Aparenta eficacitate a dreptului la protecția datelor cu caracter personal
Rezumat
Protecția datelor cu caracter personal este un subiect relativ nou, poate chiar efervescent în cercetarea juridică europeană, deși legislația în materie este mai veche. Desprins din dreptul la viață privată, dreptul la protecția datelor cu caracter personal se luptă în acest moment să dobândească un regim juridic de sine stătător. Aceasta a condus la situații în care dreptul la protecția datelor este doar aparent lipsit de eficacitate, iluzoriu. Studiul identifică tipologii de aparentă protecție a datelor cu caracter personal, pornind de la persoana vizată și până la autorități, și analizează situația raporturilor juridice dintre operator și persoana împuternicită de acesta. De asemenea, se au în vedere drepturi ale persoanelor vizate, astfel cum sunt reglementate, și realizarea acestor drepturi, competențele autorităților de supraveghere a prelucrării datelor și impactul legislației asupra afacerilor.
Studiu publicat în volumul In Honorem Flavius Antoniu Baias. Aparența în drept, tomul III, Ed. Hamangiu, 2021, p. 188-196.
Introducere, despre metodă
Într-o analiză a eficacității unui drept pot intra multe variabile. Dar, înainte de „eficacitate”, voi discuta despre sensul lui aparent în acest articol și despre o posibilă explicație. M-a onorat invitația de a participa la un volum dedicat profesorului Flaviu Baias, pe care l-am întâlnit, cel mai adesea, la începutul anilor ’90 la seminarele de dreptul familiei, apoi, mai târziu, la Curtea de Arbitraj Comercial Internațional, unde am devenit colegi. Am avut și colaborări în cadrul Facultății de Drept unde, în urmă cu câțiva ani am fost titularul unui curs de Drept al afacerilor europene și, mai aproape, în calitatea domniei sale de director de program masteral, m-a invitat să susțin cursul de „European Union Law and Arbitration”[1]. În privința alegerii prezentei teme de articol, primul gând a fost să dedic o cercetare în legătură cu simulația[2], un subiect care trebuie să-l fi pasionat din moment ce reprezintă teza de doctorat, într-o vreme în care titlul de doctor mai însemna ceva în lumea juriștilor. Preocupările mele recente au fost protecția datelor și arbitrajul comercial internațional în context european. M-am oprit la primul subiect și am optat pentru o îndepărtată legătură dintre simulația juridică și aparența în drept. Și am ales să discut despre o altfel de simulație: nu cumva legislația recent adoptată în Uniunea Europeană reprezintă doar o aparentă îmbogățire a drepturilor omului? Dar, chiar în cadrul acestui regim juridic, totuși nu foarte nou, am descoperit, așa cum vom observa într-o secțiune, chiar un aspect al simulației juridice. Sensul lui „aparent” în acest articol este cel mai larg posibil. Nu este un termen juridic neapărat. Acest „aparent” conține sensul unei îndoieli cu privire la eficacitatea drepturilor și obligațiilor prevăzute într-o legislație europeană. „Îndoiala” de natură filozofică este analizată juridic, se axează pe piloni calitativi și cantitativi, așadar, cu rezultate măsurabile, fără a trece la comparații idealiste.
Povestea protecției datelor cu caracter personal începe în anii ’80, în cadrul Consiliului Europei[3] și a fost dezvoltată de Uniunea Europeană, care, mai întâi printr-o directivă[4] și apoi prin Regulamentul general privind protecția datelor (în continuare și R.G.P.D.)[5] au impus reguli ferme și sancțiuni care au transformat o reglementate într-un subiect de interes public. Există un ecosistem al legislației europene privind protecția datelor, cu legislație specifică la nivelul Uniunii Europene și directive sectoriale, în domeniul penal și al turismului. În funcție de norma juridică europeană, există la nivelul legislației naționale, fie norme de transpunere a directivelor, fie norme de punere în aplicare a regulamentului[6]. Regulamentul este pas mare în uniformizarea dreptului. Cu toate acestea, vom realiza câteva observații: regimul sancționator este în continuare diferențiat de la un stat membru la altul, pentru că măsurile corective, inclusiv amenzile, sunt impuse de autorități naționale[7]. Sunt autorități care au multe sancțiuni și altele care au acționat mai mult în zona prevenției, redactând numeroase ghiduri și recomandări[8]. Sunt autorități care publică deciziile, altele rezumate în comunicate, iar altele nu își publică deloc deciziile. O a doua observație se referă la aplicarea legislației naționale, a procedurilor naționale diferite de adoptare a deciziei autorității și de contestare a acesteia în instanță. În acest sens, natura juridică a actului autorității, care, în România, este un act administrativ, iar sancțiunea este contravențională, reprezintă un alt punct de diferențiere între statele membre. În alte state, procedura are caracter penal, lipsind cu desăvârșire dreptul contravențional. Aceste distincții au consecințe în privința drepturilor și a obligațiilor operatorilor, a dreptului la un proces echitabil, aplicarea și executarea sancțiunii, în special a amenzii. Raportul dintre regulament și alte reglementări pune în dificultate o aplicare uniformă. În primul rând, este vorba de regulamentul ePrivacy, care abia în 2021 a fost adoptat de instituțiile europene și este probabil va fi publicat până la sfârșitul anului[9]. Acest regulament va avea efect în privința aplicării R.G.P.D. și ar fi trebuit prezentat, încă din 2016, împreună cu acesta. Subiecte precum „cookies” au fost analizate și au apărut chiar măsuri corective, inclusiv sancțiuni în această privință. De asemenea, în privința consimțământului și a mesajelor nesolicitate („spam”)[10] autoritățile naționale de protecția datelor au luat măsuri. Vom vedea cum se vor aplica cele două regulamente, întrucât comunicarea pe internet interferează mult cu protecția datelor, așa cum am observat din cele două exemple[11].
§1. Tipologii de realizare a dreptului la protecția datelor cu caracter personal
1.1. Principiile prelucrării datelor, drepturile persoanelor vizate și raportul operator/împuternicit
Principiile prelucrării datelor sunt esențiale pentru înțelegerea drepturilor și a obligațiilor părților implicate, în special a operatorilor. Principalul gardian al protecției datelor nu este autoritatea de supraveghere, ci operatorul care are putere directă, nemijlocită. Prin acțiunile acestora, prin respectarea principiilor reglementării privind protecția datelor, riscurile la adresa încălcării securității datelor pot fi reduse ab initio. De exemplu, o prelucrare a unui set de date restrâns, în conformitate cu principiul minimizării, exclude pentru unele categorii date, care nu sunt prelucrate fără a fi necesar, orice fel de încălcare. Unul dintre principiile fundamentale este acela al stabilirii temeiului juridic al prelucrării, respectiv principiul legalității. Este singurul principiu dezvoltat în câteva articole ce urmează celui ce enumeră principiile, referindu-se la o listă privind temeiurile și la consimțământul persoanei vizate. Fără a intra în detalii, consimțământul persoanei vizate[12], așa cum a fost reglementat și detaliat în documentele fără forță juridică ale Comitetului European privind Protecția Datelor, este foarte constrângător. În realitate, obținerea consimțământul se realizează în condiții la limita reglementării și, cel puțin în ceea ce privește datele prelucrate de cookies pe internet, de cele mai multe ori în mod tacit, ceea ce este în mod vădit o încălcare a regulamentului. Suntem în prezența unei mari neînțelegeri a interpretării regulamentului de care au profitat marii operatori de date, și pentru care amenzi de 50 de milioane de euro reprezintă acțiuni simbolice[13].
Temeiul juridic al prelucrării datelor în marketing a beneficiat de o trimitere în actualele ghiduri, în care se arăta că interesul legitim ar putea fi un temei în acest domeniu. Iar interesul legitim depășește puterea clienților, a persoanelor vizate, datele acestora fiind prelucrate doar în temeiul documentării, al justificării operatorului, în conformitate cu regulamentul. Fără a considera că interesul legitim este lipsit de temei în prelucrarea datelor, trebuie observate calitatea datelor prelucrate în baza acestui temei juridic, perioada și modalitatea de informare a persoanelor vizate. Sunt câteva elemente esențiale pentru stabilirea unor raporturi juridice coordonate pe piața datelor cu caracter personal.
1.2. Inflația accesului la drepturi al persoanelor vizate (enumerarea unor drepturi pe care persoana vizată nu are dreptul să le exercite)
Numeroși operatori de date cu caracter personal, în special cei mici, dar și mari operatori induc în eroare persoanele vizate printr-o lipsă de informare prin adăugare. Sunt numeroase situațiile în care prelucrarea datelor se face prin informarea generală, inadecvată, lipsită de raportare la situația concretă. Mai precis, de cele mai multe persoanelor vizate li se aduce la cunoștință că au toate drepturile prevăzute de R.G.P.D., deși, în unele situații, unele drepturi sunt strict limitate sau inaplicabile[14]. Sunt în continuare situații în care se prelucrează date în temeiul consimțământului persoanelor vizate, știindu-se că, dacă acesta este temeiul prelucrării, datele respective trebuie șterse la simpla cerere a persoanei vizate. Cum s-ar putea realiza acest lucru de către un notar public? Înțelegerea reglementării trebuie să se realizeze de întregul ecosistem: de la persoanele vizate, operatori și împuterniciți, până la autorități și instanțe judecătorești. Un exemplu, de neînțelegere a unui drept, altfel celebru, dreptul la ștergere, s-a realizat într-o cauză referitoare la ștergerea unui articol din ediția on-line a ziarului[15]. Astfel, s-a reținut că, „punând în balanță dreptul la viața privată și la protecția datelor reclamantului și dreptul la libertatea de exprimare, în speță, libertatea presei, instanța consideră că primează primul drept la care s-a făcut referire. Astfel, având în vedere că articolul publicat la data de 27.09.2006, în care se face referire la numele reclamantului, nu mai este de actualitate și nici nu prezintă informații care să fi fost de interes național și care să fi prezentat o problemă îndelung mediatizată la acea dată, instanța consideră că nu se mai impune menținerea acestuia pe pagina de internet a publicației «România Liberă». Menținerea în continuare a articolului în spațiul online ar reprezenta o ingerință în dreptul reclamantului la protecția datelor, ce nu mai este proporțională cu scopul urmărit.
Mai mult, instanța va avea în vedere și faptul că pârâta a achiesat pretențiilor reclamantului, recunoscând că respectivul articol prezintă informații care, cu trecerea timpului (peste 10 ani), au dobândit caracter nesemnificativ.
Pentru toate aceste considerente, instanța urmează să admită cererea de chemare în judecată formulată de reclamant […] în contradictoriu cu pârâta și va obliga pârâta […] să șteargă datele cu caracter personal care îl privesc pe reclamant și care au fost prelucrate de aceasta prin intermediul paginii de internet a publicației «România Liberă», în cadrul articolului publicat la data de 27.09.2006”. În acest caz, niciuna din părțile implicate nu a făcut diferența dintre drept la ștergere și efectele acestuia în mediul online pentru un ziar, în acest caz aplicându-se dezindexarea din motoarele de căutare.
În privința protejării drepturilor persoanelor vizate intervine și paradoxul privacy[16] potrivit căruia, deși cele mai multe persoane sunt interesate de protecția datelor, în practică multe dintre acestea se comportă dezinteresat față de datele lor personale, publicând date cu caracter personal, uneori sensibile sau speciale, fără să citească termenii și condițiile („contractul”) cu site-urile, aplicațiile pe care le utilizează ș.a.m.d. Este necesară o educație care trebuie realizată mai ales în direcția evitării încălcării securității datelor dintr-o culpă comună cu operatorul sau doar din vina persoanelor vizate.
1.3. Raporturile dintre operator și împuternicit când nu sunt devoalate persoanelor vizate
R.G.P.D. a prevăzut obligativitatea contractului dintre operator și împuternicit. Operatorul, entitatea care stabilește scopul și mijloacele prelucrării, trebuie să încheie un contract cu împuternicitul, care trebuie să realizeze prelucrări de date doar în parametrii prevăzuți de contract. Este o modificare importantă a regulamentului. În practică au apărut mai multe tipuri de probleme, de la contracte în care ambele părți se declară operatori, aceasta în scopul stocării datelor de ambele părți (împuternicitul este obligat ca în orice moment sau cel mai târziu la desființarea/ încetarea contractului să predea operatorului toate datele și să nu le mai prelucreze sub nicio formă, inclusiv prin stocare). Dar, în aceste raporturi contractuale, apare un tip de simulație a prelucrării datelor, care se referă la ocultarea adevăratului operator, în situația în care datele nu sunt prelucrate de acesta, ci de o persoană împuternicită de operator și când persoana vizată nu știe despre existența acestui contract. Persoanei vizate nu i se aduce la cunoștință existența contractului, considerând că împuternicitul este operator[17].
Contractul (sau un alt act juridic încheiat în temeiul dreptului Uniunii) dintre operator și împuternicit[18] este reglementat pe larg în art. 28 alin. (3) R.G.P.D. Sancțiunea indirectă pentru persoana împuternicită de operator, în situația în care încalcă dispozițiile scrise ale operatorului, este ca aceasta să fie considerată operator și să răspundă ca atare. În unele situații, și având în vedere că persoana împuternicită de operator nu putea prelucra date cu caracter personal în nume propriu, o altă măsură pe care autoritatea de supraveghere trebuie să o impună este aceea a limitării prelucrării, care ar putea fi chiar o interdicție de a mai prelucra datele [art. 58 alin. (2) lit. f)].
§2. Aspecte instituționale
Prin adoptarea regulamentului s-au modificat unele elemente ale competențelor autorităților de supraveghere, Comitetul European pentru Protecția Datelor (în continuare C.E.P.D.) o entitate cu personalitate juridică a înlocuit Grupul de lucru instituit în temeiul art. 29[19] și, în general, autonomia și puterea autorităților naționale de supraveghere au crescut.
Intervenția autorității de protecția datelor în sprijinirea persoanelor vizate
Autoritățile de supraveghere a prelucrării datelor cu caracter personal sunt stabilite prin regulament. Aceeași reglementare le stabilește competențele și atribuțiile. Chiar dacă aceste autorități au competențe în protecția peroanelor vizate, autoritățile nu li se pot substitui. Sunt două chestiuni foarte importante: pe de o parte, autoritățile de supraveghere a prelucrării datelor cu caracter personal apără un interes public, dreptul la protecția datelor, și trebuie să intervină ori de câte ori au cunoștință de încălcarea securității datelor de către un operator, indiferent de conduita persoanelor vizate și, pe de altă parte, să protejeze persoanele vizate, prin soluționarea plângerilor. Persoanele vizate au dreptul să se adreseze autorității de supraveghere sau instanței judecătorești pentru a se constanta încălcarea securității datelor și pentru repararea prejudiciului, material sau moral[20]. Art. 80 R.G.P.D. prevede posibilitatea unei reprezentări a persoanelor vizate de către „un organism, o organizație sau o asociație fără scop lucrativ, care au fost constituite în mod corespunzător în conformitate cu dreptul intern, ale căror obiective statutare sunt de interes public, care sunt active în domeniul protecției drepturilor și libertăților persoanelor vizate în ceea ce privește protecția datelor lor cu caracter personal”[21].
Alegerea autorității de supraveghere în situații în încălcare transfrontalieră a securității datelor se realizează potrivit competențelor stabilite în regulament, rolul entității europene (C.E.P.D.) fiind de a regulariza eventuale neînțelegeri.
Autoritățile de protecția datelor din fiecare stat membru sunt principalul factor care ar putea determina o aplicare eficientă a regulamentului. Creșterea birocrației ar putea fi evitată prin ghiduri și orientări competente și precise.
Concluzii
Potrivit Regulamentului general privind protecția datelor, Comisia Europeană elaborează, la fiecare patru ani, un raport privind evaluarea și revizuirea regulamentului. În 2020 a fost publicat un astfel de raport, la doar 2 ani de la punerea în aplicare a regulamentului[22]. Acest raport a constatat că mecanismele de cooperare și coerență au funcționat, normele sunt armonizate, dar persistă un anumit grad de fragmentare și abordări divergente. În ceea ce privește capacitarea persoanelor fizice de a-și controla datele, deși raportul analizează statistici, care prezintă o situație optimistă, în realitate situația este diferită, iar dreptul la portabilitate este de departe mai puțin important decât dreptul la informare sau dreptul de acces ori restricționarea prelucrării. Una dintre măsurile prevăzute în raport, cu referire la statele membre, este aceea de a evalua dacă „legislația națională de punere în aplicare a R.G.P.D. se situează, în toate privințele, în limitele prevăzute de legislația statului membru”[23]. Aici trebuie lucrat în continuare pentru că există exemple de prevederi legale care încalcă principiile prelucrării datelor prevăzute în regulament. Transferul internațional de date a ocupat un loc aparte în raport, fiind prevăzute obligații pentru instituțiile europene, în special pentru Comisie. Revenind la eficacitatea dreptului fundamental la protecția datelor, reglementat în Carta drepturilor fundamentale a Uniunii Europene[24], și în legislația subsecventă, putem afirma că, prin radiografierea unui singur exemplu, al Regulamentului general privind protecția datelor, suntem încă la început în privința înțelegerii drepturilor și obligațiilor participanților la acest proces[25]. Eficacitatea acestui drept este conturată în primul rând de practicile operatorilor și ale împuterniciților. Nu putem pune accentul pe sancțiunile autorităților, chiar dacă acestea sunt importante, întrucât, chiar și după trei ani, suntem la începutul aplicării noi reglementări. Noua reglementare nu este atât de novatoare, dar contextul sancționator și instituțional pune acceptul pe conformare. Rămâne deschisă întrebarea dacă, din punctul de vedere al dreptului Uniunii Europene, încadrarea juridică diferită a naturii procedurii/sancțiunii prin R.G.P.D. ar avea efecte/ consecințe asupra efectivității lui. Operatorii au nevoie de îndrumări clare și pertinente. Unele autorități de protecția datelor au emis astfel de îndrumări, dar este necesar ca acestea să fie asumate la nivel european, să fie ușor accesibile, adică traduse în limbile oficiale ale tuturor statelor și să fie coerente. Grupul de lucru pentru protecția persoanelor în ceea ce privește prelucrarea datelor cu caracter personal instituit prin art. 29 din Directiva 95/46/CE, care a fost înlocuit de Comitetul european de protecția datelor, a emis peste 200 de îndrumări. Este necesar ca acestea să fie ușor accesibile, claritatea acestora să fie rezonabilă, îndrumările să fie punctuale și nu doar de repetare a unor dispoziții legislative sau din hotărâri ale Curții de Justiție. În raportul Comisiei din 2020, un punct analizat distinct au fost întreprinderile mici și mijlocii (IMM), un subiect care a fost în centrul atenției și chiar al neînțelegerilor încă de la adoptarea regulamentului și referirea din considerentul (13) la criteriul celor 250 de angajați. IMM-urile au fost afectate în mod direct de incertitudinea aplicării, pentru că au fonduri reduse pentru consultanță de specialitate. Iar această incertitudine le-a afectat afacerile tacit[26]. Este diferență între a neglija protecția datelor într-un proces de fuziune[27] și a căuta soluții care să corespundă procedurilor și reglementărilor specifice domeniului de activitate și reglementării privind protecția datelor. De asemenea, relația dintre operator și persoana împuternicită este importantă și poate să pună semne de întrebare privind eficacitatea dreptului la date cu caracter personal. Arătam că există o sancțiune indirectă în privința raporturilor dintre operator și împuternicit, însă vom vedea cum vor putea fi garantate drepturile persoanelor vizate sau cum își vor putea exercita aceste drepturi în situații de ascundere a adevăratului operator.
Note de subsol
[1] Cursul, care a fost publicat în 2021, își datorează existența prof. Baias, pentru că, altfel, chiar cu unele preocupări sporadice, nu l-aș fi închegat, nici măcar în forma publicată. A se vedea D.-M. Șandru, European Union Law and Arbitration. Slices and slides. Text, cases and materials, Ed. Universitară, București, 2021.
[2] Fl.A. Baias, Simulația: studiu de doctrină și de jurisprudență, Ed. Rosetti, București, 2003.
[3] Spre deosebire de alte domenii, de ex. insolvența, unde Consiliul Europei și Uniunea Europeană nu au avut aceeași abordare, în domeniul protecției datelor acțiunile celor două organizații internaționale s-au îmbinat pentru o eficiență superioară la nivel mondial. A se vedea A.M. Șandru, D.-M. Șandru, Reforma protecției datelor din perspectiva Consiliului Europei, în S.C.J. nr. 3/2019, p. 311-325.
[4] Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date, J.O. L 281 din 23 noiembrie 1995, p. 31, ed. specială, 13/vol. 17, p. 10.
[5] Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) a fost publicat în J.O. L 119 din 4 mai 2016, p. 1-88.
[6] Pe scurt despre acest sistem de norme juridice și documente fără caracter juridic obligatoriu, a se vedea D.-M. Șandru, Protecția datelor personale: surse legislative, jurisprudențiale și soft law, în P.R. nr. 2/2018, p. 80-90.
[7] A se vedea, de exemplu, „GDPR Enforcement Tracker”, disponibil online la adresa https://www.enforcementtracker.com/, unde se pot compara acțiunea autorităților naționale de protecția datelor.
[8] Despre autoritatea de protecția datelor, a se vedea D.-M. Șandru, Aspecte privind aplicarea Regulamentului nr. 679 din 2016 privind protecția datelor cu caracter personal, în S.C.J. nr. 1/2019, p. 81-98.
[9] A se vedea, de exemplu, „Proposal for an ePrivacy Regulation”, disponibil online la adresa https://digital-strategy.ec.europa.eu/en/policies/eprivacy-regulation.
[10] A se vedea ICO, „Spam emails”, disponibil online la adresa https://ico.org.uk/your-data-matters/online/spam-emails/. În România, autoritatea de supraveghere este comună în aplicarea celor două legislații, ca și în alte state membre ale Uniunii Europene.
[11] În prezent se aplică Directiva din 2002: Directiva 2002/58/CE a Parlamentului European și a Consiliului din 12 iulie 2002 privind prelucrarea datelor personale și protejarea confidențialității în sectorul comunicațiilor publice (Directiva asupra confidențialității și comunicațiilor electronice), J.O. L 201 din 31 iulie 2002, p. 37-47. Potrivit ultimului considerent al R.G.P.D. (173): „Prezentul regulament ar trebui să se aplice tuturor aspectelor referitoare la protecția drepturilor și libertăților fundamentale legate de prelucrarea datelor cu caracter personal, care nu fac obiectul unor obligații specifice cu același obiectiv ca cel stabilit în Directiva 2002/58/CE a Parlamentului European și a Consiliului, inclusiv obligațiile privind operatorul și drepturile persoanelor fizice. Pentru a se clarifica relația dintre prezentul regulament și Directiva 2002/58/CE, respectiva directivă ar trebui să fie modificată în consecință. După adoptarea prezentului regulament, Directiva 2002/58/CE ar trebui să fie revizuită în special pentru a se asigura coerența cu prezentul regulament”. Această desincronizare a condus la aplicarea parțială a regulamentului privind protecția datelor cu caracter personal și libera circulație a acestor datelor.
[12] D.-M. Șandru, Situații în care este permisă prelucrarea datelor cu caracter personal fără consimțământul persoanei vizate [Situations in which the processing of personal data is allowed without the consent of the data subject], în A. Săvescu (ed.), Regulamentul general privind protecția datelor cu caracter personal. Comentarii și explicații, Ed. Hamangiu, București, 2018, p. 39-48; D.-M. Șandru, Elemente privind reglementarea consimțământului în prelucrarea datelor cu caracter personal, potrivit art. 6 din Regulamentul 2016/679, în R.R.D.A. nr. 5/2017, p. 129-135.
[13] A se vedea comunicatul autorității franceze privind protecția datelor (CNIL – Commission Nationale de l’Informatique et des Libertés) „The CNIL’s restricted committee imposes a financial penalty of 50 Million euros against GOOGLE LLC”, 21.01.2019, disponibil la adresa https://www.cnil.fr/en/cnils-restricted-committee-imposes-financial-penalty-50-million-euros-against-google-llc, precum și decizia publicată la adresa https://www.cnil.fr/sites/default/files/atoms/files/san-2019-001.pdf. Despre principiul transparenței, a se vedea D.-M. Șandru, Principiul transparenței în protecția datelor cu caracter personal, în P.R. nr. 4/2018, p. 59-69.
[14] A se vedea S.-D. Șchiopu, Considerații asupra dreptului la opoziție al persoanei vizate, în Revista Universul Juridic nr. 5/2019, p. 75-76, unde a precizat că „(d)e exemplu, dreptul la opoziție nu se aplică în situația în care prelucrarea are ca temei juridic consimțământul, deși dreptul persoanei vizate de a-și retrage în orice moment consimțământul poate conduce la un rezultat similar, adică datele să nu mai fie prelucrate în scopul respectiv”.
[15] Jud. Sectorului 3 București, sent. civ. nr. 3731/2017, nepublicată, disponibilă în rolii.ro. Cu detalii, pentru o analiză sectorială, a se vedea D.-M. Șandru, Ierarhizarea valorilor și drepturilor fundamentale în activitatea jurnalistică, în Dreptul nr. 4/2020, p. 74-85.
[16] D.J. Solove, The Myth of the Privacy Paradox (January 29, 2021), 89 George Washington Law Review 1 (2021), GWU Legal Studies Research Paper No. 2020-10, GWU Law School Public Law Research Paper No. 2020-10, available at SSRN: https://ssrn.com/abstract=3536265.
[17] O decizie a autorității de protecția datelor din Italia (Garante per la protezione dei dati personali) ne arată și cauzele unei astfel de disimulări sau omisiuni de informare, în acest caz fiind vizat avertizorul de integritate. Aeroportul din Bologna a fost sancționat cu o amendă de 20.000 euro pentru operatorul care a furnizat aplicația de denunțare a aeroportului din Bologna 20.000 euro, nu a implementat măsuri tehnice și organizatorice adecvate și pentru că nu a informat aeroportul cu privire la implicarea a doi sub-procesatori, responsabili de întreținerea aplicației. Detalii: Ordinanza ingiunzione nei confronti di aiComply S.r.l. – 10 giugno 2021 (9685947), disponibil online la adresa https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9685947.
[18] I. Alexe, Relația dintre operator și persoana împuternicită, în domeniul protecției datelor personale, în P.R. nr. 2/2018, p. 71-79.
[19] Pe larg I. Alexe, Reforma instituțională, în materia protecției datelor, la nivel european, în A. Săvescu (coord.), op. cit., p. 1-11.
[20] D.-M. Șandru, Analiza jurisprudenței române privind acordarea de daune morale pentru nerespectarea protecției datelor cu caracter personal, în R.R.D.P. nr. 3/2020, p. 310-323.
[21] Pentru o situație echivocă în practica din România, a se vedea cazul unei asociații din Timișoara, documentat în articolul citat supra, p. 314.
[22] Comunicare a Comisiei către Parlamentul European și Consiliu, „Protecția datelor ca pilon al capacitării cetățenilor și al abordării UE privind tranziția digitală – doi ani de aplicare a Regulamentului general privind protecția datelor”, Bruxelles, 24.6.2020, COM(2020) 264 final, {SWD(2020) 115 final}.
[23] Toate actele normative (inclusiv actele administrative cu caracter normativ) ar trebui să se înscrie în limitele regulamentului. A se vedea D.-M. Șandru, La vremuri noi, principii vechi. Observații critice privind două expresii nou introduse în art. 5 al Regulamentului General privind Protecția Datelor, în R.R.D.A. nr. 1/2018, p. 83 (majoritatea legilor prevăd obligații pentru operatori, care întemeiază legalitatea prelucrării, dar încalcă în mod vădit minimizarea datelor).
[24] A.-M. Șandru, Privire critică asupra jurisprudenței Curții de Justiție a UE referitoare la interpretarea art. 8 privind protecția datelor cu caracter personal din Carta drepturilor fundamentale a Uniunii Europene (CDFUE), în P.R. nr. 1/2018.
[25] D.-M. Șandru, I. Alexe, Subiectele Regulamentului General privind Protecția Datelor în caleidoscopul nuanțelor de fericire, în P.R. nr. 3/2019, p. 74-80.
[26] Spre deosebire de marii operatori, care au prosperat. A se vedea o analiză privind Facebook și Google din perspectiva dreptului concurenței: D. Geradin, T. Karanikioti, D. Katsifis, GDPR Myopia: how a well-intended regulation ended up favouring large online platforms – the case of ad tech, European Competition Journal, vol. 17, nr. 1/2021, p. 47-92.
[27] Sancțiunea a fost pe măsură, respectiv 250.000 euro, în Franța: Délibération de la formation restreinte n°SAN-2018-012 du 26 décembre 2018 prononçant une sanction pécuniaire à l’encontre de la société X, disponibil online la adresa https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000037856073/.