Documente Academic
Documente Profesional
Documente Cultură
2/2010
Dreptul la protecţia datelor cu caracter personal1
Rezumat
Articolul de faţă îşi propune să analizeze din două perspective dreptul la protecţia
datelor cu caracter personal, dreptul care s-a bucurat poate de cea mai dinamică
evoluţie în ultimele trei decenii pe o nişă relativ îngustă. Mai întâi ne vom apleca asupra
conţinutului său, analizând în detaliu reglementările care îl vizează în mod direct, pentru
ca în final să ne intereseze dacă acesta este sau nu un nou drept fundamental. El a apărut
din necesitatea de a proteja individul în faţa unei computerizări în avalanşă a societăţii
umane. Datele cu caracter personal au fost definite legal ca fiind „orice informaţie
privind persoana fizică identificată sau identificabilă”, având deci un domeniu de
aplicare destul de larg, după cum urmează să vedem.
Pentru că avem de a face cu un drept relativ nou, puţin cunoscut, ne interesează o
descriere a sferei sale de protecţie. Ne vom apleca mai întâi asupra primului document
de importanţă majoră care l-a reglementat – Convenţia 108 a Consiliului Europei din
1981 „pentru protejarea persoanelor faţă de prelucrarea automatizată a datelor cu
caracter personal.”2 Vom analiza apoi Articolul 16 al Tratatului de la Lisabona
consacrat dreptului la protecţia datelor cu caracter personal. Este vorba despre un
articol nou introdus în tratatele UE ce devine centrul de greutate al protecţiei acestui
drept în statele membre ale Uniunii. Vom analiza în ce măsură acest articol s-ar putea
bucura de efect direct. Ne vom apleca apoi asupra unei alte prevederi importante –
Articolul 8 al Cartei Drepturilor Fundamentale a Uniunii Europene, care este dedicat
exclusiv consacrării acestui drept.
În următoarea secţiune vom analiza conţinutul dreptului la protecţia datelor cu
caracter personal din perspectiva prevederilor Directivei 95/46 privind protecţia
persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi libera
circulaţie a acestor date. Vom vedea care sunt condiţiile de legalitate pentru prelucrarea
datelor, care sunt categoriile de date personale cu regim special şi care este rolul
autorităţilor independente de supraveghere înfiinţate la nivelul fiecărui stat membru al
UE.
În final, vom analiza posibilitatea ca dreptul la protecţia datelor cu caracter
personal să fie un veritabil nou drept fundamental, atât din punct de vedere formal, cât şi
din punct de vedere substanţial.
1
Această lucrare a fost par ial finan ată din contractul POSDRU/CPP107/DMI1.5/S/78421, proiect
strategic ID 78421 (2010), cofinan at din Fondul Social European – Investeşte în Oameni, prin Programul
Opera ional Sectorial Dezvoltarea Resurselor Umane 2007-2013.
Doctorand bugetar al Universită ii din Craiova, Facultatea de Drept şi Ştiin e Administrative, prin
Proiectul POSDRU/CPP107/DMI1.5/S/78421, „Burse Universitare în România prin Sprijin European pentru
Doctoranzi (BURSE DOC)”.
2
Articolul 2 lit. a) din Directiva 95/46 CE „privind protec ia persoanelor fizice în ceea ce priveşte
prelucrarea datelor cu caracter personal şi libera circula ie a acestor date”.
RSJ nr. 2/2010 Gabriela ZANFIR 103
Abstract
This article aims to analyze from two perspectives the right to the protection of
personal data, a right which had maybe the most dynamic evolution in the last three
decades on a very narrow niche. Firstly, we will focus on the right’s content by analyzing
thoroughly the provisions which enshrine it. Secondly, we are interested to reason
whether it is a new fundamental right, distinct from the right to the protection of private
life or not. The right to the protection of personal data was born out of the necessity to
protect the individual from the avalanche-like development of a computerized human
society. Personal data have been legally defined as „any information relating to an
identified or identifiable natural person”3, covering, therefore, a generous sphere of
protection.
Because it is a relatively new and less known right, we are interested in describing
this generous sphere of protection. We will look upon the first important legal act which
regulated distinctly and in detail the right to the protection of personal data – the 108
Convention of the Council of Europe from 1981 for the protection of individuals with
regard to automatic processing of personal Data. Further, we will analyze Article 16 of
the Treaty of Lisbon which enshrines the right to the protection of personal data. This
provision was introduced for the first time in an EU treaty in Article 16, which became
the central piece in the protection of personal data in the Member States of the EU. We
will analyze the extent in which Article 16 may enjoy direct effect. Further we will
concentrate on Article 8 of the Charter of Fundamental Rights of the European Union,
which is exclusively dedicated to data protection.
In the next section we will analyze the content of this right from the perspective of the
provisions of Directive 95/46 on the protection of individuals with regard to the
processing of personal data and on the free movement of such data. We will look upon
the criteria for making data processing legitimate, the special categories for processing
and the scope of the independent supervisory authorities created in all EU Member
States.
In the last section we will analyze the possibility that the right to the protection of
personal data is a new fundamental right from both a formal and a substantial point of
view.
3
Article 2a from Directive 95/46 EC of the European Parliament and of the Council of 24 October 1995
on the protection of individuals with regard to the processing of personal data and on the free movement of
such data.
104 Gabriela ZANFIR RSJ nr. 2/2010
1. Importanţa protecţiei datelor cu caracter personal. Despre importan a
intimită ii şi a protec iei datelor private, într-o societate din ce în ce mai mecanizată şi
computerizată sunt multe lucruri de spus. Pentru o privire introductivă asupra acesteia,
putem apela la exemplul oferit de H. Hijmans şi A. Scirocco4 în lucrarea „Neajunsuri ale
protec iei datelor private în UE în al doilea şi al treilea pilon. Ne putem aştepta ca Tratatul
de la Lisabona să ajute?”5 – un fragment din romanul „Blind Faith”6 al scriitorului
britanic Ben Elton, care descrie o societate a viitorului. Fragmentul la care apelăm descrie
un dialog între un individ şi un reprezentant al autorită ilor, în contextul în care individul
refuză publicarea înregistrării naşterii copilului său pe o pagină de internet:
„Nu putea mărturisi sub nicio formă că decizia sa a fost rezultatul unei forţe stranii
dinăuntrul său care îşi dorea un moment de intimitate. O dorinţă de a păstra ceva pentru
sine, chiar dacă doar pentru o fracţiune de secundă. Nu ar fi putut mărturisi asta. Nimic
nu era mai ofensator pentru comunitate decât intimitatea. ‘De ce ar dori cineva să
ascundă vreun aspect care ţine de sine de privirile celorlalţi?’ ‘Ai ceva de ascuns?’ ‘Nu
am nimic de ascuns de care să-mi fie ruşine, dacă la asta vă referiţi’ ‘Sunt fascinat
atunci. Dacă nu ai nimic de care să îţi fie ruşine, de ce ţi-oi dori intimitate?’ Se gândi
pentru un moment. ‘Pentru că o consider fundamentală pentru simţul meu al sinelui”.
Societatea contemporană încă nu a ajuns la acest stadiu, însă cu greu poate fi pusă la
îndoială teoria conform căreia societatea în care trăim seamănă din ce în ce mai mult cu o
„societate de supraveghere”7. Computerizarea vie ii se poate traduce în cifre cu ajutorul
unui Eurobarometru8 din 2008, care arată că majoritatea cetă enilor europeni sunt
îngrijora i de problemele legate de protec ia datelor private. Cu toate acestea, sunt şi cifre
care indică disponibilitatea acestora de a ceda o bună parte din intimitatea lor pentru
siguran ă în sens fizic. Astfel, 82 la sută consideră că „ar trebui să fie posibilă
monitorizarea zborurilor unui pasager”; 72 la sută, că „ar trebui să fie posibilă
monitorizarea apelurilor telefonice”; 75 la sută – „istoria utilizării Internetului”; 69 la sută
– „istoria utilizării căr ilor de credit”.
Fără îndoială că protec ia datelor private nu poate face obiectul unui drept absolut,
siguran a fiind unul dintre motive în acest sens. Pe de o parte, necesitatea stabilirii unor
restric ii în alte domenii care vizează colectarea şi procesarea datelor private şi pe de altă
parte necesitatea creării unui sistem coerent de reguli care să ghideze colectarea şi
procesarea datelor au dus la crearea unei încadrări juridice a dreptului la protec ia datelor
cu caracter personal. Acestea sunt definite ca „orice informa ie referitoare la o persoană
4
Specialişti angaja i ai „European Data Protection Supervisor” – institu ie a Uniunii Europene care se
ocupă de protec ia datelor private.
5
Shortcomings in EU data protection in the third and the second pillars. Can the Lisbon Treaty be
expected to help? – Common Market Law Review 46: 1485 – 1525, 2009 (2009 Kluwer Law International,
ările de Jos).
6
Ben Elton, Blind Faith (trad. – Credinţă oarbă), Bantam 2007, p. 29 şi 331.
7
Conceptul de „Surveillance Society”; În Raportul asupra Societă ii de Supraveghere realizat de
Surveillance Study Network în septembrie 2006 se precizează: „În toate statele bogate ale lumii, via a de zi cu
zi este sufocată de mecanisme de supraveghere, nu atât din zori până seara, cât mai degrabă 24 de ore, şapte
zile pe săptămână” – www.ico.gov.uk/upload/documents/library/data_protection/practical_-application/
surveillance_society_full_report_2006.pdf.
8
Protec ia datelor private în percep ia cetă enilor Uniunii Europene – Flash Eurobarometer Series 225,
Ianuarie 2008, ec.europa.eu/public_opinion/flash/fl_225_en.pdf.
RSJ nr. 2/2010 Gabriela ZANFIR 105
fizică identificată sau identificabilă” , iar o persoană identificabilă este „o persoană care
9
poate fi identificată, direct sau indirect, în special prin referire la un număr de identificare
sau la unul sau mai multe elemente specifice, proprii identită ii sale fizice, fiziologice,
psihice, economice, culturale sau sociale”10.
În următoarea sec iune a lucrării vom detalia prevederile cele mai importante cu
privire la dreptul la protec ia datelor cu caracter personal – Conven ia 108 de la
Strasbourg, Tratatul de la Lisabona şi Carta Drepturilor Fundamentale a Uniunii
Europene.
2. Convenţia 108. Consiliul Europei a fost cel care a reglementat pentru prima dată,
în mod distinct, protec ia datelor private. Acest lucru s-a întâmplat prin intermediul
Conven iei 108 – „Conven ia pentru protejarea persoanelor fa ă de prelucrarea
automatizată a datelor cu caracter personal”, adoptată la Strasbourg pe 28 ianuarie 1981.
Prevederile Conven iei se aplică tuturor datelor personale automatizate şi procesării
automatizate a acestora, atât în sectorul public, cât şi în cel privat. Conven ia 108 stă la
baza prevederilor comunitare ulterioare, cum ar fi Directiva 95/46/CE, care detaliază
principiile enun ate în Conven ie şi le oferă un con inut palpabil.
În Preambulul Conven iei, statele semnatare remarcă realitatea care duce la
necesitatea reglementării colectării şi procesării datelor private, sus inând că „este de
dorit să se extindă protec ia drepturilor şi libertă ilor fundamentale pentru fiecare, în
special dreptul la respectarea vie ii private, fa ă de intensificarea circula iei peste frontiere
a datelor cu caracter personal care fac obiectul prelucrării automatizate”.
Obiectul şi scopul Conven iei sunt men ionate în primul articol şi se referă la
garantarea pe teritoriul fiecărui stat semnatar „fiecărei persoane fizice, oricare ar fi
cetă enia sa sau reşedin a sa, respectarea drepturilor şi libertă ilor sale fundamentale şi, în
special, dreptul la via a privată, fa ă de prelucrarea automatizată a datelor cu caracter
personal care îl privesc (protec ia datelor).” Astfel, cei care se pot bucura de protec ia
datelor private nu sunt doar cetă enii statului semnatar, ci pot fi orice persoană, cu singura
condi ie ca ea să se afle pe teritoriul statului respectiv. Conven ia oferă, deci, o plajă largă
de aplicare. De asemenea, remarcăm faptul că dreptul la via a privată este men ionat, dar
şi că textul Conven iei particularizează protec ia datelor cu caracter personal încă din
Articolul 1.
Limitele dreptului la protec ia datelor private sunt reglementate de Articolul 9 al
Conven iei. Prima condi ie pe care o ingerin ă în dreptul la protec ia datelor cu caracter
personal trebuie să o îndeplinească este aceea că ingerin a trebuie să fie prevăzută de lege.
Cea de-a doua condi ie este aceea că ingerin a trebuie să fie necesară într-o societate
democratică. Alineatul 2 al Articolului 9 este foarte specific cu privire la „necesitatea
într-o societate democratică”, limitând-o la: „a) protejarea securită ii statului, siguran ei
publice, intereselor monetare ale statului sau reprimarea infrac iunilor penale; b) a proteja
persoanele în cauză sau drepturile şi libertă ile celorlal i”.
România a ratificat „Conven ia pentru protejarea persoanelor fa ă de prelucrarea
automatizată a datelor cu caracter personal” prin Legea 682 din 28 noiembrie 2001, după
9
Art. 2 lit. a) al Directivei 95/46 privind protec ia persoanelor fizice în ceea ce priveşte prelucrarea
datelor cu caracter personal şi libera circula ie a acestor date.
10
Idem.
106 Gabriela ZANFIR RSJ nr. 2/2010
ce semnase Conven ia la 18 martie 1997, extinzând domeniul Conven iei şi la protec ia
datelor prelucrate prin alte mijloace decât cele automate.
11
Art. 286: „1. De la 1 ianuarie 1999, actele comunitare cu privire la protecţia indivizilor în ceea ce
priveşte procesarea datelor private şi libera circulaţie a acestora se vor aplica instituţiilor şi organismelor
înfiinţate de către acest Tratat. 2. Înaintea datei stipulate la alineatul 1, Consiliul, acţionând în concordanţă
cu procedura la care se face referire în Art. 251, va înfiinţa un corp independent de supraveghere
responsabil cu monitorizarea aplicării acestor acte comunitare asupra instituţiilor şi organismelor
Comunităţii şi va adopta orice altă prevedere relevantă, după caz”.
12
Hijmans şi Scirocco, Shortcomings in EU data protection in the third and the second pillars. Can the
Lisbon Treaty be expected to help? – Common Market Law Review 46: 1485 – 1525, 2009 (2009 Kluwer
Law International, ările de Jos).
13
Cauza C-413/99 Baumbast şi R [2002] ECR I-7091, par. 84.
RSJ nr. 2/2010 Gabriela ZANFIR 107
Mai mult, prin copierea Articolului 8 (1) al Cartei direct în Tratat, dreptul
fundamental prevăzut în Cartă primeşte valoare adăugată, principala intă a acestei duble
prevederi fiind aceea „de a se asigura că exerci iul acestui drept poate fi efectiv, prin
intermediul dreptului secundar14”. Nu în ultimul rând, includerea sa în Titlul II îi conferă
o pozi ie puternică în interiorul Tratatului.
Dimensiunea constitu ională a Articolului 16 are şi o consecin ă extrem de
importantă în ceea ce priveşte marginea de apreciere de care se bucură legislativul
european atunci când impune restric ii ale unor drepturi. Astfel, legiferarea în domeniu va
fi influen ată de consacrarea dreptului la protec ia datelor private în TFUE, mai ales
atunci când se pun în discu ie derogări ale acestui drept.
14
Hijmans şi Scirocco, Shortcomings in EU data protection in the third and the second pillars. Can the
Lisbon Treaty be expected to help? – Common Market Law Review 46: 1485 – 1525, 2009 (2009 Kluwer
Law International, ările de Jos).
15
„1) Orice persoană are dreptul la protecţia datelor private care o privesc. 2) Aceste date trebuie să
fie procesate just pentru scopuri precizate şi pe baza consimţământului persoanei interesate sau pe o altă
bază legitimă prevăzută de lege. Orice persoană are dreptul de a avea acces la datele colectate în legătură
cu ea şi dreptul de a le fi rectificate. 3) Îndeplinirea acestor prevederi va face obiectul controlului unei
autorităţi independente”.
108 Gabriela ZANFIR RSJ nr. 2/2010
Pentru mai multe detalii cu privire la regimul juridic al acestei autorită i administrative autonome, a se
16
vedea George Gîrleşteanu, Autorităţi administrative autonome, Ed. Sitech, Craiova, 2009, pp. 105-112.
RSJ nr. 2/2010 Gabriela ZANFIR 109
De asemenea, ANSPDCP poate aplica sanc iuni, dacă se constată încălcarea
dispozi iilor legale de către operatorii de date cu caracter personal, în urma sesizărilor ce
pot fi din oficiu sau făcute de către persoanele lezate în drepturile lor. Autoritatea poate
dispune, în cazul în care constată încălcarea dispozi iilor Legii 677/2001, suspendarea
provizorie sau încetarea prelucrării datelor, ştergerea par ială ori integrală a datelor
prelucrate şi poate să sesizeze organele de urmărire penală sau să intenteze ac iuni în
justi ie.
8. Un nou drept fundamental? Este cert faptul că protec ia datelor private este din
ce în ce mai fragilă, în special datorită mijloacelor moderne de comunicare: de exemplu,
orice ac iune pe internet lasă urme informatice care permit, eventual, constituirea de bănci
de date foarte exacte cu informa ii cu caracter personal17. Este deci incontestabil
caracterul necesar al protec iei datelor private.
Teoreticienii drepturilor omului sus in că „păstrarea datelor cu caracter personal de
către o autoritatea publică reprezintă o ingerin ă în dreptul la respectarea vie ii private”18.
Cu alte cuvinte, este stabilit un raport ca de la parte la întreg cu dreptul garantat prin
Articolul 8 al Conven iei Europene a Drepturilor Omului. Practicienii, pe de altă parte,
sus in fără ezitare că cele două drepturi sunt distincte: „Dreptul la protec ia datelor cu
caracter personal este un drept fundamental. El este diferit de, dar în strânsă legătură cu
dreptul la respectarea vie ii private şi de familie. Această distinc ie este făcută în mod
notabil în Carta Drepturilor Fundamentale a Uniunii Europene, care men ionează cele
două drepturi separat”19. Argumentul acesta este adus de Autoritatea Europeană pentru
Protec ia Datelor şi poate fi considerat incontestabil, atâta timp cât din punct de vedere
formal cele două drepturi au fost deja disjunse într-o cartă europeană care, din 2009, a
devenit obligatorie pentru statele membre ale Uniunii odată cu intrarea în vigoare a
Tratatului de la Lisabona.
Consacrarea dreptului la protec ia datelor private distinct de dreptul la protec ia vie ii
private şi celei de familie într-o Conven ie a Consiliului Europei şi în acte de
17
Jean Francois Renucci, Tratat de drept european al drepturilor omului, Ed. Hamangiu, Bucureşti,
2009, p. 251.
18
Idem., p. 250.
19
Autoritatea Europeană pentru Protec ia Datelor Private, http://www.edps.europa.eu/EDPSWEB/
edps/EDPS/Dataprotection.
110 Gabriela ZANFIR RSJ nr. 2/2010
reglementare primară ale Uniunii Europene este un pas uriaş spre individualizarea unui
nou drept fundamental. Practic, dacă nu gra ie Conven iei 108, atunci gra ie Articolului
16 TFUE şi Articolului 8 CDFUE disputa dacă dreptul la protec ia datelor private este sau
nu un nou drept fundamental ar fi neutralizată în favoarea primei teze. Se pune însă
întrebarea dacă este suficientă prevederea într-un tratat interna ional a unui drept pentru
care acesta să devină fundamental. Este evident că o astfel de ipoteză ar duce la solu ii
absurde, putându-se întâmpla ca un drept de a tăia iarba din fa a locuin ei, spre exemplu,
să devină fundamental pentru că apare într-o astfel de conven ie.
Astfel, în afara simplului fapt de a se bucura de o astfel de consacrare, un drept ce se
doreşte a fi fundamental „trebuie să cuprindă un element substan ial, adică valori
determinate care trebuie să guverneze formarea regulilor legislative”20. Din acest punct de
vedere, tot situa ia de fapt este cea care ne obligă să acceptăm introducerea în gama
drepturilor fundamentale a dreptului la protec ia datelor cu caracter personal fără a
chibzui foarte mult. Deja am analizat atât ceea ce noi am denumit în scopul acestei lucrări
legisla ia primară care consacră dreptul la protec ia datelor private, cât şi o legisla ie
secundară. Cu alte cuvinte, con inutul dreptului s-a bazat pe o valoare suficient de
concretă şi substan ială pentru a putea crea reguli legislative la fel de concrete.
Tot din punct de vedere substan ial în ceea ce priveşte delimitarea dreptului la
protec ia datelor private ca drept fundamental de sine stătător se ridică şi problema
raportului dintre dreptul la protec ia datelor private şi dreptul la protec ia vie ii private.
Sunt acestea două drepturi distincte?
Până acum, rela ia dintre cele două schi ează un drept al protec iei datelor private ca
o particularizare a dreptului la protec ia vie ii private, o particularizare de nişă, cu detalii
specifice stipulate în acte ce apar in întregii ierarhii legislative, născută din nevoia
practică a statelor şi a organiza iilor interstatale de a gestiona date personale în mod
legitim şi normativizat în detaliu, în contextul unei societă i ultra-computerizate. În opinia
noastră, tocmai societatea ultra-computerizată şi cantitatea de opera iuni interstatale şi
interpersonale care au legătură cu stocarea de date şi transmiterea acestora este cea care
impune o delimitare a celor două drepturi. Din modalitatea de consacrare, putem deduce
că dreptul la protec ia datelor private este unul cu un con inut tehnic, concret, foarte pu in
flexibil, spre deosebire de protec ia dreptului la via a privată şi de familie aşa cum este el
consacrat în Articolul 8 al Conven iei Europene a Drepturilor Omului. Considerăm totuşi
aceste criterii de departajare convingătoare decât într-o anumită măsură. Doctrinei îi va
rămâne astfel o provocare de a găsi un criteriu de neînlăturat care să delimiteze fără
echivoc cele două drepturi fundamentale, provocare la care jurispruden a europeană este
aşteptată cu un aport important.
20
Dan Claudiu Dănişor, Drept constituţional şi instituţii politice, Ed. Sitech, Craiova 2006, p. 600.