Bruxelles, 10 martie - Comitetul european pentru protecția datelor (CEPD) și Autoritatea Europeană pentru Protecția Datelor (AEPD) au adoptat un aviz comun referitor la propunerea de lege privind guvernanța datelor (Data Governance Act - DGA). Propunerea are drept scop să promoveze disponibilitatea datelor prin sporirea încrederii în intermediarii de date[1] și prin consolidarea mecanismelor de partajare de date în UE. Mai precis, DGA are drept scop să promoveze disponibilitatea datelor din sectorul public pentru reutilizare, schimbul de date între întreprinderi și posibilitatea utilizării datelor cu caracter personal cu ajutorul unui „intermediar al partajării de date cu caracter personal”. De asemenea, prin DGA se urmărește să se permită utilizarea datelor în scopuri altruiste.
CEPD și AEPD recunosc obiectivul legitim, urmărit de DGA, al asigurării unor condiții mai bune pentru partajarea de date în cadrul pieței interne. În același timp, protecția datelor cu caracter personal este un element esențial și pentru încrederea în economia digitală și face parte integrantă din aceasta. Prin acest aviz comun, CEPD și AEPD invită colegiuitorii să se asigure că viitoarea DGA este pe deplin conformă cu legislația UE privind protecția datelor cu caracter personal, întărind astfel încrederea în economia digitală și menținând nivelul de protecție oferit de legislația UE sub supravegherea autorităților de supraveghere ale statelor membre ale UE.
Andrea Jelinek, președintele CEPD, a declarat: „Cadrul juridic al UE privind protecția datelor nu ridică piedici în calea dezvoltării economiei datelor. Dimpotrivă, favorizează această dezvoltare: astfel, singurul mod de a câștiga încrederea în orice tip de partajare a datelor constă în respectarea legislației existente privind protecția datelor. RGPD reprezintă temelia pe care trebuie să se edifice modelul european de guvernanță a datelor. Acesta este motivul pentru care subliniem necesitatea de a asigura coerența cu RGPD în ceea ce privește competența autorităților de supraveghere, rolurile diferiților actori implicați, temeiul juridic pentru prelucrarea datelor cu caracter personal, garanțiile necesare și exercitarea drepturilor persoanelor vizate.”
Wojciech Wiewiórowski, președintele AEPD, a adăugat: „Înțelegem importanța tot mai mare a datelor pentru economie și societate, evidențiată în Strategia europeană privind datele. Cu toate acestea, volumele mari de date înseamnă și responsabilități pe măsură. De aceea, trebuie să se instituie garanții adecvate în materie de protecție a datelor. Cadrul general pentru spațiile europene ale datelor ar trebui să garanteze că nu se aduce atingere acquis-ului privind protecția datelor.”
CEPD și AEPD consideră că legiuitorul UE ar trebui să se asigure că din felul în care sunt formulate dispozițiile relevante din DGA reiese în mod clar și neechivoc că această lege nu va afecta nivelul de protecție a datelor cu caracter personal ale persoanelor fizice și că nu se vor aduce modificări drepturilor și obligațiilor prevăzute în legislația privind protecția datelor.
În ceea ce privește reutilizarea datelor cu caracter personal deținute de organisme din sectorul public, CEPD și AEPD recomandă alinierea DGA la normele existente privind protecția datelor cu caracter personal prevăzute în RGPD și la Directiva privind datele deschise. Mai mult, ar trebui să se clarifice că se permite reutilizarea datelor cu caracter personal deținute de organisme din sectorul public numai dacă aceasta este întemeiată pe legislația UE sau a statelor membre. Aceste acte legislative ar trebui să includă o listă de scopuri clare compatibile pentru care prelucrarea ulterioară poate fi autorizată prin lege sau constituie o măsură necesară și proporțională într-o societate democratică pentru a proteja obiectivele menționate la articolul 23 din RGPD.
În ceea ce privește furnizorii de servicii de partajare de date, avizul comun subliniază necesitatea de a se asigura o informare și controale prealabile pentru persoanele fizice, ținându-se seama de principiile protecției datelor începând cu momentul conceperii și în mod implicit, de cel al transparenței și de cel al limitării scopului. Ar trebui să se clarifice și modalitățile prin care acești furnizori de servicii ar urma să ajute efectiv persoanele fizice să își exercite drepturile în calitate de persoane vizate.
În ceea ce privește altruismul în materie de date, CEPD și AEPD recomandă ca DGA să definească mai bine scopurile de interes general ale acestui tip de „altruism”. Altruismul în materie de date ar trebui organizat astfel încât să le permită persoanelor să își dea cu ușurință consimțământul, dar și să îl retragă la fel de ușor.
Având în vedere posibilele riscuri la care se expun persoanele vizate cu ocazia posibilei prelucrări a datelor lor cu caracter personal de către furnizorii de servicii de partajare de date sau organizațiile de promovare a altruismului, CEPD și AEPD consideră că regimurile de înregistrare pe bază de declarații prevăzute de DGA pentru aceste entități nu impun aplicarea unei proceduri de verificare suficient de stricte pentru aceste servicii. Prin urmare, CEPD și AEPD recomandă să se studieze proceduri alternative care să prevadă o includere mai sistematică a instrumentelor de responsabilizare, în special aderarea la un cod de conduită sau la un mecanism de certificare.
Avizul comun include, de asemenea, recomandări privind desemnarea autorităților de supraveghere ca principale autorități competente pentru controlul respectării dispozițiilor DGA, în consultare cu alte autorități sectoriale relevante.
______________________________________
[1] A se vedea expunerea de motive a propunerii, pagina 1.
Notă în atenția presei: vă atragem atenția asupra faptului că toate documentele adoptate în cadrul sesiunii plenare a CEPD fac obiectul verificărilor juridice, lingvistice și de formatare necesare și vor fi publicate pe site-ul web al CEPD de îndată ce aceste verificări vor fi finalizate.
EDPB_Press Release_statement_2021_02