Articol preluat din Newsletter-ul EDRi 10.22
La începutul acestui an, Comisia Europeană a propus un nou cadru de reglementare pentru protecția datelor cu caracter personal la nivelul Uniunii Europene. Pachetul de reformă a făcut obiectul a neunumărate acțiuni de lobby, probabil mai multe decât orice altă propunere legislativă din istoria mondială a politicii moderne, însă nu a atras același interes din partea cetățenilor europeni.
Textele directivei și regulamentului propuse de către Comisie sunt lungi, complexe și dificil de înțeles. Puternicul lobby venit din partea industriei și absența unor reacții corespunzătoare din partea cetățenilor riscă să creeze un cadru de reglementare lipsit de sens și semnificativ mai rău decât legislația în vigoare.
Regulamentul elaborat de către Comisie este o propunere solidă, deși există câteva “verigi slabe” în lanțul mășurilor de protecție a datelor cu caracter personal. Dacă aceste probleme nu sunt rezolvate, atunci dreptul fundamental la protecția vieții private va fi serios afectat. Lobby-ul din ultimele luni înseamnă nu doar că există puncte slabe care nu sunt abordate, dar și că acestea sunt în continuare slăbite, până în punctul în care amenință să distrugă întregul sens al propunerii. Unul dintre aceste puncte sale este „interesul legitim”.
Datele cu caracter personal pot fi prelucrate legal în șase situații, iar una dintre acestea este realizarea unui „interes legitim” al operatorului. Celelalte cinci sunt: existența consimțământului persoanei vizate, executarea unui contract, îndeplinirea unei obligații legale a operatorului, protejarea intereselor vitale ale persoanei vizate și îndeplinirea unor măsuri de interes public sau care vizează exercitarea prerogativelor de autoritatea publică. Această prevedere referitoare la „interesul legitim” există deja în Directiva privind protecția datelor cu caracter personal și generează deja probleme.
Principala cauză pentru care „interesul legitim” reprezintă o problemă constă în faptul că nu există norme referitoare la tipurile de activități care ar putea fi considerate atât de importante încât niciunul dintre celelalte motive legale în baza cărora pot fi prelucrate datele să fie fezabil pentru operator. Spre exemplu, când acționează un operator în baza „interesului legitim” și când ar trebui obținut consimțământul specific și informat al persoanei vizate? Mai rău, decizia referitoare la aplicabilitatea „interesului legitim” ca bază legală pentru prelucrarea datelor este luată în primă instanță de către operator (compania căreia persoana vizată îi furnizează date) și este verificată doar în cazul în care un cetățean intentează o acțiune în instanță împotriva respectivei acțiuni de prelucrare a datelor. Alternativ, cetățeanul poate înainta o plângere la autoritatea pentru protecția datelor – care ar putea (sau nu, în funcție de rezultatul procesului legislative) să impună amenzi – dacă autoritatea este pregătită să își asume riscurile și costurile unui apel în instanță împotriva deciziei sale.