« Secţiuni « Arii de practică « BusinessProtectiveLitigation
Dreptul Uniunii Europene
DezbateriCărţiProfesionişti
 

CJUE. C-817/19, Liga drepturilor omului. Potrivit avocatului general Pitruzzella, transferul și prelucrarea automatizată generalizată și nediferențiată a datelor din PNR sunt compatibile cu drepturile fundamentale la respectarea vieții private și la protecția datelor cu caracter personal
27.01.2022 | JURIDICE.ro

Drept Timisoara
Secţiuni: CJUE, Cyberlaw, Data protection, Dreptul Uniunii Europene, Internațional, Jurisprudență | Toate secţiunile

Cuvinte cheie: , , , , ,
JURIDICE - In Law We Trust

În schimb, păstrarea generalizată și nediferențiată a datelor din PNR sub o formă neanonimizată nu este justificată decât în fața unei amenințări grave, reale și actuale sau previzibile pentru securitatea statelor membre, precum și cu condiția ca durata acestei păstrări să fie limitată la strictul necesar

În plus, transferul datelor care figurează la rubrica „mențiuni cu caracter general” prevăzută de Directiva PNR nu răspunde exigențelor privind claritatea și precizia impuse de cartă

Utilizarea datelor din PNR constituie un element important în lupta împotriva infracțiunilor de terorism și a infracțiunilor grave. În acest scop, Directiva PNR[1] impune prelucrarea sistematică a unui număr important de date ale pasagerilor aerieni la intrarea în și la ieșirea din Uniune. În plus, articolul 2 din această directivă prevede posibilitatea statelor membre de a o aplica și în cazul zborurilor în interiorul UE.

Liga drepturilor omului (LDO) este o asociație fără scop lucrativ care a sesizat Curtea Constituțională (Belgia) în luna iulie 2017 cu o acțiune în anulare împotriva Legii din 25 decembrie 2016 care transpune în dreptul belgian Directivele PNR și API[2]. În opinia LDO, această lege încalcă dreptul la respectarea vieții private și la protecția datelor cu caracter personal, garantat în dreptul belgian și în dreptul Uniunii. Aceasta critică, pe de o parte, caracterul prea larg al datelor din PNR și, pe de altă parte, caracterul general al colectării, al transferului și al prelucrării acestor date. În opinia sa, legea ar aduce de asemenea atingere liberei circulații a persoanelor prin faptul că ar restabili în mod indirect controale la frontiere extinzând sistemul PNR la zborurile în interiorul UE.

În luna octombrie 2019, Curtea Constituțională a adresat Curții de Justiție zece întrebări preliminare privind validitatea și interpretarea directivelor PNR și API, dar și interpretarea RGPD[3].

În concluziile sale prezentate astăzi, avocatul general Giovanni Pitruzzella precizează mai întâi că, atunci când dintr-un act legislativ al Uniunii izvorăsc măsuri care implică ingerințe în drepturile fundamentale instituite de Carta drepturilor fundamentale a Uniunii Europene (denumită în continuare „carta”), revine legiuitorului Uniunii sarcina de a stabili elementele esențiale care să definească întinderea acestor ingerințe. Acesta amintește apoi că unele dispoziții care impun sau permit comunicarea de date personale ale unor persoane fizice către un terț, astfel cum este o autoritate publică, trebuie să fie calificate, în lipsa consimțământului acestor persoane fizice și indiferent care ar fi utilizarea ulterioară a datelor în cauză, drept o ingerință în viața lor privată și o ingerință în dreptul fundamental la protecția datelor cu caracter personal[4]. Aceste ingerințe nu se pot justifica decât dacă ele sunt prevăzute de lege, dacă respectă conținutul esențial al drepturilor menționate și, pentru respectarea principiului proporționalității, dacă sunt necesare și răspund efectiv unor obiective de interes general recunoscute de Uniune sau unor nevoi de protecție a drepturilor și libertăților celorlalte persoane.

În ceea ce privește, în primul rând, datele cu caracter personal pe care operatorii de transport aerian sunt obligați să le transfere unităților de informații despre pasageri (UIP), conform Directivei PNR, avocatul general arată că amploarea și gravitatea ingerinței în drepturile fundamentale la respectarea vieții private și la protecția datelor cu caracter personal pe care le implică o măsură care introduce limite privind exercitarea acestor drepturi depind, înainte de toate, de întinderea și de natura datelor care constituie obiectul prelucrării. Identificarea acestor date constituie, așadar, o operațiune esențială la care orice temei legal care introduce o astfel de măsură trebuie obligatoriu să recurgă în modul cel mai clar și precis posibil. După ce a arătat că recurgerea la categorii generale de informații care nu determină în mod suficient natura și întinderea datelor ce trebuie transferate nu întrunește condițiile privind claritatea și precizia enunțate de cartă, avocatul general constată nevaliditatea punctului 12 din anexa I la această directivă, întrucât această dispoziție include, printre categoriile de date care trebuie transferate, rubrica „mențiuni cu caracter general” care are menirea să se refere la orice informație colectată de operatorii de transport aerian în cadrul activității lor de prestări de servicii, pe lângă cele expres enumerate la celelalte puncte din respectiva anexă I.

În rest, avocatul general subliniază că datele pe care operatorii de transport aerian sunt obligați să le transfere către UIP în conformitate cu Directiva PNR sunt pertinente, adecvate și neexcesive în raport cu scopurile urmărite de această directivă și că întinderea lor nu depășește ceea ce este strict necesar pentru realizarea acestor scopuri. El consideră de altfel că acest transfer este însoțit de garanții suficiente care vizează, pe de o parte, să se garanteze că sunt transferate doar datele expres vizate și pe de altă parte, să se asigure securitatea și confidențialitatea datelor transferate. Avocatul general amintește totodată că Directiva PNR enunță o interdicție generală privind prelucrarea datelor sensibile, incluzând de asemenea colectarea lor, astfel încât sistemul PNR prevede garanții suficiente care permit excluderea, în fiecare etapă a prelucrării datelor colectate, a posibilității ca această prelucrare să ia în considerare direct sau indirect caracteristicile protejate.

În al doilea rând, avocatul general consideră că caracterul generalizat și nediferențiat al transferului de date din PNR și al evaluării prealabile a pasagerilor aerieni prin intermediul prelucrării automatizate a acestor date este compatibil cu articolele 7 și 8 din cartă, care consacră drepturile fundamentale la respectarea vieții private și la protecția datelor cu caracter personal. În această privință, el apreciază îndeosebi că jurisprudența Curții în materia păstrării și a accesului la datele din sectorul comunicațiilor electronice[5] nu poate fi transpusă sistemului prevăzut de Directiva PNR. Acesta subliniază de altfel că adoptarea unui sistem de prelucrare a datelor din PNR armonizat la nivelul Uniunii în ceea ce privește atât zborurile în afara UE, cât și, pentru statele care au făcut aplicarea articolului 2 din Directiva PNR, zborurile în interiorul UE permite să se asigure faptul că prelucrarea acestor date are loc cu respectarea nivelului ridicat de protecție a drepturilor fundamentale menționate la articolele 7 și 8 din cartă stabilit de această directivă.

Într-o manieră mai generală, avocatul general subliniază importanța fundamentală pe care o are, în cadrul sistemului de garanții instituit de Directiva PNR, supravegherea exercitată de o autoritate de control independentă, care are puterea de a verifica legalitatea acestei prelucrări, de a efectua anchete, inspecții și audit și de a soluționa plângerile formulate de orice persoană interesată. El precizează în această privință că este esențial ca statele membre să recunoască, la momentul transpunerii acestei directive în dreptul intern, autorității lor naționale de control întreaga capacitate a acestor competențe prin punerea la dispoziție a mijloacelor materiale și personale necesare pentru îndeplinirea sarcinii sale.

Referitor mai ales la evaluarea prealabilă a pasagerilor aerieni, în ceea ce privește, primo, confruntarea datelor din PNR cu bazele de date utile în vederea prevenirii și depistării infracțiunilor de terorism și a infracțiunilor grave, precum și în vederea investigării și a efectuării urmăririi penale în materie, care constituie primul aspect al acestei evaluări, avocatul general indică faptul că este necesar să se interpreteze noțiunea de „baze de date relevante” în conformitate cu cerințele privind claritatea și precizia impuse de cartă, precum și în raport cu scopurile Directivei PNR. În opinia sa, această noțiune trebuie interpretată în sensul că nu vizează decât bazele de date naţionale administrate de autoritățile competente, precum și bazele de date ale Uniunii și internaționale exploatate în mod direct de aceste autorități în cadrul misiunii lor, pe lângă faptul că ele trebuie să fie în raport direct și strâns cu scopurile luptei împotriva infracțiunilor de terorism și a infracțiunilor grave pe care le urmărește Directiva PNR, ceea ce presupune ca ele să fi fost create în aceste scopuri. În ceea ce privește, secundo, prelucrarea automatizată a datelor din PNR prin prisma criteriilor prestabilite, care constituie al doilea aspect al respectivei evaluări prealabile, avocatul general apreciază îndeosebi că o astfel de prelucrare nu poate fi efectuată prin sisteme de inteligență artificială de recunoaștere automatizată care nu permit cunoașterea motivelor care au determinat algoritmul să stabilească o concordanță pozitivă.

În al treilea rând, referitor la problema dacă dreptul Uniunii se opune unei legislații care prevede un termen general de păstrare a datelor din PNR de cinci ani, fără a distinge după cum pasagerii implicați se dovedesc, în cadrul evaluării prealabile, susceptibili sau nu să prezinte un risc pentru securitatea publică, avocatul general propune să se interpreteze Directiva PNR în conformitate cu carta, în sensul că păstrarea datelor din PNR transmise UIP de operatorii de transport aerian timp de cinci ani nu este permisă, după efectuarea evaluării prealabile, decât în măsura în care se stabilește, pe baza unor criterii obiective, un raport între aceste date și lupta împotriva infracțiunilor de terorism și a infracțiunilor grave. O păstrare generalizată și nediferențiată a datelor din PNR sub o formă neanonimizată nu se poate justifica decât în fața unei amenințări grave pentru securitatea statelor membre care se dovedește reală și actuală sau previzibilă, în legătură, spre exemplu, cu activitățile de terorism și cu condiția ca durata acestei păstrări să fie limitată la strictul necesar.


[1] Directiva (UE) 2016/681 a Parlamentului European și a Consiliului din 27 aprilie 2016 privind utilizarea datelor din registrul cu numele pasagerilor (PNR) pentru prevenirea, depistarea, investigarea și urmărirea penală a infracțiunilor de terorism și a infracțiunilor grave (JO 2016, L 119, p. 132).
[2] Directiva 2004/82/CE a Consiliului din 29 aprilie 2004 privind obligația operatorilor de transport de a comunica datele privind pasagerii (JO 2004, L 261, p. 24, Ediție specială, 19/vol. 7, p. 40).
[3] Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date ș i de abrogare a Directivei 95/46/CE (JO 2016, L 119, p. 1).
[4] A se vedea în special Hotărârea din 18 iunie 2020, Comisia/Ungaria, C-78/18 (punctul 124 și jurisprudența citată), precum și CP nr.°73/20.
[5] A se vedea în special Hotărârea din 21 decembrie 2016, Télé2 Sverige, C-203/15 și C-698/15 (a se vedea de asemenea CP nr. 145/16), și Hotărârea din 6 octombrie 2020, La Quadrature du Net și alții, C-511/18, C-512/18 și C-520/18 (a se vedea de asemenea CP nr.°123/20).


:: Hotărârea

 
Vă invităm să publicaţi şi dvs., chiar şi opinii cu care nu suntem de acord. JURIDICE.ro este o platformă de exprimare. Publicarea nu semnifică asumarea de către noi a mesajului. Totuşi, vă rugăm să vă familiarizaţi cu obiectivele şi valorile Societătii de Stiinţe Juridice, despre care puteti ciţi aici. Pentru a publica vă rugăm să citiţi Condiţiile de publicare, Politica privind protecţia datelor cu caracter personal şi să ne scrieţi la adresa de e-mail redactie@juridice.ro!

Lex Discipulo Laus
Gratuit pentru studenţi
Securitatea electronică este importantă pentru avocaţi
Mesaj de conştientizare susţinut de FORTINET
JURIDICE utilizează SmartBill
VIDEO
Codul muncii









Subscribe
Notify of

Acest site folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.

0 Comments
Inline Feedbacks
View all comments
Important: Descurajăm publicarea de comentarii defăimatoare. Vor fi validate doar comentariile care respectă Politica JURIDICE.ro şi Condiţiile de publicare.