Propunerea de Regulament privind protectia datelor ar putea introduce măsuri voluntare de tipul „trei lovituri”
Articol preluat din Newsletter-ul EDRi 10.22
La începutul acestui an, Comisia Europeană a propus un nou cadru de reglementare pentru protecția datelor cu caracter personal la nivelul Uniunii Europene. Pachetul de reformă a făcut obiectul a neunumărate acțiuni de lobby, probabil mai multe decât orice altă propunere legislativă din istoria mondială a politicii moderne, însă nu a atras același interes din partea cetățenilor europeni.
Textele directivei și regulamentului propuse de către Comisie sunt lungi, complexe și dificil de înțeles. Puternicul lobby venit din partea industriei și absența unor reacții corespunzătoare din partea cetățenilor riscă să creeze un cadru de reglementare lipsit de sens și semnificativ mai rău decât legislația în vigoare.
Regulamentul elaborat de către Comisie este o propunere solidă, deși există câteva “verigi slabe” în lanțul mășurilor de protecție a datelor cu caracter personal. Dacă aceste probleme nu sunt rezolvate, atunci dreptul fundamental la protecția vieții private va fi serios afectat. Lobby-ul din ultimele luni înseamnă nu doar că există puncte slabe care nu sunt abordate, dar și că acestea sunt în continuare slăbite, până în punctul în care amenință să distrugă întregul sens al propunerii. Unul dintre aceste puncte sale este „interesul legitim”.
Datele cu caracter personal pot fi prelucrate legal în șase situații, iar una dintre acestea este realizarea unui „interes legitim” al operatorului. Celelalte cinci sunt: existența consimțământului persoanei vizate, executarea unui contract, îndeplinirea unei obligații legale a operatorului, protejarea intereselor vitale ale persoanei vizate și îndeplinirea unor măsuri de interes public sau care vizează exercitarea prerogativelor de autoritatea publică. Această prevedere referitoare la „interesul legitim” există deja în Directiva privind protecția datelor cu caracter personal și generează deja probleme.
Principala cauză pentru care „interesul legitim” reprezintă o problemă constă în faptul că nu există norme referitoare la tipurile de activități care ar putea fi considerate atât de importante încât niciunul dintre celelalte motive legale în baza cărora pot fi prelucrate datele să fie fezabil pentru operator. Spre exemplu, când acționează un operator în baza „interesului legitim” și când ar trebui obținut consimțământul specific și informat al persoanei vizate? Mai rău, decizia referitoare la aplicabilitatea „interesului legitim” ca bază legală pentru prelucrarea datelor este luată în primă instanță de către operator (compania căreia persoana vizată îi furnizează date) și este verificată doar în cazul în care un cetățean intentează o acțiune în instanță împotriva respectivei acțiuni de prelucrare a datelor. Alternativ, cetățeanul poate înainta o plângere la autoritatea pentru protecția datelor – care ar putea (sau nu, în funcție de rezultatul procesului legislative) să impună amenzi – dacă autoritatea este pregătită să își asume riscurile și costurile unui apel în instanță împotriva deciziei sale.
Ajungem astfel la măsurile de tip „trei lovituri”. În Irlanda, spre exemplu, ISP-istul Eircom a implementat un sistem voluntar de „trei lovituri”. În cadrul acestui sistem, datele cu caracter personal sunt colectate online de cățre agenți ai industriei muzicale (fără să aibă autorizare din partea cetățenilor ale căror date sunt prelucrate) și transmise ulterior către Eircom (din nou, fără autorizare), urmând ca Eircom să prelucreze respectivele date (și de data aceasta tot fără autorizare) în scopul „avertizării” clienților în legătură cu faptul că sunt bănuiți că au încălcat prevederile legale; după două astfel de avertizări, clientului îi sunt impuse sancțiuni.
Curtea Supremă Irlandeză a decis că aceste activități sunt legale, întrucât este „în interesul legitim al Eircom să acționeze și să fie văzut că acționează ca organism care susține legea”. Având în vedere cadrul de reglementare în vigoare, experții în domeniul protecției datelor consideră că această decizie este îndoielnică, deși este binecunoscută implementarea ineficientă a legislației privind protecția datelor în Irlanda, iar decizia nu a fost deloc surprinzătoare. Însă faptul că datele colectate cu scopul specific de a identifica persoane nu au fost considerate a reprezenta informații de identificare personală a fost perceput ca un șoc chiar și pentru standardele irlandeze.
Întrebarea care se ridică acum este dacă propunerea de regulament privind protecția datelor ar putea fi amendată în așa fel încât să permită exportarea modului de interpretare irlandez în întreaga Europă.
Parlamentarul european Sean Kelly, responsabil pentru elaborarea avizului Comisiei pentru industrie, cercetare și energie din Parlamentul European, a depus o serie de amendamente care ar putea conduce la acest rezultat:
1. Parlamentarul a schimbat textul conform căruia “Interesele legitime ale unui operator pot constitui o bază legală pentru prelucrarea datelor.” în “Interesele legitime ale unui operator sau ale unui terț/terți în al(e) cărui/căror interes(e) sunt prelucrare datele pot constitui o bază legală pentru prelucrarea datelor.”. Acest amendament extinde posibilitatea utilizării acestei prevederi și poate acoperi, spre exemplu, acțiunile de monitorizare și aplicare din cadrul unui sistem „trei lovituri”.
2. Kelly a extins apoi posibilitățile pentru utilizarea datelor personale în absența consimțământului persoanei vizate, proopunând un amendament potrivit căruia „interesul legitim” poate fi utilizat ca bază legală pentru prelucrări care „nu sunt compatibile” cu scopul original pentru care au fost colectate datele.
Desigur, în timp, este posibil ca o instanță competentă sau o autoritate pentru protecția datelor să ajungă la concluzia că sistemul voluntar de „trei lovituri” este în contradicție cu dreptul la un proces echitabil, cu prezumția de nevinovăție și cu protecția dreptului fundamental la viață privată. Însă ar trebui ca fiecare caz particular în care o companie decide că interesele sale sunt mai presus decât cele cetățenilor să fie supus deciziei unei instanțe judecătorești, eventual, dacă și când un cetățean dispune de timpul și resursele necesare pentru o astfel de acțiune. Alternativ, așa cum a încercat, fără a reuși, Comisarul irlandez pentru protecția datelor, autoritatea pentru protecția datelor ar putea lua o decizie pe care să o apere ulterior în instanță.
Rămâne o singură mică întrebare: dacă, atunci când un utilizator furnizează date personale unei companii, aceasta are dreptul de a transmite respectivele date unei alte companii, care, la rândul ei (cu excepția cazului în care o instanță judecătorească decide altceva), are dreptul de a reutiliza datele în scopuri care nu sunt compatibile cu motivul inițial pentru care au fost furnizate de către utilizator … care este rostul legislației? Aceasta este una dintre multele probleme care sunt agravate ca urmare a lobby-ului industriei.
Informații suplimentare:
(Articol de Joe McNamee - EDRi)
Licenţă: Creative Commons Atribuire 3.0
Add new comment