CEDO şi protecţia datelor cu caracter personal

Olga BENEŞ, master în drept, lector superior

L’évolution de nouvelles technologies pose de nouveaux défis en matière de protection de données à caractère personnel. Le développement des activités en ligne, comme l’envoid’e-mails, la visite de sites web, le chat, les blogs, les forums de discussion et les réseaux sociaux, facilite l’échange des informations personnelles et permet de les rendre publiques et accessibles à l’échelle mondiale. La protection des données à caractère personnel joue un rôle fondamental pour l’exercice du droit au respect de la vie privée et familiale consacré par l’article 8 de la Convention. Mots clets: traitement, conservation des données à caractère personnel.

Dezvoltarea activităţilor on-line, cum ar fi trimiterea de emailuri, site-uri web, chat, bloguri, forumuri şi reţele sociale vizitate, facilitează schimbul de informaţii cu caracter personal şi le poate face publice şi accesibile la nivel global. Protecţia datelor cu caracter personal joacă un rol fundamental pentru exercitarea dreptului la respectarea vieţii private şi de familie, consacrat la articolul 8 din Convenţie. Cuvinte cheie: prelucrare, stocare a datelor cu caracter personal.

Schimbările tehnologice aduc noi provocări pentru protecţia datelor cu caracter personal. Dezvoltarea activităţilor on-line, cum ar fi trimiterea de emailuri, site-uri web, chat, bloguri, forumuri şi reţele sociale vizitate, facilitează schimbul de informaţii cu caracter personal şi le poate face publice şi accesibile la nivel global. În mod similar, utilizarea de cloudcomputing poate însemna o pierdere a controlului mai ales asupra informaţiilor potenţial sensibile atunci când se stochează datele prin programe găzduite pe computerul altcuiva.

Între timp, metodele de colectare a datelor cu caracter personal devin tot mai complexe şi mai greu de detectat. Anumite elemente transmise în mod automat la site-uri web vizitate şi devenind accesibile la serverul web permit crearea unui profil specific, fără ca persoana să fi fost informată şi să aibă posibilitatea de a se opune. Folosirea instrumentelor sofisticate permite astfel companiilor de a afla mai multe despre comportamentul utilizatorilor şi de a-şi orienta ofertele lor. Astfel, aceste tehnici utilizate în scopuri de marketing ar putea fi, de asemenea, utilizate în scopuri de discriminare sau de modificare a informaţiilor transmise.

Convenţia nr. 108 a Consiliului Europei din 28 ianuarie 1981 pentru protecţia persoanelor cu privire la procesarea automată a datelor cu caracter personal este primul instrument internaţional obligatoriu adoptat în domeniul protecţiei datelor. Acesta are ca scop să „asigure [..] fiecărei persoane fizice [..] respectarea drepturilor sale şi a libertăţilor fundamentale, şi în special dreptul la viaţa privată, faţă de procesarea automată a datelor cu caracter personal care o privesc.“1

Convenţia Consiliului Europei din 28.01.1981 pentru la protecţia persoanelor cu privire la procesarea automată a datelor cu caracter personal defineşte „datele cu caracter personal“ ca fiind „orice informaţie privind persoana fizică identificată sau identificabilă.“2

Convenţia enunţă în art. 5 că: „Datele cu caracter personal care fac obiectul unei prelucrări automatizate trebuie să fie:

a) obţinute şi prelucrate în mod corect şi legal;

b) înregistrate în scopuri determinate şi legitime şi nu sunt utilizate în mod incompatibil cu aceste scopuri;

c) adecvate, pertinente şi neexcesive în raport cu scopurile pentru care sunt înregistrate;

d) exacte şi, dacă este necesar, actualizate;

e) păstrate într-o formă care să permită identificarea persoanelor în cauză pe o durată ce nu o depăşeşte pe cea necesară scopurilor pentru care ele sunt înregistrate.“3

În articolul 6 Convenţia face referinţă la o serie de date cu caracter personal specifice numite „date sensibile“. Datele cu caracter personal privind originea rasială, opiniile politice, convingerile religioase sau de altă natură, precum şi datele cu caracter personal privind sănătatea sau viaţa sexuală nu vor putea fi prelucrate în mod automat, cu excepţia cazului în care normele de drept intern prevăd garanţii adecvate. Această condiţie este valabilă şi în cazul datelor cu caracter personal privind condamnările penale.

Din cauza fostei structuri pe piloni, în prezentîn Uniunea Europeanăexistă instrumente legislative diferite. Printre acestea se numără unele instrumente din cadrul fostului prim pilon, cum ar fi Directiva 95/46/CE privind protecţia datelor, Directiva 2002/58/CE (modificată în 2009) privind viaţa privată şi comunicaţiile electronice, Directiva 2006/24/CE privind păstrarea datelor (abrogată de către Curtea de Justiţie a Uniunii Europene la 8 aprilie 2014, deoarece aduce o ingerinţă gravă în viaţa privată şi protecţia datelor) şi Regulamentul (CE) nr. 45/2001 privind prelucrarea datelor cu caracter personal de către instituţiile şi organele comunitare, precum şi instrumentele din cadrul fostului al treilea pilon, cum ar fi decizia-cadru a Consiliului din noiembrie 2008 privind protecţia datelor cu caracter personal prelucrate în cadrul poliţiei şi al justiţiei penale. Un nou cadru juridic global privind protecţia datelor la nivelul UE este în prezent în discuţie4.

Tratatul de la Prüm5 privind intensificarea cooperării transfrontaliere, în special în lupta împotriva terorismului, criminalităţii transfrontaliere şi migraţiei ilegale, semnat de mai multe state membre ale Uniunii Europene, la 27 mai 2005, stabileşte normele de transmiterea datelor amprentelor digitale şi ADN-ul altor părţi contractante şi compararea lor automată cu bazele lor de date relevante.

Directiva 95/46/CE a Parlamentului European şi a Consiliului din 24 octombrie 19956 privind protecţia persoanelor fizice cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date indică faptul că obiectul legislaţiilor naţionale privind prelucrarea datelor cu caracter personal este de a asigura respectarea, inclusiv a dreptului la viaţa privată care este consfinţit în articolul 8 din Convenţia Europeană a drepturilor Omului, precum şi principiile generale ale dreptului comunitar. Directiva respectivă stabileşte o serie de principii care tind să clarifice şi să amplifice pe cele conţinute în Convenţia privind protecţia datelor. Aceasta permite statelor membre să adopte măsuri legislative pentru a restrânge sfera de aplicare a anumitor drepturi şi obligaţii prevăzute de aceasta, în special atunci când o astfel de restricţie constituie o măsură necesară pentru prevenirea, investigarea, detectarea şi urmărirea penală a infracţiuni. CEJ din Luxemburg are competenţa de a determina dacă un stat membru şi-a onorat obligaţiile în temeiul directivei privind protecţia datelor şi de a lua decizii preliminare cu privire la validitatea şi interpretarea Directivei în vederea asigurării şi aplicării saleefective şi uniforme în statele membre.

Carta Drepturilor Fundamentale a Uniunii Europene7 nu numai că asigură respectarea vieţii private şi familiale dar stabileşte şi dreptul la protecţia datelor, iar instituţiile Uniunii Europene şi statele membre trebuie să respecte şi să garanteze acest drept.

Dreptul la protecţia datelor cu caracter personal se regăseşte în conţinutul drepturilor protejate de articolul 8 al Convenţiei europene a Drepturilor Omului care consfinţeşte dreptul la respectarea vieţii private şi de familie, a domiciliului şi a corespondenţei şi stabileşte limitările acestui drept.Astfel, Convenţia Europeană a Drepturilor Omului în articolul 8 dispune:

„1. Orice persoană are dreptul la respectarea vieţii sale private şi de familie, a domiciliului său şi a corespondenţei sale.

2. Nu este admis amestecul unei autorităţi publice în exercitarea acestui drept decât în măsura în care acest amestec este prevăzut de lege şi dacă constituie o măsură care, într-o societate democratică, este necesară pentru securitatea naţională, siguranţa publică, bunăstarea economică a ţării, apărarea ordinii şi prevenirea faptelor penale, protejarea sănătăţii sau a moralei, ori protejarea drepturilor şi libertăţilor altora.“8

Jurisprudenţa CEDO a examinat numeroase situaţii cu referinţă la protecţia datelor Referindu-se la domeniul protecţiei datelor cu caracter personal Curtea Europeană în hotărârea Marii Camere S. şi Marper c. Regatul Unit din 4 decembrie 2008 stabileşte anumite obligaţii pentru state menţionând „Protecţia datelor cu caracter personal joacă un rol fundamental pentru exercitarea dreptului la respectarea vieţii private şi de familie, consacrat de articolul 8 din Convenţie. Prin urmare, legislaţia naţională trebuie să permită garanţii adecvate pentru a preveni utilizarea datelor cu caracter personal care nu sunt conforme cu garanţiile prevăzute în prezentul articol (…). Necesitatea unor astfel de garanţii este cu atât mai mare atunci când vine vorba de protejarea datelor cu caracter personal supuse prelucrării automate, în special atunci când aceste date sunt utilizate în scopurile poliţiei. Dreptul intern ar trebui să se asigure, în special că astfel de date sunt relevante şi neexcesive în raport cu scopurile pentru care sunt înregistrate, şi că sunt păstrate într-o formă care să permită identificarea persoanelor vizate pentru o perioadă care nu depăşeşte cea necesară scopurilor pentru care acestea sunt înregistrate (…). [El] va conţine, de asemenea, garanţii pentru a proteja în mod eficient datele cu caracter personal stocate împotriva utilizării abuzive şi inadecvate (…)“.9

Noţiunea de „viaţă privată“ în sensul jurisprudenţei Curţii de al Strasbourg reprezintă o noţiune largă, care nu este susceptibilă de o definiţie exhaustivă şi cuprinde integritatea fizică şi morală a persoanei. Ea poate cuprinde multiple aspecte ale identităţii fizice si sociale a individului. Iar „simplul act de stocare a datelor referitoare la viaţa privată a unei persoane constituie o ingerinţă în sensul articolului 8 [din Convenţia Europeană a Drepturilor Omului, care garantează dreptul la respectarea vieţii private şi de familie, a domiciliului şi a corespondenţei] (…). Puţin contează dacă informaţiile stocate sânt sau nu folosite ulterior10 (…). Cu toate acestea, pentru a determina dacă datele personale deţinute de autorităţi fac să intre în joc un oarecare [aspect] al vieţii private (…), Curtea Europeană [Drepturilor Omului] va ţine seama de contextul specific în care informaţiile au fost colectate şi stocate, de natura datelor înregistrate, modul în care acestea sunt utilizate şi prelucrate şi rezultatele la care se poate ajunge astfel (…)11“.

Cu referinţă la datele personale Curtea Europeană a Drepturilor Omuluirevine la principiile generale deja abordate pentru a relua obligaţiile pozitive ale statului statuând că: „Dacă scopul articolul 8 este, în esenţă, de a proteja individul împotriva ingerinţelor arbitrare ale puterilor publice, atunci aici se mai adaugă şi obligaţiile pozitive inerente respectării efective a vieţii private sau de familie“12.

Aceste obligaţii pot implica adoptarea de către stat a măsurilor pentru respectarea vieţii private, chiar şi în relaţiile dintre indivizi. Altfel spus statului îi incumbă obligaţia pozitivăde a lua măsuri pentru prevenirea eficientă a actelor care afectează grav datele despre un individ, uneori prin intermediul unor dispoziţii penale eficiente. Referitor la această obligaţie, una din cauzele mai recente K.U. c. Finlandei13 pune în valoare această obligaţie pozitivă în cadrul unei plângeri cu privire la Internet. În ceea ce priveşte internetul, responsabilitatea statului poate, probabil,să se angajeze de faptul că terţe persoane păstrează datele conturilor unor particulari.

Compilarea, depozitarea, utilizarea şi dezvăluirea de către stat a datelor cu caracter personal, de exemplu, într-un fişier al poliţiei, aduc interferenţă în dreptul la respectarea vieţii private individuale, aşa cum este garantat de articolul 8 § 1 din Convenţie14. Utilizarea ulterioară a informaţiilor memorizate puţin importă. O atare ingerinţă nu contravine articolului 8 dacă ea urmăreşte unul sau mai multe scopuri legitime prevăzute în paragraful 2 al acestei dispoziţii şi, în plus, dacă „este necesară într-o societate democratică pentru realizarea acestor scopuri“.

Cu privire la datele cu caracter personal Curtea Europeană dezvoltă o amplă jurisprudenţă cu privire ladiferite aspecte ale protecţiei datelor cu caracter personal. Astfel deosebim colectarea datelor personale referitor la datele ADN şi amprentele digitale (S. şi Marper c. Regatului Unit, 4.12.2008), stocarea datelor medicale (L.L. c. Franţei,nr.7508/02, Armonas c. Litaniei şi Biruc c. Lituaniei, 25.11.2008), stocarea şi utilizarea de eşantioane vocale (P.G.şi J.H. c. Regatului Unit, nr.44787/98), interceptarea comunicărilor şi ascultărilor telefonice (Taylor Sabori c.Regatului Unit, 22.10.2002), supravegherea video, stocarea în registre secrete (Leander c.Suediei, Rotaru c. României), divulgarea datelor personale (Z. c. Finlandei, nr.22009/93), memorizarea în registre secrete şi accesul la datele personale (K.H. şi alţii c. Slovaciei nr.32881/04, Haralambie c. României, 27.10.2009), radierea sau distrugerea datelor cu caracter personal (Rotaru c. României, 4.05.2000).

La 15 aprilie 2014 Curtea Europeană a Drepturilor Omului a pronunţat hotărârea în cauza Radu c. Republicii Moldova (cererea nr. 50073/07).15 Reclamanta, s-a plâns în faţa Curţii în temeiul articolului 8 din Convenţie, invocând violarea drepturilor sale la respectarea vieţii private, urmare a divulgării informaţiei cu caracter medical de către o instituţie medicală, aflată în subordinea Ministerului Sănătăţii. Curtea Europeană a notat că un medic nu a avut dreptul să divulge informaţia de natură personală chiar şi angajatorului reclamantei fără consimţământul ei. Există excepţii de la regula de nedivulgare, însă, niciuna dintre acestea nu se aplică în situaţia reclamantei. În consecinţă, Curtea Europeană, a constatat că a existat o violare a drepturilor reclamantei garantate de articolul 8 din Convenţie.

Datele cu privire la colectarea datelor cu privire la situaţia financiară, sau plăţile prin transferuri bancare care necesită datele personale sânt de asemenea aspecte care apar odată cu dezvoltarea rapidă a tehnologiilor informaţionale şi de comunicare şi care subliniază necesitatea crescândă a unei protecţii solide a datelor cu caracter personal, drept garantat atât prin instrumentele Uniunii Europene cât şi a Consiliului Europei. Progresele tehnologice extind mai ales frontierele supravegherii, intercepţiei comunicaţiilor şi păstrării datelor care la etapa contemporană se confruntă cu provocări majore.