Protecția juridică a vieții private în sectorul comunicațiilor electronice în UE și în România




Rezumat: Lucrarea are ca obiectiv principal prezentarea unei imagini de ansamblu asupra punctelor-cheie ale protecției juridice a vieții private în sectorul comunicațiilor electronice. Lucrarea este structurată în două părți. În prima parte (secțiunea I), vom prezenta succint legislația națională și europeană asupra confidențialității și comunicațiilor electronice, în subsecțiunea I.A vom explica domeniul de aplicare (material, teritorial, personal) a Directivei 58/2002, în subsecțiunea I.B vom prezenta pe scurt conținutul normativ al Directivei 58/2002, în secțiunea I.C vom expune succint jurisprudența CJUE în sectorul comunicațiilor, iar în secțiunea I.D vom prezenta anumite particularități ale legislației naționale române ce transpune legislația europeană privind protecția vieții private în sectorul comunicațiilor electronice. În partea a doua a lucrării, vom prezenta principalele modificări ale propunerii de Regulament privind viața privată și comunicațiile electronice.

 

CUPRINS:

INTRODUCERE

I. LEGISLAȚIA NAȚIONALĂ ȘI EUROPEANĂ ASUPRA CONFIDENȚIALITĂȚII ȘI COMUNICAȚIILOR ELECTRONICE

A. Domeniul de aplicare a Directivei asupra confidențialității și comunicațiilor electronice

B. Conținutul normativ al Directivei asupra confidențialității și comunicațiilor electronice

C. Jurisprudența CJUE în sectorul comunicațiilor electronice

D. Particularități privind protecția juridică a confidențialității și comunicațiilor electronice în legislația română

II. PROPUNEREA DE REGULAMENT PRIVIND VIAȚA PRIVATĂ ȘI COMUNICAȚIILE ELECTRONICE – PRINCIPALELE MODIFICĂRI ȘI NOUTĂȚI

 

INTRODUCERE

În eseul „Flacăra e frumoasă”, Umberto Eco sesiza că civilizația greacă nu a insistat asupra dăruirii focului, ci asupra pedepsei ce a urmat[1]. Astăzi legislația europeană insistă asupra riscurilor generate de noile tehnologii ale informației și urmărește să protejeze drepturile fundamentale ale omului în actualul context economic și social al digitalizării. Protecția dreptului la viață privată (art. 7 din Carta Drepturilor Fundamentale a Uniunii Europene, în continuare „CDFUE” sau „Carta”) și protecția dreptului la protecția datelor cu caracter personal (art. 8 din CDFUE) s-au aflat pe agenda legiuitorului european în ultimii 30 de ani, fiind protejate de legislația primară și secundară a Uniunii Europene (în continuare „UE” sau „Uniunea”). Aceste drepturi esențiale pentru libera dezvoltare a personalității și protecția demnității umane[2] sunt protejate în UE printr-o serie de acte legislative, cadrul juridic general privind protecția datelor personale fiind reprezentat de Regulamentul UE nr. 679/2016[3] (în continuare „Regulamentul UE nr. 679/2016” sau „RGPD”), existând o serie de legi speciale ce reglementează în mod specific, la nivel sectorial, protecția vieții private și a datelor cu caracter personal[4]. În ceea ce privește protecția vieții private în sectorul comunicațiilor electronice – echivalentul modern al protecției secretului profesional[5], lex specialis este Directiva nr. 58/2002 (în continuare „Directiva nr. 58/2002” sau „Directiva”), directivă ce a fost transpusă în România prin Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal și protecția vieții private în sectorul comunicațiilor electronice (în continuare „Legea nr. 506/2004”)[6]. La nivel european se urmărește armonizarea și modernizarea legislației privind protecția vieții private în sectorul comunicațiilor electronice prin adoptarea unui Regulament privind viața privată și comunicațiile electronice (în continuare „Regulamentul ePrivacy”), aflat în prezent în stadiul de propunere legislativă.




Această lucrare are ca obiectiv principal prezentarea unei imagini de ansamblu asupra punctelor- cheie ale protecției juridice a vieții private în sectorul comunicațiilor electronice. Lucrarea este structurată în două părți. În prima parte (secțiunea I), vom prezenta succint legislația națională și europeană asupra confidențialității și comunicațiilor electronice, în subsecțiunea I.A vom explica domeniul de aplicare (material, teritorial, personal) a Directivei 58/2002, în subsecțiunea I.B vom prezenta pe scurt conținutul normativ al Directivei 58/2002, în secțiunea I.C vom expune succint jurisprudența CJUE în sectorul comunicațiilor, iar în secțiunea I.D vom prezenta anumite particularități ale legislației naționale române ce transpune legislația europeană privind protecția vieții private în sectorul comunicațiilor electronice. În partea a doua a lucrării, vom prezenta principalele modificări ale propunerii de Regulament privind viața privată și comunicațiile electronice. Concluziile lucrării relevă un potențial conflict între ultima versiune a propunerii de Regulament privind viața privată și comunicațiile electronice și cartă.

 I. LEGISLAȚIA NAȚIONALĂ ȘI EUROPEANĂ ASUPRA CONFIDENȚIALITĂȚII ȘI COMUNICAȚIILOR ELECTRONICE

Cu titlu prealabil, este important de menționat faptul că Directiva nr. 58/2002 este lex specialis în raport cu Regulamentul (UE) nr. 679/2016, regulament ce explică prin art. 95 modul în care se Directiva se aplică, în mod prioritar, cu privire la obligațiile specifice[7][8]. Raportul între cele două instrumente legislative nu împiedică aplicarea simultană, în anumite cazuri, a prevederilor directivei și a prevederilor regulamentului[9].

A. Domeniul de aplicare a Directivei asupra confidențialității și comunicațiilor electronice

În ceea ce privește domeniul de aplicare material, Directiva nr. 58/2002 are un domeniu de aplicare material general (vizează prelucrările de date legate de furnizarea de servicii electronice prin intermediul rețelelor de comunicații electronice – art. 3 alin. (1) din Directiva nr. 58/2002) și un domeniu de aplicare material special (sau extins) cu privire la utilizarea de cookie-uri și alte procedee similare (art. 5 alin. (3) din Directiva nr. 58/2002) și cu privire la comunicările nesolicitate în contextul marketingului direct (art. 13 din Directiva nr. 58/2002)[10]. Cu privire la domeniul de aplicare teritorial, Directiva se aplică furnizorilor și rețelelor de comunicații electronice din cadrul Uniunii[11]. Cu privire la domeniul de aplicare personal, Directiva impune statelor membre să instituie obligații în sarcina furnizorilor de servicii de comunicații electronice, precum și în sarcina oricărui operator (persoană fizică sau juridică) ce recurge la utilizarea de cookie-uri și alte procedee similare sau la desfășurarea unor activități de marketing direct prin transmiterea de comunicări electronice (i.e. sisteme electronice, fax, apelare automată) [12]. Directiva și legislația de transpunere ar trebui să aibă ca beneficiari nu doar persoane fizice, ci și persoane juridice[13]. Într-un articol se afirmă faptul că Directiva nr. 1972/2018[14] a extins domeniul de aplicare a Directivei nr. 58/2002 și cu privire la furnizorii privați de comunicații electronice pe internet (i.e. servicii precum VoIP (Voce peste Protocol de Internet), mesageria instantanee sau poșta electronică) ca o soluție la întârzierea adoptării Regulamentului privind viața privată și comunicațiile electronice[15].

 


B. Conținutul normativ al Directivei asupra confidențialității și comunicațiilor electronice

Directiva este structurată în 21 de articole și 49 de considerente. Articolul 1 indică sfera de aplicare, scopul și obiectivele directivei insistând asupra calității sale de lex specialis în raport cu legislația generală în materie de protecție a datelor și asupra excepțiilor de la aplicare (i.e. activitățile siguranța publică, de apărare, de siguranța statului). Articolul 2 stabilește criteriile pentru înțelegerea termenilor utilizați prin trimiterea la cadrul legislativ general sau prin definirea unor termeni-cheie precum „utilizator”, „date de transfer”, „date de localizare”, „comunicație”, „apel”, „acord”. Articolul 3 aduce explicații suplimentare cu privire la modul de aplicare al directivei, precizând cum se aplică, din punct de vedere material, dispozițiile directivei, reliefând modul particular de aplicare al articolelor 8, 10 și 11 și instituind obligația de notificare a Comisiei în cazurile în care cerințele de la articolele 8, 10 și 11 sunt imposibil de îndeplinit. Articolul 4 introduce o obligație de securitate a comunicațiile electronice stabilind, la alineatul (1), o abordare bazată pe risc a securității și, la alineatul (2), obligația prestatorului de servicii de comunicații electronice de a informa abonații despre existența unui risc de încălcare a securității rețelei. Articolul 5 instituie reguli cu privire la confidențialitatea comunicațiilor (principiul confidențialității). Articolul 5 alineatul (1) interzice, de principiu, „ascultarea, înregistrarea, stocarea sau alte tipuri de interceptare sau supraveghere a comunicațiilor și a datelor de transfer aferente de către persoane altele decât utilizatorul”. De la această regulă, există mai multe excepții, printre care acordul utilizatorului, necesitatea stocării tehnice pentru transmisia comunicației, autorizarea prin lege a înregistrării comunicațiilor pentru desfășurarea procedurilor judiciare comerciale – articolul 5 alineatul (2). Articolul 5 alineatul (3) instituie regulile cu privire la stocarea sau accesarea informațiilor din echipamentul terminal al utilizatorilor (prin tehnici precum cookie-uri, spyware, webbugs, hidden identifiers), fiind necesare acordul și informarea utilizatorilor în conformitate cu legislația generală în domeniul protecției datelor personale[16]. În plus, utilizatorul trebuie să aibă posibilitatea să refuze stocarea unor astfel de instrumente în echipamentul terminal (considerentul (25) din Directivă). Cu toate acestea, stocarea sau accesul tehnic la echipamentul terminal este posibilă dacă are unicul scop de efectuare sau de facilitare a transmisiei comunicației (e.g. cookie-urile necesare funcționării unui site) sau dacă stocarea și accesul sunt strict necesare „în vederea furnizării unui serviciu al societății informaționale cerut în mod explicit de către abonat sau utilizator” (articolul 5 alineatul (3) din Directivă) – ca de exemplu cookie-urile necesare în vederea accesării unor servicii electronice pe o platformă. Articolul 6 introduce condiții privind prelucrarea datelor de transfer. Principalele puncte vizate sunt limitarea la minimum a duratei de prelucrare a datelor de transfer[17], obligația de informare a utilizatorilor cu privire la detaliile prelucrării datelor de transfer (i.e. tipurile de date de transfer prelucrate, durata prelucrării, scopurile), obligația de obținere a acordului utilizatorilor pentru prelucrarea datelor în scopul comercializării de servicii de comunicații electronice sau al furnizării de servicii suplimentare și posibilitatea utilizatorilor de a-și retrage oricând acordul (articolul 6 alineatul (3) din Directivă), limitarea cantitativă a prelucrării la un maxim de categorii de persoane ce pot prelucra datele de transfer și limitarea calitativă la scopul strict necesar activității de prelucrare – articolul 6 alineatul (5) din Directiva 58/2002. Articolul 7 introduce dispoziții privind protejarea confidențialității în contextul facturilor detaliate. Articolul 8 urmărește două obiective principale: protejarea identității apelanților și protejarea apelaților în fața apelurilor anonime[18]. Articolul 9 introduce condițiile privind prelucrarea datelor de localizare (altele decât datele de transfer). Principalele puncte vizate sunt condițiile prelucrării (doar cu acordul utilizatorilor sau dacă sunt anonimizate), limitarea duratei de stocare la perioada strict necesară furnizării serviciului suplimentar, obligația de informare a utilizatorilor și abonaților cu privire la detaliile prelucrării (tipul de date de localizare prelucrate, scopul și durata prelucrării, transferul datelor către terțe părți), posibilitatea utilizatorilor de a-și retrage, în orice moment, acordul cu privire prelucrarea datelor de localizare (articolul 9 alineatul (1) din Directiva 58/2002), posibilitatea de a refuza temporar prelucrarea acestor date, limitarea cantitativă a prelucrării la un maxim de categorii de persoane ce pot prelucra datele de localizare și limitarea calitativă la scopul strict necesar activității de prelucrare – articolul 9 alineatul (3) din Directiva 58/2002. Articolul 10 impune în sarcina statelor membre, pe de o parte, obligația de a introduce excepții de la protecția identității apelurilor (articolul 8) cu privire la detectarea unor apeluri răuvoitoare sau în situațiilor apelurilor și, de pe altă parte, obligația de a introduce excepții de la protecția identității apelurilor (articolul 8) și de la condițiile privind prelucrarea datelor de localizare (articolul 9) în situația apelurilor de urgență pentru organizațiile abilitate precum servicii de urmărire penală, servicii de ambulanță sau pompieri. Articolul 11 introduce obligația statelor membre de a se asigura că există posibilitatea de blocare a transferului automat de apeluri de la o terță parte, iar articolul 12 introduce obligația statelor membre de a introduce condiții privind protecția abonaților în vederea includerii pe o listă de abonați printre care obligația de informare și de obținere a acordului abonaților persoane fizice. Articolul 13 prevede condiții specifice privind efectuarea comunicărilor comerciale în scop de marketing direct. Articolul 13 alineatul (1) interzice, ca regulă generală, transmiterea de comunicări electronice (prin sisteme de apelare automată fără intervenție umană, fax sau poștă electronică) fără existența unui acord prealabil al abonatului. Articolul 13 alineatul (2) introduce o excepție de la obligația obținerii consimțământului în vederea promovării unor produse sau servicii similare către clienții existenți ai unui operator dacă sunt respectate, în mod cumulativ, mai multe condiții[19]. Articolele 14-21 conțin prevederi finale ce conțin, printre altele, dispoziții cu privire la relația Directivei 58/2002 cu alte acte legislative ale Uniunii, condiții privind restrângerea unor drepturi prin măsuri legislative interne, dispoziții tranzitorii privind listele publice de abonați, transpunerea, revizuirea, abrogarea Directivei 97/66, intrarea în vigoare, destinatarii.

 


C. Jurisprudența CJUE în sectorul comunicațiilor electronice

Prevederile Directivei nr. 58/2002 au fost interpretate de CJUE în mai multe cauze ce au vizat probleme de drept precum reținerea datelor de transfer și de localizare și accesul autorităților la aceste date[20], consimțământul abonatului cu privire la includerea într-o listă de abonați în sensul art. 12 din Directiva nr. 58/2002[21],  aplicarea simultană, în contextul relațiilor desfășurate în mediul virtual, a prevederilor Directivei nr. 58/2002 cu privire la cookie-uri și alte tehnologii specifice și a dispozițiilor privind informare și consimțământul din legislația generală privind protecția datelor[22] (în prezent, Regulamentul (UE) nr. 679/2016).

Într-o lucrare se explică faptul că, după actele teroriste de la Londra și Madrid (din 2004 și 2005), Uniunea Europeană a adoptat acte legislative privind colectarea și stocarea datelor pentru prevenirea și combaterea terorismului[23]. Ca urmare a acestor demersuri legislative, în ultimul deceniu, problema reținerii datelor de transfer și de localizare a făcut obiectul a numeroase cauze la curțile constituționale ale statelor membre, inclusiv la Curtea Constituțională a România[24], iar în prezent, este un subiect intens dezbătut în contextul negocierilor privind adoptarea Regulamentului privind viața privată și comunicațiile electronice[25]. Reținerea datelor de transfer și de localizare se regăsește în jurisprudența CJUE în hotărârile precum cele pronunțate în cauzele Digital Rights Ireland[26], Tele2 Sverige[27], Privacy International[28]. În 2014, în cauza Digital Rights Ireland[29], CJUE a invalidat Directiva 2006/24[30] ce impunea păstrarea de către furnizorii de servicii de comunicații electronice pentru a le pune la dispoziția autorităților naționale competente. Această directivă modificase Directiva nr. 58/2008 prin includerea la art. 15 a unei excepții ce permitea păstrarea datelor în scopurile Directivei 2006/24. CJUE a considerat că această directivă ce derogă de la regimul de protecție a datelor de transfer și de localizare în sectorul comunicațiilor electronice[31] contravine legislației primare a Uniunii Europene și principiului proporționalității[32]. În anul 2016, în cauza Tele2 Sverige[33], CJUE a afirmat că o reglementare națională ce permite o păstrare generalizată și nediferențiată a ansamblului datelor de transfer și de localizare contravine art. 15 alin (1) din Directiva 2002/58, citit în lumina art. 7, 8, 11 și 52 alin. (1) din cartă.

În 2020, în cauza Privacy International[34], una dintre întrebările preliminare a vizat dacă reținerea datelor de transfer și de localizare în vederea apărării securității naționale intră în domeniul de aplicare a Directivei 2002/58. Guvernele a nouă state membre au argumentat că Directiva nr. 2002/58 nu se aplică în domeniul securității naționale, fiind un domeniu de competența exclusivă a statelor membre. Cu toate acestea, CJUE a arătat că o reglementare națională ce impune reținerea datelor de transfer și de localizare în vederea apărării securității naționale intră în domeniul de aplicare a Directivei 2002/58 și, prin trimitere la argumentele din cauza Digital Rights Ireland, CJUE a arătat că o măsură legislativă națională ce derogă de la prevederile Directivei 2002/58 în vedere apărării securității naționale trebuie să fie excepțională și să respecte condițiile privind derogarea instituite de dreptul Uniunii (art. 15 alin (1) din Directiva 2002/58, citit în lumina art. 7, 8 și 52 alin. (1) din cartă)[35].

D. Particularități privind protecția juridică a confidențialității și comunicațiilor electronice în legislația română

Legea nr. 506/2004[36] ce transpune Directiva 2002/58 are o serie de particularități, printre care precizarea domeniul de aplicare material – art. 1 alin. (2)[37], în unele cazuri, utilizarea unei terminologii diferite față de legislația europeană (de exemplu, „date de trafic” în loc de „date de transfer”, „serviciu cu valoare adăugată” în loc de „serviciu suplimentar”), definirea unor noi termeni precum „date de identificare a echipamentului” sau „încălcare a securității datelor”, introducerea obligației furnizorilor de a implementa măsuri pentru a permite accesarea datelor personale de către utilizatori (art. 3 ind. 1), introducerea unei durate maxime a prelucrării datelor de trafic (3 ani de la  efectuarea comunicării)[38], reguli diferite privind prelucrarea datelor de trafic și de localizare și excepții care permit accesarea acestor date, în condițiile legii, de către organele de urmărire penală, instanțele de judecată, organele de stat cu atribuții în domeniul securității naționale, precum și coroborarea acestor dispoziții cu Legea nr. 51/1995 privind securitatea națională a României (articolul 5, articolul 8 și art. 12 ind. (1) din Legea nr. 506/2004)[39]

Legiuitorul român a introdus o serie de prevederi suplimentare privind asigurarea securității datelor cu caracter personal (art. 3), printre care obligația de adoptare a unor măsuri tehnice și organizatorice adecvate privind securitatea datelor personale, posibilitatea Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal (în continuare „ANSPDCP”) de a audita măsurile de securitate și de a emite recomandări, obligația de notificare a ANSPDCP în situația unei încălcări a securității și, în cazul existenței unui risc, obligația de informare a abonaților cu privire la riscuri, consecințe, remedii, precum și obligația de întocmire a unei evidențe a încălcărilor de securitate.

În privința regimului sancționator, Legea nr. 506/2004 introduce posibilitatea autorităților publice abilitate să aplice amenzi contravenționale  cu privire la faptele contravenționale de la art. 13 alin. (1) lit. a)-q), precum și amenzi cominatorii pe zi de întârziere[40]. Competențele investigative sunt partajate între ANSPDCP și Autoritatea Națională pentru Administrare și Reglementare în Comunicații (ANCOM). Constatarea faptelor contravenționale și aplicarea amenzile aparține ANSPDCP, cu o singură excepție – aceea a încălcării dispozițiilor de la art. 6 din Legea nr. 506/2004 privind condițiile emiterii facturilor detaliate, situație în care constatarea faptei contravenționale și aplicarea amenzii aparține ANCOM. 

 


II. PROPUNEREA DE REGULAMENT PRIVIND VIAȚA PRIVATĂ ȘI COMUNICAȚIILE ELECTRONICE – PRINCIPALELE MODIFICĂRI ȘI NOUTĂȚI

În vederea modernizării regulilor privind protecția vieții private în sectorul comunicațiilor electronice pentru a face față provocărilor generate de mediul digital și de noile tehnologii și pentru a armoniza regulile privind protecția vieții private în sectorul comunicațiilor electronice în statele membre, în anul 2017, Comisia a propus un Regulament privind viața privată și comunicațiile electronice (în continuare „Regulamentul ePrivacy”), iar în 2021 propunerea a intrat în etapa concilierii[41][42]. O modificare importantă propusă este extinderea domeniului de aplicare (personal, material și teritorial). Ca urmare a noilor modificări, regulamentul s-ar aplica și furnizorilor privați de comunicații electronice pe internet (e.g. servicii precum VoIP (Voce peste Protocol de Internet), mesageria instantanee sau poșta electronică), inclusiv în situațiile în care aceștia sunt stabiliți în afara Uniunii. În plus, propunerea de regulament precizează în mod expres că beneficiarii sunt atât persoanele fizice, cât și cele juridice. Alte modificări includ extinderea principiului confidențialității către transmisii de la mașină la mașină[43], o protecția mai ridicată a echipamentului terminal al utilizatorului[44], reguli simplificate privind utilizarea cookie-urilor și a altor tehnologii similare, protecție mai ridicată împotriva comunicărilor comerciale nesolicitate, același nivel de protecție pentru utilizatori și abonați în toate statele membre[45], un regim sancționator mai sever.

O modificare substanțială a ultimei versiuni e propunerii de Regulament ePrivacy este includerea unei excepții privind reținerea datelor de transfer și de localizare în scop de securitate națională, inclusiv în situația în care prelucrarea acestor date este realizată de operatori privați. Aceasta dispoziție contravine, astfel cum au arătat și alți autori[46], hotărârii CJUE în cauza Privacy International[47] ce a statuat că dispozițiile Directivei 58/2002 devin aplicabile atunci când statele membre apelează la furnizori privați pentru a reține datele de transfer și de localizare pentru asigurarea securității naționale. Această modificare a atras și atenția Comitetului European privind Protecția Datelor (CEPD) care, prin Declarația din 9 martie 2021[48], și-a exprimat îngrijorarea cu privire la tendința legiuitorului european de a „deroga” de la jurisprudența recentă a CJUE privind reținerea datelor de localizare și de transfer[49].

***

CONCLUZII

 

Pentru a preveni noile riscuri generate de tranziția la societatea digitală, legislația privind protecția vieții private în sectorul comunicațiilor electronice ar trebui să evolueze. Deși UE încearcă să extindă extrateritorial protecția vieții private și în raport cu supravegherile electronice externe, progresul legislativ stagnează deoarece statele membre profită de context pentru a pune presiune pe relaxarea regimului juridic privind reținerea datelor de trafic și de locație și accesul la aceste date. 

 





Referințe:

****

[1] Umberto Eco, „Flacăra e frumoasă” în  lucrarea „Cum ne construim dușmanul și alte scrieri ocazionale”, Ed. Polirom, 2017, trad. Ștefania Mincu, Iași, p. 86.

[2] Simona Șandru, Protecția datelor personale și viața privată, Ed. Hamangiu, București, 2016, p. 53.

[3] Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor), JO L 119, 4.5.2016, p. 1–88.

[4] Simona Șandru, note de seminar, master Dreptul Uniunii Europene, 2020-2021.

[5] Declarația CEPD referitoare la revizuirea Regulamentului privind viața privată și comunicațiile electronice și la impactul acestuia asupra protecției persoanelor în ceea ce privește viața privată și confidențialitatea comunicațiilor acestora, 25 mai 2018.

[6] Publicată în Monitorul Oficial nr. 1101 din 25 noiembrie 2014.

[7] „În cazul în care există dispoziții specifice care reglementează o anumită operațiune de prelucrare sau un set de operațiuni, ar trebui să se aplice dispozițiile specifice (lex specialis), în toate celelalte cazuri (și anume, atunci când nicio dispoziție specifică nu reglementează o anumită operațiune de prelucrare sau un set de operațiuni), se aplică norma generală (lex generalis)”. A se vedea, CEPD, Avizul nr. 5/2019 privind interacțiunea dintre Directiva privind viața privată și comunicațiile electronice și RGPD, în special în ceea ce privește competența, sarcinile și prerogativele autorităților pentru protecția datelor, 12 martie 2019, p. 20.

[8] De exemplu, se vor aplica dispozițiile directivei și nu dispozițiile regulamentului în ceea ce privește temeiurile juridice pentru prelucrarea datelor de transfer deoarece directiva, prin art. 6, limitează condițiile de prelucrare a datelor de transfer. Idem, p. 18.

[9] Din practica CJUE rezultă aplicare concomitentă a Regulamentului nr. 679/2016 și Directivei nr. 58/2002 se întâlnește și în cazul utilizării de module cookie sau a altor tehnici similare. A se vedea, de exemplu, CJUE, cauza C-673/17, Planet49, hotărârea din 1 octombrie 201933, ECLI:EU:C:2019:801; CJUE, C-40/17, Fashion ID, hotărârea din 29 iulie 2019, ECLI:EU:C:2019:629; CJUE, C-210/16, Wirtschaftsakademie Schleswig-Holstein, hotărârea din 5 iunie 2018, ECLI:EU:C:2018:388.

[10] CEPD, Opinion 5/2019 on the interplay between the ePrivacy Directive and the GDPR, in particular regarding the competence, tasks and powers of data protection authorities, adoptat la 12 martie 2019, Bruxelles, p. 9-12.

[11] Cu toate acestea, propunerea de Regulament privind viața privată în sectorul comunicațiilor electronice urmărește o aplicare extrateritorială.

[12] CEPD, cit. supra n. 5, p. 15.

[13] Acest aspect rezultă din jurisprudența CJUE în cauza Varec (C-450/06, hotărârea din 14 februarie 2008, ECLI:EU:C:2008:91, pct. 48): „În această privință, din jurisprudența Curții Europene a Drepturilor Omului reiese că nu se poate considera că noțiunea de viață privată trebuie interpretată ca excluzând activitățile profesionale sau comerciale ale persoanelor fizice sau juridice”. În plus, Legea nr. 506/2004 ce transpune Directiva nr. 58/2002 precizează în mod expres la articolul 11 alin. (7) și la articolul 12 alin. (4) faptul că aceste prevederi se vor aplica și persoanelor juridice. Totodată, în considerentul (3) din propunerea de Regulament privind viața privată și comunicațiile electronice se precizează că „dispozițiile prezentului regulament ar trebui să se aplice atât persoanelor fizice, cât și persoanelor juridice”.

[14] Directiva (UE) 2018/1972 a Parlamentului European și a Consiliului din 11 decembrie 2018 de instituire a Codului european al comunicațiilor electronice (reformare), JO L 321, 17.12.2018, p. 36–214

[15] William RM Long, Sujit Raman, Lauren Cuyvers, EU Council Agrees on Proposed ePrivacy Regulation, 10 martie 2021.

[16] În prezent, dispozițiile în vigoare sunt art. 13 și 14 din Regulamentul (UE) nr. 679/2016.

[17] Regula generală este aceea că datele de transfer trebuie prelucrate doar pe perioada strict necesară transmiterii comunicației. Îndată ce datele de transfer nu mai sunt necesare în acest scop, datele trebuie șterse sau transformate în date anonime (articolul 6 alineatul (1) din Directiva nr. 58/2002). Datele de transfer necesare facturării pot fi prelucrate doar până la sfârșitul perioadei în care factura poate fi contestată prin lege sau plata poate fi urmărită – articolul 6 alineatul (2) din Directiva nr. 58/2002. Datele de transfer prelucrate în scopul comercializării de servicii de comunicații electronice sau al furnizării de servicii suplimentare pot fi prelucrate, dacă există acordul utilizatorului, doar durata de timp necesară promovării sau furnizării acestor servicii, – articolul 6 alineatul (3) din Directiva nr. 58/2002.

[18] Cu privire la primul obiectiv –  protejarea identității apelanților, articolul 8 prevede, printre altele, faptul că apelanților trebuie să li se ofere un mijloc simplu și gratuit de protejare identității apelului (de exemplu, prin ascunderea numărului de telefon), iar cu privire la al doilea obiectiv – protejarea apelaților în fața apelurilor anonime, articolul 8 prevede că apelații trebuie să aibă posibilitatea să restricționeze apelurile a căror identitate a fost ascunsă.

[19] Din economia articolul 13 alineatul (2) rezultă cel puțin următoarele condiții: (i) adresa de e-mail a utilizatorului a fost obținută în contextul vânzării unui produs sau al unui serviciu către un client; (ii) identitatea celui ce efectuează comunicarea electronică trebuie să fie aceeași cu a celui care a obținut adresa de e-mail; (iii) comunicarea trebuie să privească produse sau servicii similare; (iv) clientului trebuie să i se ofere posibilitatea de a opune comunicărilor comerciale.

[20] CJUE, cauzele conexate C-293/12 și C-594/12, Digital Rights Ireland, hotărârea din 8 aprilie 2014, ECLI:EU:C:2014:238; CJUE, cauzele conexate C-203/15 și C-698/15, Tele2 Sverige, hotărârea din 21 decembrie 2016, ECLI:EU:C:2016:970; CJUE, cauza C-623/17, Privacy International, hotărârea din 6 octombrie 2020, EU:C:2020:790.

[21] CJUE, cauza C-543/09, Deutsche Telekom, hotărârea din 5 mai 2011, ECLI:EU:C:2011:279; CJUE, cauza C-536/15, Tele2 (Olanda), hotărârea din 15 martie 2017, ECLI:EU:C:2017:214.

[22] CJUE, cauza C-673/17, Planet49, hotărârea din 1 octombrie 2019, ECLI:EU:C:2019:801; CJUE, cauza C-40/17, Fashion ID, hotărârea din 29 iulie 2019, ECLI:EU:C:2019:629; CJUE, cauza C-210/16, Wirtschaftsakademie Schleswig-Holstein, hotărârea din 5 iunie 2018, ECLI:EU:C:2018:388.

[23] Simona Șandru, Curtea de Justitie Europeana, Analiză critică a jurisprudenţei de contencios constituţional din România şi Germania cu privire la declararea neconstituţionalităţii legilor naţionale de transpunere a Directivei nr. 2006/24/CE privind reţinerea datelor generate sau prelucrate în legătură cu furnizarea de servicii de comunicaţii electronice destinate publicului sau de reţele publice de comunicaţii, precum şi pentru modificarea Directivei nr. 2002/58/CE, Pandectele Romane nr. 4 din 2011, versiunea digitală a articolului oferită de sintact.ro nu are pagină.

[24] În România, legislația privind reținerea datelor de transfer și de localizare a fost declarată neconstituțională de două ori. A se vedea, Simona Șandru, Data Retention in Romania în lucrarea Marek Zubik, Jan Podkowik, Robert Rybski (eds.), European Constitutional Courts towards Data Retention Laws, Ed. Springer, 2021, p. 201.

[25] Theodore Christakis, Kenneth Propp, How Europe’s Intelligence Services Aim to Avoid the EU’s Highest Court—and What It Means for the United States, 8 martie 2021.

[26] CJUE, cauzele conexate C-293/12 și C-594/12, hot cit. supra n. 18.

[27] CJUE, cauzele conexate C-203/15 și C-698/15, hot cit. supra n. 18.

[28] CJUE, cauza C-623/17, Privacy International, hot cit. supra n. 18.

[29] CJUE, cauzele conexate C-293/12 și C-594/12, hot cit. supra n. 18.

[30] Directiva 2006/24/CE a Parlamentului European și a Consiliului din 15 martie 2006 privind păstrarea datelor generate sau prelucrate în legătură cu furnizarea serviciilor de comunicații electronice accesibile publicului sau de rețele de comunicații publice și de modificare a Directivei 2002/58/CE, JO L 105, 13.4.2006, p. 54–63, abrogată.

[31] CJUE, cauzele conexate C-293/12 și C-594/12, hot. cit. supra n. 18.

[32] În concret, CJUE a stabilit că Directiva 2006/24 contravine art. 7, 8 și 52 alin. (1) din cartă.

[33] CJUE, cauzele conexate C-203/15 și C-698/15, hot. cit. supra n. 18.

[34] CJUE, cauza C-623/17, Privacy International, hot. cit. supra n. 18.

[35] Idem, pct. 69.

[36] Publicată în Monitorul Oficial nr. 1101 din 25 noiembrie 2014.

[37] A se vedea art. 1 din Legea nr. 506/2004.

[38] Având în vedere principiul interpretării conforme a legislației naționale în lumina legislației europene, chiar dacă legiuitorul a introdus o perioadă maximă de trei ani, perioada de stocare trebuie să fie mai mică în situațiile în care stocarea datelor nu mai este necesară atingerii scopurilor permise de legislație.

[39] Articolul 12 ind. (1) instituie condițiile legale în care aceste autorități pot avea acces de îndată, dar nu mai târziu de 48 de ore la datele de trafic, de identificare a echipamentului și de localizare.

[40] Limitele prevăzute de lege sunt, pentru faptele contravenționale de art. 13 alin. (1) lit. a)-l), n), o) și q), între 5.000 lei și 100.000 lei sau amendă contravențională de până la 2% din cifra de afaceri pentru societățile cu o cifra de afaceri de 5.000.000 lei. Faptele contravenționale prevăzute la art. 13 alin. (1) lit. p) și la art. 13 alin. (1) lit. m), săvârșite prin nerespectarea obligației prevăzute la art. 8 alin. (1) lit. b) din lege se sancționează cu amendă între 30.000 lei și 100.000 lei sau cu amendă de până la 2% din cifra de afaceri pentru societățile cu o cifra de afaceri de 5.000.000 lei. Limita maximă a amenzii cominatorii pe zi de întârziere este 5000 lei.

[41] Robert Schütze, Dreptul constituțional al Uniunii Europene, Ed. Universitară, București, 2012, trad. Mihaela Banu, Mihai Banu, p. 171.

[42] Ultima versiune a propunerii poate fi consultată la adresa aici link accesat 09.05.2021.

[43] Costa de Oliveira în lucrarea Christopher Kuner, Lee A. Bygrave, Christopher Docksey (coord.), The EU General Data Protection Regulation (GDPR). A commentary, Oxford University Press, 2020, p. 1299.

[44] Ibidem.

[45] sursa, link accesat 09.05.2021.

[46] William RM Long, Sujit Raman, Lauren Cuyvers, cit. supra n. 13.

[47] CJUE, cauza C-623/17, Privacy International, hot. cit. supra n. 18, pct. 48.

[48] Prin declarația din 9 martie 2021, CEPD a propus și o serie de modificări propunerii de Regulament ePrivacy printre care asigurarea neutralității din punct de vedere tehnologic a principiului confidențialității comunicațiilor electronice, găsirea unor soluții la problematica consimțământului cu privire la cookies și alte tehnologii similare, introducerea unor reguli specifice care să permită utilizatorilor să refuze crearea de profiluri. A se vedea CEPD, Statement 03/2021 on the ePrivacy Regulation, 9 martie 202.

[49] Idem, p. 1-2.

 































AFLĂ MAI MULTE!