Principiul proporționalității în jurisprudența europeană privind protecția datelor personale

principiul proporționalității

Principiul proporționalității este un principiu adânc înrădăcinat în mai multe sisteme de drept, atât în faza de elaborare a legilor, cât și în faza de aplicare a acestora. Principiul proporționalității este cel mai influent principiu în ordinea juridică a Uniunii Europene[1] și semnifică, la cel mai abstract nivel, faptul că o anumită acțiune trebuie să fie proporțională cu scopul său[2]. Cu alte cuvinte, o acțiune nu trebuie să mai facă nici mai mult, nici mai puțin decât este necesar pentru atingerea obiectivului. Dacă o acțiune ar face mai mult decât este necesar pentru atingerea unui obiectiv, există riscul ca acțiunea să fie excesivă și să prejudicieze, într-o formă sau alta, anumite drepturi și interese legitime.

Acest principiu se află în strânsă legătură cu principiul subsidiarității, urmărind, inter alia, să protejeze statele membre împotriva extinderii nejustificate acțiunilor Uniunii Europene[3]. În dreptul Uniunii Europene, principiul proporționalității are trei obiective importante: (i) protejează piața internă prin determinarea restricțiilor introduse de statele membre în calea celor patru libertăți fundamentale ale UE; (ii) protejează drepturile și libertățile fundamentale împotriva ingerinței nejustificate din partea statelor naționale sau din partea Uniunii Europene; (iii) urmărește să limiteze intensitatea acțiunilor UE[4].

Principiul proporționalității cuprinde un test în trei pași: (i) în primul rând, trebuie aflat dacă o anumită măsură este capabilă să atingă un anumit obiectiv; (ii) în al doilea rând, trebuie aflat dacă măsura este necesară pentru atingerea respectivului obiectiv și dacă nu există mijloace mai puțin excesive pentru atingerea acelui scop; (iii) în al treilea rând, chiar dacă măsura este necesară, trebuie aflat dacă nu cumva această măsură are efecte excesive asupra anumitor interese (proporționalitate stricto sensu)[5]. Pentru a respecta principiul proporționalității, orice măsură trebuie să respecte toate cele trei condiții enunțate anterior. În doctrină s-a arătat faptul că, deși cele trei condiții au primit recunoaștere în practica instanțelor de judecată, Curtea de Justiție a Uniunii Europene (CJUE) nu distinge neapărat între a două și a treia condiție[6].

Principiul proporționalității în jurisprudența CJUE privind protecția datelor personale

Orice măsură legislativă care impune restricții asupra dreptului la viață privată sau dreptului la protecția datelor personale trebuie să fie necesară și să respecte principiul proporționalității. Mai mult, așa cum prevede considerentul (73) din Regulamentul General privind Protecția Datelor (în continuare „RGPD”), o măsură legislativă care restricționează drepturile amintite anterior trebuie să respecte cerințele prevăzute de cartă și de Convenția europeană pentru apărarea drepturilor omului și a libertăților fundamentale”. Art. 52 alin. (1) din Cartă prevede faptul că „[…] prin respectarea principiului proporționalității, pot fi impuse restrângeri numai în cazul în care acestea sunt necesare și numai dacă răspund efectiv obiectivelor de interes general recunoscute de Uniune sau necesității protejării drepturilor și libertăților celorlalți”. În jurisprudența CJUE se subliniază frecvent faptul că „derogările de la protecția datelor cu caracter personal și limitările acesteia să fie efectuate în limitele strictului necesar”[7].

Cauza de referință a CJUE privind încălcarea principiului proporționalității de către un act de drept secundar al Uniunii este Digital Rights Ireland[8]. În această cauză, CJUE a declarat nevaliditatea Directivei 2006/24 care permitea accesul autorităților publice la datele furnizate de serviciile de comunicații electronice (date privind traficul și locația). CJUE a considerat că această directivă conținea o ingerință în drepturile fundamentale ale cvasitotalității populației europene și nu respecta principiul proporționalității, având în vedere că se păstrau toate datele de trafic (referitoare la telefonia fixă, telefonia mobilă, accesul la internet, poșta electronică prin internet, precum și telefonia prin internet) și că reținerea viza toate mijloacele de comunicații electronice[9], fără a realiza vreo diferențiere, limitare sau excepție în funcție de gravitatea infracțiunilor[10], fără a deosebi între persoanele care fac parte dintr-o procedură penală sau nu[11], fără limite temporare sau spațiale și fără o limitare a accesului autorităților la astfel de date[12]. În consecință, în această cauză, CJUE a invalidat Directiva 2006/24 pentru încălcarea prevederile art. 7, 8 și 52 alin. (1) din Cartă.

Altă cauză de referință pentru nerespectarea principiului proporționalității în situația restricțiilor la adresa drepturilor la viață privată și la protecția datelor cu caracter personal este Schrems II[13]. Prin această hotărâre, CJUE a invalidat Decizia privind Scutul de Confidențialitate UE-SUA („Privacy Shield”). Unul dintre motivele care au stat la baza invalidării deciziei a fost acela al nerespectării principiului proporționalității deoarece, printre altele, „articolul 702 din FISA nu evidențiază în niciun mod existența unor limitări ale abilitării pe care o presupune pentru punerea în aplicare a programelor de supraveghere în scopul informării externe” (pct. 180)[14].

În cauza Puškár[15], litigiul principal viza o listă întocmită de către instituțiile financiare ce cuprindea numele a 1227 de persoane fizice desemnate de aceste autorități prin expresia „biele kone” („cai albi”). A doua întrebare preliminară a vizat legalitatea acestei liste și conformitatea cu principiul proporționalității. CJUE a răspuns că legislația privind protecția datelor nu se opune întocmirii unei astfel de liste din rațiuni fiscale, atât timp cât, printre alte cerințe de legalitate, se respectă principiul proporționalității deoarece derogările de la datelor cu caracter personal și limitările acesteia să fie efectuate în limitele strictului necesar[16].

Principiul proporționalității a fost adus în discuție și în Tele2 Sverige[17]. O întrebare preliminară viza dacă o obligație de păstrare a tuturor datelor de transfer fără niciun fel de distincții, limitări sau excepții, în vederea combaterii criminalității, este compatibilă cu principiul proporționalității. CJUE a răspuns negativ la această întrebare preliminară. În viziunea CJUE, aceste date prezintă un grad ridicat de intruziune în viața persoanelor (pct. 99), prin urmare numai combaterea infracționalității grave poate justifica o măsură de stocare nedeterminată a datelor (pct. 102). Pe de altă parte stocarea nu poate fi generală, trebuie să respecte principiului proporționalității și să se limiteze „la un public ale cărui date pot prezenta o legătură, cel puțin indirectă, cu acte de infracționalitate gravă, să contribuie într‑un mod sau altul la combaterea infracționalității grave sau să prevină un risc grav pentru securitatea public” (pct. 111)[18].

 


Însă, într-o altă cauză, CJUE a considerat că se respectă principiul proporționalității. În Schwarz[19], în fața CJUE s-a pus în discuție dacă prelevarea și stocarea amprentelor digitale în cadrul eliberării pașapoartelor este compatibilă cu art. 7, 8 și 52 alin. (1) din Cartă (principiul proporționalității). În această cauză, CJUE a constat faptul că Regulamentul nr. 2252/2004 nu încalcă principiul proporționalității întrucât, printre altele, restrângerea asupra drepturilor fundamentale este legitimă deoarece urmărește două obiective de interes general, respectiv „primul fiind prevenirea falsificării pașapoartelor, iar al doilea fiind prevenirea utilizării lor frauduloase, cu alte cuvinte, utilizarea acestora [pașapoartelor] de către alte persoane decât titularul lor legitim”[20]. În viziunea CJUE, Regulamentul nr. 2252/2004 respectă limitele proporționalității deoarece „precizează în mod expres că amprentele digitale pot fi utilizate numai pentru a verifica autenticitatea pașaportului și identitatea titularului său” (pct. 56) și prevede standarde ridicate de securitate precizând că „datele în cauză se stochează pe un suport de stocare integrat în pașaport și de înaltă securitate” (pct. 57).

 

Referințe:

[1] R. Schütze, T. Tridimas (ed.), Oxford Principles of European Law. Volume I: The European Union Legal Order, Oxford University Press, 2018, p. 243.

[2] Takis Tridimas, The General Principles of EU Law, Second Edition, Oxford University Press, 2006, p. 136.

[3] R. Schütze, T. Tridimas (ed.), op. cit. supra, p. 244.

[4] Ibidem.

[5] Takis Tridimas, op. cit. supra, p. 139.

[6] R. Schütze, op. cit. supra, p. 247.

[7] A se vedea, de exemplu, CJUE, Cauzele conexate C-293/12 și C-594/12, Digital Rights Ireland, Seitlinger și alții, hotărârea din 8 aprilie 2014 , ECLI:EU:C:2014:238pct. 52.

[8]CJUE, Cauzele conexate C-293/12 și C-594/12, Digital Rights Ireland, Seitlinger și alții, hotărârea din 8 aprilie 2014 , ECLI:EU:C:2014:238.

[9]Idem, pct. 56.

[10]Idem, pct. 57 și pct. 60.

[11]Idem, pct. 58.

[12]Idem, pct. 61-62.

[13] CJUE, cauza C-311/18, Facebook Ireland and Schrems („Schrems II”), hotărârea din 16 iulie 2020, ECLI:EU:C:2020:559.

[14] Pentru o analiză a Cauzei Schrems II a se vedea Ruxandra Sava, Protecția datelor personale. Jurisprudența Curții de Justiție a Uniunii Europene (2003-2010), LegalUp.ro, București, 2020, p. 69-72.

[15] CJUE, cauza C-73/16, Puškár, hotărârea din 27 septembrie 2017, ECLI:EU:C:2017:725.

[16] Pentru a ajunge la această concluzie, CJUE a luat în calcul mai mulți factori, dintre care enumerăm (i) crearea unei liste de către instituțiile publice precum cea din litigiu constituie o „prelucrare a datelor cu caracter personal (pct. 103); (ii) și această prelucrare trebuie să respecte unul dintre criteriile privind legalitatea prelucrării (pct. 104); interesul public fiind unul dintre aceste criterii (pct. 106); (iii) rațiuni fiscale ca perceperea impozitului și combaterea fraudei fiscal trebuie să fie considerate ca aparținând unui interes public în sensul legislației privind protecția datelor (pct. 108); (iv) întocmirea acestei liste trebuie să fie necesară pentru atingerea interesului legitim, iar obligația de a verifica respectarea condiției necesității revine instanței de trimitere (pct. 111). (v) este necesară respectarea principiului proporționalității deoarece derogările de la datelor cu caracter personal și limitările acesteia să fie efectuate în limitele strictului necesar. A se vedea Ruxandra Sava, Protecția datelor personale. Jurisprudența Curții de Justiție a Uniunii Europene (2003-2010), LegalUp.ro, București, 2020, p. 17-22.

[17] CJUE, Cauzele conexate C-203/15 și C-698/15, Tele2 Sverige, hotărârea din 21 decembrie 2016, ECLI:EU:C:2016:970.

[18] A se vedea Ruxandra Sava, op. cit. supra, p. 77-79.

[19] CJUE, cauza C-291/12, Schwarz, hotărârea din 17 octombrie 2013, ECLI:EU:C:2013:670.

[20] Idem, pct. 36.































Ruxandra Sava

Ruxandra Sava

Ruxandra Sava (CIPP/e, LL.M. in EU Law) is a Romanian lawyer, member of Bucharest Bar. E-mail: ruxandra.sava@legalup.ro.

AFLĂ MAI MULTE!