Documente Academic
Documente Profesional
Documente Cultură
ABSTRACT
The principle of fairness in processing personal data, kept from the previous
regulation, is liable to gain new meanings following the burden placed on the
operator to prove its observance. The study aims at outlining the meaning and
content of the principle of equity and its role in dispute resolution as well as in
the practical workings of the controller, according to the General Data Protection
Regulation (GDPR) 2016/679/EU.
REZUMAT
[1]
Daniel-Mihail Șandru este profesor universitar la Universitatea Creștină Dimitrie Cantemir și Universitatea din București.
A fondat și coordonează Centrul de Studii de Drept European al Institutului de Cercetări Juridice „Acad. Andrei Rădulescu”
al Academiei Române. Judecător ad hoc la Curtea Europeană a Drepturilor Omului și arbitru la Curtea de Arbitraj Comercial
Internațional de pe lângă Camera de Comerț și Industrie a României. Președinte al Societății de Științe Juridice și al
Asociației Române de Drept și Afaceri Europene. Redactor-șef al Revistei Române de Drept European (Editura Wolters
Kluwer Romania). Poate fi contactat la adresa mihai.sandru@csde.ro Pagina web: www.mihaisandru.ro Materialul a fost
pregătit pentru conferința internațională „The philosophy of law, from Enlightenment to contemporaneity”, București,
17-19 mai 2018, organizată de Universitatea Creștină Dimitrie Cantemir și International Association for Philosophy of Law
and Social Philosophy. La data de 31 mai 2018 au fost verificate sau/și accesate ultima dată trimiterile web.
[2]
European Data Protection Supervisor, Opinion on Coherent Enforcement of Fundamental Rights in the Age of Big
Data, Opinion 8/2016 disponibilă la adresa https://secure.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/
Documents/EDPS/Events/16-09-23_BigData_opinion_EN.pdf
[3]
Regulamentul (UE) nr. 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția
persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și
de abrogare a Directivei nr. 95/46/CE (Regulamentul general privind protecția datelor) a fost publicat în Jurnalul Oficial
L 119, 4 mai 2016, p. 1-88.
[4]
Art. 6: „Legalitatea prelucrării”, art. 7: „Condiții privind consimțământul”, art. 8: „Condiții aplicabile în ceea ce privește
consimțământul copiilor în legătură cu serviciile societății informaționale”, art. 9: „Prelucrarea de categorii speciale
de date cu caracter personal”, art. 10: „Prelucrarea de date cu caracter personal referitoare la condamnări penale și
infracțiuni”, art. 11: „Prelucrarea care nu necesită identificare”.
[5]
D.M. Șandru, Situații în care este permisă prelucrarea datelor cu caracter personal fără consimțământul persoanei vizate,
în vol. Andrei Săvescu (ed), Regulamentul general privind protecția datelor cu caracter personal. Comentarii și explicații,
Ed. Hamangiu, București, 2018, p. 39-48; D.M. Șandru, Elemente privind reglementarea consimțământului în prelucrarea
datelor cu caracter personal, potrivit art. 6 din Regulamentul 2016/679, în R.R.D.A. nr. 1/2018; D.M. Șandru, Imposibila
coexistență între protecția datelor și comunitățile virtuale? Ce urmează?, în Pandectele române nr. 1/2018, p. 17-25.
A.M. Șandru, Privire critică asupra jurisprudenței Curții de Justiție a UE referitor la interpretarea art. 8 privind protecția
[6]
datelor cu caracter personal din Carta drepturilor fundamentale a Uniunii Europene (CDFUE), în Pandectele Române
nr. 1/2018, p. 26 și urm.
dreptului în materia protecției datelor. Așa cum reiese din doctrină[7] crearea unui echilibru între
operator și persoana vizată a fost o constantă în cauzele soluționate prin procedura trimiterii
preliminare, dar și în acțiuni de invalidare ale unor acte legislative europene.
ca nisipuri mișcătoare, în R.R.D.E. nr. 4/2010; E. Paunio, Legal Certainty in Multilingual EU Law Language, Discourse and
Reasoning at the European Court of Justice, Routledge, 2013, p. 32 și urm; M. Bobek, Comparative Reasoning in European
Supreme Courts, Oxford University Press, 2013; S. Wright, The Language of the Law in Multilingual contexts - Unpicking
the English of the EU Courts’ Judgments, Statute Law Review, Volume 37, Issue 2, p. 156-163; K. McAuliffe, Precedent at
the ECJ: The Linguistic Aspect. Law and Language, Current Legal Issues, Vol. 15, 2013.
[9]
JO, C326, 26 octombrie 2012.
Articolul 6 din Directivă se referea la prelucrarea datelor „în mod corect și legal”. Directiva nr. 95/46/CE a Parlamentului
[10]
European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea
datelor cu caracter personal și libera circulație a acestor date, JO L 281, 23 noiembrie 1995, p. 31, Ediție specială, 13/
vol. 17, p. 10.
Un exemplu de raportare corectă între operator și persoana vizată poate fi observat în ghidul elaborat de Information
[11]
Commissioner’s Office (ICO) în Privacy notices, transparency and control. A code of practice on communicating
privacy information to individuals, 2016, p. 4. Între aceste condiții minimale se au în vedere elemente de identificare a
operatorului, prelucrarea datelor în mod rezonabil față de așteptările persoanelor vizate etc.
[12]
„De asemenea, existența unui temei juridic corespunzător nu scutește operatorul de date de obligațiile care îi revin
în temeiul art. 6 [din Directivă, în prezent art. 5 din Regulament] în ceea ce privește echitatea, legalitatea, necesitatea
și proporționalitatea, precum și calitatea datelor. De exemplu, inclusiv în cazul în care prelucrarea datelor cu caracter
de stil imposibil de cuantificat și imprecise din punctul de vedere al justițiabilului, fie el chiar și
operator. Și operatorul trebuie să se bucure de predictibilitatea legii și de caracterul coerent al
normelor juridice[13]. Din perspectiva interpretării CDFUE, dacă nu se realizează corelația cu GDPR,
DOCTRINĂ
în situația aplicării de către instanța de judecată, consecințele pot fi juridice, iar aceste efecte ar
putea proveni din interpretarea gramaticală a textului.
discriminatorie și încălcând principiul echității fiscale nu este de natură să atragă anularea acesteia, cât timp stabilirea
acesteia s-a realizat cu respectarea dispozițiilor legale, care nu au fost declarate neconstituționale sau anulate de către
instanță după caz (eventual înlăturate pe calea excepției de nelegalitate).” Curtea de Apel Galați, secția contencios
administrativ și fiscal, decizia civilă nr. 1538/2015, disponibilă în rolii.ro. Presupunem că o viziune care să dea prioritate
legii va fi și în conflictul între principiile protecției datelor și norma juridică română, chiar anterioară regulamentului
până ce asupra acestui „conflict” nu se va pronunța Curtea de Justiție a Uniunii Europene sau Curtea Constituțională.
De altfel, trebuie subliniat că „principiul puterii lucrului judecat nu poate fi înfrânt de principiul echității.” Într-o cauză
în care reclamantul și-a întemeiat acțiunea pe principiul echității, fără nicio altă dispoziție legală, instanța a făcut
apel la dispozițiile art. 5 C. pr. civ. potrivit cărora „În cazul în care o pricină nu poate fi soluționată nici în baza legii,
nici a uzanțelor, iar în lipsa acestora din urmă, nici în baza dispozițiilor legale privitoare la situații asemănătoare, ea
va trebui judecată în baza principiilor generale ale dreptului, având în vedere toate circumstanțele acesteia și ținând
seama de cerințele echității.” Limitele acestei dispoziții sunt celelalte principii, cum ar fi autoritatea de lucru judecat sau
securitatea juridică. Rezultă că și în materia protecției datelor principiul echității nu este un drept absolut. Tribunalul
București, secția a III-a civilă, decizia civilă nr. 781A/2016, disponibilă în rolii.ro
Dintre dicționarele românești, Dicționarul de neologisme din 1986 are definiția cea mai cuprinzătoare unde echitatea
[14]
este definită drept „comportare bazată pe respectarea riguros reciprocă a drepturilor și a datoriilor, pe satisfacerea în
mod egal a intereselor, a drepturilor și a datoriilor fiecăruia. [Gen. -tății. / cf. fr. équité, lat. aequitas].” Dicționarul online
Oxford definește „fairness” ca „impartial and just treatment or behaviour without favouritism or discrimination.”
Despre principiul echității, a se vedea: D. Clifford, J. Ausloos, Data Protection and the Role of Fairness, loc. cit., p. 8-9,
[15]
Raportul dintre principiul echității și cel a proporționalității este cel mai dificil de decelat, întrucât
ambele au ca modalitate de acțiune actul rezonabil. Proporționalitatea este un principiu care
se raportează la exterior respectiv un comportament rezonabil al operatorului într-un anumit
domeniu (de exemplu, în asigurări) sau în acțiunea de sancționare a autorității care realizează
un act de drept public (a se vedea și considerentul 129)[21]. Echitatea este un principiu intern, al
L. Floridi, Why a Right to Explanation of Automated Decision-Making Does Not Exist in the General Data Protection
Regulation, în International Data Privacy Law, Volume 7, Issue 2, 2017, p. 76. Despre problema big date și protecția
datelor: I.S. Rubinstein, Big Data: The End of Privacy or a New Beginning?, în International Data Privacy Law, Volume 3,
Issue 2, 2013, p. 74-87.
În privința cerințelor de securitate juridică, a se vedea editorialul Ch. Kuner, D.J.B. Svantesson, F.H. Cate, O. Lynskey,
[17]
Ch. Millard, The language of data privacy law (and how it differs from reality), în International Data Privacy Law, Volume
6, Issue 4, 1 November 2016, p. 259-260.
[18]
C-362/14, Schrems, citată supra, pct. 42: „Pentru a garanta această protecție, autoritățile naționale de supraveghere
trebuie, printre altele, să asigure un just echilibru între, pe de o parte, respectarea dreptului fundamental la viață
privată și, pe de altă parte, interesele care impun o liberă circulație a datelor cu caracter personal (a se vedea în acest
sens Hotărârea Comisia/Germania, C 518/07, EU:C:2010:125, punctul 24, și Hotărârea Comisia/Ungaria, C 288/12,
EU:C:2014:237, punctul 51).”
Echitatea trebuie să fie legitimă, a se vedea J. Rawls, Dreptatea ca echitate, în vol. A. Miroiu (ed.), Teorii ale dreptății,
[19]
capacității și corectitudinii. L. Grava, Personal data protection in the EU – cooperation and competences of EU and national data
protection institutions and bodies, RGSL Research Paper, no. 18, 2017, p. 41, disponibil la adresa http://www.rgsl.edu.lv/wp-
content/uploads/2017/04/05_Grava_final.pdf Autoarea citează în acest sens: P. Balboni, E. Pelino, L. Scudiero, Rethinking the
one-stop-shop mechanism: Legal certainty and legitimate expectation, Computer law & security review 30 (2014), p. 394. A se
vedea și: I. Alexe, Reforma instituțională, în materia protecției datelor, la nivel european, în volumul A. Săvescu (coordonator),
Regulamentul general privind protecția datelor. Comentarii și explicații, Ed. Hamangiu, București, 2018, p. 1-11.
relației între subiectele de drept, iar aprecierea aplicării principiului nu se face raportat la criterii
externe relației ci la contextul concret.
DOCTRINĂ
Principiul limitării legate de scop, în condițiile instituite de art. 6 alin. (3) consideră că operatorul
va trebui să țină seama de echitate în aprecierea prelucrării datelor, având în vedere că nu
întotdeauna persoana vizată are posibilitatea exercitării consimțământului.
Principiul exactității datelor este, alături de principiul echității, unul care pune probleme
în soluțiile tehnice care presupun algoritmi[22], sau în soluțiile tehnice de tipul internetul
lucrurilor[23]. Principiul reducerii la minim a datelor este una dintre obligațiile „concrete” pentru
operator în raportul cu persoana vizată[24]. Principiul echității are în vedere nu doar cantitatea
de date prelucrată, ci și relația dintre operator și persoana vizată.
Aplicațiile principiului echității în Regulamentul nr. 2016/679 sunt fie directe, prin menționarea
acestuia, fie indirecte. Situația reglementării unor drepturi și obligații pentru subiectele dreptului
la protecția datelor, fără menționarea principiului echității, nu înseamnă nici înlăturarea acestuia
și nici lipsa de valoare și preeminență în raport cu celelalte principii. Drepturile persoanelor vizate
au fost analizate în literatura juridică română[25].
- informații care se furnizează în cazul în care datele cu caracter personal sunt colectate de la
persoana vizată [art. 13 alin. (2)]; astfel, în momentul în care datele cu caracter personal sunt
obținute, operatorul furnizează persoanei vizate informații suplimentare necesare pentru a
asigura o prelucrare echitabilă și transparentă [tipurile de informații sunt detaliate în alin. (2)
al art. 13];
- informații care se furnizează în cazul în care datele cu caracter personal nu au fost obținute
de la persoana vizată [art. 14 alin. (2)];
- elaborarea codurilor de conduită [art. 40 alin. (2)] de asociațiile și alte organisme care
reprezintă categorii de operatori sau de persoane împuternicite de operatori; acestea pot
Ph. Hacker, Teaching Fairness to Artificial Intelligence: Existing and Novel Strategies Against Algorithmic Discrimination
[22]
Under EU Law, Common Market Law Review, Forthcoming. Disponibil la adresa https://ssrn.com/abstract=3164973,
p. 25-26 în documentul disponibil în SSRN.
[23]
Ph. Hacker, Personal Data, Exploitative Contracts, and Algorithmic Fairness: Autonomous Vehicles Meet the Internet
of Things, International Data Privacy Law, 2017, 7, p. 266-286 disponibil la adresa https://ssrn.com/abstract=3007780
[24]
Cu privire la principiile limitării scopului prelucrării și exactității datelor, a se vedea, C. Jugastru, Reforma europeană în
materia datelor cu caracter personal. Regulamentul (UE) 2016/679, (I), în Dreptul nr. 6/2017, p. 38-40.
G. Zanfir, Protecția datelor personale. Drepturile persoanei vizate, Ed. C.H. Beck, București, 2015. S. Șandru, Protecția
[25]
pregăti coduri de conduită sau le pot modifica sau extinde pe cele existente, în scopul de a
specifica modul de aplicare a regulamentului în domeniile de referință.[26]
Principiul echității trebuie avut în vedere în privința obligațiilor operatorului și a exercitării abuzive
a drepturilor de către persoana vizată. În alte situații regulamentul nu impune o obligație absolută
pentru operator ci ia în considerare posibilitățile tehnice[27]. De asemenea, principiul echității
trebuie avut în vedere în evaluarea drepturilor persoanei vizate, cum ar fi dreptul la ștergere
(art. 17), dreptul la opoziție (art. 21), respectiv dreptul de a nu face obiectul unei decizii bazate
exclusiv pe prelucrarea automată (art. 22).
Concluzii
Principiul echității prelucrării datelor personale este greu de definit și prin urmare dificil de
apreciat efectele aplicării sale în practica operatorilor, autorităților de protecția datelor sau a
instanțelor jurisdicționale. Este un principiu de relație atât față de celelalte principii, cât și în
raporturile juridice dintre subiectele Regulamentului general privind protecția datelor.
[26]
Într-un alt context, dar referitor tot la coduri de conduită, Grupul de Lucru pentru Articolul 29 înlocuit de Comitetul
European pentru Protecția Datelor a salutat, între altele, referirea la faptul că s-au stabilit principiile generale pentru
prelucrarea echitabilă a datelor și normele pe care trebuie să le respecte operatorul de date. În acest context principiul
prelucrării echitabile apare ca un principiu general. A se vedea: Avizul 4/2010 privind Codul de conduită european al
FEDMA pentru utilizarea datelor cu caracter personal în cadrul marketingului direct, 00065/2010/RO, GL 174.
De exemplu, în cazul dreptului la portabilitatea datelor, acestea pot fi „transmise direct de la un operator la altul
[27]
acolo unde acest lucru este fezabil din punct de vedere tehnic” [art. 20 alin. (2)].