protecţia datelor

 Articol preluat din Newsletter-ul EDRi 11.9

La 25 aprilie 2013, o coaliție formată din grupuri internaționale promotoare ale drepturilor civile digitale a lansat o campanie care să atragă atenția asupra faptului că actualele propuneri ale Parlamentului European referitoare la Propunerea de regulament privind protecția datelor ar putea priva cetățenii europeni de dreptul lor la viață privată. La această situației au contribuit eforturi de lobby fără precedent, venite în special din partea unor corporații.

Votul final al Comisiei pentru libertăți civile (LIBE) a Parlamentului European asupra propunerii de regulament a fost planificat inițial pentru sfârșitul lunii mai, dar a fost ulterior amânat cu alte câteva săptămâni, urmând să aibă loc înainte de vacanța de vară. Parlamentarul desemnat să întocmească raportul asupra propunerii de regulament (Albrecht) a declarat că Parlamentul are nevoie de „mai mult timp” pentru a putea analiza cele peste 4000 de amendamente depuse.

Pentru a-i îndemna pe parlamentari să acorde prioritate drepturilor cetățenilor care i-au ales și să voteze împotriva propunerilor dăunătoare, coaliția a publicat un raport care prezintă cele mai problematice amendamente propuse. A fost lansat și un site, nakedcitizens.eu, care le permite cetățenilor interesați să trimită parlamentarilor europeni cărți poștale prin care îi îndeamnă să le protejeze dreptul la viață privată.

Articol preluat din Newsletter-ul EDRi 11.5

În octombrie 2012, Grupul de Lucru Articolul 29 (care reprezintă autoritățile pentru protecția datelor din statele membre ale Uniunii Europene) a transmis Google o serie de recomandări în vederea soluționării anumitor deficiențe referitoare la politica de confidențialitate a companiei. Grupul consideră că Google nu a luat măsurile necesare pentru a aborda chestiunile semnalate și că, prin urmare, continuă să nu respecte Directiva 95/46/CE privind protecția datelor.

În cadrul sesiunii plenare din 26 februarie 2013, autoritățile pentru protecția datelor din cadrul Uniunii Europene au decis să continue investigațiile în cazul Google și să ia toate măsurile necesare în acest caz, în baza puterilor și competențelor conferite, sub coordonarea unui grup condus de autoritatea franceză pentru protecția datelor (CNIL).

Se pare că autoritățile pentru protecția datelor nu mai sunt dispuse să închidă ochii la neregulile comise de Google.

28 ianuarie este ziua protecției datelor cu caracter personal. În 2013, ApTI își propune să vă prezinte, în săptămâna ce începe cu această dată, cinci subiecte (câte unul în fiecare zi) de interes pentru protecția vieții private și a datelor personale în societatea informațională de astăzi. Continuăm cu o scrisoare către europarlamentarii români referitoare la propunerea de Regulament privind potecţia datelor.

Modificarea reglementărilor Uniunii Europene în domeniul protecției datelor cu caracter personal este un subiect intens dezbătut la nivel european. În momentul de față, propunerea de Regulament privind protecţia indivizilor cu privire la prelucrarea datelor cu caracter personal și libera circulaţie a acestor date se află în dezbaterea Parlamentului European, care o poate adopta în forma propusă de către Comisia Europeană sau îi poate aduce îmbunătățiri.

Articol preluat de pe site-ul edri.org

Președinția irlandeză a Consiliului Uniunii Europene a distribuit un „document de discuție” privind protecția datelor cu caracter personal ale cetățenilor, înainte de ședința Consiliului pentru Justiție și Afaceri Interne care va avea loc la Dublin săptămâna aceasta. Fiind prima țară care exercită președinția Consiliului în „Anul european al cetățeanului”, ne-am așteptat ca Irlanda să propună noi metode pentru protecția cetățenilor. Primele sugestii sunt, într-adevăr, noi, dar cu siguranță nu vizează protecția drepturilor fundamentale ale cetățenilor.

Spre exemplu, pornind de la situația actuală din Irlanda, companiile ar putea să facă orice vor cu datele cu caracter personal, fără să se teamă de eventuale sancțiuni. Sancțiunile, cum ar fi amenzile, „ar trebui să fie opționale sau cel puțin condiționate de existența unui avertisment prealabil sau a unei mustrări”. Cu alte cuvinte, faceți ce vreți, în cel mai rău caz veți primi un avertisment.

Desigur, propunerile de politici adesea sună mai rău în teorie decât sunt în realitate. Însă în acest caz trebuie doar să ne uităm la practicile actuale din Irlanda pentru a vedea cum arată o astfel de abordare. Controversele din jurul bazei de date PULSE a poliției irlandeze ne arată cum ar putea arăta lumea spre care pare că vrea să ne conducă Președinția irlandeză.

În 2007, Comisarul irlandez pentru protecția datelor și poliția irlandeză au căzut de acord în legătură cu crearea unei structuri de „autoreglementare”. În 2010, un judecător a identificat, într-un raport privind regimul irlandez de reținere a datelor, abuzuri grave care aveau loc în contextul acestui sistem de autoreglementare. Abuzurile au trecut neobservate de către autoritatea pentru protecția datelor, care aprobase crearea acestui regim și care a ales să nu ia nicio măsură imediată împotriva poliției.

Articol preluat din Newsletter-ul EDRi 10.23

În contextul avansării discuțiilor asupra propunerii de regulament privind protecția datelor cu caracter personal, grupurile de lobby europene devin tot mai active. Un exemplu în acest sens este Federația Bancară Europeană (EBF), care a transmis Parlamentului European o scrisoare în care își exprimă poziția cu privire la Propunerea de regulament și formulează o serie de propuneri de amendare. Câteva dintre aceste amendamente au fost preluate ca atare de către Comisia pentru piață internă și protecția consumatorilor.

Pe scurt, EBF vrea mai obligații mai slabe referitoare la notificarea încălcării securității datelor, o mai mare libertate în ceea ce privește realizarea de profiluri ale utilizatorilor, consimțământ implicit, amenzi reduse și mai multe condiții pentru prelucrarea legală a datelor: a) prelucrarea datelor preluate din liste sau documente disponibile publicului, care ar trebui să fie întotdeauna legală; b) prelucrarea „necesară pentru apărarea unui interes, colectare de probe într-o acțiune judiciară sau intentarea unei acțiuni în justiție”.

EBF vrea ca operatorii să poată folosi consimțământul implicit al utilizatorilor pentru prelucrarea datelor cu caracter personal, fără să invoce însă niciun motiv specific pentru lipsa dorinței sau a capacității de a solicita consimțământul explicit. De asemenea, EBF vrea eliminarea prevederilor conform cărora consimțământul este solicitat în situații în care există un dezechilibru semnificativ între operator și persoana vizată. Aici este măcar oferit un motiv, acela că situația respectivă s-ar aplica în cazul băncilor.

O altă propunere vizează reducerea amenzilor care pot fi aplicate de către autoritățile pentru protecția datelor în cazurile în care operatorii încalcă prevederile legale – propunerea Comisiei Europene prevede cifra de 1 milion de euro sau 2% din cifra de afaceri globală anuală ca valoare maximă a amenzilor pentru cele mai grave încălcării ale legii. EBF propune eliminarea celei de-a doua părți a prevederii, considerând că impunerea unor astfel de amenzi ar fi neproporțională.

Articol preluat din Newsletter-ul EDRi 10.22

În data de 16 noiembrie 2012, Autoritatea Europeană pentru Protecția Datelor a publicat un aviz asupra Comunicării Comisiei Europene „Eliberarea potențialului cloud computing-ului în Europa”, din 27 septembrie 2012, prin care Comisia propune acțiuni cheie și politici pentru utilizarea serviciilor cloud computing la nivel european. În avizul său, Autoritatea atrage atenția asupra provocărilor pe care serviciile cloud computin le reprezintă pentru protecția datelor cu caracter personal, precum și asupra modului în care propunerea de Regulament privind protecția datelor au urma să gestioneze aceste provocări.

Autoritatea consideră că, în timp ce cloud computing-ul poate aduce avantaje semnificative precum scăderea costurilor cu serviciile IT și un acces mai bun la astfel de servicii, una dintre principalele probleme este legată de necesitatea existenței unor sisteme de încredere pentru clienții serviciilor de coud computing și respectării regulilor privind protecția datelor cu caracter personal atunci când sunt impplicate acțiuni de prelucrare a datelor.

 „În momentul de față, mulți clienți ai serviciilor de cloud computing, inclusiv utilizatori ai mijloacelor de comunicare socială, au o foarte mică influență asupra termenilor și condițiilor de furnizare a serviciilor oferite de către furnizorii de cloud. Trebuie să ne asigurăm că furnizorii de servicii de cloud nu evită asumarea responsabilităților și că utilizatorii de cloud își pot îndeplini obligațiile referitoare la protecția datelor cu caracter personal. Complexitatea tehnologiilor cloud computing nu justifică o eventuală scădere a nivelului standarelor de protecție a datelor.”

Articol preluat din Newsletter-ul EDRi 10.22

La începutul acestui an, Comisia Europeană a propus un nou cadru de reglementare pentru protecția datelor cu caracter personal la nivelul Uniunii Europene. Pachetul de reformă a făcut obiectul a neunumărate acțiuni de lobby, probabil mai multe decât orice altă propunere legislativă din istoria mondială a politicii moderne, însă nu a atras același interes din partea cetățenilor europeni.

Textele directivei și regulamentului propuse de către Comisie sunt lungi, complexe și dificil de înțeles. Puternicul lobby venit din partea industriei și absența unor reacții corespunzătoare din partea cetățenilor riscă să creeze un cadru de reglementare lipsit de sens și semnificativ mai rău decât legislația în vigoare.

Regulamentul elaborat de către Comisie este o propunere solidă, deși există câteva “verigi slabe” în lanțul mășurilor de protecție a datelor cu caracter personal. Dacă aceste probleme nu sunt rezolvate, atunci dreptul fundamental la protecția vieții private va fi serios afectat. Lobby-ul din ultimele luni înseamnă nu doar că există puncte slabe care nu sunt abordate, dar și că acestea sunt în continuare slăbite, până în punctul în care amenință să distrugă întregul sens al propunerii. Unul dintre aceste puncte sale este „interesul legitim”.

Datele cu caracter personal pot fi prelucrate legal în șase situații, iar una dintre acestea este realizarea unui „interes legitim” al operatorului.  Celelalte cinci sunt: existența consimțământului persoanei vizate, executarea unui contract, îndeplinirea unei obligații legale a operatorului, protejarea intereselor vitale ale persoanei vizate și îndeplinirea unor măsuri de interes public sau care vizează exercitarea prerogativelor de autoritatea publică. Această prevedere referitoare la „interesul legitim”  există deja în Directiva privind protecția datelor cu caracter personal și generează deja probleme.

Principala cauză pentru care „interesul legitim” reprezintă o problemă constă în faptul că nu există norme referitoare la tipurile de activități care ar putea fi considerate atât de importante încât niciunul dintre celelalte motive legale în baza cărora pot fi prelucrate datele să fie fezabil pentru operator. Spre exemplu, când acționează un operator în baza „interesului legitim” și când ar trebui obținut consimțământul specific și informat al persoanei vizate? Mai rău, decizia referitoare la aplicabilitatea „interesului legitim” ca bază legală pentru prelucrarea datelor este luată în primă instanță de către operator (compania căreia persoana vizată îi furnizează date) și este verificată doar în cazul în care un cetățean intentează o acțiune în instanță împotriva respectivei acțiuni de prelucrare a datelor. Alternativ, cetățeanul poate înainta o plângere la autoritatea pentru protecția datelor – care ar putea (sau nu, în funcție de rezultatul procesului legislative) să impună amenzi – dacă autoritatea este pregătită să își asume riscurile și costurile unui apel în instanță împotriva deciziei sale.