Despre propunerea de regulament al Uniunii Europene privind protecția datelor
Articol preluat din Newsletter-ul EDRi 9.24
Săptămâna trecută, Europa a putut să citească o versiune neoficială a propunerii de “Regulament privind protecția datelor”, ca urmare a publicării acesteia de către Statewatch. Propunerea de regulament, care ar urmă să fie publicată oficial în 25 ianurie 2012, are scopul de a înlocui Directiva privind protecția datelor, adoptată în 1995. Noul Regulament păstrează principiile de bază ale Directivei, dar își propune să ia în considerare și evoluțiile tehnologice. Regulament urmăreşte să introducă reguli mai “coerente” și să crească gradul de armonizare a acestora pe plan european: “diferențele existente la nivelul statelor membre în ceea ce privește nivelul de protecție a drepturilor și libertăților individuale pot constitui un obstacol în realizarea activităților economice la nivelul Uniunii Europene, pot distorsiona concurența și pot împiedica autoritățile să-și îndeplinească responsabilitățile care le revin in baza reglementărilor europene".
Propunerea de regulament introduce noi drepturi și noi definiții. Datele sensibile sunt redefinite pentru a include și datele genetice și biometrice. Definiția persoanei vizate este extinsă la o persoană care poate fi identificată direct sau indirect de către operator sau “orice persoană fizică sau juridică”. Propunerea de regulament include și drepturi mai clare privind portabilitatea datelor. Alte noi elemente introduse includ raportarea obligatorie a încălcării securității datelor, precum și noi competențe și puteri pentru autoritățile de supraveghere. În plus, se propune (în art.63) crearea unui Consiliu European pentru Protecția Datelor care să înlocuiască Grupul de lucru “Articolul 29”.
Articolul 2 al propunerii de regulament definește domeniul de aplicare al acestuia și stabilește faptul că noile prevederi “se aplică și activităților de prelucrare a datelor cu caracter personal ale persoanelor rezidente în Uniunea Europeană care nu sunt desfășurate în contextul activităților derulate de către o filială a unui operator în Uniune, când activitățile de prelucrare vizează astfel de persoane sau contribuie la monitorizarea comportamentului unor astfel de persoane.” Astfel, noua reglementare se va aplica companiilor care au entități în Uniunea Europeană, care folosesc echipament în Uniunea Europeană pentru a prelucra date și care desfășoară activități de prelucrare a datelor care vizează persoane din Uniunea Europeană sau care servesc la monitorizara comportamentului acestora.
Utilizatorii pot solicita în continuare accesul la datele care îi privesc, precum și ștergerea acestora. “Dreptul de a fi uitat” (right to be forgotten), prevăzut în art.15, reprezintă, de fapt, o redefinire a dreptului existent referitor la ștergerea datelor atunci când nu mai servesc scopului pentru care au fost colectate (art.12 al Directivei 95/46/CE). Propunerea de regulament merge însă mai departe decât Directiva 95/46/CE, propunând ca dreptul de ștergere a datelor să se aplice dacă acestea nu mai sunt necesare sau dacă persoana vizată își retrage consimțământul şi să includă şi dreptul de ștergere a oricărei legături Internet către datele personale referitoare la persoana vizată, precum și a oricărei copii sau replici a acestora existente la nivelul oricărui serviciu de comunicații publice. Această prevedere se aplică în special “cu privire la datele personale care au fost făcute disponibile de către persoana vizată atunci când aceasta a fost copil”.
Există deja comentarii referitoare la faptul că articolul despre dreptul de a fi uitat nu a fost prea bine elaborat și că ar putea avea implicații grave pentru liberatatea de exprimare. Astfel, articolul trebuie elaborat cu mai multă atenţie, pentru a se evita orice potențială utilizare abuzivă a sa ca instrument pentru cenzură. Un alt motiv pentru care acest articol a fost criticat se referă la faptul că operatorii, spre exemplu editorii de bloguri și alte mijloace de comunicare independente, care nu respectă “dreptul de a fi uitat” pot fi sancționați cu amenzi între 500 și 600 000 de euro.
Unul dintre aspectele pozitive ale propunerii de regulament este reprezentat de articolele 37 și 42, care reglementează prelucrarea datelor de către țări terțe. Datele pot fi transferate către o țară terță doar dacă sunt îndeplinite anumite criterii care să asigure nivelul de protecție a indivizilor în legătură cu protecția datelor cu caracter personal. Articolul 42 abordează acțiunile extra-teritoriale ale unor țări terțe, cum ar fi Patriot Act și Foreign Intelligence Surveillance Act din SUA, și impune bariere pentru autoritățile judiciare străine cu privire la accesarea datelor europene. Acest articol este interesant mai ales cu privire la solicitările SUA de acces la date europene, un exemplu în acest sens fiind solicitările de acces la datele aferente conturilor twitter ale cetățenilor europeni care ar putea avea legătură cu WikiLeaks.
Informații suplimentare:
A quick review of the draft EU Data Protection Regulation- Privacy International (8.12.2011)
Articol de Kirsten Fiedler
Licenţă: Creative Commons Atribuire 3.0
Add new comment