genetice, a datelor biometrice sau a datelor privind sănătatea	Articolul 9 alineatul (4)
Derogări de la cerințele de informare	Obținerea sau divulgarea datelor prevăzută în mod expres de lege sau în legătură cu un secret profesional reglementat prin lege	Articolul 14 alineatul (5) literele (c) și (d)
Procesul decizional individual automatizat	Autorizarea procesului decizional automatizat prin derogare de la interdicția cu caracter general	Articolul 22 alineatul (2) litera (b)
Limitări ale drepturilor persoanelor vizate	Restricțiile de la articolul 12 la articolul 22, articolul 34 și dispozițiile corespunzătoare de la articolul 5, după caz și dacă este proporțional pentru a asigura obiectivele importante enumerate exhaustiv	Articolul 23 alineatul (1)
Cerința de consultare și autorizare	Cerința ca operatorii să se consulte cu autoritatea pentru protecția datelor sau să obțină autorizarea din partea acesteia în legătură cu prelucrarea datelor în vederea îndeplinirii unei sarcini exercitate de aceștia în interes public	Articolul 36 alineatul (5)
Desemnarea unui responsabil cu protecția datelor în cazuri suplimentare	Desemnarea unui responsabil cu protecția datelor în alte cazuri decât cele prevăzute la articolul 37 alineatul (1)	Articolul 37 alineatul (4)
Limite asupra transferurilor	Limite asupra transferurilor unor categorii specifice de date cu caracter personal	Articolul 49 alineatul (5)
Plângeri și acțiuni în justiție înaintate de organizații în nume propriu	Autorizarea organizațiilor din domeniul protecției vieții private de a înainta plângeri și acțiuni în justiție independent de mandatul unei persoane vizate	Articolul 80 alineatul (2)
Accesul la documente oficiale	Reconcilierea dintre accesul public la documente oficiale și dreptul la protecția datelor cu caracter personal	Articolul 86
Prelucrarea unui număr de identificare național	Condiții specifice de prelucrare a unui număr de identificare național	Articolul 87
Prelucrarea în contextul ocupării unui loc de muncă	Norme mai detaliate pentru prelucrarea datelor cu caracter personal ale angajaților	Articolul 88
Derogări privind prelucrarea în scopuri de arhivare în interes public, în scopuri de cercetare sau în scopuri statistice	Derogări de la drepturile specificate ale persoanelor vizate în măsura în care drepturile respective sunt de natură să facă imposibilă sau să afecteze în mod grav realizarea scopurilor specifice	Articolul 89 alineatul (2) și (3)
Reconcilierea protecției datelor cu obligațiile privind păstrarea confidențialității	Norme specifice cu privire la competențele de investigare ale autorităților pentru protecția datelor în legătură cu operatori sau persoane împuternicite de operatori care au obligația de a păstra secretul profesional	Articolul 90

Anexa II – Prezentare generală a resurselor autorităților pentru protecția datelor

Tabelul de mai jos include o prezentare generală a resurselor autorităților pentru protecția datelor (angajați și buget) per stat membru UE/țări SEE 191 .

Atunci când se realizează o comparație a valorilor între statele membre, este important de reținut că este posibil ca autoritățile respective să aibă și alte sarcini decât cele în temeiul RGPD și că situația poate varia în funcție de statul membru vizat. Raportarea numărului de angajați ai autorităților la un milion de locuitori și a bugetului autorităților la un milion EUR din PIB este inclusă doar pentru a furniza elemente suplimentare de comparație între statele membre de dimensiuni similare și nu trebuie avută în vedere izolat. Valorile absolute, rapoartele și evoluția acestora pe parcursul ultimilor ani ar trebui avute în vedere împreună, atunci când se evaluează resursele unei anumite autorități. 

	ANGAJAȚI (echivalent normă întreagă)					BUGET (EUR)
State membre UE/țări SEE	2019	Previziune 2020	% creștere 2016-2019	% creștere 2016-2020 (previziune)	Angajați la un milion de locuitori (2019)	2019	Previziune 2020	% creștere 2016-2019	% creștere 2016- 2020 (previziune)	Buget per milion EUR din PIB (2019)
Austria	34	34	48 %	48 %	3,8	2 282 000	2 282 000	29 %	29 %	5,7
Belgia	59	65	9 %	20 %	5,2	8 197 400	8 962 200	1 %	10 %	17,3
Bulgaria	60	60	-14 %	-14 %	8,6	1 446 956	1 446 956	24 %	24 %	23,8
Croația	39	60	39 %	114 %	9,6	1 157 300	1 405 000	57 %	91 %	21,5
Cipru	24	22	Nu se aplică	Nu se aplică	27,4	503 855	Nu se aplică	114 %	Nu se aplică	23,0
Republica Cehă	101	109	0 %	8 %	9,5	6 541 288	6 720 533	10 %	13 %	29,7
Danemarca	66	63	106 %	97 %	11,4	5 610 128	5 623 114	101 %	101 %	18,0
Estonia	16	18	-11 %	0 %	12,1	750 331	750 331	7 %	7 %	26,8
Finlanda	45	55	114 %	162 %	8,2	3 500 000	4 500 000	94 %	150 %	14,6
Franța	215	225	9 %	14 %	3,2	18 506 734	20 143 889	-2 %	7 %	7,7
Germania	888	1002	52 %	72 %	10,7	76 599 800	85 837 500	48 %	66 %	22,3
Grecia	33	46	-15 %	18 %	3,1	2 849 000	3 101 000	38 %	50 %	15,2
Ungaria	104	117	42 %	60 %	10,6	3 505 152	4 437 576	102 %	155 %	24,4
Islanda	17	17	143 %	143 %	47,6	2 272 490	2 294 104	167 %	170 %	105,2
Irlanda	140	176	169 %	238 %	28,5	15 200 000	16 900 000	223 %	260 %	43,8
Italia	170	170	40 %	40 %	2,8	29 127 273	30 127 273	46 %	51 %	16,3
Letonia	19	31	-10 %	48 %	9,9	640 998	1 218 978	4 %	98 %	21,0
Lituania	46	52	-8 %	4 %	16,5	1 482 000	1 581 000	40 %	49 %	30,6
Luxemburg	43	48	126 %	153 %	70,0	5 442 416	6 691 563	165 %	226 %	85,7
Malta	13	15	30 %	50 %	26,3	480 000	550 000	41 %	62 %	36,3
Țările de Jos	179	188	145 %	158 %	10,4	18 600 000	18 600 000	130 %	130 %	22,9
Norvegia	49	58	2 %	21 %	9,2	5 708 950	6 580 660	27 %	46 %	15,9
Polonia	238	260	54 %	68 %	6,3	7 506 345	9 413 381	66 %	108 %	14,2
Portugalia	25	27	-4 %	4 %	2,4	2 152 000	2 385 000	67 %	86 %	10,1
România	39	47	-3 %	18 %	2,0	1 103 388	1 304 813	3 %	22 %	4,9
Slovacia	49	51	20 %	24 %	9,0	1 731 419	1 859 514	47 %	58 %	18,4
Slovenia	47	49	42 %	48 %	22,6	2 242 236	2 266 485	68 %	70 %	46,7
Spania	170	220	13 %	47 %	3,6	15 187 680	16 500 000	8 %	17 %	12,2
Suedia	87	87	81 %	81 %	8,5	8 800 000	10 300 000	96 %	129 %	18,5
TOTAL	2 966	3 372	42 %	62 %	6,6	249 127 139	273 782 870	49 %	64 %	17,4

Sursa cifrelor brute: contribuția comitetului. Calcule ale Comisiei. 

(1)

 Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE - JO L 119, 4.5.2016, p. 1 – 88. 

(2)

Comunicare a Comisiei către Parlamentul European și Consiliu, Normele privind protecția datelor, factor favorizant al încrederii în UE și în afara acesteia – bilanț – COM(2019) 374 final, 24.7.2019.

(3)

 Comunicare a Comisiei către Parlamentul European și Consiliu: Protecție sporită, noi oportunități - Orientările Comisiei privind aplicarea directă a Regulamentului general privind protecția datelor de la 25 mai 2018,COM/2018/043 final

(4)

Poziția Consiliului și constatările privind aplicarea Regulamentului general privind protecția datelor (RGPD) – 14994/2/19 Rev2, 15.1.2020:

https://data.consilium.europa.eu/doc/document/ST-14994-2019-REV-2/ro/pdf .

(5)

Scrisoarea Comisiei LIBE a Parlamentului European din 21 februarie 2020 către comisarul Reynders, ref.: IPOL-COM-LIBE D (2020)6525.

(6)

     Contribuția comitetului la evaluarea RGPD în conformitate cu articolul 97, adoptată la 18 februarie 2020: https://edpb.europa.eu/our-work-tools/our-documents/other/contribution-edpb-evaluation-gdpr-under-article-97_en .

(7)

      https://edpb.europa.eu/individual-replies-data-protection-supervisory-authorities_en .

(8)

     Grupul multipartit de experți privind RGPD, instituit de Comisie, cuprinde reprezentanți ai societății civile și ai mediului de afaceri, ai mediului universitar și practicieni:

https://ec.europa.eu/transparency/regexpert/index.cfm?do=groupDetail.groupDetail&groupID=3537 .

Raportul Grupului multipartit de experți este disponibil la adresa:

https://ec.europa.eu/transparency/regexpert/index.cfm?do=groupDetail.groupMeeting&meetingId=21356 .

(9)

     Acest aspect este evidențiat în special de către Consiliu în poziția sa și constatările privind aplicarea RGPD, precum și de către comitet în cadrul contribuției sale la evaluare.

(10)

     Cifrele din paranteze indică numărul de autorități pentru protecția datelor la nivelul UE/SEE care au recurs la competențele enumerate în perioada cuprinsă între luna mai 2018 și sfârșitul lunii noiembrie 2019. A se vedea contribuția comitetului, paginile 32 și 33.

(11)

     Mai multe decizii de impunere a unor amenzi încă fac obiectul controlului judiciar.

(12)

     Articolul 83 alineatul (7) din RGPD.

(13)

     Articolul 8 alineatul (3) din Cartă; articolul 16 alineatul (2) din TFUE; considerentul 20 din RGPD.

(14)

     Cf. declarația comitetului referitoare la impactul concentrării economice, https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_statement_economic_concentration_ro.pdf.

(15)

     A se vedea cazul COMP M. 8124 Microsoft/LinkedIn.

(16)

     Directiva 2002/58/CE a Parlamentului European și a Consiliului din 12 iulie 2002 privind prelucrarea datelor personale și protejarea confidențialității în sectorul comunicațiilor publice (Directiva asupra confidențialității și comunicațiilor electronice), JO L 201, 31.7.2002, p. 37 – 47.

(17)

     Directiva (UE) 2016/1148 a Parlamentului European și a Consiliului din 6 iulie 2016 privind măsuri pentru un nivel comun ridicat de securitate a rețelelor și a sistemelor informatice în Uniune, JO L 194, 19.7.2016, p. 1 – 30.

(18)

     Pentru informații detaliate cu privire la activitățile secretariatului, a se vedea contribuția comitetului, paginile 24-26.

(19)

     În plus față de cele 10 orientări care au fost adoptate de Grupul de lucru instituit prin articolul 29 în perioada prealabilă aplicării RGPD și care au fost aprobate de comitet. Comitetul a adoptat, de asemenea, 4 orientări suplimentare între luna ianuarie și sfârșitul lunii mai 2020 și a actualizat o orientare existentă.

(20)

     42 dintre aceste avize au fost adoptate în temeiul articolului 64 din RGPD, iar un aviz a fost adoptat în temeiul articolului 70 alineatul (1) litera (s) din RGPD și a vizat decizia privind caracterul adecvat al nivelului de protecție cu privire la Japonia.

(21)

     Pentru o prezentare completă a activităților comitetului, a se vedea contribuția comitetului, paginile 18-23.

(22)

     https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_statement_2020_

processingpersonaldataandcovid-19_en.pdf.

(23)

     https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-032020-processing-data-concerning-health-purpose_ro.

(24)

https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_20200420_contact_tracing_covid_

with_annex_ro.pdf.

(25)

     Sistemul de informare al pieței interne („IMI”).

(26)

     A se vedea contribuția comitetului, pagina 8.

(27)

     De pildă, la data de 22 mai 2020, autoritatea irlandeză pentru protecția datelor a transmis un proiect de decizie altor autorități vizate, în conformitate cu articolul 60 din regulament, în legătură cu o investigație a Twitter International Company cu privire la notificarea în caz de încălcare a securității datelor. La aceeași dată, autoritatea irlandeză pentru protecția datelor a anunțat că este în curs de elaborare un proiect de decizie cu privire la WhatsApp Ireland Limited, ce urmează a fi transmisă în conformitate cu articolul 60, în legătură cu principiul transparenței, inclusiv în legătură cu transparența privind informațiile partajate cu Facebook.

(28)

     Articolul 61 din RGPD.

(29)

     A se vedea contribuția comitetului, paginile 12-14.

(30)

     Articolul 62 din RGPD.

(31)

     În temeiul articolului 64 din RGPD.

(32)

     Articolul 65 din RGPD.

(33)

     Articolul 66 din RGPD.

(34)

     În temeiul articolului 64 alineatul (1) din RGPD.

(35)

     Articolul 28 alineatul (8) din RGPD.

(36)

     În temeiul articolului 64 alineatul (2) din RGPD.

(37)

     A se vedea contribuția comitetului, pagina 15.

(38)

     Astfel cum s-a arătat deja în poziția și constatările Consiliului.

(39)

     A se vedea la punctul 7 de mai jos.

(40)

     Până la adoptarea Regulamentului privind viața privată și comunicațiile electronice, este necesar să existe o strânsă colaborare cu autoritățile competente responsabile pentru punerea în aplicare a Directivei asupra confidențialității și comunicațiilor electronice din statele membre. În conformitate cu această directivă, în unele state membre, autoritățile competente pentru aplicarea articolului 5 alineatul (3) din Directiva asupra confidențialității și comunicațiilor electronice (care stabilește condițiile în baza cărora pot configurate și accesate „cookie-urile” pe un echipament terminal al unui utilizator) nu sunt identice cu autoritățile de supraveghere privind RGPD.

(41)

     Articolul 33 din RGPD.

(42)

     A se vedea contribuția comitetului, pagina 35.

(43)

     Elaborarea orientărilor a început înainte de aplicarea RGPD la data de 25 mai 2018 în cadrul Grupului de lucru instituit prin articolul 29. A se vedea lista completă de orientări la adresa https://edpb.europa.eu/our-work-tools/general-guidance/gdpr-guidelines-recommendations-best-practices_ro.

(44)

     Acest aspect a fost subliniat și de Parlamentul European și de Consiliu.

(45)

     În prezent, sunt în curs de elaborare orientări ale comitetului cu privire la operatori și persoanele împuternicite de operatori.

(46)

     A se vedea articolul 52 alineatul (4) din RGPD.

(47)

     Regulamentul a intrat în vigoare în luna mai 2016, fiind aplicat începând cu luna mai 2018, după o perioadă de tranziție de 2 ani.

(48)

     A se vedea contribuția comitetului, paginile 26-30.

(49)

     În Germania există 18 autorități, și anume, o autoritate federală și 17 autorități regionale (inclusiv două autorități în Bavaria).

(50)

     Articolul 60 din RGPD.

(51)

     Articolul 52 alineatul (4) din RGPD.

(52)

     Articolul 75 din RGPD.

(53)

     Trebuie menționat că autoritatea națională pentru protecția datelor din Slovenia este înființată pe baza legii naționale privind protecția datelor în vigoare și supraveghează aplicarea RGPD în statul membru respectiv.

(54)

     Această procedură de constatare a neîndeplinirii obligațiilor vizează legislația poloneză cu privire la sistemul judiciar din 20 decembrie 2019, care afectează independența judecătorilor și se referă, inter alia, la dezvăluirea implicării judecătorilor în activități din afara sferei profesionale:

https://ec.europa.eu/commission/presscorner/detail/en/ip_20_772.

(55)

     A se vedea Articolul 8 alineatul (3) din Cartă; Articolul 16 din TFUE; considerentul 20 din RGPD.

(56)

     De pildă, exceptarea unei comisii parlamentare de la aplicarea RGPD face obiectul unei cauze pendinte, ce are ca obiect pronunțarea unei hotărâri preliminare (C-272/19).

(57)

     Articolul 85 din RGPD.

(58)

     Termenul des utilizat de „clauze de deschidere”, care înseamnă clauze de specificare, este înșelător, deoarece dă impresia că statele membre dispun de marje de manevră care depășesc dispozițiile regulamentului.

(59)

     Considerentul 8 din RGPD.

(60)

     13 ani pentru Belgia, Danemarca, Estonia, Finlanda, Letonia, Malta, Portugalia și Suedia; 14 ani pentru Austria, Bulgaria, Cipru, Spania, Italia și Lituania; 15 ani pentru Republica Cehă, Grecia și Franța; 16 ani pentru Germania, Ungaria, Croația, Irlanda, Luxemburg, Țările de Jos, Polonia, România și Slovacia.

(61)

     Articolul 9 din RGPD.

(62)

     Articolul 89 alineatul (2) din RGPD.

(63)

     A se vedea articolul 9 alineatul (2) litera (i) din RGPD și considerentul 46.

(64)

     https://eur-lex.europa.eu/legal-content/RO/TXT/PDF/?uri=CELEX:32020H0518&from=EN.

(65)

https://eur-lex.europa.eu/legal-content/RO/TXT/PDF/?uri=CELEX:52020XC0417(08)&from=RO.

(66)

https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_statement_art_23gdpr_20200602_ro_1.pdf.

(67)

     https://edpb.europa.eu/our-work-tools/general-guidance/gdpr-guidelines-recommendations-best-practices_ro.

(68)

     De pildă, deoarece acestea pur și simplu repetă formularea articolului 23 alineatul (1) din RGPD.

(69)

     Articolul 37 alineatul (1) din RGPD.

(70)

     Germania.

(71)

     Utilizând clauza de specificare din articolul 37 alineatul (4) din RGPD.

(72)

     Cf. considerentul 4 din RGPD.

(73)

     https://ec.europa.eu/commission/presscorner/detail/ro/IP_19_2956.

(74)

     Agenția pentru Drepturi Fundamentale a Uniunii Europene (FRA) (2020): Sondaj privind drepturile fundamentale 2019. Protecția datelor și tehnologia: https://fra.europa.eu/en/publication/2020/fundamental-rights-survey-data-protection.

(75)

     Articolul 80 din RGPD.

(76)

     COM/2018/0184 final - 2018/089 (COD).

(77)

     Ambele în temeiul articolelor 77 și 80 din RGPD.

(78)

     A se vedea contribuția comitetului, paginile 31-32.

(79)

     Articolul 12 alineatul (2) din RGPD.

(80)

     Articolul 13 alineatul (1) litera (b) și articolul 14 alineatul (1) litera (b) din RGPD.

(81)

     https://eur-lex.europa.eu/legal-content/RO/TXT/PDF/?uri=CELEX:52020DC0066&from=EN.

(82)

     A se vedea raportul Grupului multipartit de experți.

(83)

     A se vedea rezultatele unei consultări publice cu privire la drepturile copiilor în legătură cu protecția datelor, derulată de autoritatea pentru protecția datelor din Irlanda: https://www.dataprotection.ie/sites/default/files/uploads/2019-09/Whose%20Rights%20Are%20They%20Anyway_Trends%20and%20Hightlights%20from%20Stream%201.pdf . Și autoritatea pentru protecția datelor din Franța a inițiat o consultare publică în aprilie 2020: https://www.cnil.fr/fr/la-cnil-lance-une-consultation-publique-sur-les-droits-des-mineurs-dans-lenvironnement-numerique .

(84)

     Articolul 12 alineatul (1) din RGPD.

(85)

     Articolul 25 din RGPD.

(86)

     A se vedea raportul Consiliului Norvegian al Consumatorilor, intitulat „Deceived by Design” (Înșelat începând cu momentul conceperii), care a subliniat o serie de „modele obscure”, setări implicite și alte funcții utilizate de întreprinderi pentru a direcționa utilizatorii către opțiuni intruzive:

https://www.forbrukerradet.no/undersokelse/no-undersokelsekategori/deceived-by-design/ .

De asemenea, a se vedea cercetarea publicată în decembrie 2019 de Transatlantic Consumer Dialogue și de Heinrich-Böll-Stiftung, cu sediul în Bruxelles, Uniunea Europeană, care analizează practicile a trei importante platforme globale:

https://eu.boell.org/en/2019/12/11/privacy-eu-and-us-consumer-experiences-across-three-global-platforms .

(87)

     Regulamentul (UE) 2018/1807 al Parlamentului European și al Consiliului din 14 noiembrie 2018 privind un cadru pentru libera circulație a datelor fără caracter personal în Uniunea Europeană, JO L 303, 28.11.2018, p. 59 – 68.

(88)

     Articolul 24 alineatul (1) din RGPD.

(89)

     A se vedea contribuția comitetului, p. 35.

(90)

     A se vedea contribuția comitetului, paginile 35-45.

(91)

     https://ec.europa.eu/info/funding-tenders/opportunities/portal/screen/opportunities/topic-details/rec-rdat-trai- ag-2017.

(92)

      https://ec.europa.eu/info/law/law-topic/data-protection/eu-data-protection-rules/eu-funding-supporting-implementation-gdpr_en .

(93)

     A se vedea raportul Grupului multipartit de experți.

(94)

     A se vedea contribuția Consiliului.

(95)

     Comunicare a Comisiei către Parlamentul European și Consiliu - Orientări referitoare la Regulamentul privind un cadru pentru libera circulație a datelor fără caracter personal în Uniunea Europeană, COM/2019/250 final.

(96)

  https://edpb.europa.eu/our-work-tools/our-documents/wytyczne/guidelines-12019-codes-conduct-and-monitoring-bodies-under_ro .

(97)

     A se vedea raportul Grupului multipartit de experți.

(98)

     A se vedea acțiunile anunțate în strategia europeană privind datele, pagina 30.

(99)

     În conformitate cu articolul 41 alineatul (3) din RGPD. A se vedea avizele CEPD la adresa: https://edpb.europa.eu/our-work-tools/consistency-findings/opinions_ro.

(100)

  https://ec.europa.eu/info/study-data-protection-certification-mechanisms_en .

(101)

  https://edpb.europa.eu/our-work-tools/our-documents/smjernice/guidelines-12018-certification-and-identifying-certification_ro .

(102)

  https://edpb.europa.eu/our-work-tools/our-documents/retningslinjer/guidelines-42018-accreditation-certification-bodies_ro . Mai multe autorități de supraveghere și-au transmis deja cerințele de acreditare către CEPD, atât în legătură cu organismele de monitorizare a codurilor de conduită, cât și în legătură cu organismele de certificare. A se vedea prezentare generală la adresa: https://edpb.europa.eu/our-work-tools/consistency-findings/opinions_ro .

(103)

  https://ec.europa.eu/digital-single-market/en/news/towards-more-secure-and-trusted-cloud-europe .

(104)

     Articolul 28 alineatul (7) din RGPD.

(105)

     După cum menționează Consiliul, Parlamentul European și comitetul în contribuțiile la evaluare ale acestora.

(106)

     Cu toate acestea, părțile interesate observă că nu toate procesele decizionale automate desfășurate într-un context care implică utilizarea inteligenței artificiale se încadrează în dispozițiile articolului 22 din RGPD.

(107)

      https://ec.europa.eu/commission/presscorner/detail/ro/ip_20_962 .

(108)

     Comunicarea Comisiei către Parlamentul European și Consiliu intitulată „Schimbul de date cu caracter personal și protecția acestora într-o lume globalizată”, 10.1.2017 [COM(2017) 7 final].

(109)

     CEPD, Orientările nr. 2/2018 privind domeniul de aplicare teritorială al RGPD, 12.11.2019. Aceste orientări abordează o serie de aspecte discutate în cadrul consultărilor publice, de exemplu, interpretarea criteriilor referitoare la persoanele vizate și a celor de monitorizare.

(110)

     A se vedea poziția și constatările Consiliului, punctele 34, 35 și 38.

(111)

     A se vedea articolul 27 alineatul (4) și considerentul 80 din RGPD („Reprezentantul desemnat ar trebui să fie supus unor proceduri de asigurare a respectării legii în cazul nerespectării prezentului regulament de către operator sau de către persoana împuternicită de operator”).

(112)

     Propunere de directivă a Parlamentului European și a Consiliului de stabilire a unor norme armonizate privind desemnarea reprezentanților legali în scopul obținerii de probe în cadrul procedurilor penale [COM(2018) 226 final], articolul 3; Propunere de regulament al Parlamentului European și al Consiliului privind prevenirea diseminării conținutului online cu caracter terorist [COM(2018) 640 final], articolul 16 alineatele (2) și (3).

(113)

     Potrivit unei observații comunicate cu ocazia consultărilor publice, unul dintre principalele aspecte ce trebuie abordate „este asigurarea eficientă a respectării legii, alături de consecințele reale pentru cei care aleg să ignore această cerință […] În special, ar trebui să se aibă în vedere că acest lucru plasează întreprinderile cu sediul în Uniune într-un dezavantaj concurențial comparativ cu întreprinderile neconforme cu sediul în afara Uniunii, care desfășoară activități comerciale în Uniune.” A se vedea EU Business Partners, observații depuse la data de 29 aprilie 2020.

(114)

     Mai multe observații comunicate cu ocazia consultărilor publice au ridicat această problemă, de exemplu, în ceea ce privește transmiterea de date cu caracter personal unor destinatari din afara UE, care sunt însă vizați de RGPD.

(115)

     A se vedea poziția și constatările Consiliului, punctul 17; contribuția comitetului, paginile 5-6. Mai multe observații comunicate cu ocazia consultărilor publice, inclusiv din partea unor asociații de întreprinderi [precum Asociația Franceză a Marilor Întreprinderi, Digital Europe, Global Data Alliance/BSA, Computer & Communication Industry Association (CCIA) sau Camera de Comerț a SUA], au solicitat o intensificare a activității legate de deciziile privind caracterul adecvat al nivelului de protecție, în special în legătură cu parteneri comerciali importanți.

(116)

     Hotărârea Curții de Justiție a UE din 6 octombrie 2015 în cauza C-362/14, Maximillian Schrems/Data Protection Commissioner, (Schrems), punctele 73, 74 și 96. A se vedea și considerentul 104 din RGPD, care se referă la standardul de echivalență esențială.

(117)

     A se vedea articolul 45 alineatul (2) și considerentul 104 din RGPD. A se vedea, de asemenea, cauza Schrems, punctele 75, 91-91.

(118)

     Criterii de referință privind caracterul adecvat al nivelului de protecție, WP 254 rev. 01, 6 februarie 2018 (disponibil la adresa: https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=614108 ).

(119)

     Contribuția comitetului, p. 5-6.

(120)

     Articolul 45 alineatele (4) și (5) din RGPD prevăd obligația Comisiei de a monitoriza continuu evoluțiile din țările terțe și de a revizui periodic – cel puțin din patru în patru ani – deciziile privind caracterul adecvat al nivelului de protecție. De asemenea, acestea conferă Comisiei puterea de a abroga, modifica sau suspenda o decizie privind caracterul adecvat al nivelului de protecție, în cazul în care constată că țara sau organizația internațională respectivă nu mai asigură un nivel adecvat de protecție. Articolul 97 alineatul (2) litera (a) din RGPD solicită, de asemenea, Comisiei să prezinte până în 2020 un raport de evaluare Parlamentului European și Consiliului. A se vedea și hotărârea Curții de Justiție a UE din 6 octombrie 2015 în cauza C-362/14, Maximillian Schrems / Data Protection Commissioner, punctul 76.

(121)

     Decizia de punere în aplicare (UE) 2016/1250 a Comisiei din 12 iulie 2016 în temeiul Directivei 95/46/CE a Parlamentului European și a Consiliului privind caracterul adecvat al protecției oferite de Scutul de confidențialitate UE-SUA. Această decizie privind caracterul adecvat al nivelului de protecție este un caz particular care, în absența unei legislații generale de protecție a datelor în SUA, se fundamentează pe angajamentele întreprinderilor participante (aplicabile în conformitate cu legislația SUA) de a aplica standardele de protecție a datelor prevăzute de acest acord. În plus, Scutul de confidențialitate se bazează pe declarațiile și asigurările specifice prezentate de guvernul SUA în ceea ce privește accesul în scopuri de securitate națională care stau la baza deciziei privind caracterul adecvat al nivelului de protecție.

(122)

     Revizuirile au avut loc în 2017 [Raport al Comisiei către Parlamentul European și Consiliu privind prima evaluare anuală privind funcționarea Scutului de confidențialitate UE-SUA, COM (2017) 611 final], 2018 [Raport al Comisiei către Parlamentul European și Consiliu privind cea de a doua evaluare anuală a funcționării Scutului de confidențialitate UE-SUA, COM (2018) 860 final] și 2019 [Raport al Comisiei către Parlamentul European și Consiliu privind cea de a treia evaluare anuală a Scutului de confidențialitate UE-SUA, COM (2019) 495 final].

(123)

Aceste decizii existente privind caracterul adecvat al nivelului de protecție se referă la țări care sunt strâns integrate cu Uniunea Europeană și statele sale membre (Elveția, Andorra, Insulele Feroe, Guernsey, Jersey, Insula Man), la parteneri comerciali importanți (de exemplu, Argentina, Canada, Israel) și la țări care au jucat un rol de pionierat în elaborarea de legi privind protecția datelor în regiunea lor (Noua Zeelandă, Uruguay).

(124)

A se vedea cauza C-311/18, Data Protection Commissioner/Facebook Ireland Limited, Maximillian Schrems („Schrems II”), care se referă la o cerere de decizie preliminară privind așa-numitele clauze contractuale standard. Cu toate acestea, este posibil ca și anumite elemente ale standardului privind caracterul adecvat să fie clarificate de Curte. Audierea în această cauză a avut loc la data de 9 iulie 2019, iar pronunțarea hotărârii a fost anunțată pentru 16 iulie 2020.

(125)

     A se vedea supra, nota de subsol 109. Comisia a explicat că se va ține seama de următoarele criterii în cadrul evaluării țărilor terțe cu care ar trebui inițiat un dialog cu privire la caracterul adecvat: (i) amploarea relațiilor comerciale (efective sau potențiale) ale UE cu o țară terță, inclusiv existența unui acord de liber schimb sau a unor negocieri aflate în desfășurare; (ii) amploarea fluxurilor de date cu caracter personal din UE, reflectând legături geografice și/sau culturale; (iii) rolul de pionierat pe care țara terță respectivă îl joacă în domeniul protecției vieții private și a datelor, care ar putea servi drept model pentru alte țări din regiunea în care se află aceasta; și (iv) relațiile politice globale cu țara respectivă, în special în ceea ce privește promovarea valorilor și a obiectivelor comune la nivel internațional.

(126)

     Rezoluția Parlamentului European din 13 decembrie 2018 referitoare la protecția adecvată a datelor cu caracter personal asigurată de Japonia (2018/2979(RSP)), punctul 27; contribuția comitetului, paginile 5-6.

(127)

     A se vedea, de exemplu, Rezoluția Parlamentului European din 12 decembrie 2017 privind „Către o strategie în domeniul comerțului digital” (2017/2065(INI)), punctele 8, 9; Poziția Consiliului și constatările privind aplicarea Regulamentului general privind protecția datelor (RGPD), 19.12.2019, (14994/1/19), punctul 17; contribuția comitetului, p. 5.

(128)

     Astfel cum s-a solicitat și de către Consiliu; a se vedea Poziția Consiliului și constatările privind aplicarea Regulamentului general privind protecția datelor (RGPD), 19.12.2019, (14994/1/19), punctele 17 și 40. Totuși, un astfel de demers presupune îndeplinirea condițiilor pentru emiterea unei decizii privind caracterul adecvat al nivelului de protecție în legătură cu transferurile de date către autoritățile publice, inclusiv în ceea ce privește supravegherea independentă.

(129)

     A se vedea directivele de negociere anexate la Decizia Consiliului de autorizare a începerii negocierilor cu Regatul Unit al Marii Britanii și Irlandei de Nord pentru un nou acord de parteneriat (ST 5870/20 ADD 1 REV 3), punctele 13 și 118.

(130)

A se vedea textul revizuit al Declarației politice de stabilire a cadrului viitoarelor relații dintre Uniunea Europeană și Regatul Unit convenit la nivelul negociatorilor la 17 octombrie 2019, punctele 8-10 (disponibil la adresa https://eur-lex.europa.eu/legal-content/RO/TXT/PDF/?uri=CELEX:12019W/DCL(01)&from=FR ).

(131)

     De exemplu, de către Argentina, Columbia, Israel, Elveția sau Uruguay.

(132)

     Clauzele contractuale standard (CCS) pentru transferuri internaționale necesită întotdeauna aprobarea Comisiei, însă pot fi elaborate fie de Comisie, fie de o autoritate națională pentru protecția datelor. Toate clauzele contractuale standard existente se încadrează în prima categorie.

(133)

     Potrivit Annual Privacy Governance Report 2019 (Raportul anual privind guvernanța în domeniul protecției vieții private pentru 2019), realizat de IAPP (International Association of Privacy Professionals - Asociația Internațională a Profesioniștilor în Protecția Datelor) și EY, „cele mai populare dintre aceste instrumente de [transfer] sunt – an după an – într-o măsură covârșitoare clauzele contractuale standard: 88 % dintre respondenții din cadrul sondajului de anul acesta au considerat clauzele contractuale standard drept metoda preferată în cazul transferurilor extrateritoriale de date, urmată de respectarea mecanismului Scutul de confidențialitate UE-SUA (60 %). Pentru respondenții care transferă date din UE către Regatul Unit (52 %), 91 % declară că intenționează să utilizeze clauzele contractuale standard pentru asigurarea conformității transferurilor de date după Brexit.”

(134)

     În prezent, există trei seturi de clauze contractuale standard adoptate de Comisie pentru transferul de date cu caracter personal către țări terțe: două pentru transferuri de la un operator din SEE către un operator din afara SEE și unul pentru transferuri de la un operator din SEE către o persoană împuternicită de operator din afara SEE. Ele au fost modificate în 2016, ca urmare a hotărârii Curții de Justiție a Uniunii Europene în cauza Schrems I (C-362/14), pentru a elimina orice restricții de exercitare a competențelor de supraveghere a transferurilor de date ale autorităților de supraveghere competente. A se vedea https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en .

(135)

     A se vedea și contribuția comitetului, p. 6-7. În mod similar, Consiliul a solicitat Comisiei „să analizeze și să revizuiască [clauzele contractuale standard] în viitorul apropiat pentru a ține seama de nevoile operatorilor și ale persoanelor împuternicite de operatori”. A se vedea poziția și constatările Consiliului.

(136)

     Mai multe observații comunicate cu ocazia consultărilor publice au menționat acest ultim scenariu, aducând adesea în discuție faptul că impunerea obligației de asigurare a unor garanții adecvate asupra persoanelor împuternicite de operatori din UE în relația lor cu operatori din afara UE le creează acestora un dezavantaj concurențial comparativ cu persoanele împuternicite de operatori din afara UE, care oferă servicii similare.

(137)

A se vedea cauza Schrems II.

(138)

În conformitate cu articolul 46 alineatul (2) litera (c) din RGPD, clauzele contractuale standard trebuie adoptate prin procedura de examinare prevăzută la articolul 5 din Regulamentul (UE) nr. 182/2011 al Parlamentului European și al Consiliului din 16 februarie 2011 de stabilire a normelor și principiilor generale privind mecanismele de control de către statele membre al exercitării competențelor de executare de către Comisie - JO L 55, 28.2.2011, p. 13 – 18. Aceasta implică în special o decizie pozitivă a unui comitet format din reprezentanți ai statelor membre.

(139)

     Aceasta include, de pildă, activitatea desfășurată în prezent de statele membre ale ASEAN (Asociația Națiunilor din Asia de Sud-Est) în vederea dezvoltării unui „model de clauze contractuale ASEAN”. A se vedea ASEAN, documentul „Key Approaches for ASEAN Cross Border Data Flows Mechanism” (Abordări-cheie pentru mecanismul fluxurilor de date transfrontaliere ASEAN) (disponibil la adresa: https://asean.org/storage/2012/05/Key-Approaches-for-ASEAN-Cross-Border-Data-Flows-Mechanism.pdf ).

(140)

Pentru o prezentare generală a avizelor CEPD emise până în prezent, a se vedea https://edpb.europa.eu/our-work-tools/consistency-findings/opinions_ro .

(141)

      https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=614109 .

(142)

      https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=614110 .

(143)

     Aceste documente au fost adoptate (de către fostul Grup de lucru instituit în temeiul articolului 29) în urma intrării în vigoare a RGPD, însă înainte de sfârșitul perioadei de tranziție. A se vedea WP263 ( https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=623056 ); WP264 ( https://edpb.europa.eu/sites/edpb/files/files/file2/wp264_art29_wp_bcr-c_application_form.pdf ); WP265 ( https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=623848 ).

(144)

     Contribuția comitetului, p. 7.

(145)

Lista de cerințe specifice incluse în acest standard ISO este disponibilă la adresa: https://www.iso.org/standard/71670.html .

(146)

     CEPD, Avizul nr. 4/ 2019 privind proiectul de acord administrativ pentru transferul de date cu caracter personal între autoritățile de supraveghere financiară din Spațiul Economic European (SEE) și autoritățile de supraveghere financiară din afara SEE, 12.2.2019.

(147)

     CEPD, Orientările nr. 2/2020 referitoare la articolul 46 alineatul (2) litera (a) și articolul 46 alineatul (3) litera (b) din Regulamentul (UE) 2016/679 pentru transferuri de date cu caracter personal între autorități și organisme publice din SEE și din afara SEE (proiect disponibil la adresa: https://edpb.europa.eu/our-work-tools/public-consultations-art-704/2020/guidelines-22020-articles-46-2-and-46-3-b_ro ). Potrivit CEPD, „[autoritatea de supraveghere] competentă își va baza activitatea de examinare pe recomandările generale stabilite în prezentele orientări, însă este posibil să solicite și alte garanții, în funcție de fiecare caz în parte.” CEPD a transmis acest proiect de orientări pentru consultare publică, data de încheiere a acesteia fiind 18 mai 2020.

(148)

     A se vedea poziția și constatările Consiliului, punctul 20.

(149)

     În același timp, CEPD clarifică următoarele: autoritățile publice dispun în continuare de „libertatea de a avea în vedere și alte instrumente relevante care asigură garanții adecvate în conformitate cu articolul 46 din RGPD.” În ceea ce privește alegerea instrumentului, CEPD subliniază că „ar trebui evaluat cu atenție dacă să se utilizeze acordurile administrative fără caracter juridic obligatoriu pentru a asigura garanțiile adecvate în sectorul public, având în vedere scopul prelucrării și natura datelor respective. În cazul în care drepturile privind protecția datelor și căile de atac disponibile persoanelor fizice din SEE nu sunt prevăzute în legislația națională a țării terțe, ar trebui să se prefere încheierea unui acord cu caracter juridic obligatoriu. Indiferent de tipul de instrument adoptat, măsurile luate trebuie să fie eficiente și să garanteze punerea în aplicare, asigurarea respectării legislației și supravegherea corespunzătoare” (punctul 67).

(150)

     Aceasta poate include, de pildă, combinarea verificărilor interne cu un angajament de informare a celeilalte părți cu privire la orice situație de nerespectare, cu supraveghere independentă prin mecanisme externe sau cel puțin autonome din punct de vedere funcțional, precum și cu posibilitatea de suspendare sau încheiere a transferului de către organismul public care transferă datele.

(151)

     Acestea pot include, de pildă, mecanisme obligatorii cvasi-judiciare (de exemplu, arbitrajul) sau mecanisme de soluționare alternativă a litigiilor, combinate cu posibilitatea de suspendare sau încheiere a transferului de date cu caracter personal de către autoritatea care transferă datele, în cazul în care părțile nu reușesc să soluționeze litigiul pe cale amiabilă, plus un angajament din partea organismului public destinatar de a returna sau șterge datele cu caracter personal în cauză. Atunci când se optează pentru mecanisme de soluționare alternativă în cadrul unor instrumente cu caracter juridic obligatoriu și opozabile, deoarece nu există nicio posibilitate de a se asigura o cale de atac judiciară eficientă, CEPD recomandă consultarea cu autoritatea de supraveghere competentă înainte de încheierea acestor instrumente.

(152)

     Aceasta reprezintă o schimbare comparativ cu Directiva 95/46, care prevedea doar consimțământul „neechivoc”. În plus, se aplică cerințe generale privind consimțământul în conformitate cu articolul 4 alineatul (11) din RGPD.

(153)

     CEPD, Orientările 2/2018 privind derogările prevăzute la articolul 49 din Regulamentul (UE) 2016/679, 25.5.2018 (disponibile la adresa: https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_2_2018_derogations_ro.pdf ).

(154)

     Aceasta include, de pildă, transferurile internaționale ale datelor privind sănătatea în scopuri de cercetare în contextul pandemiei de COVID-19. A se vedea CEPD, Orientările 3/2020 referitoare la prelucrarea datelor privind sănătatea în scopul cercetării științifice în contextul pandemiei de COVID-19, 21.4.2020 (disponibile la adresa: https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_202003_healthdatascientificresearchcovid19_ro.pdf ).

(155)

     A se vedea considerentul 112.

(156)

     A se vedea Observațiile Comisiei Europene în numele Uniunii Europene în calitate de amicus curiae în sprijinul niciuneia dintre părți, în cauza SUA împotriva Microsoft, p. 15: „În general, legislația Uniunii și legislațiile statelor membre recunosc importanța combaterii infracțiunilor grave — și, astfel, a aplicării legislației în materie penală și a cooperării internaționale în acest sens — ca obiectiv de interes general. […] Articolul 83 din TFUE identifică mai multe domenii ale criminalității care sunt de o gravitate deosebită de dimensiune transfrontalieră, cum ar fi traficul ilicit de droguri.” (disponibile la adresa: https://www.supremecourt.gov/DocketPDF/17/17-2/23655/20171213123137791_17-2%20ac%20European%20Commission%20for%20filing.pdf ).

(157)

     CEPD, Orientările privind derogările (a se vedea supra, nota de subsol 153), p. 10. CEPD a clarificat și faptul că, deși transferurile de date în baza derogării din considerente de interes public nu trebuie să fie „pe scară largă” sau „sistematice”, ci „este necesar să se limiteze la situații specifice și […] să se asigure că transferul respectă testul strict de necesitate”, nu există nicio cerință ca acestea să fie „ocazionale”.

(158)

     Acest aspect rezultă în mod clar din formularea articolului 48 din RGPD („fără a se aduce atingere altor motive de transfer în temeiul prezentului capitol”) și al considerentului aferent 115 („[t]ransferurile ar trebui să fie permise numai în cazul îndeplinirii condițiilor prevăzute de prezentul regulament pentru un transfer către țări terțe. Acesta ar putea fi cazul, inter alia, atunci când divulgarea este necesară dintr-un motiv important de interes public recunoscut în dreptul Uniunii sau în dreptul intern care se aplică operatorului”). Acest lucru este recunoscut și de CEPD, a se vedea Orientările privind derogările (supra, nota de subsol 153), p. 5. Similar tuturor operațiunilor de prelucrare, trebuie respectate și celelalte garanții prevăzute în regulament (de exemplu, datele sunt transferate într-un scop specific, sunt relevante, limitate la ceea ce este necesar pentru scopul solicitării etc.).

(159)

     Observațiile transmise în cauza Microsoft (a se vedea supra, nota de subsol 156). După cum a explicat Comisia, RGPD stabilește că „opțiunea preferată” de transfer este cadrul asigurat de un tratat de asistență judiciară reciprocă, deoarece aceste tratate „prevăd strângerea de probe în baza consimțământului și asigură un echilibru negociat cu atenție între interesele diverselor state, menit să diminueze posibilele conflicte de jurisdicție.” A se vedea, de asemenea, CEPD, Orientările privind derogările (supra, nota de subsol 153), p. 5 („În situațiile în care există un acord internațional, cum ar fi un tratat în materie de asistență judiciară reciprocă, întreprinderile din UE ar trebui să refuze în general cererile directe și să trimită autoritatea solicitantă din țara terță la tratatul sau acordul existent”).

(160)

     Observațiile transmise în cauza Microsoft (a se vedea supra, nota de subsol 156), p. 4.

(161)

     Observațiile transmise în cauza Microsoft (a se vedea supra, nota de subsol 156), p. 6.

(162)

     Comisia Europeană, Propunere de regulament al Parlamentului European și al Consiliului privind ordinele europene de divulgare și de păstrare a probelor electronice în materie penală, 17.4.2018, [COM(2018) 225 final]. Consiliul și-a adoptat poziția generală cu privire la regulamentul propus la 7.12.2018 (disponibilă la adresa: https://www.consilium.europa.eu/ro/press/press-releases/2018/12/07/regulation-on-cross-border-access-to-e-evidence-council-agrees-its-position/ ). A se vedea și AEPD, Avizul 7/19 referitor la propunerile privind ordinele europene de divulgare și de păstrare a probelor electronice în materie penală (disponibil la adresa: https://edps.europa.eu/data-protection/ourwork/publications/opinions/electronic-evidence-criminal-matters_en ).

(163)

     Expunerea de motive, p. 21, clarifică faptul că, în plus față de garantarea respectării intereselor suverane ale țărilor terțe, protejarea persoanelor în cauză și evitarea conflictelor între legislații în legătură cu prestatorii de servicii, un motiv important pentru includerea clauzei de curtoazie este reciprocitatea, adică asigurarea respectării normelor UE, inclusiv cu privire la protecția datelor cu caracter personal (articolul 48 din RGPD). A se vedea, de asemenea, Declarația Grupului de lucru instituit prin articolul 29 din 29 noiembrie 2017 - Aspecte legate de protecția datelor și a vieții private în legătură cu accesul transfrontalier la probele electronice (Declarația WP29) (disponibilă la: file:///C:/Users/ralfs/AppData/Local/Packages/Microsoft.MicrosoftEdge_8wekyb3d8bbwe/TempState/Downloads/20171207_e-Evidence_Statement_FINALpdf%20(1).pdf ), p. 9.

(164)

     A se vedea Declarația WP29 (supra, nota de subsol 163), p. 6.

(165)

     A se vedea Recomandarea de Decizie a Consiliului de autorizare a participării la negocierile privind cel de Al doilea protocol adițional la Convenția Consiliului Europei privind criminalitatea informatică (CETS nr. 185), 5.2.2019, [COM(2019) 71 final]. A se vedea, de asemenea, AEPD, Avizul 3/2019 referitor la participarea la negocierile pentru un al doilea protocol adițional la Convenția de la Budapesta privind criminalitatea informatică, 2.4.2019 (disponibil la adresa: https://edps.europa.eu/sites/edp/files/publication/19-04-02_edps_opinion_budapest_convention_en.pdf ); CEPD, Contribuția la consultările privind proiectul celui de-al doilea protocol adițional la Convenția Consiliului Europei privind criminalitatea informatică (Convenția de la Budapesta), 13.11.2019 (disponibilă la adresa: https://edpb.europa.eu/sites/edpb/files/files/file1/edpbcontributionbudapestconvention_en.pdf ).

(166)

     A se vedea Recomandarea de decizie a Consiliului de autorizare a deschiderii negocierilor în vederea unui acord între Uniunea Europeană și Statele Unite ale Americii privind accesul transfrontalier la probele electronice în scopul cooperării judiciare în materie penală, 5.2.2019 [COM(2019) 70 final]. A se vedea, de asemenea, AEPD, Avizul 2/2019 referitor la mandatul de negociere a unui acord între UE și SUA privind accesul transfrontalier la probele electronice (disponibil la adresa: https://edps.europa.eu/sites/edp/files/publication/19-04-02_edps_opinion_on_eu_us_agreement_on_e-evidence_en.pdf ).

(167)

A se vedea observațiile DG Justiție și Consumatori din 9 noiembrie 2018 ca răspuns la solicitarea de observații publice referitoare la o propunere de abordare privind protecția vieții private a consumatorilor [Nr. de înregistrare 180821780-8780-01] transmisă de Administrația Națională pentru Telecomunicații și Informare din SUA (disponibile la adresa:  https://ec.europa.eu/info/sites/info/files/european_commission_submission_on_a_proposed_approach_to_consumer_privacy.pdf ).

(168)

A se vedea observațiile DG Justiție și Consumatori din 19 noiembrie 2018 referitoare la proiectul de lege al Indiei privind protecția datelor cu caracter personal din 2018 către Ministerul Comunicațiilor Electronice și al Tehnologiei Informației (disponibile la: https://eeas.europa.eu/delegations/india/53963/submission-draft-personal-data-protection-bill-india-2018-directorate-general-justice_en).

(169)

A se vedea sesiunea plenară din 17 aprilie 2018 a Senatului din Brazilia (https://www25.senado.leg.br/web/atividade/sessao-plenaria/-/pauta/23384), ședința din 10 aprilie 2019 a Comitetului mixt cu privire la MP 869/2018 a Congresului brazilian ( https://www12.senado.leg.br/ecidadania/visualizacaoaudiencia?id=15392 ) și ședința din 26 noiembrie 2019 a Comitetului special al Camerei Deputaților din Brazilia (https://www.camara.leg.br/noticias/616579-comissao-discutira-protecao-de-dados-no-ambito-das-constituicoes-de-outros-paises/).

(170)

A se vedea ședințele din 29 mai 2018 ( https://senado.cl/appsenado/index.php?mo=comisiones&ac=asistencia_sesion&idcomision=186&idsesion=12513&idpunto=15909&sesion=29/05/2018&listado=1 ), 24 aprilie 2019 (https://www.senado.cl/appsenado/index.php?mo=comisiones&ac=sesiones_celebradas&idcomision=186&tipo=3&legi=485&ano=2019&desde=0&hasta=0&idsesion=13603&idpunto=17283&listado=2), precum și ședința Comitetului de afaceri judiciare, legislative și constituționale al Senatului chilian.

(171)

A se vedea ședința din 2 noiembrie 2018 a Comitetului privind drepturile, libertățile și relațiile externe al Adunării Reprezentanților Poporului din Tunisia ( https://www.facebook.com/1515094915436499/posts/2264094487203201/ ).

(172)

     Este important de menționat că această convenție modernizată nu este un simplu tratat care prevede garanții solide de protecție a datelor, ci ea creează și o rețea de autorități de supraveghere, care dispun de instrumente în vederea cooperării în materie de asigurare a respectării legislației și, prin comitetul convenției, un for de discuții, schimb de bune practici și dezvoltare de standarde internaționale.

(173)

A se vedea lista completă a membrilor: https://www.coe.int/en/web/conventions/full-list/-/conventions/treaty/108/signatures . Țările din Africa includ Republica Cabo Verde, Mauritius, Maroc, Senegal și Tunisia, iar cele din America Latină includ Argentina, Mexic și Uruguay. Burkina Faso a fost invitată să se alăture convenției.

(174)

A se vedea textul modernizat al convenției: https://search.coe.int/cm/Pages/result_details.aspx?ObjectId=09000016807c65bf .

(175)

     Potrivit Deciziei sale cu privire la protocolul de modificare din 18 mai 2018, Comitetul de Miniștri „a îndemnat statele membre și alte părți la convenție să ia fără întârziere măsurile necesare pentru a permite intrarea în vigoare a protocolului în termen de trei ani de la deschiderea acestuia pentru semnare și să inițieze imediat, însă în niciun caz mai târziu de un an de la data la care protocolul a fost deschis spre semnare, procesul corespunzător de ratificare în conformitate cu legislațiile naționale ale acestora [...]”. De asemenea, acesta „a transmis instrucțiuni delegaților miniștrilor să evalueze bianual și, pentru prima dată, în termen de un an de la deschiderea spre semnare a protocolului, progresul înregistrat per ansamblu în legătură cu ratificarea, în baza informațiilor ce urmează a fi furnizate secretarului general de către fiecare stat membru și alte părți la convenție cel târziu cu o lună înainte de o astfel de evaluare.” A se vedea https://search.coe.int/cm/pages/result_details.aspx?objectid=09000016808a3c9f .

(176)

     În marja Summitului UE-Japonia din aprilie 2019, președintele Juncker și-a exprimat sprijinul pentru inițiativa Japoniei privind conceptul de „data free flow with trust” și pentru lansarea inițiativei „Osaka Track”, precum și a făcut cunoscut angajamentul Comisiei de a „juca un rol activ în cadrul ambelor inițiative”.

(177)

     A se vedea textul Declarației liderilor G20 de la Osaka: https://www.consilium.europa.eu/media/40124/final_g20_osaka_leaders_declaration.pdf .

(178)

     A se vedea textul Strategiei G7 de la Biarritz pentru o transformare digitală deschisă, liberă și sigură: https://www.elysee.fr/admin/upload/default/0001/05/62a9221e66987d4e0d6ffcb058f3d2c649fc6d9d.pdf .

(179)

     Comunicare a Comisiei către Parlamentul European, Consiliu, Comitetul Economic și Social European și Comitetul Regiunilor „O strategie europeană privind datele”, 19.2.2020 [COM(2020) 66 final] ( https://eur-lex.europa.eu/legal-content/RO/TXT/PDF/?uri=CELEX:52020DC0066&from=EN ), p. 23-24.

(180)

 Articolul 4 alineatul (1) litera (d) din Regulamentul (UE) 2019/452 al Parlamentului European și al Consiliului din 19 martie 2019 de stabilire a unui cadru pentru examinarea investițiilor străine directe în Uniune, JO L 79I, 21.3.2019.

(181)

      https://legalinstruments.oecd.org/en/instruments/OECD-LEGAL-0449 .

(182)

Declarația miniștrilor G20 privind comerțul și economia digitală: https://g20trade-digital.go.jp/dl/Ministerial_Statement_on_Trade_and_Digital_Economy.pdf .

(183)

     A se vedea articolul 13 alineatul (2) litera (f), articolul 14 alineatul (2) litera (g) și articolul 22 din RGPD.

(184)

     A se vedea, de exemplu, Convenția Uniunii Africane privind securitatea cibernetică și protecția datelor cu caracter personal („Convenția de la Malabo”) și Standardele de protecție a datelor cu caracter personal pentru statele ibero-americane elaborate de Rețeaua ibero-americană de protecție a datelor.

(185)

 Convenția Consiliului Europei pentru protejarea persoanelor cu privire la prelucrarea automată a datelor cu caracter personal  https://www.coe.int/en/web/conventions/full-list/-/conventions/treaty/108/signatures?p_auth=DW5jevqD .

(186)

 Convenția Uniunii Africane privind securitatea cibernetică și protecția datelor cu caracter personal  https://au.int/en/treaties/african-union-convention-cyber-security-and-personal-data-protection . În plus, mai multe comunități economice regionale (CER) au elaborat norme de protecție a datelor, de pildă, Comunitatea Economică a Statelor Vest-Africane (ECOWAS) și Comunitatea de Dezvoltare a Africii de Sud (SADC). A se vedea http://www.tit.comm.ecowas.int/wp-content/uploads/2015/11/SIGNED-Data-Protection-Act.pdf și, respectiv, http://www.itu.int/ITU-D/projects/ITU_EC_ACP/hipssa/docs/SA4docs/data%20protection.pdf .

(187)

 

(188)

Inter alia, prin Inițiativa de politică și reglementare pentru Africa digitală (PRIDA), a se vedea informații la: https://www.africa-eu-partnership.org/en/projects/policy-and-regulation-initiative-digital-africa-prida .

(189)

A se vedea Comunicarea comună a Comisiei Europene și a Înaltului Reprezentant al Uniunii Europene pentru afaceri externe și politica de securitate intitulată „Către o strategie cuprinzătoare cu Africa” (disponibilă la adresa: https://ec.europa.eu/international-partnerships/system/files/communication-eu-africa-strategy-join-2020-4-final_ro.pdf ; Grupul operativ pentru economia digitală UE-UA, Noul parteneriat Africa-Europa privind economia digitală: Accelerarea atingerii obiectivelor de dezvoltare durabilă (document disponibil la adresa: https://www.africa-eu-partnership.org/sites/default/files/documents/finaldetfreportpdf.pdf ).

(190)

  https://eur-lex.europa.eu/legal-content/RO/TXT/PDF/?uri=CELEX:52020DC0066&from=EN , p. 23.

(191)

Exceptând Liechtenstein.