Autor: Drd. Cristina Bâlgăr
La conferinţa anuală a Autorităţilor Europene pentru Protecţia Datelor, desfăşurată la Manchester, în perioada 18-20 mai, Autoritatea britanică pentru protecţia datelor (The Information Commissioner’s Office – ICO) a propus o abordare mai practică a reglementărilor naţionale în vigoare, care să ţină pasul cu actualul avans tehnologic şi permanenta schimbare cu care se confruntă lumea digitală [1]. Astfel, având în vedere apariţia noilor tehnologii şi servicii digitale, în corelaţie cu evoluţiile constante survenite pe aceste pieţe de la momentul adoptării de către Consiliul Europei a Convenţiei nr. 108 privind protejarea persoanelor faţă de prelucrarea automatizată a datelor cu caracter personal [2] şi a Directivei Europene privind protecţia datelor cu caracter personal [3], dar şi având în vedere că, în prezent, aceste date sunt colectate, diseminate şi analizate în moduri din ce în ce mai sofisticate şi cu mai mare potenţial intruziv, se impune adoptarea de către autorităţile pentru protecţia datelor din Marea Britanie a unor noi regulamente, conforme cu provocările globale contemporane.
1. Contextul general
În prezent, abordarea pe agenda publică a aspectelor legate de confidenţialitatea şi protecţia datelor cu caracter personal reprezintă o problematică deosebit de complexă. Deşi cetăţenii au acceptat faptul că solicitarea acestui tip de informaţii a devenit parte din viaţa modernă, acest aspect nu presupune implicit şi renunţarea la confidenţialitate. Pe măsură ce sistemele de operare au devenit din ce în ce mai complexe, s-au accentuat şi temerile legate de pierderea controlului asupra informaţiilor personale, având în vedere faptul că utilizarea sistemelor digitale în cauză a devenit inevitabilă în societatea contemporană. În pofida gradului ridicat de preocupare semnalat la nivelul autorităţilor publice, există încă un grad relativ scăzut de conştientizare a publicului atât cu privire la existenţa autorităţilor pentru protecţia datelor, cât şi în ceea priveşte rolul lor esenţial în protejarea drepturilor indivizilor cu privire la datele cu caracter personal. De aceea, se impune creşterea gradului de informare a publicului asupra dreptului la confidenţialitate, a importanţei protecţiei datelor cu caracter personal, dar şi a rolului autorităţilor ce activează în domeniu.
Cu toate acestea, în timp ce cererea este în creştere, autorităţile abilitate se confruntă cu constrângeri financiare şi de diverse alte resurse. În acest context, se impune sporirea capacităţilor şi atribuţiilor APD, care, dublată de îmbunătăţirea legislaţiei în vigoare, să poată contribui la o supraveghere mai eficientă atât la nivel naţional, cât şi comunitar. Pentru sporirea gradului de încredere publică în activitatea APD este necesară alocarea unor resurse mai mari, care să le permită să susţină în mod corespunzător drepturile şi libertăţile fundamentale ale indivizilor, într-o eră digitală. De asemenea, APD trebuie să adopte o abordare durabilă la nivel naţional şi european, care să le permită direcţionarea activităţilor în scopul protejării vieţii private a cetăţenilor şi al înţelegerii modului în care tehnologiile existente sau viitoare pot avea impact asupra vieţii private a indivizilor.
2. Spre o abordare mai practică a aspectelor legate de protecţia datelor cu caracter personal în Marea Britanie
În discursul susţinut în cadrul conferinţei anuale a Autorităţilor Europene pentru Protecţia Datelor, Christopher Graham, şefulagenţiei ICO din Marea Britanie a subliniat necesitatea unei noi abordări a reglementărilor privind protecţia informaţiilor cu caracter personal, care să ţină cont de actualul progres tehnologic şi să pună un accent mai mare asupra modului în care sunt utilizate datele. De asemenea, în cadrul alocuţiunii rostite, Graham a adus în discuţiei mportanţa unei schimbări de paradigmă, în contextul provocărilor actuale, având permanent în vedere faptul că viaţa privată şi informaţiile cu caracter personal reprezintă un „drept absolut” (Kondhia, 2015).
În ceea ce priveşte viitoarele activităţi pe care ICO şi le propune în vederea îmbunătăţirii modului de asigurare a protecţiei datelor personale, acestea se referă la consolidarea controlului asupra informaţiilor în cauză, menţinerea unui nivel ridicat de transparenţă (supravegherea organizaţiilor ce utilizează aceste informaţii şi a scopului pentru care o fac), menţinerea sub permanentă observaţiea gradului de securizare a datelor, a drepturilor de acces, ştergere sau portare a acestora.
Pe baza sondajelor şi cercetărilor întreprinse de Autoritatea britanică pentru protecţia datelor cu caracter personal, pentru a acţiona cu normele în vigoare, ADP naţionale ar trebui să îndeplinească simultan mai multe condiţii:
– independenţă: să nu aibă nici un fel de influenţă externă;
– consecvenţă: o abordare coerentă cu privire la protecţia datelor, pe cât posibil, la nivelul întregii UE;
– vizibilitate: să se facă cunoscute prin furnizarea de ajutor şi îndrumare tuturor organizaţiilor care procesează date cu caracter personal;
– utilizarea de certificate de confidenţialitate, sigilii şi mărci de încredere, precum şi o mare receptivitate în adoptarea noilor tehnologii.
3. Studiu de caz: Hotărârea Curţii de Apel din Marea Britanie în procesul cu Google
Curtea de Apel din Marea Britanie a luat recent o hotărâre fără precedent, dând câştig de cauză pentru crearea de prejudicii non-financiare – în baza Legii privind protecţia datelor personale (1998) [4] – unui grup de reclamanţi împotriva motorului de căutare Google, care a folosit datele personale ale utilizatorilor de internet. Aceste informaţii reprezentau date generate de browser, care au fost colectate prin intermediul modulelor cookies [5], fără ştirea sau consimţământulreclamanţilor. De asemenea, aceştia au susţinut că Google a folosit informaţiile astfel obţinute, distribuindu-le unor agenţii de publicitate, care şi-au adaptat oferta în funcţie de istoricul activităţii de navigare pe internet al reclamanţilor.
În conformitate cu prevederile Articolului 13 (2) din Legea privind protecţia datelor personale, pentru ca un reclamant să poată pretinde despăgubiri pecuniare pentru prejudiciul invocat, este necesar ca acesta să fi suferit şi pierderi financiare. Cu toate acestea, reclamanţii au susţinut că Legea mai-sus menţionată nu a pus în aplicare în mod corespunzător prevederile Directivei Comisiei Europene în domeniu, care ar fi trebuit transpuse deja în legislaţia britanică.
Astfel Articolului 23 din Lege stipulează aplicarea prevederilor Directivei UE privind acordarea de despăgubiri în cazul în care un operator încalcă legislaţia în vigoare. În aceste condiţii, Curtea de Apel a statuat aplicarea prevederilor Articolului 23 şi interpretarea sa la scară mai largă, pentru a sprijini obiectivele legislative de bază, concepute pentru a proteja confidenţialitatea datelor personale mai presus decât drepturile economice.
În consecinţă, judecătorul a concluzionat că reclamanţii trebuie să primească compensaţii financiare pentru încălcarea dreptului de păstrare a confidenţialităţii asupra datelor cu caracter personal, chiar dacă ei nu au suferit şi pierderi materiale asociate. Mai mult, această decizie nu contravine prevederilor Articolului 8 din Convenţia Europeană a Drepturilor Omului, care stipulează că încălcarea dreptului la intimitate poate provoca daune emoţionale majore, chiar dacă aceasta nu generează şi pierderi materiale. Prin urmare, Curtea a concluzionat că interpretarea mai restrictivă a termenului „prejudiciu”, aşa cum reiese din Articolul 13 (2) al Legii naţionale privind protecţia datelor, a subminat în mod substanţial obiectivul Directivei UE şi a dispus neaplicarea acestei prevederi în procesul în cauză, acordând reclamanţilor dreptul de a primi despăgubiri.
Importanţa acestui proces constă în faptul că el ar putea deveni un viitor reper în reglementarea litigiilor în cazurile de protecţie a datelor cu caracter personal, iar reclamanţii vor putea să solicite de acum despăgubiri fără a fi suferit prealabile pierderi financiare. De asemenea, conform estimărilor (Thompson, 2015), începând cu anul 2016, când se anticipează intrarea în vigoare a noului Regulament comunitar privind protecţia datelor personale, ADP vor dobândi o poziţie mai puternică şi mai multe competenţe în apărarea drepturilor şi libertăţilor fundamentale ale persoanelor fizice, în special a dreptului la viaţă intimă, familială şi privată, în legătură cu prelucrarea informaţiilor cu caracter personal şi libera circulaţie a acestor date.
4. Eliminarea limitei amenzilor contravenţionale pentru nerespectarea normelor în vigoare
Dacă până în luna martie a anului curent amenda contravenţională pentru gestionarea defectuoasă a datelor cu caracter personal sau dezvăluirea acestora fără consimţământul prealabil al operatorului putea atinge suma maximă de 5.000 de lire sterline, prin intrarea în vigoare a noului regulament privind limitele de amendă (12 martie 2015), această marjă a fost eliminată, permiţând stabilirea oricărei sume, în urma procesului.
Aceasta modificare legislativă a fost salutată de către Autoritatea britanică pentru protecţia datelor, care a şi militat pentru introducerea unor pedepse mai eficiente, care să ducă până la aplicarea măsurilor privative de libertate, în cazul încălcărilor flagrante ale legislaţiei naţionale. De asemenea, în opinia ICO, eliminarea limitei de sumă ar trebui să ofere magistraţilor un cadru mai adecvat de stabilire a nivelului amenzilor în conformitate cu gradul de vinovăţie al inculpatului, încurajând totodată organizaţiile să consolideze sistemele de gestionare a datelor.
[1] Information Commissioner’s Office – Resolution of the European Data ProtectionAuthorities’ Conference, 18-20 May, Manchester, UK, disponibil online la: https://ico.org.uk.
[2] Convenţia nr. 108 a Consiliului Europei referitoare la protejarea persoanelor faţă de prelucrarea automatizată a datelor cu caracter personal a fost aprobată la Strasbourg la 28 ianuarie 1981 şi a intrat în vigoare la 1 octombrie 1985.
A se consulta: ETS No.108 – Conventionfor theProtection of Individualswithregardto Automatic Processing of Personal Data, disponibil online la:
http://conventions.coe.int/Treaty/EN/Reports/Html/108.htm.
[3] Directive 95/46/EC of the European Parliamentand of the Council of 24 October 1995 on theprotection of individualswithregardtotheprocessing of personal data and on thefreemovement of such data, Oficial Journal L281, 23.11.1995, Brussels.
[4] Data Protection Act 1998, disponibil online la: http://www.legislation.gov.uk.
[5] Fişiere de mici dimensiuni, formate din litere şi numere, care sunt stocate pe computerul/terminalul mobil sau alte echipamente ale unui utilizator de pe care se accesează internetul.
Referinţe:
Data Protection Act 1998, disponibil online la: http://www.legislation.gov.uk.
Directive 95/46/EC of the European Parliamentand of the Council of 24 October 1995 on theprotection of individualswithregardtotheprocessing of personal data and on thefreemovement of such data, Oficial Journal L281, 23.11.1995, Brussels.
ETS No. 108 – Conventionfor theProtection of Individualswithregardto Automatic Processing of Personal Data, disponibil online la: http://conventions.coe.int/Treaty/EN/Reports/Html/108.htm.
Kondhia, P., UK – ICO Callsfoe More PracticalApproachto Data Protection, ICSA, London, 20.05.2015.
Thompson, S. – Landmark UK Data ProtectionRuling, McGuireWoods LLP, London, 18.05.2015.