TOP LEGAL
Print Friendly, PDF & Email

Rezumat al avizului Autorității Europene pentru Protecția Datelor cu privire la propunerea de regulament privind ECRIS-TCN
15.02.2018 | Laurențiu PETRE


Cyberlaw - Valoarea legala a documentelor electronice
Laurențiu Petre

Laurențiu Petre

În Jurnalul Uniunii Europene seria L 41 din data de 14 februarie 2018 a fost publicat rezumatul avizului Autorității Europene pentru Protecția Datelor cu privire la propunerea de regulament privind ECRIS-TCN.

Text integral:

„Rezumat al avizului Autorității Europene pentru Protecția Datelor cu privire la propunerea de regulament privind ECRIS-TCN

(2018/C 55/05)

Actualul sistem ECRIS, înființat prin Decizia-cadru 2009/315/JAI a Consiliului[1] sprijină schimbul de informații privind condamnările penale, în principal, în contextul cooperării judiciare. ECRIS poate fi de asemenea, utilizat în alte scopuri decât procedura penală, în conformitate cu legislația națională a statului membru solicitant și a celui solicitat. Deși actualul sistem ECRIS poate fi utilizat și în cazul resortisanților țărilor terțe, nu este eficient. De aceea, îmbunătățirile sunt justificate.

Eficiența sistemului ECRIS pentru resortisanții țărilor terțe a fost accentuată în agenda europeană privind securitatea și a devenit o prioritate legislativă pentru 2017. Încă din 2016, Comisia a adoptat o propunere de directivă care modifică legislația actuală și care introduce îmbunătățiri pentru resortisanții țărilor terțe, printr-un sistem descentralizat prin utilizarea unui indice-filtru cu amprente, stocate sub formă de modele criptate. Această soluție a dus la probleme tehnice. Propunerea de regulament privind ECRIS-TCN, adoptată la data de 29 iunie 2017, înființează o bază de date centrală a UE în care informațiile privind identitatea resortisanților țărilor terțe, inclusiv amprentele și imaginile faciale, sunt stocate și destinate utilizării prin căutări de tip „hit/no hit” (rezultat pozitiv/negativ), pentru a identifica statul membru care deține informații privind condamnările penale ale resortisanților țărilor terțe. În plus, propunerea privind un sistem ECRIS-TCN central este parțial justificată, ca sprijin pentru interoperabilitatea viitoare a sistemelor la scară largă ale UE, în domeniul spațiului de libertate, securitate și justiție.

AEPD urmărește fișierul de la începutul negocierilor pentru înființarea sistemului ECRIS. Aceasta a emis deja două avize și a recunoscut importanța schimbului de informații eficient atât în cazul resortisanților UE, cât și al resortisanților țărilor terțe. Această poziție a rămas neschimbată.

Prezentul aviz abordează problemele specifice ridicate de propunerea de regulament. Dacă este cazul, se referă la propunerea de directivă, deoarece ambele propuneri sunt destinate a fi complementare. AEPD ridică patru motive de îngrijorare principale și alte recomandări suplimentare, detaliate ulterior în aviz. Pe scurt, AEPD recomandă ca, având în vedere că ECRIS este un sistem adoptat de UE înainte de Tratatul de la Lisabona, aceste propuneri noi de directivă și de regulament să aducă sistemul la standardele prevăzute la articolul 16 din TFUE și din Carta drepturilor fundamentale a UE, inclusiv îndeplinirea cerințelor cu privire la orice limitare legală referitoare la drepturile fundamentale.

Necesitatea unui sistem central al UE trebuie să facă obiectul unei evaluări a impactului, care trebuie să ia în considerare și impactul concentrării gestionării tuturor bazelor de date la scară largă ale UE în domeniul spațiului de libertate, securitate și justiție la o singură agenție. În acest context, anticiparea interoperabilității ar fi prematură, deoarece acest concept ar trebui mai întâi să aibă o bază legală și să asigure respectarea principiilor de protecție a datelor.

Scopurile prelucrării datelor, altele decât cele ale procedurii penale, pentru care sunt prevăzute sistemele ECRIS și ECRIS-TCN, trebuie să fie clar definite, în conformitate cu principiul de protecție a datelor care constă în limitarea scopului. Acest lucru se aplică și în cazul accesului organismelor Uniunii Europene, care trebuie evaluate și în lumina dreptului la egalitatea de tratament al resortisanților UE și al resortisanților țărilor terțe. Orice acces al organismelor UE trebuie să se demonstreze a fi necesar, proporțional și în conformitate cu obiectivul sistemului ECRIS și strict limitat la sarcinile relevante în cadrul mandatului respectivelor organisme ale UE.

Prelucrarea datelor cu caracter personal în cauză, foarte delicate în sine, trebuie să respecte în mod strict principiul necesității: o căutare de tip „hit” trebuie efectuată numai atunci când statului membru solicitat i se permite conform legislației naționale să furnizeze informații despre condamnările penale în alte scopuri decât cele ale procedurii penale. Prelucrarea amprentelor trebuie să fie limitată din punct de vedere al domeniului de aplicare și să se efectueze numai atunci când identitatea unui anumit resortisant al țărilor terțe nu poate fi stabilită prin alte mijloace. În ceea ce privește imaginile faciale, AEPD recomandă efectuarea – sau (dacă a fost deja efectuată) punerea la dispoziție a – unei evaluări bazate pe dovezi privind necesitatea de a colecta astfel de date și de a le utiliza în scopuri de verificare, precum și de identificare.

Propunerea de regulament califică în mod eronat eu-LISA drept operator. AEPD recomandă desemnarea eu-LISA și a autorităților centrale ale statelor membre drept operatori asociați. În plus, aceasta recomandă menționarea în mod clar în cadrul unei dispoziții de fond că eu-LISA este răspunzătoare de orice încălcare a acestei propuneri de regulament și a Regulamentului (CE) nr. 45/2001 al Parlamentului European și al Consiliului[2].

1. INTRODUCERE ȘI CONTEXT

1. La data de 29 iunie 2017, Comisia Europeană a publicat o propunere de regulament de stabilire a unui sistem centralizat pentru identificarea statelor membre care dețin informații privind condamnările referitoare la resortisanții țărilor terțe și la apatrizi pentru a suplimenta și sprijini Sistemul european de informații cu privire la cazierele judiciare (sistemul ECRIS-TCN) și de modificare a Regulamentului (UE) nr. 1077/2011 (denumită în continuare „propunerea de regulament”)[3]. Propunerea este însoțită de un document justificativ analitic[4]. În aceeași zi, Comisia Europeană a adoptat primul raport statistic referitor la informațiile extrase din cazierele judiciare schimbate între statele membre, prin intermediul Sistemului european de informații cu privire la cazierele judiciare (ECRIS), astfel cum se prevede la articolul 7 din Decizia 2009/316/JAI a Consiliului[5].

2.Propunerea de regulament vizează îmbunătățirea schimbului de informații privind resortisanții țărilor terțe și cetățenii UE care au și cetățenia unei țări terțe. Principiul fundamental al sistemului ECRIS existent este că informațiile privind condamnările penale referitoare la resortisanții UE pot fi obținute de la statul membru al cărui cetățean este persoana respectivă, care stochează toate condamnările penale, indiferent de locul din UE în care au fost pronunțate. În ceea ce privește resortisanții țărilor terțe, fiecare stat membru stochează condamnările pe care le-a pronunțat și, în consecință, o cerere de informații trebuie transmisă tuturor statelor membre. Răspunsul la cererile globale ar conduce, potrivit Comisiei, la sarcini administrative și costuri ridicate, dacă ECRIS ar fi utilizat sistematic pentru obținerea de informații privind resortisanții țărilor terțe. Statele membre ezită să utilizeze sistemul – potrivit raportului statistic, 10 % dintre cereri se referă la resortisanții țărilor terțe[6] – și, prin urmare, antecedentele penale ale resortisanților țărilor terțe nu sunt disponibile, astfel cum se prevede[7]. Îmbunătățirea eficienței sistemului ECRIS cu privire la resortisanții țărilor terțe este accelerată de agenda europeană privind securitatea[8] și reprezintă una dintre prioritățile legislative din 2017[9].

3. Propunerea de regulament completează propunerea de directivă a Comisiei din 19 ianuarie 2016 referitoare la schimbul de informații privind resortisanții țărilor terțe și în ceea ce privește Sistemul european de informații privind cazierele judiciare (ECRIS), care modifică Decizia-cadru 2009/315/JAI existentă a Consiliului și care înlocuiește Decizia 2009/316/JAI a Consiliului (denumită în continuare, „propunerea de directivă”).

4. Ambele propuneri au în comun înființarea unui sistem în vederea identificării statelor membre care dețin informații privind condamnările penale ale resortisanților țărilor terțe și ale cetățenilor UE, care au și cetățenia unui stat terț. Propunerea de directivă prevede un sistem descentralizat, ceea ce înseamnă că nu va exista o singură bază de date a UE, ci că fiecare stat membru va deține câte un fișier „indice-filtru”. Acest fișier a fost conceput pentru a fi alimentat cu informații privind resortisanții statelor membre sub formă criptată, din cazierele judiciare ale statelor membre, și pentru a fi distribuit tuturor statelor membre. Ulterior, statele membre ar compara propriile informații cu fișierul respectiv și ar afla pe baza unei căutări de tip „hit/no hit” ce state membre dețin informații despre condamnarea penală a unui resortisant al unei țări terțe. Deși propunerea de directivă prevedea deja prelucrarea amprentelor, utilizarea amprentelor a fost considerată una din opțiunile posibile în cadrul evaluării impactului din 2016, spre deosebire de propunerea de regulament care face obligatorie utilizarea acestora. Comisia explică că atacurile teroriste au accelerat sprijinul pentru utilizarea sistematică a amprentelor în scopuri de identificare[10]. După adoptarea propunerii de directivă, un studiu de fezabilitate a dezvăluit că în prezent, nu există nicio tehnologie matură pentru compararea multilaterală a amprentelor, folosind modele criptate.

5. Ca răspuns la problemele tehnice întâmpinate, propunerea de regulament prevede, în schimb, un sistem centralizat care include date alfanumerice, amprente și imagini faciale ale resortisanților țărilor terțe. Datele alfanumerice și amprentele pot fi utilizate pentru identificarea resortisanților țărilor terțe, iar imaginile faciale pot fi utilizate inițial în scopuri de verificare și, atunci când tehnologia devine matură, și în scopuri de identificare. „Autoritatea centrală” a statului membru de condamnare introduce datele în sistemul ECRIS TCN local, care transmite datele respective către sistemul central al UE. Pe baza unei căutări de tip „hit/no hit”, statul membru solicitant poate identifica statul (statele) membru (membre) care deține (dețin) informații despre condamnările penale ale resortisanților țărilor terțe și ulterior, poate solicita aceste informații, utilizând sistemul ECRIS existent, astfel cum a fost îmbunătățit prin propunerea de directivă. În cazul în care, pentru identificare, se utilizează amprentele, pot fi furnizate și datele alfanumerice corespunzătoare. Baza de date a UE este încredințată eu-LISA, iar în acest scop, propunerea de regulament modifică Regulamentul eu-LISA (UE) nr. 1077/2011.

6. În plus, soluția cu privire la un sistem centralizat apare în contextul interoperabilității avute în vedere a tuturor sistemelor de informații referitoare la gestionarea securității, a frontierelor și a migrației. De fapt, printre motivele pentru care se optează pentru un sistem centralizat, se pune accentul mai degrabă pe interoperabilitate decât pe problemele tehnice întâlnite[11]. Sistemul ECRIS este de asemenea inclus în foaia de parcurs a Consiliului pentru a consolida schimbul de informații și pentru gestionarea și urmărirea interoperabilității[12]. Interoperabilitatea cu sistemul ECRIS este, de asemenea, prevăzută în propunerea ETIAS[13].

7. Odată ce au fost aliniate între ele, ambele propuneri sunt destinate să fie complementare. În timp ce propunerea de regulament trebuie să acopere chestiunile referitoare la sistemul centralizat, propunerea de directivă trebuie să reglementeze chestiunile de natură generală referitoare la funcționarea sistemului ECRIS, atât în cazul resortisanților țărilor terțe, cât și în cazul resortisanților UE[14]. Comisia LIBE a Parlamentului European a adoptat raportul privind propunerea de directivă în 2016[15], în timp ce, în ceea ce privește propunerea de regulament, proiectul de raport a fost adoptat pe 30 octombrie 2017[16]. Consiliul a suspendat mai întâi negocierile privind propunerea de directivă, ca urmare a cererii adresate Comisiei de statele membre în cadrul Consiliului, la data de 9 iunie 2016, de a prezenta propunerea de stabilire a unui sistem centralizat[17] și în prezent, acesta examinează ambele propuneri în paralel[18].

8. Sistemul ECRIS-TCN este o inițiativă importantă care vizează sistemele de informații în domeniul spațiului de libertate, securitate și justiție. AEPD urmărește fișierul de la începutul negocierilor pentru înființarea sistemului ECRIS. Primul aviz privind ECRIS a fost publicat în 2006[19], astfel cum a fost ulterior stabilit prin Decizia-cadru 2009/315/JAI a Consiliului, iar în 2016, AEPD a abordat propunerea de directivă în avizul 3/2016[20].

9. În ambele avize, AEPD a recunoscut importanța eficiența schimbului de informații extrase din cazierele judiciare ale persoanelor condamnate, precum și necesitatea unui sistem care poate funcționa în mod eficient pentru resortisanții țărilor terțe, în special în contextul adoptării agendei europene privind securitatea [21]. Această poziție a rămas neschimbată.

10. Acest aviz se întemeiază pe avizul 3/2006 și abordează problemele specifice ridicate de propunerea de regulament. După caz, avizul face trimitere la propunerea de directivă. În secțiunea 2, AEPD își prezintă preocupările majore și oferă recomandări de abordare a acestora. Preocupările și recomandările suplimentare pentru îmbunătățiri ulterioare sunt descrise în secțiunea 3.

3. CONCLUZIE

66. După analiza atentă a propunerii ECRIS-TCN, AEPD face următoarele recomandări:

67. AEPD recomandă ca, în cadrul instituirii unei noi baze de date centrale a UE și al modificării legislației existente privind ECRIS, să se ia în considerare cerințele din Carta drepturilor fundamentale a UE cu privire la limitarea legală a drepturilor fundamentale și să se asigure un nivel suficient de protecție a datelor cu caracter personal, în contextul propunerii de regulament.

68. În special, AEPD reamintește nevoia de a furniza dovezi obiective ale necesității de a institui un sistem centralizat la nivelul UE. În acest context, interoperabilitatea trebuie evaluată mai întâi din punctul de vedere al impactului asupra drepturilor fundamentale și asupra scopurilor sale clar definite și a obiectivelor sistemului ECRIS. Evaluarea corespunzătoare a impactului asupra drepturilor fundamentale la confidențialitate și la protecția datelor trebuie să însoțească propunerea de regulament în ceea ce privește acest aspect, precum și în vederea concentrării tuturor sistemelor într-o singură agenție.

69. Înființarea unei noi baze de date centrale a UE și modificarea legislației existente privind ECRIS trebuie să fie în conformitate cu cerințele privind limitarea legală a drepturilor fundamentale, în conformitate cu jurisprudența constantă. În această privință, scopurile prelucrării datelor, altele decât cele ale procedurii penale, pentru care sunt prevăzute sistemele ECRIS și ECRIS-TCN, trebuie să fie evaluate din punctul de vedere al necesității și al proporționalității și să fie clar definite, în conformitate cu principiul de protecție a datelor care constă în limitarea scopului. În plus, accesul la sistemul ECRIS-TCN de către organismele Uniunii, precum Europol, trebuie să fie în conformitate cu scopul actualului sistem ECRIS și cu dreptul la egalitatea de tratament al resortisanților UE și al resortisanților țărilor terțe și limitat la sarcinile din mandatul lor, pentru care accesul este strict necesar. Orice intenție de extindere a scopurilor actuale trebuie să fie pusă în aplicare printr-o dispoziție de fond (nu este suficient doar un considerent).

70. Deoarece sistemul ECRIS-TCN implică prelucrarea datelor cu caracter personal care sunt foarte delicate în sine, AEPD recomandă introducerea de condiții corespunzătoare pentru prelucrarea datelor cu caracter personal în conformitate cu principiul necesității: o căutare de tip „hit” trebuie să fie efectuată numai atunci când statului membru solicitat i se permite, conform legislației naționale, să furnizeze informații despre condamnările penale în alte scopuri decât cele ale procedurii penale. Prelucrarea amprentelor trebuie să aibă un domeniu de aplicare limitat și să se efectueze numai atunci când identitatea unui anumit resortisant al țărilor terțe nu poate fi stabilită prin alte mijloace. În ceea ce privește imaginile faciale, AEPD recomandă efectuarea sau punerea la dispoziție a unei evaluări pe bază de dovezi a necesității introducerii unor astfel de date și a utilizării acestora în scopuri de verificare și/sau identificare.

71. În plus, eu-LISA și autoritățile centrale ale statelor membre trebuie să fie desemnate ca operatori asociați, având în vedere că își împart responsabilitatea privind definirea scopurilor și a mijloacelor activităților de prelucrare prevăzute. Desemnarea eu-LISA ca operator nu ar reflecta în mod corespunzător status quo-ul și nu ar fi benefică pentru asigurarea unui nivel ridicat de protecție a datelor sau pentru interesele legitime ale statelor membre. În plus, propunerea privind ECRIS-TCN trebuie să menționeze clar răspunderea eu-LISA pentru orice încălcare a acestei propuneri de regulament sau a Regulamentului (CE) nr. 45/2001.

72. Pe lângă principalele motive de îngrijorare identificate mai sus, recomandările AEPD din prezentul aviz se referă la îmbunătățirile dispozițiilor sugerate cu privire la:

— trimiterile la aplicabilitatea Directivei (UE) 2016/680 și a Regulamentului (CE) nr. 45/2001;
— drepturile persoanelor vizate;
— statistici, registrul central și monitorizare;
— securitatea datelor;
— rolul AEPD;
— autoritățile naționale de supraveghere.

73. AEPD rămâne disponibilă pentru recomandări suplimentare privind propunerea de regulament și de directivă, în ceea ce privește orice act delegat sau de punere în aplicare, care ar putea fi adoptat în temeiul instrumentelor propuse și cu privire la prelucrarea datelor cu caracter personal.

Adoptat la Bruxelles, 12 decembrie 2017.

Giovanni BUTTARELLI

Autoritatea Europeană pentru Protecția Datelor”


[1] JO L 93, 7.4.2009, p. 23.
[2] JO L 8, 12.1.2001, p. 1.
[3] COM(2017) 344 final.
[4] SWD(2017) 248 final.
[5] COM(2017) 341 final. Acest raport este însoțit de un document de lucru al serviciilor Comisiei, SWD (2017) 242 final.
[6] COM(2017) 341 final, p. 15.
[7] Expunerea de motive a propunerii, COM(2017) 344 final, p. 2.
[8] COM(2015) 185 final
[9] Declarația comună privind prioritățile legislative ale UE pentru 2017, https://ec.europa.eu/commission/sites/beta-political/files/joint-declaration-legislative-priorities-2017-jan2017_en.pdf.
[10] Expunerea de motive a propunerii, COM(2017) 344 final, p. 3; Documentul justificativ analitic însoțitor, SWD(2017) 248 final, p. 3.
[11] Expunerea de motive a propunerii, COM(2017) 344 final, p. 3.
[12] Foaia de parcurs pentru consolidarea schimbului de informații și a gestionării informațiilor, inclusiv soluțiile privind interoperabilitatea în domeniul justiției și afacerilor interne, 9368/1/16, http://data.consilium.europa.eu/doc/document/ST-9368-2016-REV-1/en/pdf; primul raport al Consiliului din 8 noiembrie 2016, http://statewatch.org/news/2016/dec/eu-council-info-exhang-interop-sop-13554-REV-1-16.pdf; al doilea raport al Consiliului din 11 mai 2017, http://www.statewatch.org/news/2017/may/eu-council-information-management-strategy-second-implementation-report-8433-17.pdf.
[13] COM(2016) 731 final.
[14] Expunerea de motive a propunerii, COM(2017) 344 final, p. 4
[15] A8-0219/2016.
[16] PE 612.310v01-00.
[17] Rezultatul reuniunii Consiliului (JAI), 9979/16, http://data.consilium.europa.eu/doc/document/ST-9979-2016-INIT/en/pdf.
[18] A se vedea agenda Coreper din 29 noiembrie 2017, http://data.consilium.europa.eu/doc/document/CM-5236-2017-INIT/en/pdf.
[19] Avizul AEPD privind Propunerea de decizie-cadru a Consiliului cu privire la organizarea și conținutul schimbului de informații extrase din cazierele judiciare între statele membre [COM (2005) 690 final] (JO C 313, 20.12.2006, p. 26), https://edps.europa.eu/sites/edp/files/publication/06-05-29_criminal_records_en.pdf.
[20] Avizul AEPD 3/2016 privind sistemul ECRIS, https://edps.europa.eu/sites/edp/files/publication/16-04-13_ecris_en.pdf.
[21 Avizul 3/2016 privind ECRIS al AEPD, p. 12, cu referința 38 la avizul AEPD din 2006.


Avocat Laurențiu Petre
Partener SĂVESCU & ASOCIAȚII

Newsletter JURIDICE.ro
Youtube JURIDICE.ro
Instagram JURIDICE.ro
Facebook JURIDICE.ro
LinkedIn JURIDICE.ro

Aflaţi mai mult despre , , , , , ,
JURIDICE.ro utilizează şi recomandă SmartBill pentru facturare.

Puteţi publica şi dumneavoastră pe JURIDICE.ro. Publicăm chiar şi opinii cu care nu suntem de acord. Publicarea nu semnifică asumarea de către noi a mesajului. JURIDICE.ro este o platformă de exprimare. Pentru a publica vă rugăm să citiţi Condiţiile de publicare şi să ne scrieţi la adresa redactie@juridice.ro!

Lasă un răspuns

Acest sit folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.

Important: Descurajăm publicarea de comentarii defăimatoare. Vor fi validate doar comentariile care respectă Politica JURIDICE.ro şi Condiţiile de publicare.

CariereEvenimenteProfesioniştiRLWCorporate