Ce aduce nou 2013 ref. protecţia datelor personale și online privacy
4 ianuarie 2013 | Gabriela ZANFIR FORTUNA
Dupa un an generos in proiecte de reglementari importante in ceea ce priveste protectia datelor, dar si in noi legi adoptate peste tot in lume – China, Columbia, Malaysia, 2013 se anunta un an intens in dezbateri pentru reglementari viitoare care vor avea un impact major in dezvoltarea societatii. De ce? Pentru ca sunt sanse foarte mari ca protectia datelor personale sa stea la baza dezvoltarii unui adevarat regim juridic global si sa fie catalizatorul unor schimbari in filosofia crearii dreptului: amenintarile pe care activitatea online si capacitatea de stocare de date a guvernelor si a companiilor multinationale le aduc vietii private a oamenilor au o dimensiune globala, ubicua (in sensul in care sunt dificil de localizat in majoritatea situatiilor), si, ca atare, trebuie sa fie solutionate dintr-o perspectiva globala.
Toate privirile vor fi atintite in acest an asupra dezbaterilor pe marginea proiectului de regulament european al protectiei datelor personale, publicat exact acum un an de Comisia Europeana, care are menirea de a inlocui actuala Directiva cu privire la protectia datelor. Si care, odata adoptat, se va aplica direct in Romania (ca si in celelalte 26 de state membre ale Uniunii), inlocuind Legea 677/2001 a protectiei persoanelor cu privire la prelucrarea datelor personale.
Dupa ce timp de 12 luni analistii au studiat cu rabdare toate prevederile proiectului de regulament, le-au cantarit si comparat, le-au studiat posibilele efecte asupra companiilor multinationale, asupra abordarii globale a problemelor legate de protejarea vietii private in contextul retelelor sociale, 2013 trebuie sa vina cu propuneri de modificari si de imbunatatiri, cu dezbateri aprinse (Guvernul Statelor Unite ale Americii este indeobste interesat sa fie aduse modificari formei actuale a proiectului de regulament) si, foarte probabil, cu o forma finala a proiectului.
O atentie deosebita o sa fie acordata prevederilor nou introduse in domeniul protectiei datelor de catre proiectul de regulament – dreptul de a fi uitat, dreptul la portabilitatea datelor, precum si noilor reguli care privesc raspunderea operatorilor de date si care au generat deja opinii puternice si un lobby agresiv din partea companiilor multinationale care nu o sa accepte prea usor sa plateasca amenzi colosale (ce pot ajunge la 2 la suta din cifra globala de afaceri) pentru ca nu respecta cerintele de securitate cu privire la protectia datelor.
Dreptul de a fi uitat genereaza si el dezbateri aprinse, intrucat punerea lui in aplicare ridica probleme mari din punct de vedere tehnic. Practic, odata intrat in vigoare, acesta va da dreptul persoanelor vizate de prelucrarea datelor sa solicite stergerea oricarei informatii care intra in categoria datelor personale (incluzand aici, de exemplu, fotografii) din sursa originara, dar impune si o obligatie de diligenta operatorului de date de a face tot ce ii sta in putinta pentru stergerea informatiei din toate sursele care au preluat ulterior informatia. ENISA (Europe’s Network and Information Security Agency) a publicat un raport in noiembrie despre dreptul de a fi uitat din care reiese ca este „virtual imposibil” ca acesta sa fie implementat intr-o retea deschisa precum internetul. Solutia gasita de ENISA implica motoarele de cautare si obligarea acestora sa filtreze rezultatele astfel incat referintele la datele personale solicitate a fi sterse sa nu apara in listele de rezultate.
Problemele tehnice reprezinta insa numai o parte din dificultatile legate de aplicarea dreptului de a fi uitat. Libertatea de exprimare este cealalta dificultate, una legala. Aceste probleme trebuie sa isi gaseasca rapid solutiile in reglementare, pentru ca regulamentul se preconizeaza a fi adoptat cel tarziu in 2014.
Dreptul la portabilitatea datelor ridica si el probleme tehnice, dar si costuri ridicate pentru punerea in aplicare. Practic, portabilitatea datelor presupune ca setul de date personale stocate de catre un operator de date sa poata fi transferat catre un alt operator de date, fara nicio opreliste. Spre exemplu, un utilizator de Facebook va trebui sa isi poata transfera fara nicio dificultate albumele foto si toate celelalte informatii care intra in categoria datelor personale in Google +, sau in oricare alta platforma online de socializare. Costurile directe si indirecte ale unui astfel de transfer nu au fost inca oficial estimate. Modalitatea tehnica de transfer, daca transferul datelor presupune si stergerea din sursa originara – sunt alte detalii care asteapta sa fie puse la punct.
Un raport realizat de guvernul britanic in noiembrie 2012 arata ca propunerea de regulament se traduce in costuri enorme pentru statele membre UE. Marea Britanie a estimat ca va cheltui intre 100 si 360 de milioane de lire sterline pe an pentru punerea in aplicare a propunerii odata devenite regulament. Pentru stabilirea costului au fost luate in cosiderare, printre altele, obligatia institutiilor publice si a companiilor mai mari de 250 de angajati de a angaja ofiteri pentru protectia datelor, obligatia de a fi realizate studii de impact asupra vietii private (privacy impact assessments), precum si costurile administrative pentru a demonstra respectarea criteriilor privind procesarea legala si sigura a datelor personale de catre toti operatorii de date.
Vor fi interesante de urmarit in 2013 efectele initiativelor americane de anul trecut cu privire la protectia datelor, in special efectele Consumers Privacy Bill of Rights, adoptate de Casa Alba in februarie 2012. Documentul nu are forta juridica si nu impune obligatii decat in masura in care ofera principii de care Congresul sa tina cont in procesul de legiferare si companiile private sa tina cont atunci cand elaboreaza coduri de conduita. Principiile continute de document se apropie in buna masura de filosofia europeana a protectiei datelor personale, si va fi interesant de urmarit daca membrii Congresului vor incepe sa redacteze legi care sa aduca suficienti numitori comuni cu legislatia europeana.
La toate acestea se adauga explozia dezbaterilor cu privire la cloud computing – un domeniu care va da mult de lucru, cu batai de cap incluse, legiuitorilor din toata lumea. Nici macar proiectul european de regulament pentru protectia datelor nu contine suficiente prevederi care sa fie circumscrise cloud computing – introducerea dreptului la portabilitatea datelor va avea efecte in mod cert asupra serviciilor de cloud, dar acestea au nevoie sa se bazeze pe prevederi clare in multe alte aspecte si dincolo de datele personale.
Daca cloud computing este deja aici si se cere reglementat, Internet of Things este inca mai mult in proiecte de cercetare si in prototipuri, insa si el va necesita o atentie din ce in ce mai sporita pentru a putea masura modul in care va afecta vietile oamenilor, mai ales in dimensiunea lor privata.
2013 se anunta, deci, un an bogat in dezbateri, dar trebuie sa fie si un an bogat in solutii, pentru ca timpul nu mai are multa rabdare si solutiile gasite la inceputul anilor ’90 pentru a proteja vietile private in fata tavalugului computational sunt departe de a mai fi adecvate in fata tehnologiei informatiei de azi.
drd. Gabriela ZANFIR
- Flux integral: www.juridice.ro/feed
- Flux secţiuni: www.juridice.ro/*url-sectiune*/feed
Pentru suport tehnic contactaţi-ne: tehnic@juridice.ro
