Documente Academic
Documente Profesional
Documente Cultură
inShare
Mihai-Andrei Petre
O primă mențiune legală a „datelor cu caracter personal” se află chiar în Codul civil. Astfel,
art. 77 precizează că „Orice prelucrare a datelor cu caracter personal, prin mijloace
automate sau neautomate, se poate face numai în cazurile și condițiile prevăzute de legea
specială.”
Principalele acte normative la care se face referire sunt Legea nr. 677/2001 pentru protecția
persoanelor cu privire la prelucrarea datelor cu caracter personal și libera circulație a acestor
date, precum și Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal și
protecția vieții private în sectorul comunicațiilor electronice[1]. Trebuie avute în vedere și
două acte normative ale Uniunii Europene, și anume Directiva 95/45/CE din 24 octombrie
1995 (transpusă de Legea 677/2001) și, mai cu seamă, Regulamentul (UE) 2016/679 al
Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor
fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a
acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția
datelor), ce urmează să intre în vigoare la 25 mai 2018. De asemenea, în dreptul român se află
în vigoare și Convenția pentru protejarea persoanelor față de prelucrarea automatizată a
datelor cu caracter personal, din 28 ianuarie 1981[2].
După efectuarea analizei unor termeni indispensabili abordării subiectului (I), prezentul studiu
își propune să determine natura juridică a „datelor cu caracter personal” (II), pentru ca, pe
această bază, să fie stabilite și analizate unele consecințe juridice (III).
I. Delimitări terminologice
În înțelesul art. 3 lit. a) din Legea nr. 677/2001, „datele cu caracter personal” sunt „orice
informații referitoare la o persoană fizică identificată sau identificabilă; o persoană
identificabilă este acea persoană care poate fi identificată, direct sau indirect, în mod
particular prin referire la un număr de identificare ori la unul sau la mai mulți factori
specifici identității sale fizice, fiziologice, psihice, economice, culturale sau sociale.”
Regulamentul (UE) 2016/679 stabilește o definiție trasată în aceleași linii generale, aducând
suplimentar o dezvoltare exemplificativă a elementelor de identificare[3]. Din punct de vedere
istoric, trebuie punctat faptul că definiția este preluată cu fidelitate din legislația franceză[4],
pionieră în acest domeniu, unde noțiunea beneficia de o consacrare incipientă încă din anul
1978.
Mai întâi, „datele personale”, convenabil a fi considerate informații nominative în sens larg
(adică numele și prenumele unei persoane, codul numeric personal, precum și alte elemente
de identificare directă, nemijlocită) desemnează acel tip de informație plasată în cea mai
intimă vecinătate a persoanei, acea informație care o identifică în mod direct. „Datele cu
caracter personal” sunt „date personale” lato sensu care înglobează, de exemplu, și
informații de natură a face persoana doar identificabilă, prin conexiuni indirecte (este vorba
despre o serie de „date personale” stricto sensu și/sau alte „date cu caracter personal”
agregate).
Ca o consecință a primului tip de raport, se poate constata o relație de la întreg la parte între
cele două noțiuni. Astfel, „datele personale” sunt doar o (mică) parte din ansamblul „datelor
cu caracter personal”.
Rezultă că „datele personale” sunt limitate în număr. Prin urmare, chiar neexistând o listă
ermetic închisă, ele sunt mai puțin numeroase față de „datele cu caracter personal” care au
potențial nelimitat.
Merită adăugată și o observație de ordin istoric, anume că „datele personale” sunt primele
care au fost constatate. Suntem de părere că identificarea de noi „date personale” este
improbabilă, însă ea nu trebuie cu totul exclusă. În paralel, „datele cu caracter personal” se
află într-o continuă expansiune și dezvoltare.
Așadar, sintagma „date cu caracter personal” este una mai generală, o noțiune-umbrelă
capabilă să înglobeze un răspuns adecvat multitudinii de informații colectate de manieră
cvasi-permanentă despre fiecare persoană. Apreciem astfel ca oportună opțiunea legiuitorului,
național și european, de a folosi această sintagmă.
Interpretarea pare vetustă și rigidă, tributară unei concepții tradiționale reticente față de
persoana juridică. Totuși, s-a stabilit că „Persoana juridică poate avea orice drepturi şi
obligaţii civile, afară de acelea care, prin natura lor sau potrivit legii, nu pot aparţine decât
persoanei fizice” (art. 206 din Codul civil). S-a mai decis printr-o jurisprudență constantă că
persoana juridică poate comite, ca autor sau în forme de participație penală, infracțiuni dintre
cele mai diverse[5]; de asemenea, s-a arătat în doctrină că persoana juridică poate să sufere
daune morale care necesită indemnizare indiferent de caracterul patrimonial sau nepatrimonial
al consecințelor etc.
Toate acestea arată că linia cândva intransigentă de delimitare între persoana fizică și
persoana juridică este astăzi caracterizată mai mult ca oricând de porozitate și suplețe. Astfel,
considerăm că de lege ferenda se impune actualizarea definiției legale în sensul includerii în
sfera beneficiarilor și a persoanei juridice, întrucât caracteristicile „datelor cu caracter
personal” sunt de natură a interesa și a afecta persoanele juridice, care sunt apte de a-și asuma
aceste drepturi[6].
Este necesară explicarea măcar la nivel de bază a unor termeni din domeniul informatic.
Astfel, un „cookie” este un fișier text salvat pe hard disk-ul calculatorului utilizatorului la
cererea server-ului care operează site-ul web vizitat. Acest fișier conține informații legate de
navigarea efectuată și permite în urma unei analize pe bază de algoritmi identificarea
preferințelor și/sau intereselor internautului. „GAFTAM” (Google, Apple, Facebook, Twitter,
Amazon, Microsoft) este o abreviere care desemnează cei mai importanți operatori și
prelucrători de „date cu caracter personal” din lume. Acești agenți comerciali au cifre de
afaceri de sute de miliarde de euro anual[7]. Informațiile colectate și prelucrate sunt dintre
cele mai diverse și se realizează prin intermediul unei multitudini de receptori sau mijloace
(GPS, cookies, RFID, adrese IP, „obiecte conectate” sau „Internet of things”). Ceea ce rezultă
este o cantitate enormă de date care sunt prelucrate cu ajutorul unor algoritmi, procesul fiind
denumit „Big Data”. Aceste operațiuni se materializează în realizarea unui „profil de
utilizator” care permite agenților economici să identifice anumite nevoi sau preferințe ale
utilizatorului și să ofere în mod țintit produse și servicii consumatorilor (activități de
marketing direct).
Doctrina a identificat două abordări distincte față de natura juridică a „datelor cu caracter
personal”[8]. Prima abordare este considerată a reprezenta o viziune „personalistă”, în timp
ce a doua abordare reprezintă o viziune „realistă”. Susținătorii viziunii de tip „realist” se
împart în patru mari poziționări.
Vom începe prin a întocmi inventarul celor mai importante opinii exprimate în doctrină (1).
Având rezerve față de concluziile existente, vom prezenta apoi o serie de observații,
contraargumente și propuneri proprii (2).
Tout est dit dans le nom par a spune adepții viziunii „personaliste”. Astfel, „datele cu
caracter personal” sunt percepute ca parte din identitatea și personalitatea utilizatorului, o
extensie a acestuia, deoarece ele captează esența ființei umane. Se consideră că „datele cu
caracter personal” captează esența ființei umane întrucât ele sunt arareori importante luate
individual, ele fiind potențate în cadrul unei cantități mari de informații (se vorbește despre
„infobezitate”) care permite crearea unui profil de utilizator.
Susținătorii viziunii „personaliste” văd în consacrarea unei naturi juridice mai apropiată ori
chiar identică, de exemplu, cu cea specifică părților corpului uman o mai bună posibilitate de
a proteja persoana. Astfel, se vorbește despre „auto-determinare informațională”[9], adică
acea posibilitate a fiecărei persoane de a avea acces și control asupra datelor colectate despre
sine, cu alte cuvinte de a le administra. Principiul se inspiră din dreptul german unde Curtea
din Karlsruhe a statuat în anul 1983 necesitatea unei Informationelle Selbstbestimmung[10] ca
drept cu valoare constituțională. Autoarea vede în inițiative guvenamentale precum Mydata în
Regatul Unit sau Mesinfos în Franța ilustrări ale auto-determinării informaționale[11].
De pildă, se prezintă cazul unei spețe deja celebre, Google Spain[13], unde Curtea de Justiție
a Uniunii Europene a considerat că un utilizator are dreptul de a cere neafișarea datelor
stocate pe un motor de căutare, căci „având în vedere ansamblul împrejurărilor caracteristice
speței, aceste informații sunt inadecvate, nu sunt sau nu mai sunt pertinente ori sunt excesive
în raport cu scopurile prelucrării în cauză realizate de operatorul motorului de căutare,
informațiile și linkurile vizate cuprinse în lista amintită trebuie să fie șterse”, astfel încât în
baza art. 7 și 8 din Carta drepturilor fundamentale a Uniunii Europene „trebuie să se
examineze în special dacă persoana vizată are dreptul ca informația referitoare la persoana
sa să nu mai fie, în stadiul actual, asociată cu numele său de o listă de rezultate afișată în
urma unei căutări efectuate plecând de la numele său”. În scopul unei protecții suplimentare a
utilizatorului, Curtea a hotărât că nu este necesar a fi caracterizat un prejudiciu: „În această
privință, trebuie subliniat că constatarea unui asemenea drept nu necesită ca includerea
informației respective pe lista de rezultate să cauzeze un prejudiciu persoanei vizate”.
1.2.1 Într-o primă abordare „realistă” se consideră că „datele cu caracter personal” sunt
bunuri în proprietatea fiecărui internaut. În consecință, utilizatorul ar putea revendica față de
operatorii de „date cu caracter personal” „folosința, dispoziția și valoarea” „datelor cu
caracter personal” colectate de către aceștia.
Autorii care propun această interpretare consideră că în acest mod se asigură o protecție
ridicată utilizatorului, precum și o (re)distribuire a valorii create. În ceea ce ne privește,
credem că aceste avantaje sunt mai degrabă teoretice căci abordarea ignoră conceptul de „Big
Data” și consecințele acestuia. Amintim că în fapt adevărata potențare a „datelor cu caracter
personal” se face nu prin considerarea unei informații individuale, ci prin tratamentul
colectiv, la scară globală, incluzând și prelucrând informații de la cât mai mulți utilizatori, pe
o perioadă cât mai îndelungată de timp. Or această primă școală de gândire limitează
domeniul de aplicare la „datele cu caracter personal” luate individual, separat, ceea ce
presupune valori monetare atât de mici încât face improbabil orice interes practic.
1.2.2 Într-o a doua interpretare de tip „realist”, „datele cu caracter personal” se consideră că
iau naștere ca res nullius, deci ca bunuri care nu aparțin niciunei persoane. Totuși, având în
vedere efortul operatorilor de „date cu caracter personal”, se afirmă că prin procedeul de
captare și stocare, aceștia „ocupă” res nullius, dobândind astfel proprietatea. Susținătorii
acestei opinii consideră ca eventual aplicabil art. 571 din Codul civil francez din materia
accesiunii[16], care are drept cel mai apropiat corespondent art. 598 din Codul civil
român[17].
1.2.4 A patra și cea din urmă interpretare nu neagă calitatea de bunuri a „datelor cu caracter
personal”, însă din rațiuni de oportunitate (politică, economică etc[18]) alege să le considere
drept res communis, adică acele bunuri care, conform definiției consacrate în Institutele lui
Iustinian, prin legea naturii sunt comune întregii umanități, cum ar fi aerul, apele curgătoare,
marea și țărmurile ei. Astfel, folosirea „datelor cu caracter personal” se apreciază a fi liberă,
„deschisă tuturor”. Se face vorbire în acest sens despre așa-numita „guvernanță colectivă”.
S-ar putea adăuga și faptul că specific unor res communis este o anumită abundență care nu
incită persoanele a căuta să le aproprieze. Așadar, res communis nu iau naștere prin
determinarea legii, ci ele sunt caracterizate astfel de natura lor. Or „datele cu caracter
personal” fac obiectul unui viu interes și a unei piețe de sute de miliarde de euro anual, ceea
ce arată că o atare calificare nu este exactă.
„Chaque fois qu’apparait un nouveau type de chose se pose la question préjudicielle de son
appropriabilité de principe”[19]. Omenirea se află în plin proces de dematerializare a
bogățiilor și patrimonializare a unor atribute sau extensii ale personalității sau corpului uman.
Progresul social și nevoia de dezvoltare par a impune aceste concluzii. În prezent, a refuza
proprietatea asupra bunurilor necorporale este un „non-sens economic”[20]. Așa se face că
trebuie acceptat că „le seul constat de l’existence d’une nouvelle catégorie de chose
incorporelle suffit à la reconnaissance de son appropriabilité chaque fois qu’elle est porteuse
d’utilité et objet de convoitise”[21], astfel încât „constitue donc un bien toute entité
identifiable et isolable, pourvue d’utilité et objet d’un rapport d’exclusivité”[22]. „Datele cu
caracter personal” îndeplinesc toate aceste condiții: sunt entități care pot fi izolate și a căror
utilitate este demonstrată de interesul important acordat acestora; asupra lor există diverse
raporturi, de la exercitare concurentă la un raport de exclusivitate etc.
Reflecția asupra naturii juridice a „datelor cu caracter personal” trebuie să aibă în mod
necesar în vedere deopotrivă aspecte de natură defensivă și aspecte de natură ofensivă.
Aspectele de natură defensivă sunt caracterizate de posibilitatea utilizatorului de a exclude
utilizarea de către oricare terț a datelor sale. În scop ofensiv, „datele cu caracter personal”
reprezintă o contraprestație. Ele sunt puse la dispoziție contra unui serviciu, ori sunt chiar
obiectul unui veritabil transfer al dreptului de proprietate, fiind cedate de către utilizatori unor
operatori care pot efectua mai departe operațiuni economice cu acestea.
Față de aspectele nereglementate ale unui domeniu care beneficiază totuși de o practică
importantă, preferăm să apelăm la metoda observației ca modalitate de studiu în scopul
determinării naturii juridice a „datelor cu caracter personal”.
– Fac posibilă funcționarea diverselor aplicații și programe din punct de vedere tehnic;
– Fac posibilă funcționarea diverselor aplicații și programe din punct de vedere comercial.
Din punct de vedere tehnic, utilizatorul trebuie să transfere usus-ul (ius utendi) coordonatelor
sale spațiale (adresă curentă și destinație) pentru ca sistemul informatizat să poată oferi
sugestii de trasee de urmat.
Funcționarea diverselor aplicații și programe din punct de vedere tehnic este condiționată însă
și de existența unei finanțări (care să acopere costurile importante legate de echipamente,
procesare etc, precum și de o marjă de profit pentru investitori). În situația în care utilizatorul
plătește o sumă de bani pentru serviciul cerut, furnizorul acestui serviciu este obligat să
șteargă „datele cu caracter personal” colectate. Totuși, de cele mai multe ori, utilizatorul nu
plătește o sumă de bani pentru serviciul utilizat. Așa se face că „datele cu caracter personal”
sunt cele care fac posibilă funcționarea diverselor aplicații și programe și din punct de vedere
comercial.
În concret, utilizatorul cedează suplimentar fructus-ul (ius fruendi) „datelor sale cu caracter
personal” (rezultă că utilizatorul cedează, de fapt, uzufructul „datelor sale cu caracter
personal”, prin cumularea lui usus și fructus). În schimb, operatorul oferă serviciul solicitat.
Operatorul este interesat de fructus deoarece acesta îi conferă dreptul de a culege fructele (art.
709 din Codul civil), adică „acele produse care derivă din folosirea unui bun, fără a diminua
substanţa acestuia” (art. 548 din Codul civil). Fructele sunt reprezentate pe de o parte de
sumele de bani obținute ca urmare a „vânzării” profilului de utilizator către companii care
doresc să ofere publicitate direcționată (activități de marketing direct), pe de altă parte de
sumele de bani obținute din tranzacționarea statisticilor create prin pseudonimizare[24].
Contractul este consensual deoarece se încheie prin simplul acord de voință între utilizator și
operator. Două precizări: a) în majoritatea cazurilor, în opinia noastră se poate admite o
prezumție de acord tacit din partea utilizatorului, acord manifestat prin însăși utilizarea
serviciului[27]; b) existența anumitor formalități administrative (de exemplu, cele necesare
obținerii calității de operator de „date cu caracter personal”) nu înlătură caracterul
consensual.
Contractul încheiat între utilizator și operator este prin natura sa un contract de adeziune.
Conform art. 1175 din Codul civil „contractul este de adeziune atunci când clauzele sale
esenţiale sunt impuse ori sunt redactate de una dintre părţi, pentru aceasta sau ca urmare a
instrucţiunilor sale, cealaltă parte neavând decât să le accepte ca atare”. Constatând acest
caracter juridic, se poate identifica un argument suplimentar care justifică necesitatea unei
protecții sporite în favoarea „părții slabe” din contract, adică a utilizatorului. Rezultă, de
exemplu, că este necesară o informare prealabilă și clară asupra datelor ce urmează a fi
captate etc. Caracterul de contract de adeziune nu este însă de esența acestei operațiuni
juridice deoarece credem că este posibilă o negociere între anumiți utilizatori și operatorii de
„date cu caracter personal”. De pildă, o mare bibliotecă, o persoană juridică cu un trafic
important de date, o asociație pentru protecția „datelor cu caracter personal” sau un
organism statal ar putea negocia cu operatorii condiții diferite de utilizare a serviciilor ori de
prelucrare a datelor, obținerea unor sume de bani sau a altor facilități.
III. Consecințele calificării datelor cu caracter personal drept bunuri mobile necorporale cu
statut special
Cea de-a doua etapă debutează în momentul în care utilizatorul accesează diverse aplicații
electronice, moment concomitent începerii captării „datelor cu caracter personal” de către
operatori, în doi timpi: inițial, în scopul de a face serviciul posibil din punct de vedere tehnic,
iar apoi în scopul de a finanța serviciul, deci de-al face posibil din punct de vedere comercial.
Am arătat deja că în această etapă are loc un schimb între utilizator și operator: primul
transmite uzufructul asupra „datelor cu caracter personal”, iar cel din urmă asigură serviciul
solicitat. În această etapă se manifestă și o monetarizare a atributelor derivate ce rezultă din
activitatea utilizatorului[30]. În opinia noastră, atributele derivate reprezintă o activitate
creativă a utilizatorului care este supusă acelorași reguli ca informațiile originare. Cu alte
cuvinte, aceste „date cu caracter personal” se nasc pe măsura utilizării serviciului de către
utilizator ca bunuri mobile necorporale în patrimoniul utilizatorului (is quid fecit) care
transmite eodem tempore uzufructul asupra lor către operator.
Cea de-a treia etapă constă în prelucrarea suplimentară de către operator, prin diferiți
algoritmi, a „datelor cu caracter personal” într-un proces de pseudonimizare. Practic,
operatorul-uzufructuar exploatează „datele cu caracter personal” fără a le consuma substanța
și reușește să creeze un nou bun mobil și necorporal, și anume statistici anonime, de această
dată direct în propriul său patrimoniu.
Conform legislației române, uzufructul este însă un drept esențialmente temporar[32]. Credem
că acest fapt ne îndreptățește la următoarele două constatări:
În primul rând, putem afirma că se justifică existența unui „drept la uitare” în sensul
legislației și jurisprudenței europene deoarece la încetarea uzufructului se pune problema
lichidării uzufructului, ceea ce presupune restituirea bunului nudului proprietar (adică
utilizatorului). În concret, bunul restituit este dreptul de uzufruct asupra „datelor cu caracter
personal”, or în lipsa unei calități de uzufructuar, operatorul nu poate continua să folosească
informațiile, ceea ce echivalează cu dreptul nudului proprietar, adică al utilizatorului, de a
cere ștergerea informațiilor.
Conform explicațiilor prezentate în Secțiunea 1.1 a Părții a III-a din prezentul studiu, bunurile
rezultate ca urmare a procesului de pseudonimizare (informațiile statistice) sunt bunuri care se
nasc direct în patrimoniul operatorilor de „date cu caracter personal”. Însă în ceea ce
privește datele care continuă să identifice persoana sau care creează premizele ca aceasta să
fie identificabilă, răspunsul trebuie să fie nuanțat. Apreciem că analiza este necesar a fi una
cazuistică; deși a priori posibil, transferul dreptului de proprietate asupra „datelor cu caracter
personal” credem că trebuie să treacă un examen de proporționalitate, urmând a se stabili de
la caz la caz dacă valoarea, importanța și costurile serviciului oferit reprezintă un echivalent
adecvat pentru însăși proprietatea asupra „datelor cu caracter personal”. Enumerăm ca
factori de luat în considerare: importanța și costurile generate de serviciul oferit, intensitatea
intimității datelor, contribuția operatorului, caracterul de contract de adeziune etc. Altfel spus,
ca regulă proprietatea poate fi transferată; în mod excepțional, utilizatorul poate face proba că
acest transfer este nejustificat deoarece lipsește proporționalitatea prestațiilor. În toate
cazurile, operatorul de „date cu caracter personal” trebuie să facă dovada că a dobândit
dreptul de proprietate, deci a avut loc transferul acestuia[33].
Suntem de părere că obligațiile lato sensu ale operatorului de „date cu caracter personal” se
împart în două categorii: obligațiile generale ale unui uzufructuar și obligațiile particulare ale
unui „prelucrător de „date cu caracter personal” conform legii”.
Primele sunt obligații civile propriu-zise. Ele intră sub incidența art. 709 și urm. din Codul
civil și nu prezintă particularități deosebite. Cea de-a doua categorie o reprezintă obligațiile
stricto sensu ale operatorului de „date cu caracter personal” și constituie veritabile obligații
propter rem, deoarece sunt obligații reale pozitive, de a face, strâns legate de natura bunului
asupra cărora poartă, și anume „datele cu caracter personal”[34]. Așa se face că aceste
obligații sunt opozabile nu doar prelucrătorului inițial de „date cu caracter personal”
(deținătorul actual al bunului sau al dreptului real), ci oricărui operator ulterior (centre de
analiză, agenții de publicitate etc). Ele sunt fundamental diferite față de obligațiile unui
simplu uzufructuar „întrucât, chiar dacă uzufructul este, în principiu, cesibil, conform art.
714 alin. (1) C. civ., obligațiile uzufructuarului și ale cesionarului depind fie de momentul
cesiunii, fie de momentul notificării acesteia, conform art. 714 alin. (2) și (3) C. civ., iar nu de
natura bunului care formează obiectul uzufructului”[35].
Din punctul de vedere al izvorului, obligațiile stricto sensu ale operatorului de „date cu
caracter personal”, deci obligațiile propter rem ale acestuia, iau naștere, de regulă, ex lege,
fapt corespondent nu doar naturii particulare a acestor bunuri, cât și eventualului caracter de
contract de adeziune al schimbului dintre utilizator și operator. Putem lua ca exemplu
obligațiile ce impun o anumită tehnică a stocării datelor și standarde de operare specifice
(inclusiv legate de calitățile persoanei împuternicite să efectueze în concret operațiunile).
Totuși se pot imagina astfel de obligații propter rem și având un izvor convențional (sub
rezerva efectuării formalităților de publicitate, acestea vor fi opozabile și dobânditorilor
subsecvenți). Dezvoltând exemplul anterior, se pot de pildă relaxa ori înăspri calitățile
necesare unei persoane împuternicite să desfășoare operațiuni cu „datele cu caracter
personal” etc.
S-ar putea susține că, în cazul raportului dintre operatorul de „date cu caracter personal” și
utilizator, este mai degrabă vorba despre drepturi de creanță. Afirmația este însă doar parțial
adevărată. Dreptul de folosință al operatorului de „date cu caracter personal”, văzut ca
obligație asumată de către utilizator, poate fi admis cel mult în cadrul mecanismului prin care
diversele aplicații și programe funcționează din punct de vedere tehnic. Cu alte cuvinte,
dreptul de folosință ca drept de creanță (de exemplu, dreptul aflat în patrimoniul locatarului)
se limitează doar la ius utendi, or am arătat deja că esența problematicii „datelor cu caracter
personal” are în vedere cel puțin și transferul lui ius fruendi, ceea ce caracterizează în mod
necesar un drept real.
Bibliografie
1. Legislație principală
– Legea nr. 677/2001 pentru protecția persoanelor cu privire la prelucrarea datelor cu caracter
personal și libera circulație a acestor date
– Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal și protecția vieții private
în sectorul comunicațiilor electronice
– Directiva 95/45/CE din 24 octombrie 1995 (transpusă de Legea 677/2001), privind protecția
persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera
circulație a acestor date
2. Jurisprudență
– Curtea de Justiție a Uniunii Europene, gde ch., 13 mai 2014, aff. C-131/12, Google Spain c/
AEPD, care consacră dreptul la uitare/e-reputația.
– Curtea de Justiție a Uniunii Europene, Marea Cameră, 6 octombrie 2015, aff. C-362/14,
Maximilian Schrems c/ Data Protection Commissioner
3. Tratate și articole
– Jessica Eynard, J., Les données personnelles, quelle définition pour un régime de protection
efficace ?, Editura Michalon, 2013
– Maximilien Lanna, Le quantified self, nouveau moteur du bigdata et menace pour la vie
privée, Petites affiches, nr. 95/2016, p. 6
– Nicolas Ochoa, Pour en finir avec l’idée d’un droit de propriété sur ses données
personnelles: ce que cache véritablement le principe de libre disposition, Revue française de
droit administratif, 6/ 2015, p.1157
– Judith Rochfeld, Une nouvelle source en droit des contrats : la loi Informatique et libertés,
Revue des contrats (Lextenso), nr. 1/2014, p. 119
– Thomas Saint-Aubin, Les droits de l’opérateur de données sur son patrimoine numérique
informationnel, în Irene Bouhadana și William Gilles (coord.) Droit et gouvernance des
données publiques et privées à l’ère numérique, Editura Imodev, 2015
– În 27 ianuarie 2017 a fost organizată cea de-a II-a ediție a Assises du droit et de la
compétitivité, organizată de către „le Club des juristes”. Unul dintre ateliere a fost consacrat
întrebării : „L’individu peut-il se réapproprier ses données ?”, cu R. Turrini, Y. Elkaim, I.
Falque-Pierrotin, D. Kaplan, Marc Mossé și Judith ROCHFELD
N.B. Acest articol reprezintă o variantă adaptată și dezvoltată a unei expuneri livrate de către
autor în cadrul Master 2 Droit du Patrimoine Approfondie, în anul 2017.
[1] Există o serie de acte normative sau acte secundare care se referă la „datele cu caracter
personal” prin prisma unor materii diverse ale dreptului, cum sunt dreptul administrativ,
dreptul penal etc. Prezentul studiu se limitează numai la noțiuni din domeniul dreptului civil.
[2] Ratificată prin Legea nr. 682/2011.
[3] Art. 4 pct.1.: „date cu caracter personal” înseamnă orice informații privind o persoană fizică identificată
sau identificabilă („persoana vizată”); o persoană fizică identificabilă este o persoană care poate fi identificată,
direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de
identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii
identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale” (s.n. – A.P.).
[4] Legea „Informatică și Libertăți” din 6 ianuarie 1978 (modificată prin Legea din 6 august 2004).
[5] Sunt dedicate lucrări valoroase temei răspunderii penale a persoanei juridice. Amintim doar câteva: A.-R.
Trandafir (Ilie), Răspunderea penală a persoanei juridice. Jurisprudență rezumată și comentată, Editura
C.H.Beck, 2013 sau TL. Balas, Răspunderea penală a persoanei juridice, Universul Juridic nr. 1/2016.
[6] Următorul exemplu poate fi lămuritor: colectarea de către persoana juridică Primus a unor informații despre
angajații săi o transformă, în condițiile legii, în operator de „date cu caracter personal”. Însă în plan exterior,
față de înregistrarea și procesarea informațiilor legate de activitățile sale, Primus apare într-o postură cu nimic
diferită față de cea a unei persoane fizice (poate doar sub aspect cantitativ) în raportul său cu persoana juridică
Secundus, gigant informatic de tipul celor din grupul „GAFTAM” (Google, Apple, Facebook, Twitter, Amazon,
Microsoft este o abreviere care desemnează cei mai importanți operatori și prelucrători de „date cu caracter
personal” din lume). Raportul dintre cele două persoane juridice este caracterizat de un accentuat raport de
inegalitate în favoarea lui Secundus, ceea ce justifică o intervenție legislativă în vederea ajustării dezechilibrului.
[7] J. Rochfeld, L’identité numérique en Europe, în E. Pataut (coord.), L’identité à l’épreuve de la
mondialisation, Editura Institut de recherche juridique de la Sorbonne, 2016, p.5.
[8] Conform unei sinteze realizate de către J. Rochfeld, L’identité … .
[9] J. Rochfeld, L’identité …, p. 164.
[10] Curtea constituțională federală a Germaniei a statuat în data de 15 decembrie 1983 dreptul la
„Informationelle Selbstbestimmung”, adică la „auto-determinare informațională”, apud. J. Rochfeld, L’identité
…, p.157.
[11] Aceste inițiative pot fi consultate la adrese web precum http://mesinfos.fing.org/.
[12] J. Rochfeld, L’identité …, p.165.
[13] Recueil général de la Cour de justice et du Tribunal de premiere instance, partea I, Cauza C-131/12 Google
Spain și Google c/ Agencia Española de Protección de Datos (AEPD).
[14] În sistemele de drept unde acțiunile de grup sunt recunoscute, acestea pot fi utilizate pentru a negocia
avantaje în interesul utilizatorilor deoarece datele cu caracter personal capată valoare exponențial cu cantitatea
acestora. Astfel, valoarea pentru un singur utilizator este extrem de modestă și nu justifică costul unui proces, dar
datele unei colectivități reprezintă valori considerabile. Un exemplu recent îl reprezintă „Europa contra
Facebook”, o acțiune colectivă declanșată de un student austriac care își propune să recupereze plusul-valoare
realizat pornind de la „datele cu caracter personal” ale utilizatorilor.
[15] „Laissez-nous opérer sur vos données (en nous en abandonnant la valeur) et vous aurez accès à des services
extraordinaires (ce qui est vrai)” („Lăsați-ne să operăm asupra datelor voastre (abandonându-ne valoarea) și
veți avea acces la servicii extraordinare (ceea ce este adevărat)”, traducerea noastră – A.P.), J. Rochfeld,
L’identité …, p.161-162.
[16] Art. 571 din Codul civil francez: „Si, cependant, la main-d’oeuvre était tellement importante qu’elle
surpassât de beaucoup la valeur de la matière employée, l’industrie serait alors réputée la partie principale, et
l’ouvrier aurait le droit de retenir la chose travaillée, en remboursant au propriétaire le prix de la matière,
estimée à la date du remboursement”.
[17] Art. 598 din Codul civil român: „(1)Bunul mobil produs cu materialele altuia aparţine celui care l-a
confecţionat sau, după caz, proprietarului materialelor, în funcţie de raportul dintre manoperă şi valoarea
materialelor, determinat la data confecţionării bunului. (2) Proprietarul bunului datorează despăgubiri egale cu
valoarea manoperei sau, după caz, cu valoarea materialelor”.
[18] Se consideră în spațiul european că această interpretare ar urma să împiedice crearea de monopoluri
aparținând marilor operatori de date cu caracter personal care, de regulă, sunt persoane juridice cu sediul
principal în Statele Unite ale Americii. S-ar evita astfel acapararea piețelor europene de către agenți economici
extracomunitari. În plus, se arată că o astfel de interpretare merge în spiritul protecției sporite impuse de către
Uniunea Europeană, servind astfel unor interese de ordin public ce țin de sănătate și securitate publică.
[19]„De fiecare dată când un nou tip de lucru apare se pune întrebarea prejudicială legată de apropriabilitatea
sa de principiu” (traducerea noastră – A.P.), Fr. Zenati-Casting, Th. Revet, Les biens, ediția a 3-a, Editura
Presses Universitaires de France Droit, Paris 2008, p. 19.
[20]Idem, p. 20.
[21]„Simpla constatare a existenței unei noi categorii de lucruri incorporale este suficientă pentru a admite
apropriabilitatea sa de fiecare dată când lucrul are utilitate și face obiectul cupidității” (traducerea noastră –
A.P.), Ibidem.
[22] „Constituie deci un bun orice entitate identifiabilă și izolabilă, care are utilitate și face obiectul unui raport
de exclusivitate” (traducerea noastră – A.P.), Idem, p. 21.
[23] De exemplu, interogarea unor motoare de căutare asupra simptomelor afecțiunii X poate să genereze
modificarea profilului de utilizator, acesta urmând să primească oferte publicitare ale unor produse care tratează
respectiva afecțiune etc (activități de marketing direct). În plus, trebuie avut în vedere și că este posibil ca
informația solicitată motorului de căutare să nu exprime decât curiozități ale utilizatorului, nu preferințe sau
intimități ale acestuia.
[24] Art. 4 pct. 5 din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie
2016 stabilește că pseudonimizare „înseamnă prelucrarea datelor cu caracter personal într-un asemenea mod
încât acestea să nu mai poată fi atribuite unei anume persoane vizate fără a se utiliza informații suplimentare,
cu condiția ca aceste informații suplimentare să fie stocate separat și să facă obiectul unor măsuri de natură
tehnică și organizatorică care să asigure neatribuirea respectivelor date cu caracter personal unei persoane
fizice identificate sau identificabile”.
[25] V. Stoica, Drept civil. Drepturile reale principale, ediția a 2-a, Editura C.H. Beck, București, 2013, p. 236.
[26] Unii autori vorbesc despre o „fausse gratuité”, adică o gratuitate falsă. A se vedea, J. Rochfeld, L’identité
…, p.162 și doctrina citată acolo. Personal, preferăm sintagma aparentă gratuitate, întrucât schimbul este mascat
de un mecanism care este altfel decât pare la prima vedere, care este doar în aparență așa cum se arată.
[27] În unele sisteme de drept a fost chiar eliminată obligația furnizorilor de servicii de a cere acordul
utilizatorilor în vederea colectării datelor cu caracter personal. Este cazul Statelor Unite ale Americii unde
obligația a fost eliminată de către Congresul american în luna martie a anului 2017.
[28] Conform art. 539 alin.(1) din Codul civil. „Bunurile pe care legea nu le consideră imobile sunt bunuri
mobile”.
[29] Procedeul se găsește într-o formă asemănătoare în doctrina din Quebec unde se avansează ideea unei
„distanciation progressive”. Astfel, pentru început unele elemente ar urma să fie protejate ca drepturi ale
personalității. Pe măsură ce respectivele elemente pot deveni surse de venituri, se admite detașarea lor
progresivă de persoana umană. În acest mod, sunt introduse în circuitul civil. Se admite că se poate dispune de
aceste elemente detașate, cel mai adesea în schimbul unui serviciu sau preț. Am fi așadar în prezența unei
„jouissance concurrente”. În dreptul european (inclusiv în cel românesc), procedeul este utilizat în mod
aproximativ în cazul dreptului la imagine.
[30] Operatorii de date cu caracter personal sunt interesați de adresele web accesate, de durata nagivării, de
eventualele aprecieri și preferințe arătate de către utilizator ș.cl.
[31] Comisia Europeană a emis de-a lungul timpului mai multe decizii în legătură cu transferul către alte state al
datelor cu caracter personal în scopul de a recunoaște existența unui nivel de protecție adecvat a datelor cu
caracter personal.
[32] Art. 708 din Codul civil ce are denumirea marginală „Durata uzufructului” stabilește că:„ (1) Uzufructul în
favoarea unei persoane fizice este cel mult viager. (2) Uzufructul constituit în favoarea unei persoane juridice
poate avea durata de cel mult 30 de ani. Atunci când este constituit cu depăşirea acestui termen, uzufructul se
reduce de drept la 30 de ani. (3) Dacă nu s-a prevăzut durata uzufructului, se prezumă că este viager sau, după
caz, că este constituit pe o durată de 30 de ani. (4) Uzufructul constituit până la data la care o altă persoană va
ajunge la o anumită vârstă durează până la acea dată, chiar dacă acea persoană ar muri înainte de împlinirea
vârstei stabilite”.
[33] În practică, site-urile web afișează mesaje de tipul citatului introductiv al acestui studiu. Suntem de părere
că deși este posibil un acord tacit din partea utilizatorului, operatorul trebuie să afișeze în mod expres mențiunea
legată de transferul dreptului de proprietate asupra „datelor cu caracter personal”.
[34] Avem în vedere multiplele obligații impuse de lege în ceea ce privește modul de prelucrare, de stocare etc a
„datelor cu caracter personal”.
[35] V. Stoica, Drept civil …, p. 42.
Avocat Mihai-Andrei Petre