Protecția datelor personale în era digitală. Trecut, prezent, viitor

protecția datelor personale

Rezumat:  Protecția datelor personale în era digitală prezintă noi provocări. Această lucrare prezintă provocările erei digitale asupra protecției datelor personale, istoricul și evoluția legislației privind protecția datelor, concluziile desprinse din jurisprudența CJUE din ultimii 20 de ani și schimbarea de paradigmă a Comisiei Europene cu privire la protecția datelor în strategia sa privind deceniul digital (2020-2030).

CUPRINS

I. Introducere. Protecția datelor personale – trecut, prezent, viitor

II. Labirintul influențării

III. Fenomenul monetizării datelor personale 

IV. Incursiune retrospectivă în legislație și jurisprudență

V. Perspectivă asupra viitorului digital al Uniunii Europene

 

 I. Introducere. Protecția datelor personale – trecut, prezent, viitor

Orice acțiune pe internet (e.g. efectuarea unui click, ascultarea melodiei preferate pe Youtube, vizionarea unui film, trimiterea unui mesaj instantaneu) lasă urme digitale[1] care, combinate și conectate într-un ecosistem virtual al datelor infinite, poate conduce, astfel cum s-a afirmat în doctrină, către transpunerea personalității într-un mediu virtual, nenatural[2]. Internetul nu uită, ci scanează o copie digitală a universului fizic[3] în care ființa umană capătă, printr-o profilare algoritmică, o „personalitate digitală” formată din „înregistrări, fragmente de date și biți de informații”[4]. Personalitățile digitale sau, în termenul lor uzual, profilurile sunt sensibile la diversele transformări generate de comportamentul utilizatorului în mediul virtual. Ele pot deveni mai precise sau mai elaborate pe măsură ce se prelucrează mai multe date personale sau se combină baze de date din surse diferite. În funcție de exactitatea datelor, ele pot să corespundă sau nu personalității reale a unei persoane. Utilizatorul de internet nu are, din punct de vedere tehnic, control asupra creării sau modificării unui profil digital, deoarece, în majoritatea cazurilor, nici nu este conștient de existența profilării sau de identitatea entității care profilează[5]. Lipsa controlului asupra propriei personalități digitale aduce atingere conceptului de autonomie umană, concept care semnifică, în esență, abilitatea omului de a se guverna pe sine însuși, liber de interferențe străine, potrivit sinelui autentic[6].

Desprins din dreptul la viață privată, dreptul la protecția datelor personale urmărește, inter alia, să ofere persoanei vizate autonomie și control asupra colectării, utilizării sau divulgării de date personale. Dreptul la protecția datelor personale înglobează și alte drepturi specifice (e.g. dreptul la ștergerea datelor, dreptul de acces asupra datelor, dreptul la rectificare). Dreptul la viață privată și dreptul la protecția datelor personale nu au doar o „funcție de secretizare” a unor informații valoroase sau intime, ci au și o „funcție transcendentală”[7], protejând, așa cum s-a afirmat în doctrină, însuși nucleul existenței umane – individualitatea[8]. Astfel cum explică AEPD, aceste drepturi sunt intrinseci inovației, dezvoltării libere și autonome personalității umane și existenței altor drepturi și libertăți fundamentale[9].

Organizația Privacy International este de părere că, în absența dreptului la viață privată, celelalte drepturi și libertăți sunt în pericol[10], arătând cum dreptul la viață privată face posibilă existența unei opțiuni (e.g. o opțiune de a decide cui se dezvăluie datele personale, o opțiune de a se stabili limite); oferă persoanei posibilitatea de a fi în control asupra propriei identități și asupra modalității în care interacționează cu mediul înconjurător; oferă persoanei posibilitatea de a fi în siguranță împotriva abuzului nejustificat de putere; oferă persoanei vizate posibilitatea de gândi liber, fără a fi discriminată, de a fi autonomă și de a trăi în demnitate[11].

Însă, dreptul la viață privată și dreptul la protecția datelor intră deseori în conflict cu interesele operatorilor publici și privați, interese care sunt, în unele situații, legitime (e.g. profit, avantaje economice, inovație, securitate națională, suveranitate digitală). Atingerea acestor obiective pune deseori presiune asupra principiilor prelucrării datelor personale. Există numeroase dileme fără un răspuns clar. Securitate națională sau drepturi fundamentale? Inovație în IA sau protecția vieții private? Libertate de exprimare sau protecția vieții private și a datelor personale? Deși legislația oferă mijloace flexibile pentru echilibrarea drepturilor și intereselor opuse, în prezent, asistăm la o serie de dezechilibre ca urmare a oferirii de prioritate unui drept sau a unui interes în detrimentul altuia. Pe de o parte, supra-reglementările în domeniul protecției datelor au efecte adverse precum „fragmentarea internetului” sau „taxarea granițelor” atunci când informațiile părăsesc o anumită regiune geografică[12], îngrădirea libertății de exprimare și informare pe internet, piedici în calea comerțului internațional, piedici în calea comerțului digital internațional[13] etc. Pe de altă parte, prelucrarea abuzivă a datelor personale – inclusiv dezvăluirea sau accesarea neautorizată a datelor personale pot conduce către o serie de riscuri (e.g. discriminare, manipularea comportamentului de achiziție al consumatorului, influențarea voturilor libere[14], fraudarea identității, hărțuire online, cyber-bulling, deep-fakes, pierderea locurilor de muncă)[15].

În continuare, vom prezenta două dintre cele mai marcante fenomene cu impact major asupra ființelor umane, respectiv încălcarea liberului-arbitru al omului prin tehnici intruzive de manipulare (Secțiunea II) și fenomenul monetizării datelor personale – tratarea datelor personale – elemente intrinseci personalității umane, ca simple bunuri aflate în circuitul civil (Secțiunea III). Mai departe, în  Secțiunea IV, vom realiza o incursiune în legislația și jurisprudența CJUE din ultimii ani cu privire la protecția datelor personale, iar în Secțiunea V, vom arunca o privire asupra modificărilor în regimul prelucrării datelor în deceniul digital (2020-2030), potrivit strategiei Comisiei.

II. Labirintul influențării

La 30 de ani de la apariția World Wide Web (WWW), asigurarea protecției vieții private și a datelor cu caracter personal este o prioritate în toate statele democratice de pe glob. În schimb, statele nedemocratice obțin control și dominație asupra persoanelor prin îngrădirea vieții private[16], ca în romanul lui Orwell unde metafora „Big Brother” semnifică o supraveghere constantă ce controlează întreaga existență a unui om: gânduri, idei și acțiuni[17].

În opinia unui autor, Singapore este exemplul perfect al unei societăți controlate prin date, al cărei program de prelucrare al datelor personale – care și-a propus inițial scopul de a proteja cetățenii de terorism, a ajuns să influențeze aproape toate domeniile vieții (educație, economie, imigrări) [18]. Același autor afirmă că o rută similară urmează și în China prin introducerea scorului social care ar determina condițiile în care o persoană va avea acces la anumite facilități precum obținerea de împrumuturi, locuri de muncă sau călătorii în străinătate[19]. Uniunea Europeană, prin propunerea de Regulament privind inteligența artificială dorește să interzică în mod expres prelucrarea datelor personale în scopul introducerii de scoruri sociale pentru evaluarea algoritmică a ființelor umane. 

Dacă informația înseamnă putere, informațiile personale despre o anumită persoană contribuie, în teorie, la existența abilității de a influența sau manipula. Datele personale sunt vitale pentru actorii privați și publici, deoarece, pe de o parte, companiile private își pot mări cota de piață prin prelucrarea datelor personale (e.g. blocarea consumatorilor în ecosisteme digitale, publicitate direcționată către emoții sau nevoi intime)[20], iar, pe de altă parte, prelucrarea datelor personale de către state urmărește diverse scopuri precum securitate națională[21], suveranitate digitală[22] sau instituirea sau menținerea unor regimuri totalitare[23]. Persoanele fizice pot fi manipulate prin prelucrarea datelor personale (e.g. influențarea alegerilor consumatorilor[24], influențarea alegerilor libere[25]). Manipularea este deseori subtilă și imperceptibilă subiectului manipulat care ar putea crede că decizia îi aparține[26], fără a realiza că i-a fost afectat liberul-arbitru. Un experiment desfășurat de Facebook în perioada 11-18 ianuarie 2012 a revelat faptul că emoțiile transmise prin postări sunt contagioase și că starea de spirit a unei persoane poate fi influențată prin afișarea de conținut care exprimă emoții puternice (e.g. furie, fericire)[27]. Tehnologiile de manipulare, folosite inițial de industria de publicitate pentru a direcționa reclame către nevoi și emoții, au devenit un instrument utilizat și în politică[28]. Controversa Facebook/Cambridge Analytica a arătat cum, în teorie, datele personale ar putea fi utilizate pentru a inocula opinii politice în mintea persoanelor, dacă se cunosc suficiente detalii intime pentru a putea construi un profil psihologic online susceptibil la manipulare[29]. Aceste profiluri intime sunt generate deseori de o prelucrare a unor mari volume de date, deoarece, astfel cum explică CJUE în Digital Rights Ireland[30], meta-datele (datele de transfer și de localizare) prelucrate de companiile de telefonice „pot permite deducerea unor concluzii foarte precise privind viața privată a persoanelor ale căror date au fost păstrate, precum obiceiurile din viața cotidiană, locurile de ședere permanente sau temporare, deplasările zilnice sau alte deplasări, activitățile desfășurate, relațiile sociale ale acestor persoane și mediile sociale frecventate de ele”[31].

Gradul de a succes al manipulării depinde de o profilare cât mai precisă a persoanele, iar profilarea este mai exactă pe măsură ce cantitatea de date personale este mai vastă. Platformele digitale (e.g. site-uri, aplicații) prelucrează, împreună sau separat, pe scară largă, date personale și/sau module cookies sau alte tehnologii similare, înregistrând întreaga existență virtuală a unui utilizator de internet. Într-un raport se arată că există anumite companii ce activează ca brokeri de date, deținând date despre sute de milioane de consumatori, date pe care le analizează, le structurează și le vând, în general, fără permisiunea consumatorilor[32]. Datele personale pot fi oferite direct de către utilizator (e.g. completarea unui formular, postări pe o rețea de socializare, distribuirea locației – „share location”) sau pot fi colectate de către operator prin observarea comportamentului, preferințelor și a emoțiilor (prin module cookies, softuri de capturare automată a datelor, senzorii de urmărire Wi-Fi, RFID, recunoașterea facială a emoțiilor prin analiza expresiilor feței, etc)[33]. În unele situații, informațiile colectate conduc către crearea unor profiluri care pot releva aspecte foarte intime (e.g. credințe religioase, preferințe sexuale, înclinații politice sau comportament de votare[34], date privind sănătatea, date biometrice). S-a afirmat că Amazon și Google ascultă conversațiile prin intermediul asistenților vocali, Amazon Echo și Google Home[35], și, potrivit altor surse, Microsoft își spionează utilizatorii prin intermediul Windows 10[36]. Surprinzător este că butonul de „like” („îmi place”) al lui Facebook plasat pe anumite site-uri urmărește utilizatorii chiar dacă nu este apăsat[37], iar alte surse arată că Facebook deține „profiluri fantome” ale unor persoane ce nu au deținut niciodată conturi pe respectiva rețea socială[38]. Vizitarea a unui singur website conduce către dezvăluirea comportamentului de navigare către aproximativ 100 de platforme terțe ce își limitează răspunderea în spatele unor politici de confidențialitate ce se pot întinde pe sute de pagini[39]. Ca urmare a profilurilor create, cei care dețin bazele de date pot cunoaște un utilizator sau pot prezice comportamentul acestuia mai bine decât prietenii, familia sau partenerul de viață[40]. Manipularea este doar un factor deoarece, la nivel macro, se poate ajunge la segregarea ideologică și politică a societății[41] sau la discriminarea grupurilor vulnerabile[42].

III. Fenomenul monetizării datelor personale  

Legiuitorul european, prin considerentul (24) din Directiva nr. 770/2019[43], ridică la rang de principiu faptul că „datele personale nu pot fi considerate o marfă”. Cu toate acestea, în textul aceluiași considerent, legiuitorul Uniunii observă că modelele de afaceri online unde consumatorul plătește cu date personale în locul unui preț reprezintă o parte semnificativă a pieței. Cu alte cuvinte, deși, în teorie, în virtutea caracterului nepatrimonial, datele personale nu pot fi tratate ca o marfă, în practică, anumite modele de afaceri tratează datele personale ca bunuri aflate în circuitul civil. Într-un raport se arată că venitul mediu pe utilizator în 2020 pe platforma Facebook a fost 7,05 dolari pe glob și 36.49 dolari în SUA și Canada[44]. Fenomenul a fost numit de unii autori „capitalism de supraveghere”[45]. Acest fenomen de monetizare a datelor personale prezintă mai multe riscuri. Un risc este acela că anumite persoane vulnerabile ar putea fi tentate să își comercializeze propriile date, riscând autonomia, controlul și liberul-arbitru. Un alt risc important este acela al plasării persoanei vizate într-o poziție nefavorabilă în raport cu cei care îi prelucrează datele pentru generarea de profit deoarece, aflându-ne în prezența unui drept al personalității, în situația unei acțiuni în despăgubiri, evaluarea prejudiciului și stabilirea cuantumului daunelor morale este dificilă[46].

IV. O incursiune retrospectivă în legislație și jurisprudență

Protecția informațiilor private (datelor personale) ale utilizatorilor de internet a fost una dintre primele valori reglementate în spațiul digital, ca o reacție la ingerințele certe sau potențiale ale internetului asupra vieții private. Dreptul la protecția datelor cu caracter personal s-a desprins din dreptul la viață privată și a fost inclus ca drept autonom fundamental în Carta Drepturilor Fundamentale a Uniunii Europene[47]. Cu toate acestea, protecția datelor cu caracter personal a fost reglementată cu mult timp înainte de intrarea în vigoare a Cartei (2009).

Prima lege ce a reglementat protecția datelor cu caracter personal a fost o lege din Suedia (1973) care a intrat în vigoare la 1 iulie 1974. A urmat o lege federală din SUA din 1974 care proteja confidențialitatea registrelor cu datele elevilor și ale studenților[48]. Tot în același an a fost adoptată în SUA și „Privacy Act” cu privire la colectarea și utilizarea informațiilor personale de către agențiile federale. În Europa, printre țările pioniere în domeniul adoptării legislației privind protecția datelor se numără Franța (1978)[49] și Regatul Unit (1984)[50].

În anul 1980, OCDE a emis Orientările[51] privind protecția confidențialității și a fluxurilor transfrontaliere de date[52], orientări care au fost actualizate în anul 2013[53] dintr-o necesitate de a aborda dimensiunea globală a vieții private prin îmbunătățirea interoperabilității printr-o abordare bazată pe gestionarea riscurilor, introducând noi concepte (e.g. strategii naționale de confidențialitate la cele mai înalte niveluri de guvernare, programe de gestionare a confidențialității, un sistem de notificare a încălcărilor de securitate[54]).

La nivel internațional, primul instrument cu forță juridică obligatorie adoptat în domeniul protecției datelor cu caracter personal a fost Convenția 108 din 28 ianuarie 1981[55]. Toate statele membre au aderat la Convenția 108[56]. Convenția a fost modernizată în luna mai 2018, după o perioadă de activitate intensă și negocieri[57], devenind Convenția 108+. Ea este deschisă spre semnare atât statelor din Uniunea Europeană, cât și celor din afara Uniunii[58].

La nivelul Uniunii Europene, primul instrument cu forță juridică obligatorie a fost Directiva 46/95[59] (1995), urmat de Directiva ePrivacy (2002). În România, prima lege privind protecția datelor a fost adoptată în 2001[60]. În 2009, prin Tratatul de la Lisabona, dreptul la protecția datelor a fost inclus în dreptul primar al Uniunii Europene (art. 16 TFUE și art. 8 CDFUE). Intrarea în vigoare a Cartei în 2009 a condus către proclamarea dreptului la protecția datelor personale ca drept fundamental. În anul 2016, a fost adoptat Regulamentul General privind Protecția Datelor[61], regulament ce a abrogat Directiva 46/95. Acest regulament se aplică începând cu 25 mai 2018 și este cunoscut drept cel mai puternic instrument legislativ pentru protecția datelor personale de pe glob. Regulamentul are atât o aplicabilitate verticală, în raport cu statul, cât și o aplicabilitate orizontală (în raporturi dintre particulari). RGPD reprezintă, la nivel european, cadrul legislativ general privind protecția datelor personale, coexistând cu alte legislații speciale sectoriale (e.g. legislația ePrivacy, legislația privind prelucrarea datelor în scopul prevenirii, descoperirii, cercetării, urmăririi penale şi combaterii infracţiunilor sau al executării pedepselor, măsurilor educative şi de siguranţă). În prezent, la nivel european, se negociază modernizarea legislației ePrivacy prin adoptarea unui Regulament ePrivacy ce urmărește mai multe obiective (e.g. extinderea domeniului de aplicare material, personal și teritorial)[62], precum și un Regulament privind inteligența artificială ce introduce, inter alia, noi garanții pentru protecția datelor prelucrate de către algoritmii IA.

În ultimii 20 de ani, în fața Curții de Justiție a Uniunii Europene (CJUE), a Curții Europene a Drepturilor Omului (CtEDO), a instanțelor naționale europene și a instanțelor străine s-au adus multiple cauze ce priveau protecția dreptului la viață privată și a dreptului la protecția datelor pe internet. Situațiile vizau o serie de probleme legate de prelucrarea datelor pe internet, printre care supravegherea conversațiilor electronice ale angajatului de către angajator[63], păstrarea și accesarea de către autorități a datelor de trafic și a datelor de localizare[64], legislația aplicabilă prelucrării datelor pe internet[65], legalitatea transferurilor de date către state din afara UE[66], prelucrarea adresei IP și încadrarea acesteia în noțiunea de date cu caracter personal[67], cerințele consimțământului cu privire la prelucrarea datelor[68], identificarea utilizatorului prin mijloace electronice[69], prelucrarea de către mai mulți actori a unor baze de date comune și responsabilitatea acestora[70], informarea utilizatorilor de internet cu privire la prelucrarea datelor cu caracter personal[71], prelucrarea datelor personale de către un motor de căutare[72] și prelucrarea datelor speciale de către un motor de căutare[73], publicarea unor înregistrări video pe internet[74], ștergerea datelor din motoarele de căutare[75], întinderea teritorială a dreptului la ștergerea datelor[76], prelucrarea datelor prin intermediul modulele cookie[77], conflictul dintre protecția datelor cu caracter personal și libertatea de exprimare și de informare[78] pe internet.

Din analiza jurisprudenței CJUE (perioada 2013-2020) cu privire la protecția dreptului la viață privată pe internet, se desprind mai multe concluzii relevante pentru această lucrare. În primul rând, tendința CJUE este de a interpreta legislația privind protecția în favoarea persoanei vizate în lumina drepturilor prevăzute la art. 7 și 8 din Cartă[79] statuând ca dreptul la viața privată primează, în principiu, asupra intereselor comerciale și asupra libertății exprimare și de informare a utilizatorilor[80]. În al doilea rând, măsurile implementate de operator  trebuie să fie proporționale cu gradul de risc asupra drepturilor și libertăților fundamentale[81]. În al treilea rând, internetul poate agrava ingerința în drepturile prevăzute la art. 7 și art. 8 din Cartă[82]. În al patrulea rând, o prelucrare abuzivă a datelor poate conduce către ingerința în esența unor drepturi și libertăți fundamentale[83]. În al cincilea rând, prelucrarea nerezonabilă a datelor poate conduce către afectarea altor drepturi și libertăți fundamentale precum libertatea de exprimare și de informare[84] și dreptul la o cale de atac eficientă[85]. Nu în ultimul rând, orice ingerință în dreptul la viață privată și dreptul la protecția datelor trebuie să fie proporțională[86].

V. Privire către viitorul digital al Europei

Cum va fi era inteligenței artificiale? Orașe conectate, automobile autonome ce previn accidentele rutiere, comerț global, drone ce livrează limonadă, roboți ce curăță impecabil podele, tratamente miraculoase ce prelungesc speranța de viață și, de ce nu, chiar salvarea mediului prin tehnologie[87]? Sau, la polul opus, discriminarea grupurilor vulnerabile de către inteligență artificială (IA), înlocuirea lucrătorilor de către IA, manipularea algoritmică a consumatorilor, manipularea voturilor, polarizare ideologică și politică, violarea drepturilor fundamentale, cenzură sau chiar sacrificarea democrației? Va reuși legiuitorul european să navigheze valurile inovației fără a sacrifica drepturile omului?

UE își propune construirea unei societăți bazate pe date[88] așadar, în anul 2020, Comisia a publicat două documente ce prezintă strategia europeană privind datele și inteligența artificială[89]. Deși se recunoaște importanța respectării vieții private și a datelor personale, documentele strategice ale Comisiei, împreună cu o serie de acte normative deja adoptate sau propuneri legislative, urmăresc, mai degrabă, valorificarea și deschiderea datelor decât protecția lor, ca în trecut. De exemplu, atitudinea co-legiuitorilor Uniunii pare că se îndepărtează de la principiile tradiționale privind protecția strictă a datelor personale prin introducerea, în premieră, a principiul „Open by default” prin intermediul Directivei privind datele deschise, arătând la art. 10 alin. (1) faptul că „preocupările legate de […] protecția datelor cu caracter personal […] sunt luate în considerare în conformitate cu principiul <<cât mai deschis cu putință, dar atât de închis cât este necesar>>”. Astfel cum am afirmat anterior, „abordarea nu pare a fi excepțională deoarece în propunerea de Regulament privind guvernanța datelor la nivel european (Legea privind guvernanța datelor) se încearcă facilitarea liberei circulații a datelor prin introducerea altruismului în materie de date”[90], propunându-se și un formular european de obținere a consimțământului privind prelucrarea datelor personale.  Deși CEPD și AEPD au oferit o serie de avize nefavorabile unor proiecte de legislație ce urmăresc deschiderea datelor, va fi interesant de urmărit impactul – real sau formal, al acestor avize. Este ușor de anticipat că deschiderea și valorificarea datelor va fi necesară pentru atingerea strategiilor europene pentru deceniul digital (e.g., dezvoltarea IA, cetățenia digitală, accesul la servicii digitale de sănătate)[91].

Propunerea de regulament ePrivacy, ce a intrat în anul 2021 în etapa concilierii[92] urmărește, prin extinderea domeniului de aplicare în afara granițelor UE, să protejeze utilizatorii de internet și în raport cu furnizorii privați de comunicații electronice pe internet (e.g. servicii precum VoIP (Voce peste Protocol de Internet), mesageria instantanee sau poșta electronică), însă, în ultima versiune, prevede o excepție privind reținerea datelor de transfer și de localizare în scop de securitate națională de către statele membre[93]. Această excepție a atras îngrijorarea CEPD cu privire la intenția legiuitorului european de a „deroga” de la jurisprudența recentă a CJUE privind reținerea datelor de localizare și de transfer[94], citându-se hotărârea din cauza Privacy International[95], prin intermediul căreia CJUE a stabilit că legislația ePrivacy se aplică și prelucrării datelor în scopul securității sau apărării naționale dacă statele membre utilizează companii private (e.g. operatori de telefonie mobilă) pentru colectarea și reținerea datelor de trafic sau de localizare.

 

Concluzii

Ca urmare a intrării în vigoare a Tratatului de la Lisabona, începând cu anul 2009, dreptul la protecția datelor personale a dobândit valoarea juridică de drept fundamental, fiind inclus ca drept autonom și distinct de dreptul la viață privată în dreptul primar al UE (art. 8 din Cartă). Regulamentul General privind Protecția Datelor, ce se aplică din 2009, a extins domeniul de aplicare teritorial al protecției datelor personale aplicându-se, în anumite condiții, și operatorilor din afara UE. Propunerea de regulament ePrivacy urmărește extinderea materială și teritorială a legislației privind protecția vieții private în sectorul comunicațiilor electronice. În concret, ultima versiune a propunerii de regulament prevede că regulamentul ePrivacy se va aplica furnizorilor de servicii de comunicații pe internet (e.g. mesagerie instantanee, poștă electronică), chiar dacă aceștia sunt situați în afara UE.

Deși UE are cea mai puternică legislație cu privire la protecția datelor de pe glob, prin strategia privind deceniul digital (2020-2030), Comisia urmărește, mai degrabă, valorificarea și deschiderea datelor decât protecția lor, ca în trecut. Strategia Comisiei s-a concretizat deja printr-o serie de acte normative deja adoptate sau propuneri legislative ce au drept obiectiv comun construirea unei societăți bazate pe date.

Informația înseamnă putere, așadar deținerea de date personale contribuie, în teorie, la existența abilității de a influența sau manipula. Datele personale au o importanță vitală pentru actorii publici și privați deoarece, prin prelucrarea datelor personale, operatorii publici își pot construi suveranitatea digitală, iar companiile private își pot extinde poziția economică în piață. Dreptul la protecția datelor este un drept fundamental, nepatrimonial, așadar legiuitorul european, prin considerentul (24) din Directiva nr. 770/2019, ridică la rang de principiu faptul că „datele personale nu pot fi considerate o marfă”. Cu toate acestea, în textul aceluiași considerent, legiuitorul Uniunii observă că modelele de afaceri online unde consumatorul plătește cu date personale în locul unui preț reprezintă o parte semnificativă a pieței. Fenomenul monetizării datelor personale are puternice implicații nu doar în domeniul drepturilor consumatorilor, ci și în multe alte arii de drept. Un exemplu este domeniul răspunderii civile delictuale în cadrul căreia evaluarea prejudiciului nepatrimonial este dificilă. Ca efect, persoana vizată este plasată într-o poziție defavorabilă deoarece, deși datele personale sunt tratate, din nefericire, ca simple bunuri aflate în circuitul civil, în situația unei fapte ilicite, persoana fizică nu deține remedii juridice adecvate.

În era digitală, protecția datelor a devenit un domeniu de drept interdisciplinar, ce își croiește drum treptat, dar sigur, în toate celelalte domenii de drept. Dacă tehnologiile viitorului vor aduce noi riscuri pentru drepturile omului, societatea trebuie să prindă valul digitalizării fără a sacrifica drepturile fundamentale. 

 

Referințe:

[1] Carlo Ratti, Dirk Helbing, The Hidden Danger of Big Data în Dirk Helbing, Towards Digital Enlightenment. Essays on the Dark and Light Sides of the Digital Revolution, Ed. Springer, 2019, p. 22.

[2] Daniel – Mihail Șandru, Imposibila coexistenţă între protecţia datelor și comunităţile virtuale? Ce urmează?, Pandectele Române nr. 1/2018, p. 18.

[3] Carlo Ratti, Dirk Helbing, cit. supra, p. 22.

[4] Daniel J. Solove, The Digital Person Technology and Privacy in the Information Age, New York University, 2004, p. 226.

[5] Pentru o discuție despre necesitatea transparenței cu privire la crearea unor profiluri a se vedea Ruxandra Sava, Când decizia o ia mașina… Despre profilare, drepturi și echilibru într-un univers digital, Revista Romana pentru Protecția și Securitatea Datelor cu Caracter Personal nr. 3/2020, p. 24-41.

[6] John Christman, Autonomy in Moral and Political Philosophy, disponibil aici, link accesat 06.06.2021.

[7] Ferdinand David Schoeman, Privacy. Philosophical Dimensions Of The Literature, în Ferdinand David Schoeman, Philosophical Dimensions Of Privacy. An Anthology, Cambridge University Press, 2007, p.  5-7.

[8] Elena – Simina Tănăsescu în prefața lucrării Simona Șandru, Protecția datelor personale și viața privată, Ed. Hamangiu, București, 2016.

[9] AEPD, Opinion 7/2015. Meeting the Challenges of Big Data. A call for transparency, user control, data protection by design and accountability, Bruxelles, 19 noiembrie 2015, p. 9.

[10] Privacy International, Privacy Matters, link accesat 04.09.2020.

[11] Ibidem.

[12] Chander, Anupam, Le, Uyen P., Breaking the Web: Data Localization vs. the Global Internet (April 2014), Emory Law Journal, Forthcoming, UC Davis Legal Studies Research Paper No. 378.

[13] Margot Kaminski, Are Data Privacy Laws Trade Barriers, JOTWELL (October 30, 2020) (reviewing Svetlana Yakovleva, Privacy Protection(ism): The Latest Wave of Trade Constraints on Regulatory Autonomy, 74 U. Miami. L. Rev. 416 (2020)).

[14] În detaliu: Ruxandra Sava, op. cit. supra n. 5, p. 24-41.

[15] Agenția pentru Drepturi Fundamentale a UE (FRA) a publicat într-un raport răspunsurile unor persoane care au fost victime ale încălcării securității și confidențialității datelor cu caracter personal. Potrivit FRA, atunci când au fost întrebate despre prejudiciile care le-au adus încălcarea normelor privind protecția datelor, persoanele au descris prejudiciile în termeni psihologici sau sociali. Acestea au descris prejudiciul ca emoțional sau social (opinia altor persoane sau impactul asupra relațiilor cu ceilalți). FRA, Access to data protection remedies in EU Member States, cit. supra.

[16] Daniel J. Solove, op. cit. supra, p. 29.

[17] Idem, p. 31.

[18] Carlo Ratti, Dirk Helbing, op. cit. supra, p. 75.

[19] Ibidem.

[20]European Parliament, Challenges for Competition Policy in a Digitalised Economy, iulie 2015, p. 33, link accesat 30.04.2021.

[21] De exemplu, o modificare substanțială a ultimei versiuni e propunerii de Regulament privind viața privată și comunicațiile electronice (Privacy) este includerea unei excepții privind reținerea datelor de transfer și de localizare în scop de securitate națională. A se vedea Ruxandra Sava, Protecția juridică a vieții private în sectorul comunicațiilor electronice în UE și în România, 2021, link accesat 06.06.2021.

[22] aici, link accesat 06.06.2021.

[23] Carlo Ratti, Dirk Helbing, The Hidden Danger of Big Data în Dirk Helbing, op. cit. supra., p. 75.

[24] G. Piperea, Protecția consumatorilor în contractele comerciale, Ed. C.H. Beck, București, 2018, p. 149-150.

[25] AEPD, Opinion 3/2018, Opinion on online manipulation and personal data, 19 martie 2018, Bruxelles, p. 13.

[26] Dirk Helbing, op. cit. supra, p. 28.

[27]Sursa aici, link accesat 07.06.2021.

[28] Dirk Helbing, op. cit. supra., p. 28.

[29] Council of Europe, Authors: Sir Nicolas Bratza, Christos Giakoumopoulos, Dirk Voorhoof, Christopher Docksey, John F Larkin, Síofra O’Leary, Bertrand de la Chapelle, Faiza Patel, Nico van Eijk, Tim Eicke, Lorna McGregor, Robert Spano, Arto Kosonen, Mia Spolander, Human Rights. Challenges in the Digital Age: Judicial Perspectives, 2020, p. 171.

[30] CJUE, cauzele conexate C-293/12 și C-594/12, Digital Rights Ireland, hotărârea din 8 aprilie 2014, ECLI:EU:C:2014:238.

[31] Idem, pct. 27.

[32] United States Senate, Committee on Commerce, Science, and Transportation, Office of Oversight and Investigations Majority Staff, A Review of the Data Broker Industry: Collection, Use, and Sale of Consumer Data for Marketing Purposes, 18 decembrie 2013, p. 4.

[33]În schimb, art. 14 se aplică pentru situațiile în care datele sunt colectate din alte surse, cum ar fi date provenite de la operatori terți, din surse publice, de la brokeri de date sau de la alte persoane vizate. A se vedea GL29, Orientări privind transparența în temeiul Regulamentului 2016/679, adoptate la 29 noiembrie 2017, revizuite și adoptate ultima dată la 11 aprilie 2018, p. 16, link accesat 01.03.2021.

[34] Dirk Helbing, op. cit. supra, p. v.

[35] Conform Wired.com, link accesat 11.05.2021.

[36] Conform bgr.com link accesat 09.04.2021.

[37] CJUE, cauza C-40/17, Fashion ID, hotărârea din 29 iulie 2019 ECLI:EU:C:2019:629;

[38] Miriam Frankel, Shadow profiles – Facebook knows about you, even if you’re not on Facebook, 13 aprilie 2018,  link accesat 06.06.2021.

[39] AEPD, Opinion 3/2018. Opinion on online manipulation and personal data, Bruxelles, 19 martie 2018, p. 7.

[40]Conform nytimes.com, link accesat 11.05.2021.

[41] CEPD, Guidelines 8/2020 on the targeting of social media users, Version 1.0, 2 septembrie 2020, p. 6.

[42] Ruxandra Sava, op. cit. supra, p. 24-41

[43] Directiva (UE) 2019/770 a Parlamentului European și a Consiliului din 20 mai 2019 privind anumite aspecte referitoare la contractele de furnizare de conținut digital și de servicii digitale, JO L 136, 22.5.2019, p. 1–27.

[44] Conform s21.q4cdn.com, p. 4, link accesat 25.04.2021.

[45] Shoshana Zuboff, ‘Big Other: Surveillance Capitalism And The Prospects Of An Information Civilization’ , 2015, 30 Journal of Information Technology.

[46] FRA, cit. supra.

[47] Carta drepturilor fundamentale a Uniunii Europene, JO C 326, 26.10.2012, p. 391–407. Carta a fost proclamată oficial în 2000, dar a intrat în vigoare la 1 decembrie 2009,

[48] Conform safecomputing.umich.edu, link accesat 09.04.2021.

[49] Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés

[50] UK Data Protection Act 1984.

[51] Scopul principal al orientărilor OCDE a fost acela de proteja viața privată și libera circulație a informațiilor. A se vedea, de exemplu, Dominik Horodyski, 2013 OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data as an Example of Recent Trends in Personal Data Protection în lucrarea Magdalena Sitek, Peter Terem, Marta Wójcicka, Collective human rights in the first half of the 21st century, Alcide De Gasperi University of Euroregional Economy in Józefów, 2015, p. 258.

[52] Sian Rudgard, Origins and Historical Context of Data Protection Law în lucrarea Eduardo Ustaran, Hogan Lovells (eds.), European Data Protection Law and Practice, International Association of Privacy Professionals (IAPP), 2018, p. 20.

[53] Conform oecd.org, link accesat 03.12.2020.

[54] Conform oecd.org.

[55] Convenția pentru protejarea persoanelor față de prelucrarea automatizată a datelor cu caracter personal din 28.01.1981, text publicat în Monitorul Oficial, Partea I nr. 830 din 21 decembrie 2001, în vigoare de la 21 decembrie 2001.

[56] Steve Peers, Tamara Hervey, Jeff Kenner, Angela Ward (eds.), The EU Charter of Fundamental Rights: A Commentary, Ed. Beck/Hart, 2014, Marea Britanie, republicată în 2019, p. 238.

[57]Conform comunicatului de presă ANSPDCP, link accesat 2.12.2020.

[58] Sian Rudgard, Origins and Historical Context of Data Protection Law în lucrarea Eduardo Ustaran, Hogan Lovells (eds.), European Data Protection Law and Practice, International Association of Privacy Professionals (IAPP), 2018, p. 23.

[59] Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date, JO L 281, 23.11.1995, p. 31–50, abrogată. 

[60] Legea nr. 677 din 21 noiembrie 2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date, Publicată în  MONITORUL OFICIAL nr. 790 din 12 decembrie 2001.

[61] Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) (Text cu relevanță pentru SEE), JO L 119, 4.5.2016, p. 1–88

[62] Ca urmare a noilor modificări, regulamentul s-ar aplica și furnizorilor privați de comunicații electronice pe internet (e.g. servicii precum VoIP (Voce peste Protocol de Internet), mesageria instantanee sau poșta electronică), inclusiv în situațiile în care aceștia sunt stabiliți în afara Uniunii. A se vedea Ruxandra Sava, op. cit. supra n. 23, link accesat 06.06.2021.

[63] CtEDO (Marea Cameră), Bărbulescu c. României, hotărârea din 5 septembrie 2017, ECLI:CE:ECHR:2017:0905JUD006149608.

[64] CJUE, Cauzele conexate C-293/12 și C-594/12, Digital Rights Ireland, Seitlinger și alții, hotărârea din 8 aprilie 2014, ECLI:EU:C:2014:238; CJUE, Cauzele conexate C-203/15 și C-698/15, Tele2 Sverige, hotărârea din 21 decemrie 2016 ECLI:EU:C:2016:970;

[65] CJUE, C-230/14, Weltimmo, hotărârea din 1 octombrie 2015, ECLI:EU:C:2015:639; CJUE, cauza C-191/15, Verein für Konsumenteninformation hotărârea din 28 iulie 2016 ECLI:EU:C:2016:612.

[66] CJUE, Cauza C-362/14, Schrems, hotărârea din 6 octombrie 2015, ECLI:EU:C:2015:650; CJUE, cauza C-311/18, Facebook Ireland and Schrems („Schrems II”), hotărârea din 16 iulie 2020, ECLI:EU:C:2020:559.

[67] CJUE, C-582/14, Breyer, hotărârea din 19 octombrie 2016 ECLI:EU:C:2016:779.

[68] CJUE, Cauza C-536/15, Tele2 (Olanda), hotărârea din 15 martie 2017 ECLI:EU:C:2017:214; CJUE, Cauza C-210/16, Wirtschaftsakademie Schleswig-Holstein, hotărârea din 5 iunie 2018 ECLI:EU:C:2018:388; CJUE, cauza C-40/17, Fashion ID, hotărârea din 29 iulie 2019 ECLI:EU:C:2019:629; CJUE, cauza C-673/17, Planet49, hotărârea din 1 octombrie 201933 ECLI:EU:C:2019:801.

[69] CJUE, C-582/14, Breyer, hotărârea din 19 octombrie 2016 ECLI:EU:C:2016:779.

[70] CJUE, Cauza C-210/16, hot. cit. supra; CJUE, cauza C-40/17, Fashion ID, hotărârea din 29 iulie 2019 ECLI:EU:C:2019:629.

[71] CJUE, cauza C-40/17, hot. cit. supra; CJUE, cauza C-673/17, Planet49, hotărârea din 1 octombrie 201933 ECLI:EU:C:2019:801.

[72] CJUE, C-131/12, Google Spain și Google, hotărârea din 13 mai 2014 ECLI:EU:C:2014:317.

[73] CJUE, cauza C-136/17, GC și alții (Lizibilitatea datelor sensibile), hotărârea din 24 septembrie 2019. ECLI:EU:C:2019:773.

[74] CJUE, cauza C-345/17, Buivids, hotărârea din 14 februarie 2019, ECLI:EU:C:2019:122.

[75] CJUE, C-131/12, cit. supa n. 72, GC și alții (Lizibilitatea datelor sensibile), cit. supra n. 73.

[76] CJUE, cauza C-507/17, Google (Portée territoriale du déréférencement), hotărârea din 24 septembrie 201938 ECLI:EU:C:2019:772.

[77] CJUE, cauza C-673/17, Planet49, hotărârea din 1 octombrie 201933 ECLI:EU:C:2019:801; CJUE, cauza C-136/17, GC și alții (Lizibilitatea datelor sensibile), hot. cit. supra n. 73; CJUE, cauza C-345/17, Buivids, hotărârea din 14 februarie 2019, ECLI:EU:C:2019:122.

[78] CJUE, cauza C-507/17, hot. cit. supra n. 76; CJUE, cauza C-345/17, hot. cit. supra n. 74; CJUE, cauza C-136/17, GC și alții (Lizibilitatea datelor sensibile), hotărârea din 24 septembrie 2019. ECLI:EU:C:2019:773.

[79] A se vedea, de exemplu, CJUE, C-486/12, Cauza X, hotărârea din 12 decembrie 2013, ECLI:EU:C:2013:836; Digital Rights Ireland, Seitlinger și alții, hotărârea din 8 aprilie 2014 , ECLI:EU:C:2014:238; CJUE, C-131/12, Google Spain și Google, hotărârea din 13 mai 2014 ECLI:EU:C:2014:317; CJUE, Cauza C-362/14, Schrems, hotărârea din 6 octombrie 2015, ECLI:EU:C:2015:650; CJUE, cauza C-311/18, Facebook Ireland and Schrems („Schrems II”), hotărârea din 16 iulie 2020, ECLI:EU:C:2020:559; C-212/13, Ryneš, hotărârea din 11 decembrie 2014, ECLI:EU:C:2014:2428; CJUE, C-582/14, Breyer, hotărârea din 19 octombrie 2016, ECLI:EU:C:2016:779; CJUE, Cauzele conexate C-203/15 și C-698/15, Tele2 Sverige, hotărârea din 21 decemrie 2016 ECLI:EU:C:2016:970; CJUE, Cauza C-210/16, Wirtschaftsakademie Schleswig-Holstein, hotărârea din 5 iunie 2018 ECLI:EU:C:2018:388; CJUE, Cauza C-40/17, Fashion ID, hotărârea din 29 iulie 2019, ECLI:EU:C:2019:629; CJUE, C-345/17, Buivids, hotărârea din 14 februarie 201940 ECLI:EU:C:2019:122; CJUE, C-673/17, Planet49, hotărârea din 1 octombrie 2019, ECLI:EU:C:2019:801; CJUE, Cauza C-61/19, Orange România, hotărârea din 11 noiembrie 2020, ECLI:EU:C:2020:901.

[80] CJUE, C-131/12, Google Spain și Google, hotărârea din 13 mai 2014 ECLI:EU:C:2014:317, pct. 97: „Întrucât persoana vizată poate, având în vedere drepturile sale fundamentale prevăzute la articolele 7 și 8 din cartă, să solicite ca informația în cauză să nu mai fie pusă la dispoziția marelui public prin includerea sa într‑o asemenea listă de rezultate, trebuie să se considere că aceste drepturi, […], prevalează în principiu nu numai asupra interesului economic al operatorului motorului de căutare, ci și asupra interesului acestui public de a găsi informația respectivă cu ocazia unei căutări referitoare la numele acelei persoane. Nu aceasta ar fi însă situația dacă ar reieși că, din motive speciale, precum rolul jucat de persoana respectivă în viața publică, ingerința în drepturile sale fundamentale este justificată de interesul preponderent al publicului menționat de a avea acces, prin intermediul acestei includeri, la informația în cauză”.

[81] De exemplu, în cauza C-136/17, GC și alții (Lizibilitatea datelor sensibile), hotărârea din 24 septembrie 2019. ECLI:EU:C:2019:773, pct. 44, CJUE a arătat că datele speciale necesită o protecție sporită deoarece sunt susceptibile să constituie o ingerință deosebit de gravă în drepturile de la art. 7 și 8 din Cartă; În cauza Google Spain (CJUE, C-131/12, Google Spain și Google, hotărârea din 13 mai 2014 ECLI:EU:C:2014:317), CJUE a arătat că, în exercițiul de ponderare a dreptului la protecția datelor cu libertatea de exprimare și informare, se ține cont și de gradul ingerinței în drepturile persoanei vizate. În cauza Digital Rights Ireland (hotărârea din 8 aprilie 2014 , ECLI:EU:C:2014:238, pct. 37), un argument care a contribuit la invalidarea Directivei 2006/2004 a fost acela că datele pe care trebuiau să le păstreze furnizorii de servicii de telecomunicații „pot permite deducerea unor concluzii foarte precise privind viața privată a persoanelor ale căror date au fost păstrate, precum obiceiurile din viața cotidiană, locurile de ședere permanente sau temporare, deplasările zilnice sau alte deplasări, activitățile desfășurate, relațiile sociale ale acestor persoane și mediile sociale frecventate de ele”.

[82] CJUE, C-131/12, Google Spain și Google, hotărârea din 13 mai 2014 ECLI:EU:C:2014:317, pct. 80.

[83] De exemplu, CJUE, Cauzele conexate C-293/12 și C-594/12, Digital Rights Ireland, Seitlinger și alții, hotărârea din 8 aprilie 2014 , ECLI:EU:C:2014:238; [83] CJUE, Cauza C-362/14, Schrems, hotărârea din 6 octombrie 2015, ECLI:EU:C:2015:650; CJUE, cauza C-311/18, Facebook Ireland and Schrems („Schrems II”), hotărârea din 16 iulie 2020, ECLI:EU:C:2020:559.

[84] CJUE, Cauzele conexate C-293/12 și C-594/12, Digital Rights Ireland, Seitlinger și alții, hotărârea din 8 aprilie 2014 , ECLI:EU:C:2014:238, pct. 28.

[85] CJUE, Cauza C-362/14, Schrems, hotărârea din 6 octombrie 2015, ECLI:EU:C:2015:650, pct. 95; CJUE, cauza C-311/18, Facebook Ireland and Schrems („Schrems II”), hotărârea din 16 iulie 2020, ECLI:EU:C:2020:559, pct. 186-197.

[86] A se vedea, de exemplu, CJUE, Cauzele conexate C-293/12 și C-594/12, Digital Rights Ireland, Seitlinger și alții, hotărârea din 8 aprilie 2014 , ECLI:EU:C:2014:238; CJUE, Cauza C-362/14, Schrems, hotărârea din 6 octombrie 2015, ECLI:EU:C:2015:650; CJUE, cauza C-311/18, Facebook Ireland and Schrems („Schrems II”), hotărârea din 16 iulie 2020, ECLI:EU:C:2020:559.

[87] Există numeroase studii care arată că inteligența artificială și tehnologiile viitorului pot combate sau preveni problemele mediului. A se vedea, de exemplu, Anuj Karpatne, Vipin Kumar, Big Data in Climate: Opportunities and Challenges for Machine Learning, link accesat 19.04.2021.

[88] Conform ec.europa.eu, link accesat 01.05.2021.

[89] Comisia Europeană, Carte albă privind inteligența artificială. O abordare europeană axată pe excelență și încredere, 19.02.2020, Bruxelles, link accesat 29.04.2021; Comisia Europeană, Comunicare a Comisiei Către Parlamentul European, Consiliu, Comitetul Economic și Social European și Comitetul Regiunilor, O strategie europeană privind datele, 19.02.2020, Bruxelles, p. 1.

[90] Ruxandra Sava, Privacy by design se întâlnește cu Open by Default. Protecția datelor în domeniul cercetării și inovării în IA, juridice.ro, 12.02.2020, link accesat 07.06.2021.

[91] Conform ec.europa.eu, link accesat 07.06.2021.

[92] Robert Schütze, Dreptul constituțional al Uniunii Europene, Ed. Universitară, București, 2012, trad. Mihaela Banu, Mihai Banu, p. 171.

[93] Ruxandra Sava, op. cit. supra n. 21, link accesat 06.06.2021.

[94]   Ibidem.

[95] CJUE, cauza C-623/17, Privacy International, hotărârea din 6 octombrie 2020, EU:C:2020:790.

 































AFLĂ MAI MULTE!