Prof. univ. dr. Daniel-Mihail Șandru, coordonator, Centrul de Studii de Drept European, Institutul de Cercetări Juridice, Academia Română
În urmă cu mai mulți ani scriam despre sistemul de drepturi privind datele cu caracter personal că este în ”regândire”. Nu am folosit termenul de reformă pentru că era limpede, nu de reforme ducem lipsă în Uniunea Europeană. Regândirea datelor a avut în vedere mai multe elemente: poziționarea Uniunii Europene în raporturile internaționale, crearea unui ecosistem în care datele reprezintă celula de bază pentru transformarea digitală, consolidarea instituțională, coerența aplicării a regulamentului.
Susținerea statutului Uniunii Europene (U.E.) în raporturile internaționale printr-o reglementare cu caracter secundar, un regulament, s-a vădit a fi de succes. Pe de o parte, principiile regulamentului au fost preluate de legislația unor state, cum ar fi Brazilia, pe de altă parte au imprimat un efect de temă necesară și de rezolvat, chiar dacă în termeni proprii statului respectiv, cum a fost China. Sigur, datele cu caracter personal au constituit subiectul unor negocieri internaționale, cum s-a putut observa în cazul relațiilor U.E. – Japonia. Relația cu Statele Unite ale Americii rămâne dintre cele mai complicate, Uniunea aflându-se în pragul unui nou acord de cooperare privind datele, fără a mai socoti că sancțiunile cele mai mari au fost îndreptate împotriva unor puteri, cum ar fi Amazon, Meta, Google. Regulamentul se aplică operatorilor de date, indiferent unde își au sediul, dacă aceștia prelucrează date cu caracter personal ale cetățenilor europeni. Această protecție a făcut din noua legislație un subiect fierbinte pentru afacerilor de oriunde din lume, pentru că cetățenii U.E. reprezintă o piață.
Crearea unui ecosistem al datelor s-a relevat încă de la publicarea regulamentului. El a fost însoțit de două directive privind prelucrarea datelor în dreptul penal, prima referitoare la infracțiuni și a doua referitoare la registrul cu pasageri, scopul fiind prevenirea, depistarea, investigarea și urmărirea penală a infracțiunilor de terorism și a infracțiunilor grave. Nu se va ști niciodată dacă o intruziune generală cu privire la datele pasagerilor a avut efectul scontat în combaterea criminalității. Au fost reglementate datele fără caracter personal și un regulament privind protecția datelor doar la nivelul Uniunii Europene, de către instituțiile acesteia. Multe acte normative au o strânsă legătură cu regulamentul privind datele cu caracter personal, de la mult așteptatul regulament privind prelucrarea datelor personale și protejarea confidențialității în sectorul comunicațiilor publice, care este probabil cel mai negociat act legislativ al Uniunii și până directivele privind securitatea rețelelor și sistemelor informatice. În afara acestora, datele cu caracter personal constituie un element constitutiv, esențial în unele reglementări privind inteligența artificială, guvernanța datelor la nivel european, furnizarea de conținut digital și de servicii digitale, identificarea electronică, datele deschise sau regulamentul privind piețele digitale. Sunt sute de pagini de reglementări adoptate în ultimii câțiva ani, necesare pentru adaptarea Uniunii și a mediului de afaceri la noile dezvoltări tehnologice.
Consolidarea instituțională a fost o țintă a regândirii datelor. Și semenele s-au putut observa înainte de apariția celebrului regulament. Intervenția Comisiei, printr-o acțiune în neîndeplinirea obligațiilor, în cauza președintelui autorității de supraveghere din Ungaria, când pentru a fi înlocuit s-a modificat Constituția reprezintă un element cheie. Comisia protejează autoritățile naționale, dar în același timp, Comitetul european de protecția datelor centralizează deciziile, uniformizează interpretările și decide, în anumite situații, cu privire la procedura de sancționare. Sau chiar mai mult impune autorităților naționale anumite criterii pentru sancționarea operatorilor de date. Consolidarea instituțională s-a relizat și printr-o dispersie extraordinară a agenților regulamentului: responsabilul cu protecția datelor. Operatorii de date din Uniunea Europeană sunt obligați să plătească o persoană care, precum un auditor, independent, monitorizează respectarea aplicării regulamentului. Un agent al drepturilor omului prezent în toate soluțiile de afaceri importante în Uniunea Europeană și, de asemenea, obligatoriu în orice entitate publică. Într-o prezentare publică am discutat despre metamorfozele responsabilului cu protecția datelor: de la agent al drepturilor omului la ficțiune birocratică. Acum suntem încă, în multe locuri din statele membre ale Uniunii Europene, în etapa de ficțiune birocratică dar viitorul îi poate aduce îmbunătățiri ale statutului.
Coerența aplicării regulamentului nu se referă doar la instituții, dar și la legislație. Regulamentul pune în valoare, prin disecare birocratică, drepturi protejate de tratate. În principal, sunt protejate prin regulament dreptul la viață privată și dreptul la protecția datelor cu caracter personal dar libera circulație a datelor. Ordinea este totuși importantă, pentru că uneori se face greu distincția în cazuri particulare, ceea ce presupune o jurisprudență care este îndatorată contextului. Tratatul privind funcționarea Uniunii Europene alocă un articol competențelor de reglementare a datelor cu caracater personal. Un articol dinstinct, privind dreptul la protecția datelor cu caracter personal, care se disociază de dreptul la viață privată, se află în Carta drepturilor fundamentale a Uniunii Europene (CDFUE), un document care are forța juridică a unui tratat, dar care o aplicare mult limitată. Privind înspre practică nu putem să nu ne întrebăm dacă măsurile tehnice și organizatorice au sfârșit prin a birocratiza un drept fundamental? Poate că trebuie reflectat la faptul că acest drept fundamental are cea mai bogată reglementare dintre toate drepturile fundamentale, desigur dacă luăm în considerare și documentele fără forță juridică obligatorie, de ordinul a câteva sute. Si trebuie subliniat că acest regulament permite diferențe enorme de aplicare, în privința sistemului sancținonator, esențial nu atât pentru cuantumul acestora, și acesta relevant, cât mai ales pentru interpretarea uniformă. Comparațiile sunt benefice, mai ales că avem în vedere aplicarea aceleași dispoziții, însă dreptul statelor membre, tradițiile administrative ar putea să ne conducă la concluzia că nu este suficient să informăm. Poate că ar trebui să facem ceva mai mult, dincolo de analiza practicii, și anume fundamentarea teoretică a dreptului la protecția datelor prin consolidarea independenței față de dreptul la viață privată.
Regulamentul general privind protecția datelor este una din zecile de mii de reglementări ale Uniunii Europene. Este posibil ca o singură reglementare să salveze lumea? Și de ce ar trebui o reglementare să salveze lumea. În termeni juridici, această dezbatere ar fi despre scopul și domeniul de aplicare al RGPD și despre coerența aplicării unei reglementări. Dar care este continuată cu o întrebare teleologică: scopul și domeniul de aplicare RGPD sunt suficiente pentru a produce efectele pe care autorii reglementării le-au avut în vedere? Nu vom discuta cum despre aceste două elemente substanțiale, ci doar despre coerența reglementării și posibilitățile ca aceasta să-și atingă obiectivele. Coerența este slăbită de primele două elemente enumerate: relațiile internaționale, sistemul baroc de legislație europeană cu forță juridică obligatorie și de încă instabila construcție instituțională.
Am scris despre posibilul efect pozitiv al unui act legislativ european și nu am scris despre subiectul principal: cetățenii europeni. Dacă nu ar fi lăcomia de a împrăștia datele persoanele, atracția irezistibilă a rețelelor sociale în divulgarea de informații și dacă persoanele fizice ar acționa rațional, legislația europeană ar ajunge să fie ignorată pentru segmentul acesta de utilizare a internetului pentru distracție. Comunitățile sau rețelele virtuale golesc de conținut dreptul la viață privată sau dreptul la protecția datelor. Autoritățile au obligația să protejeze persoane fizice care sunt dezinteresate de datele lor cu carcater personal. Pe de altă parte, Uniunea este conștientă că datele sunt necesare pentru construcția noii societăți digitale, big data fiind elementul constitutiv al inteligenței arficiale, a platformelor digitale ori a piețelor digitale. Cuvântul de ordine nu mai este prelucrarea de date sau constituirea de baze de date. Acestea există deja, cu sau fără acordul conștient al cetățenilor. Acum discuția se poartă în jurul interconectării bazelor de date.
Prin Centrul de Studii de Drept European am coordonat mai multe focs grupuri privind înțelgerea jurisprudenței Curții de Justiție a Uniunii Europene. Dincolo de articole și conferințe, esențial este ca să înțelegem direcția imprimată de autoritățile europene și de mijloacele juridice abordate de instanțele jurisdicționale.
Am explorat unele dintre modalitățile (”cum”) în care o reglementare europeană, privind protecția datelor cu carcater personal, ar putea salva lumea, adică ar putea face ordine, ar putea aduce coerență socială și juridică. Ordinea în această lume digitală este greu de obținut, fără ca riscurile de anulare a unor drepturi să nu devină accentuate. Prioritatea excesivă a dreptului la datele cu caracter personal ar putea împiedica dreptul la informare, libertatea de exprimare ori alte drepturi. Regulamentul subliniază că, prin raportare la protecția datelor, nu există drepturi absolute. Dar există un context al aplicării și aceasta s-a putut observa în exercițiul de putere al statelor din timpul crizei medicale.
Este posibil ca oamenii să fie eliminați din ecuația echilibrului între drepturi. Legiuitorii, național sau european, se vor axa pe stabilirea unor garanții de respectare a drepturilor omului. Intruziunea este permisă dacă garanțiile sunt suficiente într-o lume în care standardele înlocuiesc principiile juridice. Rămân doar autoritățile de supraveghere a datelor și judecătorii. Dar cum vor putea face față dezvoltării fără precedent a tehnicii și a legislației?