Protecția datelor personale procesate în procesul penal

Adrian Șandru

Protecția datelor cu caracter personal din prisma reglementării „E-Evidence” (probe electronice)

Regulamentul având ca obiect ordinele europene de divulgare și de păstrare a probelor oferă posibilitatea unei autorități judiciare dintr-un stat membru să obțină probe electronice în materie penală direct de la un furnizor de servicii dintr-un alt stat membru.

Directiva vine în completarea regulamentului, stabilind normele de numire a reprezentanților legali ai furnizorilor de servicii, al căror rol este să primească și să răspundă la ordinele judiciare.

Fără a prezenta pe larg acest pachet legislativ, aș dori să punctez câteva elementele caracteristice ale noilor norme raportat la protecția datelor cu caracter personal:

– crearea unor ordine europene de divulgare și de păstrare a probelor electronice care pot fi emise pentru a se putea obține sau păstra astfel de probe indiferent de locul unde se află datele (2 instrumente);

– ordinele pot viza 4 categorie de date – date privind abonații, privind accesul, privind operațiunile și privind conținutul – fiind instituit un prag pentru ultimele două categorii de date menționate, care pot fi solicitate numai în cazul infracțiunilor care se pedepsesc în statul emitent cu o pedeapsă de minimum trei ani sau în cazul unor infracțiuni specifice care au legătură cu mediul informatic ori cu terorismul;

– datele solicitate nu pot fi utilizate în alte scopuri decât cele pentru care au fost obținute, cu următoarele excepții: pentru prevenirea unei amenințări imediate și grave la adresa ordinii publice a statului emitent sau a intereselor fundamentale ale acestuia sau pentru proceduri pentru care s-ar fi putut emite un ordin de divulgare;

– se prevede un termen-limită obligatoriu de 10 zile pentru executarea unui ordin de divulgare. Atunci când se stabilește în mod valabil că este vorba despre cazuri de urgență, termenul poate fi redus la șase ore. Mai mult, dacă ordinul se referă la date privind abonații și privind accesul, acesta poate fi trimis, în anumite condiții, fără validare prealabilă de către autoritatea judiciară competentă. În astfel de situații, validarea ex-post va trebui solicitată cât mai rapid posibil și în termen de nu mai târziu de 48 de ore.

– prestatorii de servicii pot fi sancționați dacă nu respectă un ordin. Acestora le pot fi impuse sancțiuni pecuniare de până la 2 % din cifra de afaceri anuală

– crearea unui sistem de notificare în cazul datelor privind conținutul atunci când autoritatea emitentă are motive să considere că persoana ale cărei date sunt solicitate nu își are reședința pe teritoriul său. Scopul acestei notificări este să informeze statul de executare și să îi dea ocazia să semnaleze dacă datele solicitate fie sunt protejate de imunități și privilegii, fie fac obiectul unor norme privind determinarea sau limitarea răspunderii penale legate de libertatea presei și de libertatea de exprimare, fie pot afecta, prin divulgarea lor, interese fundamentale ale statului. Autoritatea emitentă ia în considerare astfel de circumstanțe și nu emite ordinul sau îl modifică. Notificarea nu produce efecte suspensive.

Consider relevante următoarele critici ale pachetului legislativ, formulate de Comitetul european pentru protecția datelor:

1. În primul rând, este contestată chiar necesitatea instituirii acestor mecanisme, neexistând o analiză detaliată a mijloacelor mai puțin intruzive în ceea ce privește drepturile fundamentale, cum ar fi modificările altor instrumente existente sau restricția domeniului de aplicare al Directivei E-Evidence. Reglementarea Ordinului European de Anchetă putea fi actualizată, accesul la date urmând a se face prin masuri mai putin intruzive
2. Regulamentul ar trebui să prevadă un termen mai lung de executare a ordinelor care să permită furnizorului de servicii de execuție să asigure garanțiile cu privire la protecția drepturilor fundamentale care trebuie
3. Principiul dublei incriminări ar trebui să fie menținut, mai ales dacă criteriile de localizare a datelor sunt abandonate pentru a se menține obligația de a lua în considerare garanțiile furnizate în ambele state în cauză (statul autorității solicitante și statul în care se află serviciul se află furnizorul).
4. Sfera de aplicare a regulamentului ar trebui să fie limitată la operatorii în sensul GDPR sau ar trebui să includă o prevedere care, în cazul în care furnizorul de servicii destinatar nu este operatorul datelor, ci procesatorul, acesta din urmă să fie este obligat să informeze operatorul.
5. Regulamentul ar trebui să includă garanții cu privire la transferurile de date în cazul în care prestatorul de servicii ar fi stabilit într-o țară terță să se refere la Directiva 2016/680, întrucât aceste garanții vor fi aplicabile.
6. Deoarece desemnarea obligatorie a unui reprezentant legal diferă de GDPR, regulamentul ar trebui să precizeze că, reprezentantul legal desemnat în temeiul Regulamentului privind probele electronice ar trebui să fie distinct de cel desemnat la articolul 3 alineatul (2) din GDPR.
7. Regulamentul ar trebui să conțină o definiție mai largă a datelor privind comunicațiile electronice, pentru a se asigura că se stabilesc garanțiile și condițiile adecvate pentru acces atât la date fără conținut, cât și la date despre conținut.
8. Regulamentul transferului de probe electronice ar trebui să crească pragurile pentru emiterea ordinelor iar ordinele să fie emise sau autorizate de instanță, cu excepția datelor privind abonații, cu condiția ca definiția acestei categorii de date să fie restrânsă semnificativ la informații de bază care să permită doar identificarea unei persoane fără a implica acces la oricare date de comunicare.
9. Regulamentul ar trebui să restricționeze accesul la datele privind abonații și datele de acces la o listă a infracțiunilor strict stabilite sau cel puțin la „infracțiuni grave”.
10. Termenul de furnizare a datelor, în special în caz de urgență ar trebui să fie mai bine justificat în regulament, iar posibilitatea de a utiliza o procedură rapidă de 6 ore ar trebui să includă obligația de a solicita autorităților să demonstreze situația care declanșează situația de urgență a acestei proceduri, chiar a posteriori, pentru a limita utilizarea unor astfel de puteri excepționale.
11. Reglementările ar trebui îmbunătățite în special în zona garanțiilor care privesc emiterea ordinelor europene de conservare, pentru a se asigura efectivitatea respectării drepturilor persoanelor vizate.

Protecția datelor cu caracter personal raportat la reglementarea Parchetului European (EPPO)

În timp ce practicienii se pot simți acum confortabil în lecturarea Regulamentului general privind protecția datelor, iar cei care lucrează în dreptul penal pot avea cunoștință de Directiva privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor și privind libera circulație a acestor date (2016/680), acestea pot fi considerate doar informații generale raportat la setul complet de reguli specifice pe care EPPO îl oferă privind regimul de protecție a datelor.

Regulamentul EPPO se întinde la 120 de articole, mai mult de o treime fiind dedicate protecției datelor (a se vedea articolele 47-89).

Dispozițiile privind protecția datelor nu se îndepărtează radical de GDPR și, de fapt, Regulamentul EPPO este mai strict decât Directiva 2016/680.

În acest sens, Regulamentul EPPO permite prelucrarea datelor numai atunci când este strict necesar pentru investigațiile EPPO și numai dacă completează alte date cu caracter personal operaționale fără profilări.

Regulamentul EPPO include un sistem cu suficiente de reguli de protecție a datelor. Deși s-au depus eforturi aparent substanțiale pentru ca acestea să semene cu cele din Directiva 2016/680 sau chiar cu cele din Regulamentul general privind protecția datelor, în același timp, diferă în unele aspecte importante, creând în cele din urmă un cadru legal unic pentru protecția datelor.

Acest regim juridic „ad hoc” de protecție a datelor este prevăzut la articolul 2 din Regulamentul EPPO, unde se găsește setul, obișnuit, al definiției protecției a datelor, precum și în articolele 47-89 din capitolul VIII. Sunt prezentate, împreună cu toate dispozițiile de bază privind protecția datelor: principiile procesării, drepturilor individuale, supravegherii și transferurilor de date, precum dispoziții privind confidențialitatea și implicit, de evaluări de impact,  sau dispoziții privind notificări privind încălcarea datelor.

EPPO trebuie să abordeze dificultățile legale  de a coopera cu statele membre, asigurându-le că activitatea procurorilor lor naționali nu va fi împiedicată, conlucrând în strânsă colaborare cu Eurojust și OLAF, agenții ale UE cu un scop comun. Dacă EPPO dobândește vreodată extinderea domeniului de aplicare pentru a acoperi și alte infracțiuni, dificultățile privind procesarea datelor cu caracter personal se vor accentua.

Deși la nivel de stat membru, recentul pachet de reformă privind protecția datelor din UE a creat o structură cuprinzătoare și coerentă (Directiva 680 și GDPR pentru toate celelalte), acest lucru nu este cazul la nivelul UE. Prima instituție cu regim juridic propriu de protecție a datelor a fost reprezentată, până acum, de Europol: Europol s-a luptat foarte mult ca să i se acorde un regim propriu de protecție a datelor, diferit de oricare dintre cele enumerate.

La momentul actual, trendul este ca organizațiile de aplicare a legii din UE să aibă reglementat propriul regim de protecție a datelor.

De ce este ar trebui să reprezinte excepția protecția datelor reglementată special (susținută de multe organizații UE), dacă nu este neapărat un lucru rău pentru protecția datelor?

Consider că acest lucru este justificat din două motive:

În primul rând, din perspectiva persoanelor vizate, orice protecție semnificativă a drepturilor ar implica identificarea și reunirea mai multor dispoziții legale diferite la nivelul statelor membre și al UE. Activitatea juridică de specialitate necesară ar putea dura și fi costisitoare, ceea ce o va face astfel inaccesibilă pentru majoritatea persoanelor din UE.

În al doilea rând, dintr-o perspectivă de supraveghere, este greu de crezut că Autorității Europene pentru Protecția Datelor (sau orice agenție în acest scop) are resursele și capacitatea de a-și exercita puterile de monitorizare în mod eficient, în timp ce trebuie să aplice simultan cel puțin o duzină de regimuri juridice diferite, unul pentru fiecare organizație în cauză, având propriul regim de protecție a datelor, acordând AEPD competențe de supraveghere diferite.

În consecință, deși fragmentarea reglementării nu este interzisă de articolul 16 din TFUE, consider că protecția efectivă a datelor urmărește în mod necesar un cadru legal aplicabil uniform și coerent.

La momentul actual, o radiografie a politicii de protecție a datelor și o evaluare a prevederilor actuale privind protecția datelor EPPO este prematură. După cum am menționat, formularea lor le diferă de dispozițiile relevante din  Directiva 201/680 care constituie standardul în domeniu în acest moment. Dacă nivelul de protecție a datelor acordat de acestea va fi peste sau sub articolul 16 TFUE rămâne de văzut după intrarea lor în vigoare.

Se preconizează că punctele de fierbinți din perspectiva protecției datelor personale vor fi în special la transmisiile de date cu caracter personal ale agențiilor intra-UE, în special în EPPO, Eurojust și OLAF.

Deși EPPO este prevăzut astăzi cu un domeniu de aplicare relativ restrâns, cred că acest lucru nu va continua să fie cazul într-un viitor, nu atât de îndepărtat. Procedura pentru extinderea domeniului de aplicare este deja prevăzută la articolul 86 din TFUE. Statele membre care au formulat cooperarea consolidată EPPO și-au exprimat dorința de a merge mai departe, lăsând în urmă partenerii mai reticenți. Din perspectiva protecției datelor, orice extindere a domeniului de aplicare presupune un nivel crescut de prelucrare și schimb de date cu caracter personal, accentuând astfel și mai mult dificultățile de protecție a datelor, deja vizibile, menționate anterior.

Av. Adrian Șandru

* Opinie susținută în cadrul dezbaterii „Protecția datelor personale procesate în ancheta penală – de la teorie la practică”, ediția 328, organizată de Societatea de Științe Juridice (SSJ)

Citeşte mai mult: Adrian Șandru, avocat, Comitetul European pentru Protecția Datelor, E-evidence, Parchetul European, protectia datelor cu caracter personal

Vă invităm să publicaţi şi dumneavoastră pe JURIDICE.ro, detalii aici!

JURIDICE.ro foloseşte şi recomandă SmartBill şi My Justice.

Newsletter JURIDICE.ro

Am citit, am înţeles şi sunt de acord cu Politica privind protecţia datelor şi condiţiile procesatorului de newsletter Privacy Policy

Da, vreau să primesc newsletter

Abonare

Login | Nu aveti cont? Click aici pentru abonare!