18.12.2012 |
RO |
Jurnalul Oficial al Uniunii Europene |
C 391/127 |
Avizul Comitetului Regiunilor — Pachetul „Protecția datelor”
2012/C 391/13
COMITETUL REGIUNILOR
— |
salută propunerile privind o reformă a legislației europene privind protecția datelor, întrucât acestea reprezintă o contribuție a Uniunii Europene la dezbaterea globală asupra unei protecții corespunzătoare a vieții private într-o lume digitală; |
— |
consideră indispensabil să se clarifice chestiunile principale ale protecției datelor cu caracter personal în cadrul procedurii legislative ordinare, care este singura în măsură să garanteze transparența și legitimitatea democratică prin implicarea amplă a Consiliului UE și a Parlamentului European, precum și prin participarea reprezentanților autorităților locale și regionale din UE; |
— |
subliniază faptul că, independent de întrebările deschise privind compatibilitatea abordării aflate la baza regulamentului cu principiul subsidiarității și cel al proporționalității, din reglementările detaliate decurg, de asemenea, alte delimitări neadecvate pentru legislația statelor membre în domeniul prelucrării datelor de către organismele administrației publice; |
— |
consideră, de asemenea, util ca regulamentul în cauză să atribuie o mai mare marjă de decizie statelor membre și, după caz, regiunilor, pentru ca, în conformitate cu normele de drept național, să se reglementeze condițiile generale aplicabile membrilor autorității de supraveghere, pentru a garanta că aceștia își exercită funcțiile în deplină independență. |
Raportor |
dna Ursula MÄNNLE (DE-PPE), membră a Parlamentului landului Bavaria |
Documente de referință |
Comunicarea Comisiei către Parlamentul European, Consiliu, Comitetul Economic și Social și Comitetul Regiunilor – „Protecția vieții private într-o lume interconectată - Un cadru european privind protecția datelor pentru secolul 21”, COM(2012) 9 final Propunere de directivă a Parlamentului European și a Consiliului privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, identificării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor și la libera circulație a acestor date, COM(2012) 10 final Propunere de regulament al Parlamentului European și al Consiliului privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal și libera circulație a acestor date (Regulament general privind protecția datelor), COM(2012) 11 final |
I. RECOMANDĂRI POLITICE
În condițiile unei prelucrări generalizate a datelor în societatea modernă a informației, reglementarea protecției datelor are o importanță esențială pentru dezvoltarea economică, pentru funcționalitatea și eficiența măsurilor luate de state și pentru libertățile personale ale cetățenilor Europei. Prin urmare, adaptarea protecției datelor la cerințele schimbate ale unei lumi digitale, conectată prin internet în din ce în ce mai multe domenii ale vieții, reprezintă în prezent unul dintre proiectele de reformă centrale nu doar pentru Uniunea Europeană, ci și pentru alte organizații de state sau state individuale, precum Consiliul Europei sau Statele Unite ale Americii. Protecția datelor cu caracter personal ridică semne de întrebare în toate domeniile de politică. Ca politică transversală, protecția datelor privește domeniul politicii de securitate și al politicii juridice, precum și sectorul economic, al comunicațiilor, al învățământului și al sănătății, al administrației sau al protecției consumatorilor. Și pentru regiunile și orașele Europei, dezvoltarea în continuare a legislației privind protecția datelor joacă un rol-cheie în menținerea și consolidarea capacității acestora de a face față provocărilor viitoare într-o perioadă de schimbări tehnologice fundamentale și de concurență globală.
COMITETUL REGIUNILOR
1. |
salută propunerile privind o reformă a legislației europene privind protecția datelor, întrucât acestea reprezintă o contribuție a Uniunii Europene la dezbaterea globală asupra unei protecții corespunzătoare a vieții private într-o lume digitală; |
2. |
reamintește rolul decisiv al autorităților locale și regionale în punerea în aplicare a recomandărilor Agendei digitale pentru Europa. Ele sunt motoarele creșterii economice la nivel local și regional și creează, utilizează și administrează multe produse și servicii informatice, care sunt realizate cu ajutorul bazelor de date cu informații ale sectorului public. De aceea, ele trebuie să aibă o contribuție amplă și eficientă la legile care au efecte asupra protecției datelor în domeniul lor de competențe. Regulamentul va duce la noi sarcini administrative și la eforturi financiare suplimentare pentru localități și regiuni, care în opinia Comitetului nu sunt proporționale cu beneficiile pentru cetățeni; |
3. |
sprijină obiectivele generale ale pachetului de reformă de a asigura, în conformitate cu articolul 8 din Carta drepturilor fundamentale și cu articolul 16 din Tratatul privind funcționarea Uniunii Europene, armonizarea la nivel european a protecției persoanelor în ceea ce privește prelucrarea datelor cu caracter personal; |
4. |
subliniază faptul că armonizarea cerințelor legale privind protecția datelor prin stabilirea unor standarde generale obligatorii duce la impunerea acelorași cerințe pentru procedurile de prelucrare a datelor ale întreprinderilor, instituțiilor administrative și persoanelor private în ciuda unor factori de risc fundamental diferiți și a diferitelor medii în care acestea își desfășoară activitatea. În opinia Comitetului, regulamentul afectează în mod necorespunzător organismele publice și rămâne ambiguu în ceea ce privește competențele lor, inclusiv în domeniul legislației muncii. În plus, regulamentul conține o serie de obligații pentru organismele publice de la nivel regional sau local (de exemplu, documentare mai amplă, obligația de a asigura portabilitatea datelor etc.) care nu aduc îmbunătățiri vizibile ale drepturilor celor în cauză. Comitetul subliniază că, din cauza caracterului său abstract, actul legislativ propus sub forma unui regulament poate deschide calea către o utilizare abuzivă a articolului 290 din TFUE, care conferă Comisiei competențe de a emite reguli suplimentare, chiar și în ceea ce privește anumite elemente esențiale, și este prin urmare incompatibil cu principiul subsidiarității și principiul proporționalității. Prin urmare, Comitetul solicită scoaterea din domeniul de aplicare a regulamentului a prelucrării datelor cu caracter personal de către organismele publice și a domeniului legislației muncii, astfel încât acestea să fie reglementate în continuare printr-o directivă; |
5. |
subliniază răspunderea principală a organismelor de control independente pentru protecția datelor cu caracter personal; totuși, un nivel ridicat de protecție a datelor într-o lume caracterizată prin prezența aproape generalizată a procedurilor de prelucrare a datelor nu va fi garantat doar prin eforturi de consolidare a obligațiilor legale, ci necesită și stimulente suplimentare pentru operatorii de date, pentru a recompensa eforturile acestora de protecție a datelor, de exemplu prin facilitarea sarcinii probei pentru acei operatori care adoptă standarde de autoreglementare sau coduri de conduită stricte sau instituie evaluări voluntare ale impactului protecției datelor; |
6. |
consideră indispensabil să se clarifice chestiunile principale ale protecției datelor cu caracter personal în cadrul procedurii legislative ordinare, care este singura în măsură să garanteze transparența și legitimitatea democratică prin implicarea amplă a Consiliului UE și a Parlamentului European, precum și prin participarea reprezentanților autorităților locale și regionale din UE; |
7. |
este de acord cu cerința fundamentală privind crearea unor reguli obligatorii în materie de protecție a datelor cu caracter personal pentru schimbul transnațional de date, în domeniul cooperării polițienești și judiciare; |
8. |
atrage atenția asupra riscului ca eforturile depuse în vederea consolidării protecției datelor cu caracter personal să restrângă în mod excesiv dreptul cetățenilor la confidențialitatea datelor prin neacordarea posibilității ca ei să-și dea acordul, mai ales față de autoritățile publice, atât în cadrul Regulamentului general privind protecția datelor, cât și în cadrul Directivei privind protecția datelor; |
9. |
consideră că este necesar ca pe baza acestor considerații să se țină seama în cadrul procedurii legislative de următoarele chestiuni punctuale: |
Subsidiaritate și proporționalitate
10. |
consideră că încercarea de armonizare deplină a unor părți ale legislație europene privind protecția datelor prin adoptarea unui regulament se bazează pe argumente solide în domeniul economiei private; |
11. |
subliniază însă faptul că, în condițiile menținerii a numeroase reglementări naționale și europene privind protecția datelor, pachetul global compus din Regulamentul general privind protecția datelor și din directiva pentru domeniul polițienesc și judiciar a generat în mod repetat în procesul de consultare obiecții de principiu în ceea ce privește compatibilitatea sa cu principiile subsidiarității și proporționalității în domeniul telecomunicațiilor. Rezervele exprimate se referă la:
|
12. |
subliniază că aceste obiecții reflectă rezervele a numeroase autorități locale și regionale europene împotriva propunerilor de reglementare, care elimină, de exemplu, particularitățile naționale în ceea ce privește protecția datelor în domeniul social sau împovărează activitatea administrațiilor publice cu cerințe privind protecția datelor, cum ar fi dreptul la transferabilitatea datelor, care pot părea adecvate doar pentru procesele de prelucrarea datelor din sectorul economic și care prevăd sancțiuni administrative severe, având în vedere resursele financiare de care dispun autoritățile locale; |
13. |
consideră că propunerea de regulament privind protecția datelor trebuie să insiste mai mult asupra faptului că restricțiile prevăzute la articolul 83 în ceea ce privește prelucrarea datelor cu caracter personal în scopuri de cercetare istorică, statistică sau științifică nu trebuie să limiteze posibilitățile autorităților publice de păstrare a documentelor în conformitate cu dispozițiile naționale cu privire la arhive și la transparența documentelor administrative; |
14. |
consideră de aceea necesar să se examineze mai temeinic decât până acum în cadrul următoarelor etape ale procesului legislativ decizia privind forma juridică și delimitarea între domeniile de aplicare a propunerii de regulament și de directivă, pentru a căuta alternative posibile care să țină seama mai bine decât pachetul existent de principiile subsidiarității și proporționalității; printre aceste alternative se numără posibilitatea de reglementare în continuare printr-o directivă a prelucrării de către organismele publice a datelor cu caracter personal, precum și a domeniului legislației muncii, astfel încât prelucrarea de către organismele publice a datelor cu caracter personal și prelucrarea datelor din domeniul legislației muncii să fie excluse din domeniul de aplicare a regulamentului general; |
Coerență internațională în locul principiului locului comercializării
15. |
sprijină obiectivul de a impune respectarea standardelor europene de protecție a datelor și pentru serviciile informatice ale unor furnizori mondiali; |
16. |
consideră că inițiativa propusă simultan de guvernul SUA privind un cadru juridic pentru protecția vieții private în sectorul mondial al tehnologiei informației oferă ocazia de a efectua împreună reforme ale standardelor comune de protecția datelor în domenii principale ale circulației internaționale a datelor și astfel nu doar de a impune reguli eficiente de protecție a datelor, ci și de a evita condițiile de concurență diferite într-un mod mai eficient decât prin intermediul principiului locului de comercializare, care este limitat în ceea ce privește aplicabilitatea sa practică; |
Viabilitatea conceptului de reformă
17. |
subliniază faptul că proiectul de regulament general privind protecția datelor se bazează în nucleul său material pe principiile Directivei 95/46/CE privind protecția datelor, care sunt acum dezvoltate doar la nivelul anumitor elemente individuale, cum ar fi principiul „confidențialitate prin concepție/privacy by design”, fiind însă în rest oricum modificate. Spre deosebire de momentul redactării Directivei privind protecția datelor, riscurile pentru prelucrarea datelor cu caracter personal atât de către organisme private, cât și publice în societatea informațională nu mai sunt caracterizate de raporturi 1:1. Digitalizarea și constituirea de rețele creează mai degrabă sisteme în care mai multe organisme sunt implicate în prelucrarea datelor, de exemplu, la alinierea datelor sau la schimbul de informații dintre autorități; |
18. |
subliniază că întrebările astfel puse privind protecția datelor cu caracter personal sunt foarte dificil de clarificat în mod adecvat cu ajutorul unor concepte bipolare, cum ar fi conceptul de „operatori”, „dreptul de a fi uitat” sau principiul interdicției, elaborat pentru raportul stat-cetățean (articolul 6 și articolul 9 din proiectul de regulament). Anumite modificări față de dispozițiile directivei, de exemplu, noile definiții pentru „datele cu caracter personal” sau „consimțământ” contribuie mai mult la accentuarea incertitudinilor juridice existente decât la clarificarea acestora; |
19. |
este prin urmare de părere că, în cazul în care Comisia își menține preferința pentru un regulament, acest regulament trebuie să precizeze faptul că un angajator poate prelucra datele cu consimțământul angajatului; același lucru trebuie să se aplice și organismelor publice, atât în cadrul Regulamentului general privind protecția datelor, cât și în cadrul Directivei privind protecția datelor; în conformitate cu regulamentul, statele membre pot să reglementeze prin lege prelucrarea datelor cu caracter personal ale angajatului în contextul ocupării profesionale a acestuia; |
20. |
consideră, de aceea, că este necesar, în măsura în care etapele următoare ale procedurii legislative nu pot fi utilizate pentru înnoiri conceptuale fundamentale, să se regândească mecanismele de punere în aplicare bazate până acum în mod prea strict pe instrumente juridice, de asemenea bipolare, precum dispozițiile și sancțiunile. Tocmai din punctul de vedere al autorităților locale și regionale, care sunt cel mai aproape de persoanelor afectate, o importanță specială pot avea în acest context:
|
21. |
subliniază în acest context că proiectul de regulament general privind protecția datelor acordă acestor sarcini, care trebuie în esență îndeplinite de autoritățile de supraveghere, doar un loc secundar în cadrul misiunii generale de informare conform articolului 52 alineatul (2) din proiectul de regulament general sau al dispozițiilor privind codurile de conduită (articolul 38 din regulamentul general). |
Menținerea marjelor de manevră ale legislatorilor naționali
22. |
subliniază faptul că, independent de întrebările deschise privind compatibilitatea abordării aflate la baza regulamentului cu principiul subsidiarității și cel al proporționalității, din reglementările detaliate decurg, de asemenea, alte delimitări neadecvate pentru legislația statelor membre în domeniul prelucrării datelor de către organismele administrației publice; |
23. |
este de părere că prelucrarea datelor cu caracter personal de către organismele publice și aspectele legate de legislația muncii ar trebui reglementate și în continuare printr-o directivă; |
24. |
consideră prin urmare că în cazul în care Comisia își menține preferința pentru un regulament care să se aplice și organismelor publice și domeniului legislației muncii:
|
Consolidarea răspunderii democratice
25. |
este foarte preocupat de faptul că, odată cu intrarea în vigoare a regulamentului, punerea în practică și dezvoltarea cerințelor privind protecția datelor se vor face prin proceduri care, spre deosebire de legislația statelor membre și a Uniunii Europene sau de aplicarea legislației naționale și europene prin intermediul administrațiilor statelor membre, supuse controlului parlamentar, nu oferă garanții nici de transparență, nici pentru o legitimare democratică suficientă; |
26. |
această poziție este justificată de faptul că proiectul de regulament urmează să creeze, prin intermediul unor reguli foarte abstracte, obligații legale și totodată uniforme și supuse unor sancțiuni într-un domeniu central pentru aplicarea diverselor drepturi fundamentale, care este caracterizat până astăzi de o varietate extremă de cazuri de aplicare, care merg de la registrul de adrese privat, la registrul public al locuitorilor și până la datele rețelelor sociale sau ale furnizorilor de motoare de căutare. Deficiențele aproape inevitabile în materie de claritate, certitudine juridică și aplicabilitate trebuie compensate, pe de o parte, printr-o multitudine de împuterniciri în vederea adoptării unor acte delegate, care se referă adesea la elemente esențiale ale conceptului de reglementare, așa cum indică, de exemplu, împuternicirea de la articolul 6 alineatul (5) din regulamentul general. Pe de altă parte, autoritățile de control independente primesc, de asemenea, în practică, competențe - care depășesc cu mult sarcinile tradiționale de punere în aplicare - de adoptare a unor reguli general-abstracte, în cadrul orientărilor generale referitoare la interpretarea Regulamentului privind protecția datelor. În plus, în cadrul așa-zisului mecanism pentru asigurarea coerenței, aceste autorități sunt subordonate drepturilor de intervenție ale Comisie, care pun sub semnul întrebării independența lor garantată prin articolul 16 alineatul (2) a doua frază din TFUE; |
27. |
consideră de aceea necesar să se modifice radical mecanismele de participare a Comisiei în cadrul procedurii de asigurare a coerenței în vederea garantării independenți autorităților de supraveghere a protecției datelor, și în special a competențelor acestora conform articolului 60 și 62 alineatul (1) litera (a) din regulamentul general, precum și definiția termenului de „îndoieli serioase”, pe baza cărora Comisia își justifică intervenția, prevăzut la aceleași articole; |
28. |
consideră, de asemenea, util ca regulamentul în cauză să atribuie o mai mare marjă de decizie statelor membre și, după caz, regiunilor, pentru ca, în conformitate cu normele de drept național, să se reglementeze condițiile generale aplicabile membrilor autorității de supraveghere, pentru a garanta că aceștia își exercită funcțiile în deplină independență; |
29. |
în plus consideră că instrumentele de coordonare a autorităților independente de supraveghere, recunoscute și de Curtea Europeană de Justiție, de exemplu prin intermediul rapoartelor și al altor proceduri periodice de consultare cu organele legislative, ar trebui dezvoltate în mai mare măsură, pentru a oferi și Parlamentului și Consiliului, precum și Comitetului Regiunilor în cadrul drepturilor sale participative o vedere de ansamblu periodică asupra aplicării legislației europene privind protecția datelor și pentru a permite lansarea unor inițiative pentru dezvoltarea în continuare a acesteia. În afară de aceasta, ținând seama de principiul dreptului la audiere, autoritățile de supraveghere și Comitetul european pentru protecția datelor trebuie să fie obligate prin reguli procedurale complementare să implice, de exemplu prin proceduri de audiere și de consultare, asociațiile și grupurile de interese afectate de decizii cu un impact substanțial conform articolului 58 alineatul (2) regulamentul general, într-un proces transparent de punere în practică și dezvoltare a legislației în materia protecției datelor; |
Limitele armonizării protecției datelor în domeniul polițienesc și judiciar
30. |
are îndoieli cu privire la faptul că o reglementare chiar și a prelucrărilor de date exclusiv naționale în cadrul propunerii de directivă pentru domeniul polițienesc și judiciar este compatibilă cu competențele legislative ale Uniunii Europene și este necesară conform principiului subsidiarității și al proporționalității. În afara sarcinilor de combatere a terorismului, crimei organizate sau criminalității informatice există încă unele corpusuri mari de date ale poliției și autorităților de aplicare a legii, care sunt prelucrate exclusiv la nivel național și astfel nu necesită o reglementare europeană privind protecția datelor. În plus, trebuie să se țină seama de faptul că dispozițiile legislației privind protecția datelor au un impact direct asupra dreptului polițienesc și penal și astfel implică indirect armonizarea și a acestui domeniu, deși Uniunea Europeană nu dispune de o competență suficientă în acest sens; |
31. |
constată cu surprindere că o serie de instituții și organe ale UE, începând cu Eurojust și Europol, sunt excluse din domeniul de aplicare al directivei; |
32. |
Independent de aceste rezerve de principiu, solicită să se verifice în cadrul următoarelor etape ale procedurii legislative
|
33. |
își rezervă dreptul de prezenta un alt aviz, care să conțină în special amendamente concrete, îndată ce pozițiile Consiliului UE și ale Parlamentului European cu privire la chestiunile discutate au devenit clare în etapele următoare ale procesului legislativ. |
II. RECOMANDĂRI DE AMENDAMENTE
Amendamentul 1
Articolul 36
Textul propus de Comisie |
Amendamentul CoR |
||||
Prin derogare de la articolele 34 și 35, statele membre prevăd dispoziții potrivit cărora un transfer de date cu caracter personal către o țară terță sau o organizație internațională poate avea loc numai în condițiile în care: |
Prin derogare de la articolele 34 și 35, statele membre prevăd dispoziții potrivit cărora un transfer de date cu caracter personal către o țară terță sau o organizație internațională poate avea loc numai în condițiile în care: |
||||
|
|
||||
|
|
||||
|
|
||||
|
|
||||
|
|
||||
|
Expunere de motive
Expresia „este necesar” este mult prea vagă și poate permite o utilizare fără restricții a derogărilor, ceea ce contravine spiritului acestui articol, în particular.
Amendamentul 2
Articolul 86 alineatul (6)
Textul propus de Comisie |
Amendamentul CoR |
|
Expunere de motive
Introducerea obligației Comisiei de a consulta Comitetul european pentru protecția datelor cu privire la toate actele delegate și actele de punere în aplicare constituie o garanție esențială.
Bruxelles, 10 octombrie 2012
Președintele Comitetului Regiunilor
Ramón Luis VALCÁRCEL SISO