Propunerile Comisiei Europene sunt împărțite, în linii mari, pe trei paliere:
- pentru persoanele fizice: clarifică ce trebuie să prezinte și asigură o implicare corespunzătoare în proces;
- pentru companii: clarifică drepturile pe care le au în timpul unei posibile investigații privind o încălcare a GDPR.
- pentru autoritățile de protecție a datelor: asigură o mai bună cooperare.
Noile prevederi fac mai degrabă referire la punctul 3, în măsura în care Comisia Europeană amână să deschidă „cutia Pandorei” - după cum s-a exprimat Didier Reynders, comisarul european pentru justiție.
Acest lucru ar presupune înființarea unei agenții centralizate la nivelul UE, care să preia o parte din atribuțiile autorităților naționale sau care, eventual, să le coordoneze activitatea.
Această instituție încă lipsește, în contextul în care GDPR [General Data Protection Regulation, în traducere Regulamentul General privind Protecția Datelor] este în vigoare de mai bine de cinci ani, iar în lupta sa împotriva rețelelor sociale, de exemplu, sancțiunile sunt date de agențiile din țările în care aceste companii își au sediul social.
Comisia Europeană mizează așadar pe îmbunătățirea normelor actuale și pe o mai bună cooperare între cele 27 de agenții naționale.
GDPR a devenit „un nou sinonim pentru o legislație eficace privind protecția datelor la nivel mondial. Acum, asigurarea respectării normelor va fi factorul decisiv al succesului deplin al acestui regulament”, spune Vera Jourová, vicepreședintă a Comisiei Europene pentru valori și transparență.
„Autoritățile independente depun eforturi enorme”, mai spune ea, dar „este timpul să ne asigurăm că se poate acționa mai rapid și mai ferm”. „Mai ales în cazuri grave, o încălcare poate avea numeroase victime în întreaga Uniune”, adaugă oficialul european.
Și comisarul european pentru justiție, Didier Reynders, pare că marșează la acest moment pentru întărirea actualului regulament de protecție a datelor, în detrimentul înființării unei instituții europene centrale.
El spune că „cel mai ambițios și mai inovator act legislativ din lume privind protecția datelor” a devenit în numai cinci ani „un act legislativ de referință în UE”.
„Este clar că asigurarea respectării GDPR funcționează, însă în cazurile transfrontaliere procedurile pot fi îmbunătățite”, admite el.
Rolul agențiilor naționale, clarificat
Astfel, conform noului regulament înaintat de Comisia Europeană, autorităţile pentru protecţia datelor (APD) din țările membre vor fi obligate să respecte norme concrete atunci când lucrează la cazuri în care sunt implicate persoane sau firme din mai multe țări.
Într-un caz investigat de APD-ul din Spania, dar cu implicații în Lituania și Franța, de exemplu, regulamentul va introduce obligația ca autoritatea principală pentru protecția datelor, cea de la Madrid, să trimită agențiilor din celelalte două țări un „rezumat al aspectelor-cheie”.
De asemenea, prezentarea elementelor principale dintr-o anchetă ar urma să fie trimise mai din timp agențiilor partenere, pentru a le permite acestora să lucreze și să-și prezinte opiniile mai bine.
„Propunerea va contribui la reducerea dezacordurilor și va facilita ajungerea la un consens între autorități în etapele incipiente ale procesului”, afirmă CE.
Normele specifice pentru cele 3 categorii
Potrivit Comisiei Europene, noul regulament prevede norme detaliate prin care să fie asigurată cooperarea între țările membre și o coerență într-un caz transfrontalier.
Pe scurt, cetățenii UE vor ști mai clar ce informații trebuie să furnizeze atunci când depun o plângere și „vor asigura implicarea lor adecvată în proces”, iar companiilor împotriva cărora sunt deschise plângerile vor primi garanții mai clare în anchetă.
Comisia Europeană spune că doar două lucruri „vor asigura o soluționare mai rapidă a cazurilor, ceea ce se va traduce prin măsuri reparatorii mai rapide pentru persoanele fizice și o mai mare securitate juridică pentru întreprinderi”.
Pentru autoritățile pentru protecția datelor, noile norme vor facilita cooperarea și vor spori eficiența asigurării respectării normelor.
1. Persoane fizice
Atunci când vine vorba despre drepturile persoanelor fizice, în majoritatea cazurilor reclamanți, Comisia Europeană propune o uniformizare a formularelor în ceea ce privește plângerile, eliminând „obstacolele actuale cauzate de faptul că autoritățile pentru protecția datelor urmează norme diferite”.
Sunt propuse, totodată, drepturi comune pentru oricare cetățean al Uniunii Europene, indiferent de țara din care face parte, drepturi care puteau să difere până acum.
De asemenea, în cazul investigării unei plângeri, CE propune norme pentru implicarea corespunzătoare a reclamanților.
Mai exact, aceștia „vor trebui să fie audiați în cazurile în care plângerile lor sunt respinse integral sau parțial”.
2. Persoane juridice
În ceea ce-i privește pe cei care fac obiectul investigației, fie ei operatori de date cu caracter personal sau persoane împuternicite de către acești operatori, Comisia Europeană spune că noile norme prevăd ca ei să fie audiați în etapele-cheie ale procedurii.
Acest drept va fi disponibil „inclusiv în timpul soluționării litigiilor de către Comitetul european pentru protecția datelor (CEPD)”.
În plus, cei anchetați vor și mai clar ce trebuie să conțină dosarul administrativ și vor avea avea acces la dosar.
3. Autorităţile pentru protecţia datelor
Conform măsurilor prezentate de Comisia Europeană, autoritățile pentru protecția datelor din cele 27 de țări membre vor putea efectua mult mai ușor investigații comune și se vor putea ajuta mai eficient.
De asemenea, ele „vor fi în măsură să își prezinte opiniile la începutul investigațiilor” pentru „a spori influența pe care o pot avea asupra cazurilor transfrontaliere”.
Acest lucru va duce, în opinia CE, la obținerea unui consens timpuriu cu privire la eventualele litigii în cadrul investigațiilor și vor reduce dezacordurile ulterioare.
În plus, propunerea ar urma să ajute și la finalizarea mai rapidă a procedurilor transmise mecanismului de soluționare a litigiilor prevăzut de GDPR și stabilește termene comune pentru cooperarea transfrontalieră în soluționarea litigiilor.
CE subliniază că GDPR nu va suferi alte modificări substanțiale, în sensul în care drepturile persoanelor vizate, obligațiile operatorilor de date și ale persoanelor împuternicite de operatori sau temeiurile legale pentru prelucrarea datelor cu caracter personal rămân neschimbate.
Noile propuneri urmează să fie dezbătute, în decurs de circa un an, de către Parlamentul European și de Consiliul UE.