GIOVANNI BUTTARELLI: Simpla colectare a datelor personale este un amestec în viaţa cetăţenilor

Mona Nicoară | 08.07.2014

Pe aceeași temă

Care este impactul globalizării şi al noilor dezvoltări tehnologice asupra domeniului protecţiei datelor şi asupra dreptului la viaţă privată? Cum reuşesc autorităţile europene să ţină pasul cu aceste dezvoltări rapide?

Atât globalizarea, cât şi dezvoltările tehnologice sunt o provocare continuă pentru dreptul la viaţă privată şi pentru protecţia datelor. În privinţa globalizării, încercăm să avem un cadru legal funcţional care să asigure circulaţia liberă a informaţiilor, transferabilitatea datelor şi compatibilitatea regulilor la nivel internaţional, într-o abordare convergentă cu ceea ce se întâmplă în afara Uniunii Europene, în SUA, de exemplu, sau în ţările asiatice.

Dacă vorbim de transformări tehnologice în materie de protecţie a datelor, trebuie să menţionăm că au existat deja câteva mari schimbări, înaintea perioadei contemporane. În anii ’70, s-a trecut de la gestionarea manuală a dosarelor la o gestionare automată, apoi s-a trecut de la reţelele analogice de comunicare la reţelele digitale. Acum am ajuns să trăim într-o societate informaţională, în care schimbul de informaţie şi Internetul cuprind totul. În faţa acestor transformări, soluţiile au fost fie bazate pe aplicarea prevederilor legale deja existente – în Statele Unite, un caz important legat de problema criptării datelor a fost rezolvat pe baza aplicării Constituţiei de la 1781 –, fie pe adoptarea unui nou set de prevederi care să răspundă noilor situaţii.

Există o anumită ambiguitate în instrumentalizarea argumentelor legate de dezvoltarea tehnologică pentru a spune că viaţa privată nu mai există şi că e imposibil să mai construim nişte prevederi serioase care să protejeze acest spaţiu privat. Chiar dacă suntem martorii unei dezvoltări tehnologice explozive, cred că mai există spaţiu pentru viaţa privată, pe baza unei abordări structurale, care să ţină cont de cetăţeni şi care să producă un set riguros de măsuri, adaptat acestor noi tehnologii, care să ne protejeze. UE va adopta noi măsuri în această privinţă, în 2015.

 

Care vor fi schimbările aduse de reformele care vor fi adoptate în 2015 şi cum va fi abordată, la nivel legislativ, problema supravegherii cetăţenilor europeni?

Principiul de bază al noilor reforme, care încearcă să treacă dincolo de anacronismul vechii legislaţii, e acela că trebuie să ne concentrăm asupra folosirii juste a informaţiilor. Simpla înregistrare a datelor cu ajutorul unui telefon inteligent, de exemplu, nu poate fi împiedicată şi nici controlată. Supravegherea directă a celor care folosesc astfel de noi tehnologii este imposibilă. În câteva secunde, fiecare dintre ei poate accesa două sau trei site-uri. Dacă totuşi s-ar încerca o supraveghere a acestor practici, indivizii care le folosesc ar ajunge să fie hărţuiţi. De aceea, nu cred că ar trebui să vedem această problemă la nivelul comportamentului individual şi să mutăm întreaga povară administrativă a situaţiei pe umerii indivizilor. Trebuie să ne concentrăm pe o administrare a situaţiei pe o scară largă.

Noua legislaţie europeană va fi aplicată celor care furnizează cetăţenilor UE bunuri şi servicii în materie şi celor care se ocupă de monitorizarea comportamentului lor. Toate motoarele de căutare, toate reţelele sociale, întreaga informaţie care va intra în contact cu cetăţenii europeni va cădea sub prevederile acestei legislaţii. Europa nu preia conducerea în materie de dezvoltare tehnologică, deoarece majoritatea marilor jucători din IT sunt din afara Europei – doar 2 dintre cei 20 de mari jucători în materie de date sunt europeni –, dar vom fi în avangarda acestei dezvoltări în materie de reguli şi de legislaţie.

 

Imixtiune gravă
Anul acesta, Curtea Europeană de Justiţie a invalidat Directiva UE legată de reţinerea datelor, adoptată în urma atacurilor teroriste din Londra și Madrid. CEJ a considerat că Directiva implică o imixtiune gravă în drepturile fundamentale la respectarea vieţii private şi la protecţia datelor cu caracter personal: păstrarea şi utilizarea ulterioară a datelor, fără ca utilizatorul să fie informat, implică posibilitatea unei supravegheri constante a vieţii sale private.

E această preeminenţă a UE în domeniul legislaţiei pentru protecţia datelor o reacţie de apărare în raport cu ceea ce se întâmplă în jur? Există vreo legătură între această nouă legislaţie şi scandalul iscat de supravegherea Angelei Merkel şi a altor oficiali europeni de către NSA?

Legislaţia de care vorbesc a fost proiectată înainte de izbucnirea acestui scandal. Acum, desigur, după toate cele întâmplate, există o sensibilitate mult mai mare legată de acest proiect. De aceea, la Consiliul European din luna octombrie a anului trecut, o mare parte din agenda discuţiilor a fost dedicată problemei protecţiei datelor. Datele personale reprezintă unul dintre cele mai eficiente instrumente ale societăţii informaţionale în care trăim, ele sunt combustibilul societăţii moderne.

Oricum, soluţiile necesare în cazul problemelor legate de supravegherea unor oficiali nu pot fi reduse cu totul la problema protecţiei datelor. E vorba de o cotă rezonabilă de supraveghere, care este inevitabilă, dar care are nevoie de o abordare rezonabilă, care să-i impună anumite limite.

 

Cât de importantă este reţinerea datelor în investigarea diferitelor cauze şi care sunt condiţiile pe baza cărora acestea pot servi un interes legitim fără a viola viaţa privată a cetăţenilor?

Orice informaţie este, sau ar putea fi, utilă, cândva. Nimeni nu contestă faptul că, dacă păstrăm într-un loc sigur toate informaţiile la care avem acces, unele dintre ele ar putea constitui dovezi decisive pentru rezolvarea anumitor cazuri în instanţă. Cu toate acestea, legislaţia europeană în materie de protecţie a datelor implică faptul că folosirea datelor personale trebuie să fie permisă doar în anumite limite, care trebuie determinate concret, şi doar dacă acest lucru este necesar.

Pot să înţeleg că, după 11 septembrie 2001, acum 13 ani, anumite măsuri de urgenţă au fost necesare. Apoi însă, peste trei sau patru ani, ar fi trebuit să vezi care sunt rezultatele acestor măsuri şi dacă ele mai sunt necesare. Odată ce există o anumită necesitate, trebuie să se urmărească stabilirea unei proporţionalităţi la nivelul măsurilor luate. Dacă este absolut necesar, de exemplu, să introduci camere de filmat în oraşe, din cauza nenumăratelor cazuri de încălcare a legii, atunci trebuie să decizi cum vei instala aceste camere, ce tip de camere trebuie folosite – camere care să permită mărirea imaginii sau unele care oferă doar o perspectivă generală –, cât timp va fi păstrat materialul filmat, unde va fi păstrat, cum poate fi accesat şi pentru ce scopuri.

 

Directiva 2002/58/EC
Directiva stabileşte că statele membre pot adopta măsuri legislative care să permită reținerea de date, pe perioadă limitată, dacă aceste măsuri sunt necesare, corespunzătoare și proporționale într-o societate democratică pentru protejarea securităţii naționale, a apărării siguranței publice sau pentru prevenirea, detectarea, investigarea și urmărirea penală a unor fapte penale sau a folosirii neautorizate a sistemelor de comunicații electronice.

Care sunt pericolele utilizării acestor proceduri de reţinere şi păstrare a datelor? Ce se află în spatele respingerii de către Curtea Europeană de Justiţie a directivei UE legată de reţinerea datelor?

Decizia Curţii Europene de Justiţie care a invalidat directiva UE privind reţinerea datelor (Directiva 2006/24/EC) este o confirmare a faptului că simpla colectare a datelor este un amestec în viaţa cetăţenilor. Simplul fapt că cineva colectează şi deţine propriile mele date implică un amestec în viaţa mea privată şi trebuie justificat înainte de a fi pus în aplicare. Ideea că se colectează ceva, în mod obişnuit, periodic, ajungând la nivelul unei rutine, doar pentru că aceste informaţii ar putea fi folosite cândva, nu trebuie acceptată ca atare, chiar dacă se afirmă că aceste date nu vor fi folosite pentru a crea neajunsuri cuiva. Acesta a fost şi motivul respingerii Directivei legate de reţinerea datelor.

 

Este prezumţia de nevinovăţie încălcată în cazul acestor practici de reţinere şi păstrare a datelor personale?

Dacă ne referim strict la amestecul în viaţa cetăţenilor, atunci ar trebui să spunem că fiecare din aceste proceduri implică asta şi că prezumţia de nevinovăţie este pusă sub semnul întrebării. Când vorbim de protecţia datelor, există însă un risc suplimentar, care constă în introducerea unei discriminări legate de urmărirea anumitor persoane, specific desemnate.

Nu e vorba aici doar de reţinerea datelor de trafic, ci şi de cea a datelor bancare sau de cea a transferului de date ale pasagerilor aerieni. Există cazuri în care se stabilesc anumite baze de date pentru anumiţi oameni, care nu sunt suspecţi că au făcut ceva ilegal. Chiar dacă asta nu implică faptul că eşti suspect din punct de vedere legal, deoarece baza de date este neutră şi nu implică o anumită vinovăţie prin ea însăşi, aceste demersuri trebuie să respecte necesitatea şi proporţionalitatea de care vorbeam mai sus. Dacă nu eşti implicat într-un anumit caz, dar ai fost totuşi introdus într-o bază de date, atunci folosirea datelor tale nu trebuie permisă.

 

Ce este AEPD
Autoritatea Europeană pentru Protecţia Datelor (AEPD) are o poziţie cheie în monitorizarea activităţii instituţiilor UE şi a funcţionării marilor baze de date IT legate de Identitatea Internaţională a Echipamentului Mobil (IMEI), de Sistemul de Informaţii Schengen (SIS), de Sistemul
de Vize (VIS), de Sistemul de Informaţii pentru Pasageri (API), de Sistemul de Informaţii legat de Vămi (CIS), de sistemul de amprente digitale Eurodac.

Care este rolul Autorităţii Europene pentru Protecţia Datelor în raport cu aceste colecţii de date? Cum colaboraţi cu alte instituţii europene în domeniul protecţiei datelor?

Autoritatea Europeană pentru Protecţia Datelor (AEPD) nu are un rol legislativ, dar are o poziţie cheie în monitorizarea activităţii instituţiilor UE şi a funcţionării marilor baze de date IT legate de identitatea internațională a echipamentului mobil (IMEI), de Sistemul de Informaţii Schengen (SIS), de Sistemul de Vize (VIS), de Sistemul de Informaţii pentru Pasageri (API), de Sistemul de Informaţii legat de Vămi (CIS), de sistemul de amprente digitale Eurodac etc. Sarcina noastră este să urmărim activitatea acestor instituţii şi să ne asigurăm că respectă principiile elaborate la nivel european în materie de protecţie a datelor.

Oferim expertiză Comisiei Europene, Consiliului European şi Parlamentului European în elaborarea proiectelor şi deciziilor care implică problema protecţiei datelor. Ajutăm instituţiile care au nevoie de implementarea unui sistem de protecţie a datelor să aplice bine legislaţia europeană în materie.

 

Care sunt legăturile instituţiei pe care o reprezentaţi cu problemele care apar la nivel naţional sau cu plângerile individuale formulate în materie de protecţie a datelor?

Spre deosebire de ceea ce se întâmplă la nivel naţional, AEPD are scopuri specifice, care nu se axează pe plângerile individuale. Oferim autorităţilor naţionale expertiză în diferite cazuri, dar nu avem nicio competenţă legată de ceea ce se întâmplă la nivel naţional, acesta fiind domeniul autorităţilor naţionale care se ocupă cu protecţia datelor.

Unele cazuri care au loc la nivel naţional pot fi însă extrem de relevante pentru activitatea noastră. Comisia Europeană poate să aducă aceste cazuri, sau ţara respectivă, în faţa Curţii de Justiţie. Aşa s-a întâmplat în trei cazuri, privind Austria, Germania şi, mai recent, Ungaria. S-a considerat că aceste ţări nu respectă legile UE în privinţa independenţei autorităţilor care se ocupă cu protecţia datelor, deoarece aceste autorităţi nu aveau un buget propriu sau erau obligate să raporteze guvernului sau parlamentului, pentru a primi instrucţiuni – toate aceste fiind considerate încălcări ale legislaţiei UE în domeniu.

 

Cazul Google Spania
Principala urmare a deciziei Curţii Europene de Justiţie în cauza care a opus Google Autorităţii Spaniole pentru Protecţia Datelor şi lui Mario Costeja González este că motoarele de căutare trebuie să ţină cont de cererile diferiţilor indivizi de a elimina link-urile către paginile de Internet care rezultă la căutarea numelui lor. În caz de refuz, indivizii se pot adresa autorităţilor care, în anumite condiţii, pot ordona ştergerea informaţiilor.

În România e în vigoare, din 2012, legea care prevede că operatorii de Internet şi de telefonie mobilă sunt obligaţi să păstreze cel puțin șase luni datele de trafic şi anumite informații despre fiecare convorbire telefonică sau comunicare electronică. Cum vedeţi existenţa acestei legi în România și care este situaţia celorlalte ţări din UE în această privinţă?

Există multe discuţii pe această temă, în România şi în celelalte state membre ale UE. În general, nevoia de abrogare a acestei legi este justificată pe baza deciziei Curţii Europene de Justiţie care a anulat directiva UE legată de reţinerea datelor (Directiva 2006/24/EC). Decizia Curţii nu implică însă faptul că, la nivel naţional, orice lege legată de reţinerea datelor de trafic este neconstituţională, ci doar că noile prevederi stabilite de Curte trebuie respectate.

Dacă o ţară vrea să introducă o astfel de lege la nivel naţional o poate face pe baza articolului 15 al directivei e-Privacy (Directiva 2002/58/EC), respectând în acelaşi timp prevederile stabilite de Curtea Europeană de Justiţie: transparenţa, necesitatea, proporţionalitatea etc. Dacă există o nevoie socială stringentă, care poate fi justificată, atunci pot fi luate în considerare astfel de practici, pe o perioadă determinată de timp.


Zilele acestea, în Parlamentul României, s-a votat o nouă lege, iniţiată de guvern, care ar permite identificarea celor care cumpără cartele preplătite. Statisticile spun că o mare parte dintre cei care comit infracţiuni sau acte teroriste folosesc astfel de cartele, ceea ce face imposibilă identificarea lor. Consideraţi că o astfel de măsură este necesară?

Fiind de profesie judecător, cred că este legitim să existe o anumită identificare a celor care cumpără cartele, deoarece vorbim de imposibilitatea aplicării legii în unele cazuri. Cu toate acestea însă, când vorbim de protecţia datelor, o astfel de măsură are nevoie de justificări suplimentare, fiind necesar să arăţi care sunt scopurile care justifică existenţa ei. Cred că e o măsură binevenită, dar ar trebui să rămână excepţională, pentru cazuri de urgenţă, fără să fie integrată în ordinea legală pe o bază permanentă.

Cred că introducerea unei astfel de legi pe bază permanentă e mai mult produsul unei reacţii emoţionale. Ea poate să reprezinte o soluţie la o problemă presantă, dar nu e deloc sigur că o astfel de măsură va fi eficientă şi va rezolva problema diferitelor infracţiuni sau a actelor teroriste, deoarece vorbim de nişte măsuri de securitate care pot fi eludate foarte uşor.

 

Care sunt planurile de viitor ale Autorităţii pe care o reprezentaţi? Ce lucruri trebuie îmbunătăţite, la nivel european, în materie de protecţie a datelor?

Cred că trebuie să elaborăm o bază legală care să acopere majoritatea problemelor pe care le avem, deşi, în funcţie de competenţă, de cultură, există păreri şi păreri. Unii consideră că treaba noastră e să prevenim diferite ilegalităţi sau să contribuim la deciziile care se iau în justiţie. Acest tip de opinie nu ia în considerare beneficiile care ar rezulta dintr-o bună legislaţie, care ar face posibilă o bună administraţie, la nivelul protecţiei datelor.

După cauza Google legată de Spania, de exemplu, se face simţită nevoia publicării deciziilor privind cazurile mai serioase. Ar fi nevoie de mai multă transparenţă, deoarece orice decizie este esenţială pentru asigurarea continuităţii şi consistenţei actului juridic. E important însă şi modul în care aceste decizii sunt publicate: vor fi disponibile pe Internet, accesibile serviciilor de căutare gen Google sau doar avocaţilor care au nevoie de ele? Dacă lucrezi în administraţia publică trebuie să identifici documentele care sunt confidenţiale, cele care sunt accesibile părţilor relevante sau publicului, la cerere. Apoi trebuie văzut ce modalitate de publicare trebuie aleasă: vor fi accesibile online sau la cerere, vor fi indexate etc.?

Acestea sunt alegeri care trebuie făcute şi decizii care trebuie luate la nivel strategic, pentru construcţia unui bun sistem de administraţie, fără a lăsa lucrurile la latitudinea funcţionarilor publici care, în absenţa unor reglementări clare, vor fi nevoiţi să decidă. Dacă aceste măsuri nu vor fi luate la o scară generală, printr-o abordare structurală, consecinţele se vor face simţite zi de zi.

 

Interviu cu judecătorul GIOVANNI BUTTARELLI, supervizor adjunct al Autorităţii Europene pentru Protecţia Datelor, realizat de PAUL BUJOR

Opinii

RECOMANDAREA EDITORILOR

Bref

Media Culpa

Vis a Vis

Opinii

Redacția

Calea Victoriei 120, Sector 1, Bucuresti, Romania
Tel: +4021 3112208
Fax: +4021 3141776
Email: redactia@revista22.ro

Revista 22 este editata de
Grupul pentru Dialog Social

Abonamente ediția tipărită

Abonamente interne cu
expediere prin poștă

45 lei pe 3 luni
80 lei pe 6 luni
150 lei pe 1 an

Abonamente interne cu
ridicare de la redacție

36 lei pe 3 luni
62 lei pe 6 luni
115 lei pe 1 an

Abonare la newsletter

© 2021 Revista 22