Prima fază a fost finalizată la sfârșitul anului 2013, când ETSI a publicat primul raport Cloud Standards Coordination. Acesta conține definirea rolurilor în cloud computing; clasificarea a peste 100 de situații de caz referitoare la cloud computing; lista unor organizații relevante pentru standardizarea cloud computing și o selecție de documente, standarde și specificații, precum și rapoarte produse de aceste organizații; clasificarea activităților care trebuie întreprinse de clienții sau furnizorii serviciilor cloud pe durata serviciului (implementare, operare, încetare); și o indexare a documentelor cloud computing selectate (în special standarde și specificații) cu referire la aceste activități.

În noiembrie 2015, ETSI a publicat patru rapoarte ca rezultat al celei de-a doua etape de lucru:

• Cloud Computing Users’ Needs – raport care prezintă rezultatele studiului online realizat în perioada aprilie-septembrie 2015;
• Cloud Computing Standards and Open Source – raport care studiază relația și interacțiunile între standardizare și programele și soluțiile Open Source pentru cloud computing, chestiune nediscutată în prima fază a studiului, dar care între timp a fost considerată ca având o importanță ridicată;
• Interoperability and Security in Cloud Computing – raport care tratează, din perspectiva utilizatorului, problema interoperabilității și securității în cloud computing și legătura dintre ele, precum și modul în care o abordare globală asupra celor două poate crește încrederea în cloud computing;

Cloud Computing Standards Maturity Assessment – raportul principal care actualizează informațiile din documentul rezultat în prima etapă, însă în vreme ce Cloud Standards Coordination trata problema din perspectiva furnizorului, Cloud Computing Standards Maturity Assessment o privește din perspectiva utilizatorului. Raportul actualizează lista standardelor aplicabile în cloud computing și, de această dată, tratează și problema certificării pentru aceste standarde. Indexarea standardelor care pot fi aplicate în funcție de etapa în care se află serviciul de cloud (achiziție/implementare, utilizare, respectiv încetare) este foarte interesantă, pentru că include și semnalarea zonelor unde standardele lipsesc, cu marcarea corespunzătoare a importanței (de exemplu, actualmente nu există standarde pentru monitorizarea administrării incidentelor ori a uptime-ului în faza de utilizare a serviciului cloud, iar importanța este marcată ca fiind critică). De asemenea, raportul analizează principalele griji semnalate de clienții serviciilor cloud și modul cum standardizarea le poate reduce sau elimina. Concluzia generală este aceea de îmbunătățire față de situația din 2013, fiind însă necesară continuarea activității pentru eliminarea zonelor neacoperite de standarde și pentru încurajarea implementării lor.

Raportul, de dimensiuni considerabile, se concentrează pe „supravegherea în masă”, detaliind mecanismele de supraveghere introduse la nivelul Uniunii, precum și remediile de care dispun persoanele interesate să conteste măsurile de supraveghere. Raportul ia în considerare și necesitatea găsirii unui echilibru între, pe de o parte, nevoia de securitate în contextul atacurilor teroriste și al avansului tehnologic care face posibilă monitorizarea la scară largă a comunicațiilor, și, pe de altă parte, dreptul la viață privată și protecția datelor personale.

Raportul FRA vine după ce, în aprilie 2015, Consiliul Europei a adoptat Rezoluția 2045/2015 și Recomandarea 2067/2015, prin care Consiliul Europei a decis că supravegherea în masă dezvăluită de Edward Snowden (care a fost audiat de Consiliu prin video-link) pune în pericol drepturi fundamentale, inclusiv dreptul la viață privată (art. 8 CEDO), dreptul la liberă exprimare (art. 10 CEDO), dreptul la un proces echitabil (art. 6 CEDO) și dreptul la libertatea religioasă (art. 9 CEDO), în special când sunt interceptate comunicări confidențiale cu avocații sau preoții. Consiliul a fost de părere că, în loc să prevină atacuri teroriste, supravegherea în masă contribuie la direcționarea greșită a unor resurse, ceea ce conferă libertate de acțiune unor persoane potențial periculoase. Recomandările Consiliului includ introducerea controlului judiciar pentru colectarea și analizarea datelor (inclusiv meta-date) atunci când are loc fără consimțământul persoanei vizate, și acordarea unei protecții credibile și eficiente pentru avertizorii de integritate care divulgă practici de supraveghere nelegală, precum Edward Snowden.

Aceasta vine după ce, prin hotărârea în cauzele conexate C‑293/12 și C‑594/12 Digital Rights Ireland, Curtea de Justiție a Uniunii Europene a invalidat Directiva 2006/24/CE referitoare la păstrarea datelor generate sau prelucrate în legătură cu furnizarea serviciilor de comunicații electronice accesibile publicului sau de rețele de comunicații publice. De asemenea, legile naționale care au implementat această directivă – Legea nr. 298/2008 și Legea nr. 82/2012 privind reținerea datelor generate sau prelucrate de furnizorii de rețele publice de comunicații electronice și de furnizorii de servicii de comunicații electronice destinate publicului (…) au fost declarate neconstituționale prin deciziile Curții Constituționale nr. 1258/2009 și respectiv 440/2014.

Noua reglementare nu mai este un act normativ dedicat, așa cum au fost legile declarate neconstituționale, ci este integrată în corpul Legii nr. 506/2004. Aceasta nu mai impune termenul minim de 6 luni pentru reținerea datelor (a se vedea articolul 3 alin. 2 din Legea nr. 82/2012), ci prevede că datele trebuie șterse sau anonimizate când nu mai sunt necesare la transmiterea unei comunicări. Acest proces trebuie să aibă loc nu mai târziu de 3 ani de la data efectuării comunicării un termen maxim de 3 ani (noul articol 5 alin. 1 din Legea nr. 506/2004) sau, în cazul în care o autoritate solicită aceste date și notifică necesitatea menținerii datelor, de 5 ani de la data comunicării electronice (noul articol 12 ind. 1 alin. 5).

Legea nr. 506/2004 a primit un nou articol 12 ind. 1 care reglementează modul în care autoritățile pot avea acces la date. Mai exact, solicitanții pot fi instanțele de judecată, organele de urmărire penală ori organele de stat cu atribuții în domeniul apărării și securității naționale; solicitarea de acces poate privi datele de trafic, datele de identificare a echipamentului și datele de localizare, însă spre deosebire de reglementarea anterioară, acum este obligatorie autorizarea prealabilă a judecătorului. Mai mult, solicitanții trebuie să notifice furnizorilor încetarea motivelor care au stat la baza solicitării ori, după caz, pronunțarea unei hotărâri judecătorești definitive.

Expunerea de motive a Legii nr. 235/2015 precizează faptul că au fost avute în vedere criticile anterioare ale Curții Constituționale, subliniind că legea nu impune obligații suplimentare de reținere de date față de cele deja existente și aplicabile „în scopul derulării activităților comerciale proprii, precum și în cadrul activităților de asigurare a serviciilor de comunicații electronice”. Mai mult, explică și faptul că au fost introduse garanții noi pentru a proteja dreptul la viața intimă, familială și privată, enumerând aici faptul că „accesarea datelor poate fi realizată într-un cadru precis delimitat, de către instanța de judecată sau cu autorizarea prealabilă a judecătorului”, precum și faptul că, „atunci când sunt transmise în format electronic, solicitările, respectiv răspunsurile, se semnează cu semnătură electronică extinsă, bazată pe un certificat calificat, eliberat de un furnizor de servicii de certificare acreditat, pentru asigurarea integrității datelor și pentru stabilirea trasabilității acestora”.

Cu toate acestea, expunerea de motive subliniază faptul că Legea nr. 235/2015 nu urmărește înlocuirea Legii nr. 82/2012 și deci nici implementarea Directivei invalidate 2002/58/CE, noua lege neinstituind „o veritabilă obligație de reținere a datelor în afara scopului facturării şi asigurării serviciului de comunicații”, motiv pentru care nu ar mai subzista „necesitatea asigurării unor garanții suplimentare privind prelucrarea şi stocarea acestor date şi nici a instituirii unui alt mecanism de control, garanții solicitate prin Decizia Curții Constituționale nr. 440/2014”.

Merită menționat și faptul că pe data de 24 noiembrie 2015 Consiliul Uniunii Europene a publicat o notă care constată existența unui tratament neunitar în statele membre, ca urmare a hotărârii Digital Rights Ireland, în ceea ce privește reglementarea unei obligații generale de reținere a datelor de comunicații electronice. Nota arată că invalidarea Directivei 2006/24/CE a rezultat în faptul că o serie de state au adoptat sau sunt pe cale să adopte noi reguli cu privire la reținerea datelor, iar în alte state reglementările naționale au fost invalidate de curțile constituționale (cum este și cazul României). Consiliul precizează că această fragmentare a cadrului juridic are un impact asupra eficacității procedurilor penale la nivel național, mai ales în ce privește calitatea și admisibilitatea probelor în instanță, precum și la nivel interstatal în ce privește cooperarea judiciară între statele membre. În acest context, Consiliul invită miniștrii să comenteze cu privire la trei chestiuni:

• Hotărârea Digital Rights Ireland trebuie interpretată în sensul în care este în continuare permisă reținerea în masă a datelor referitoare la comunicații electronice, fără un motiv precis?
• Având în vedere fragmentarea regimului juridic în cadrul Uniunii, ar trebui luat în considerare un răspuns la nivel de Uniune sau situația ar trebui lăsată la aprecierea fiecărui stat membru?
• Ar trebui invitată Comisia să prezinte o nouă inițiativă legislativă, și dacă da, în ce termen?

Este deci posibil ca subiectul unei reglementări europene dedicate în mod expres reținerii datelor asociate comunicațiilor electronice să reapară în discuția publică.

Decizia vine ca urmare a recomandării emise de autoritatea de supraveghere din Belgia pe 13 mai 2015, care conținea o serie de solicitări adresate Facebook cu scopul de a asigura o transparență mai ridicată în ceea ce privește folosirea cookie-urilor și a stopa practica profilării extinse a utilizatorilor și chiar non-utilizatorilor prin cookie-uri (datr) și social plug-ins. Autoritatea a menționat faptul că neimplementarea solicitărilor va fi considerată o încălcare a legii belgiene.

Facebook nu a dat curs solicitărilor, mai ales pe fondul respingerii competenței autorităților din alte state decât Irlanda de a-i reglementa activitatea în Uniunea Europeană, astfel că autoritatea belgiană de supraveghere a inițiat o ordonanță președințială prin care a solicitat întreruperea imediată a încălcării legii de către Facebook.

Instanța a considerat că este competentă să se pronunțe asupra litigiului, contrar apărării Facebook, citând precedentul Google Spain. Urgența măsurii a fost considerată îndeplinită întrucât încălcarea privește drepturi fundamentale, care sunt întotdeauna urgente. De asemenea, încălcarea nu privește drepturile unei singure persoane, ci drepturile unui grup imens, și în plus, datele prelucrate pot avea caracter sensibil. Instanța a constatat că IP-ul și identificatorul unic stocat de Facebook pe terminalul utilizatorilor sunt date cu caracter personal, contrar apărării Facebook că acestea ar identifica doar terminalul.

Pe fond instanța a reținut, asemenea autorității de supraveghere, că Facebook încalcă legea prin întinderea profilării practicate cu privire la persoanele care nu sunt utilizatori ai rețelei sociale, indiferent de scopul în care ar fi prelucrate aceste date. Mai exact, instanța a precizat că Facebook nu poate invoca niciunul din posibilele temeiuri legale pentru prelucrarea prin cookie-uri și social plug-ins a datelor personale ale non-utilizatorilor Facebook, întrucât nu a fost obținut consimțământul acestora şi nici nu există vreun contract cu acestea; mai mult nu există vreo obligație legală de a prelucra aceste date, iar interesul Facebook de a asigura securitatea rețelei nu trece testul proporționalității în comparație cu dreptul fundamental la viață privată a persoanelor fără cont Facebook.

Mai mult, instanța a stabilit că prelucrarea datelor non-utilizatorilor reţelei sociale nu este legală, întrucât aceasta are loc înainte ca cei în cauză să se poată informa complet cu privire la serviciile oferite de Facebook, și chiar împotriva faptului că refuză aceste servicii.

În ceea ce privește nevoia de a asigura securitatea, invocată de Facebook drept motiv pentru prelucrarea cookie-ului de tracking datr, instanța a precizat că „până și un „neinițiat în internet” înțelege că prelucrarea sistematică a cookie-ului datr în sine este insuficientă pentru a combate atacurile menționate de Facebook, deoarece infractorii pot foarte simplu să ocolească acest cookie prin software care blochează instalarea cookie-urilor”. În plus, decizia menționează că există metode mai puțin intruzive de a asigura securitatea, ceea ce înseamnă că prelucrarea datelor persoanelor care nu deţin un cont Facebook este disproporționată.

Facebook a declarat că va ataca hotărârea instanţei belgiene, însă acest lucru nu atrage suspendarea automată a executării deciziei.

Invalidarea în 6 octombrie a Deciziei 2000/520/CE prin hotărârea Curții de Justiție în Cauza C-362/14 Schrems, despre care am scris aici, a schimbat major paradigma transferurilor de date personale din Uniune peste ocean.

Printre primii care au reacționat la vestea invalidării Deciziei 2000/520/CE au fost chiar cei menționați în hotărâre: Max Schrems (devenit între timp doctorand în drept și un promotor fervent al protecției datelor cu caracter personal), prezent la sediul Curții din Luxemburg când a fost făcută publică hotărârea și Edward Snowden (aflat încă în Rusia, singura țară unde nu riscă sancțiuni pentru dezvăluirile făcute în 2013). Mai exact, Snowden a scris pe Twitter că îl felicită pe Schrems, întrucât a schimbat lumea în bine, iar Schrems a publicat un prim punct de vedere la doar câteva ore după pronunțare, în care s-a arătat (în mod previzibil) extrem de mulțumit de hotărârea Curții, pe care a numit-o un punct de cotitură în ceea ce privește dreptul la viață privată în mediul online.

La fel de previzibil, atât presa cât și instituțiile europene și americane au vuit pe tema invalidării recunoașterii acordului Safe Harbor. Reprezentanții Comisiei, puternic pusă la zid pentru îngrădirea puterilor autorităților naționale de supraveghere, au ținut o conferință de presă în chiar ziua pronunțării, vice-președintele Timmermans declarând că vor fi emise reguli clare pentru autoritățile naționale cu privire la tratarea cererilor de transfer de date către Statele Unite, deși hotărârea Curții tocmai afirmase că nu este permis Comisiei să limiteze puterile autorităților naționale.

Oficiali ai Casei Albe și ai Departamentului pentru Comerț din Statele Unite au declarat că se tem de consecințele economice ale invalidării acordului Safe Harbor și că sunt dezamăgiți de faptul că CJUE a anulat un acord care începând din anul 2000 s-a dovedit de o importanță critică în protejarea vieții private și promovarea creșterii economice în SUA și UE, fără să aducă în discuție niciun moment gravitatea încălcării unor drepturi considerate a fi fundamentale în Uniune, reținute de Curte în motivarea sa.

Grupul de Lucru Art. 29, organism care reunește reprezentanții autorităților de supraveghere din statele membre ale Uniunii, a emis o declarație în data de 16 octombrie 2015, prin care a subliniat că transferurile de date care continuă în temeiul Safe Harbor sunt de acum contrare legii. Grupul de Lucru a solicitat statele membre și instituțiile europene să inițieze discuții cu autoritățile americane pentru a găsi soluții tehnice și juridice care să permită continuarea transferurilor de date către Statele Unite, inclusiv prin finalizarea discuțiilor actuale referitoare la noul acord Safe Harbor. O chestiune importantă clarificată de Grupul de Lucru (deși deciziile sale nu au putere obligatorie, însă se bucură de recunoaștere generală) este aceea că celelalte temeiuri pentru transferul de date – anume clauzele contractuale standard și regulile corporatiste obligatorii – pot fi adoptate ca soluții temporare, iar dacă până la sfârșitul lunii ianuarie 2016 nu se găsește o soluție legislativă, autoritățile naționale de supraveghere vor fi obligate să ia toate măsurile necesare și oportune, care pot include sancțiuni coordonate. Nu în ultimul rând, Grupul de Lucru a sfătuit companiile să analizeze implementarea rapidă a unor soluții tehnice și juridice pentru a reduce riscurile și a asigura conformarea cu regulile de protecție a datelor cu caracter personal ca urmare a hotărârii Schrems.

Pe 26 octombrie Comisarul pentru Justiție, Protecția Consumatorilor și Egalitatea de Gen, Věra Jourová, a ținut un discurs în fața Comitetului pentru Libertăți Civile din cadrul Parlamentului European (Comitetul LIBE) în care a salutat declarația Grupului de Lucru Art. 29 însă a subliniat nevoia de claritate suplimentară până la finalul lunii ianuarie 2016. În acest context, ea a anunțat că în cadrul Comisiei va fi pregătit în viitorul apropiat un document explicativ cu privire la consecințele hotărârii Schrems cu scopul de a oferi îndrumare organizațiilor în ceea ce privește transferurile internaționale de date. Documentul menționat a fost publicat de Comisie pe 6 noiembrie (detalii mai jos).

Autoritatea de supraveghere din România (Autoritatea Națională pentru Supravegherea Prelucrării Datelor cu Caracter Personal – ANSPDCP) a publicat în 19 octombrie 2015 un comunicat de presă prin care precizează faptul că începând cu 6 octombrie 2015 nu mai înscrie în registrul de evidență a prelucrărilor de date cu caracter personal prelucrările/transferul datelor cu caracter personal către entități din Statele Unite ale Americii în baza principiilor Safe Harbour, dar totodată confirmă faptul că efectuarea transferurilor în SUA se poate realiza în baza celorlalte garanții de transfer – clauze contractuale standard și reguli corporatiste obligatorii, precum și, în subsidiar, în situațiile în care transferul este întotdeauna permis prevăzute de art. 30 din Legea nr. 677/2001.

Pe 26 octombrie 2015 autoritățile federale de supraveghere din Germania au emis o poziție comună cu privire la Safe Harbor și posibilele alternative pentru transferul datelor cu caracter personal către Statele Unite. Documentul conține 14 declarații în legătură cu decizia Schrems, concluzia generală fiind una extrem de negativă și în totală contradicție cu poziția Grupului de Lucru – mai exact, potrivit poziției autorităților germane transferul de date către Statele Unite nu mai poate avea loc decât cu titlu limitat. Câteva din afirmațiile cele mai importante din poziția comună includ:

• Ca urmare a deciziei Safe Harbor autoritățile germane pun sub semnul întrebării legalitatea transferului de date către Statele Unite în baza altor mecanisme de transfer, cum sunt clauzele contractuale standard sau regulile corporatiste obligatorii (BCR). De altfel, documentul precizează că la acest moment autoritățile respective nu mai emit noi autorizații de transfer în temeiul BCR sau contractelor ce conțin clauze standard;
• În măsura în care le este adus la cunoștință, autoritățile germane vor interzice transferurile de date către Statele Unite bazate exclusiv pe Safe Harbor;
• În exercitarea puterilor de autorizare a transferului de date conferite de articolul 4 al deciziilor Comisiei care aprobă clauzele contractuale standard (Decizia 2004/915/CE și Decizia 2010/87/CE), autoritățile germane vor implementa principiile formulate de CJUE. Autoritățile germane vor verifica în special dacă reglementările din statele destinatare aduc atingere substanței dreptului fundamental la respectarea vieții private sau nu respectă substanța dreptului fundamental la o protecție jurisdicțională efectivă (par. 94 și 95 din hotărârea CJUE);
• Consimțământul poate constitui temeiul transferului de date cu caracter personal numai sub condiții foarte stricte, iar în ce privește datele angajaților, numai cu titlu excepțional;
• Transferul de date către SUA nu trebuie să fie masiv sau să intervină în mod uzual ori repetat.

Pe 27 octombrie 2015 David Smith, Comisar adjunct și Director pentru Protecția Datelor cu Caracter Personal în cadrul Information Commissioner’s Office din Marea Britanie a publicat o opinie prin care sfătuiește companiile britanice să nu intre în panică și să nu se grăbească să adopte alte temeiuri suboptime pentru transfer, subliniind că nici măcar consimțământul nu este întotdeauna un temei adecvat. Totuși, din punct de vedere practic aceleași societăți sunt sfătuite să își facă o analiză proprie, începând cu un inventar al categoriilor de date cu caracter personal pe care le transferă înafara Uniunii, către ce stat, și ce măsuri au fost luate pentru a asigura protecția adecvată, iar apoi să decidă singure dacă imaginea rezultantă este una potrivită în lumina ghidului ICO cu privire la transferurile internaționale. Autorul menționează și faptul că e posibil ca în viitorul apropiat să intervină aprobarea noului acord Safe Harbor, care ar elimina multe din problemele practice de astăzi.

Autoritatea pentru Drept, Informație și Tehnologie din Israel (ILITA) a anunțat pe 19 octombrie 2015 că acordul Safe Harbor nu mai constituie un temei legitim pentru transferul datelor cu caracter personal din Israel către Statele Unite. Legea locală prevede că transferul internațional de date este permis către state unde acest drept este recunoscut și de către Uniunea Europeană, iar în lumina Deciziei 2000/520/CE care prevedea că societățile din Statele Unite care respectă principiile Safe Harbor oferă un „nivel de protecție adecvat” pentru datele cu caracter personal în conformitate cu Directiva 95/46/CE, ILITA a considerat că aceste societăți se încadrează în excepția reglementată de legea israeliană. Cu toate acestea, ca urmare a invalidării Deciziei 2000/520/CE ILITA și-a revizuit poziția în sensul în care companiile nu se mai pot preleva de excepția menționată ca temei al transferului de date cu caracter personal din Israel către companii din Statele Unite.

La scurt timp, pe 22 octombrie 2015, Comisarul pentru protecția datelor din Elveția a declarat că, în lumina deciziei CJUE în cazul Schrems, acordul Safe Harbor nu mai constituie nici în Elveția un temei juridic suficient pentru transferul datelor cu caracter personal din Elveția către Statele Unite în conformitate cu legea elvețiană a protecției datelor cu caracter personal.

Comisia Europeană a emis în 6 noiembrie o comunicare cuprinzând orientări privind transferul transatlantic de date, precum și un set de întrebări și răspunsuri (Q&A) cu privire la Safe Harbor. În comunicare Comisia a precizat că poartă discuții cu guvernul american, cu intenția de a finaliza cadrul actualizat pentru transferurile transatlantice de date personale în decurs de trei luni. Cadrul actualizat trebuie să conțină, potrivit Comisiei, limitări și garanții suficiente pentru a asigura protecția datelor personale ale cetățenilor europeni, inclusiv în ce privește accesul autorităților publice cu atribuții în domeniul justiției și securității naționale.

Până la adoptarea unui cadru juridic nou, operatorii pot folosi celelalte temeiuri legale pentru transferul de date către Statele Unite, comunicarea Comisiei incluzând orientări cu privire la fiecare dintre acestea (clauze contractuale, reguli corporatiste obligatorii BCR pentru transferuri intra-grup, derogări).

În ce privește transferurile întemeiate pe contracte, Comisia a subliniat că acestea trebuie să compenseze în mod satisfăcător absența unui nivel general de protecție adecvată, prin includerea unor elemente esențiale de protecție care lipsesc în orice situație particulară. Părțile pot recurge la clauzele contractuale standard aprobate de Comisie, caz în care în principiu autoritățile naționale vor fi obligate să le accepte. Totuși, deși în principiu autoritățile de supraveghere nu ar putea refuza transferul pe motiv că clauzele contractuale standard nu oferă un nivel de protecție adecvat, nimic nu împiedică autoritățile să examineze clauzele standard din prisma hotărârii în cauza Schrems iar, în caz de dubiu, să solicite instanțelor naționale să se pronunțe, cele din urmă putând transmite întrebări preliminare Curții Uniunii. Comisia precizează că există state membre unde pentru clauzele contractuale standard este păstrată cerința notificării sau autorizării (România făcând parte din cea de-a doua categorie), caz in care autoritățile de supraveghere trebuie să compare clauzele contractuale folosite de părți cu clauzele contractuale standard, pentru a verifica dacă există diferențe. Dacă clauzele au fost folosite fără modificări, autorizarea este, în principiu, acordată automat. Comisia mai arată și faptul că, urmare a contractului, atât exportatorul cât și importatorul de date intră sub supravegherea autorității naționale relevante.

În ce privește temeiurile derogatorii – în principal consimțământ neechivoc, executarea unui contract, exercitarea unui drept în justiție – Comisia reia poziția mai veche a Grupului de Lucru Art. 29 menționând că acestea sunt de strictă interpretare, și că transferuri repetate, în masă sau structurale trebuie efectuate cu garanții corespunzătoare și, dacă este posibil, în baza unui temei specific cum ar fi contractul sau regulile corporatiste obligatorii.

Mai mult, întemeierea transferului pe derogările prevăzute în directivă trebuie să îndeplinească două condiții – colectarea și prelucrarea primară a datelor trebuie să fi fost legitimă în sine, iar operatorii de date rămân responsabili de asigurarea unei protecții efective a datelor la folosirea temeiului alternativ.

Comisia va revizui și celelalte decizii de constatare a unui nivel de protecție adecvat, întrucât toate conțin o prevedere similară cu cea din Decizia invalidată 2000/520/CE, în sensul limitării puterii de apreciere a autorităților naționale.

La scurt timp după publicarea materialelor de către Comisie, pe 19 noiembrie, și autoritatea franceză de supraveghere (CNIL) a publicat propriile orientări și propriul set de întrebări și răspunsuri. CNIL a menționat că autoritățile de supraveghere din statele membre încă analizează impactul hotărârii Schrems cu privire la regulile corporatiste obligatorii și la clauzele contractuale standard, dar că au decis să permită operatorilor să le folosească în continuare pe termen limitat. CNIL precizează că cel mai potrivit temei sunt clauzele contractuale standard, operatorii fiind îndrumați să implementeze acest mecanism. Orientarea CNIL nu menționează și nu face nicio apreciere cu privire la posibilitatea întemeierii transferului pe situațiile derogatorii, nici măcar în ce privește consimțământul. CNIL a precizat totuși că operatorii trebuie să își modifice notificările până la sfârșitul lunii ianuarie 2016, când fie să indice faptul că transferul a încetat, fie că are la bază un alt temei (în principal clauzele standard).

Safe Harbor generația a doua

În discursul ținut pe 26 octombrie în fața Comitetului LIBE, Comisarul pentru Justiție, Protecția Consumatorilor și Egalitatea de Gen, Věra Jourová, a vorbit și despre situația negocierilor purtate cu Statele Unite în ce privește noul acord Safe Harbor. Ea a clarificat faptul că scopul negocierilor este acela de a asigura și în Statele Unite un regim de protecție echivalent, nu neapărat identic, cu cel din Uniunea Europeană în ce privește datele cu caracter personal.

Comisarul a menționat că s-a ajuns la un acord în principiu cu privire la un nou sistem de auto-certificare cu „mecanisme eficiente de detectare și de supraveghere”, precum și că interfața și canalele de comunicare cu autoritățile naționale de supraveghere și Departamentul pentru Comerț al SUA vor fi îmbunătățite, autoritățile de supraveghere urmând să fie mai active și mai vizibile în rolul de a revizui funcționalitatea noului sistem. Modalitatea concretă în care aceste angajamente vor respecta hotărârea Schrems este încă în discuție, cum este și implementarea unui mecanism anual de verificare comună care să acopere toate aspectele legate de funcționalitatea noului sistem, inclusiv folosirea excepțiilor de securitate națională.

Věra Jourová a mai precizat și că au fost realizate progrese pentru ca Statele Unite să ofere o protecție sporită cetățenilor europeni, fiind propusă acordarea unor drepturi rezervate până acum doar cetățenilor americani (U.S. Bill of Judicial Redress, care oferă protecție cetățenilor americani potrivit U.S. Privacy Act), iar Comisia salută aceste inițiative și analizează măsurile propuse.

Cu toate acestea, doar o zi mai târziu, pe 27 octombrie, Senatul american a aprobat o propunere controversată de lege a securității cibernetice (cunoscută sub acronimul „CISA”), despre care numeroși activiști – inclusiv Edward Snowden – au avertizat că oferă instituțiilor americane posibilitatea legală de a avea acces la informații confidențiale fără a fi supuse unui control.

Mai mult, pe 29 octombrie Parlamentul European a adoptat o rezoluție prin care reclamă lipsa acțiunilor din partea Comisiei și a statelor membre pentru a proteja drepturile fundamentale ale cetățenilor în fața supravegherii electronice în masă, în conformitate cu rezoluția Parlamentului din 12 martie 2014. Noua rezoluție solicită Comisiei să asigure că toate transferurile de date către Statele Unite sunt supuse unui nivel de protecție efectiv și substanțial echivalent cu cel garantat în Uniunea Europeană, și să analizeze de urgență impactul hotărârii Schrems asupra celorlalte temeiuri de transfer de date către Statele Unite, urmând să elaboreze un raport pe această chestiune până la finalul anului 2015.

În ce privește negocierile pentru noul acord Safe Harbor, comisarul Věra Jourová a efectuat o vizită la Washington la mijlocul lunii noiembrie, ocazie cu care a declarat că s-au făcut deja progrese ca urmare a faptului că SUA s-au angajat ca Department of Commerce să asigure o supraveghere mai strânsă și să existe o cooperare mai mare între autoritățile europene de supraveghere și Federal Trade Commission, ceea ce va schimba sistemul dintr-unul de autocertificare într-unul proactiv. Comisarul a mai declarat că se lucrează de asemenea la crearea unui mecanism comun de audit anual care să acopere toate aspectele funcționării noului cadru, incluzând folosirea excepțiilor în scop de justiție și securitate națională.

Până la adoptarea unui cadru juridic nou, unele companii iau deja măsuri proprii. Oracle a anunțat din octombrie faptul că își va construi data centere în Uniunea Europeană, însă această abordare s-ar putea să nu fie suficientă. Sub acest aspect este de o importanță critică decizia pe care instanța din New York o va da în dosarul Matter of a Warrant to Search a Certain E-Mail Account Controlled and Maintained by Microsoft Corporation (pe scurt Microsoft v. United States) în care Department of Justice din Statele Unite a solicitat Microsoft Corporation să pună la dispoziție informații dintr-un cont de e-mail outlook.com al unui cetățean european, deși datele sunt localizate în Irlanda. Microsoft a pierdut în primă instanță, iar acum executarea este suspendată până la judecarea recursului. În favoarea Microsoft au intervenit o pleiadă de terți rar întâlniți în aceeași enumerare: multe societăți din domeniul IT (între care Apple, Cisco, AT&T, Verizon, Amazon, Verizon, Cisco, HP, eBay, Salesforce.com), din presă (ABC, CNN, Forbes, Fox News, National Public Radio, The Guardian, The Washington Post), multiple asociații profesionale, specialiști IT, Digital Rights Ireland (cea care a dat denumirea hotărârii CJUE de invalidare a directivei de retenție a datelor), Republica Irlanda și europarlamentarul Jan Philipp Albrecht, toți depunând amicus briefs care se regăsesc în întregime aici.

În acest context incert cu privire la soluția definitivă, Microsoft a recurs la o soluție inovatoare – folosirea unui „fiduciar de date”, astfel încât nici măcar Microsoft să nu poată avea acces la date. Fiduciarul este T-Systems, o filială Deutsche Telekom, deci o companie cât se poate de respectabilă situată în mod strategic în Germania, țara cu reputația de a avea cel mai drastic regim al datelor cu caracter personal din Uniune. Microsoft transmite astfel un mesaj foarte clar atât autorităților din Statele Unite, care dacă vor acces la date vor trebui să se adreseze fiduciarului, cât și clienților, care vor avea mai multă încredere în serviciul furnizat în acest mod. Izolarea datelor prin modelul fiduciarului este o evoluție majoră, mai ales atât de rapid după decizia Curții în cauza Schrems, având potențialul de a influența puternic abordările viitoare.

Ediția iunie 2015 este disponibilă şi la adresa http://www.tuca.ro/_popup/?artno=87 sau poate fi descărcată la linkul Cloud Computing in Eastern Europe-2nd Edition.

În materie de regim juridic, în România ca şi în Uniunea Europeană în general, stocarea de cookies pe terminalele utilizatorilor este condiţionată de acordul expres (art. 4 alin. 5 din Legea nr. 506/2004). Însă faptul că un site solicită acest acord nu înseamnă şi că oferă informaţii complete, corecte şi mai ales uşor de înţeles cu privire la datele care se colectează, durata şi scopul prelucrării acestora. Un site poate folosi cookies pentru a stoca preferinţele utilizatorului (de exemplu, reţinerea identităţii la logarea ulterioară), pentru a-şi analiza traficul, pentru a implementa platforme de comentarii ori soluţii de plată, etc, iar toate acestea sunt justificate şi perfect acceptabile. Dar nu acelaşi lucru se poate spune despre cookie-urile care analizează istoricul de navigare pe o perioadă de multe ori foarte lungă pentru a furniza publicitate comportamentală (adică particularizată tocmai în funcţie de acel istoric), sau de cele asociate plugin-urilor reţelelor de socializare implementate pe site-uri terţe, prin care vizitatorii pot selecta un buton pentru a aprecia sau distribui o anumită informaţie/pagină (Like, Share, Tweet, +1) însă care colectează date despre utilizatorii logaţi în reţelele respective de socializare, chiar dacă butoanele nu sunt folosite.

Colectarea datelor referitoare la navigarea pe internet nu are, de cele mai multe ori, un scop ilegal sau imoral. Însă pe lângă riscul ca aceste informaţii să fie furate, compromise ori divulgate, riscul major este ca aceste informaţii să fie folosite, poate chiar de cei care le-au colectat, împotriva utilizatorului – de exemplu, preţul unui produs să fie mai mare în funcţie de istoricul de navigare. Tocmai de aceea, în materia asigurării securităţii şi confidenţialităţii navigării pe internet, primul şi totodată cel mai eficient responsabil este chiar utilizatorul în sine. Având în vedere acest lucru, am pus laolaltă mai jos câteva mijloace care facilitează asigurarea unui trafic pe internet fără urme colectate de diverse servicii online. Trebuie menţionat că unele din acestea (în special add-on-urile pentru browser) pot conduce la o navigare mai anevoioasă, de exemplu prin necesitatea logării mai dese.

I. Setările browserului

Browserele, dispozitive mobile și aplicațiile sunt de multe ori setate implicit pentru a partaja datele personale. Ca urmare, fiecare utilizator trebuie să verifice şi, la nevoie, să modifice aceste setări – există resurse online pentru a învăţa cum să ajustaţi setările de privacy în toate marile browsere, ori pe terminalele mobile.

II. Setările privind publicitatea comportamentală

Dacă vreţi să nu primiţi publicitate comportamentală, atunci puteţi administra această opţiune pentru mai multe platforme o dată, pe portalul dedicat http://www.youronlinechoices.com/ro/optiunile-mele. Desigur, asta nu înseamnă dispariţia publicităţii, oricât de supărătoare ar fi ea, ci doar că reclamele plasate de site-urile indicate (în prezent 96 societăţi) nu vor ţine cont de istoricul de navigare şi, implicit, şi că acest istoric nu va fi monitorizat. Alte cookie-uri nu vor fi afectate.

III. Aplicaţii dedicate pentru browser

În materie de browsere, Firefox stă foarte bine la capitolul privacy, având atât opţiunea de a comunica site-urilor să nu monitorizeze traficul, cât şi o modalitate de stocare locală criptată a parolelor. În plus, i se pot adăuga o sumedenie de extensii care să sporească confidenţialitatea navigării.

De exemplu, Ghostery este o extensie care blochează o sumedenie de cookie-uri, widget-uri şi beacon-uri folosite de diverse servicii. Are o interfaţă prietenoasă şi afişează pe fiecare site accesat ce mijloace de tracking a găsit şi dacă sunt blocate sau nu. Funcţionează atât cu reguli permanente, cât şi cu opţiuni temporare selectate de la caz la caz.

De asemenea, Better Privacy este o extensie specifică Firefox şi care şterge un tip special de cookie-uri numite LSO (local shared objects) sau Flash cookies. Spre deosebire de cookie-urile normale, LSO nu sunt stocate în browser şi deci nu pot fi administrate de acesta şi nici blocate de Ghostery.

Nu în ultimul rând, Blur (până recent DoNotTrackMe) este un serviciu foarte complex, care oferă adrese de email mascat cu autoforward la o adresă master (Masked Emails), blocarea trackerelor (asemănător cu Ghostery), administrarea parolelor şi un serviciu de portofel electronic a cărui componentă principală, Masked Cards (creează un număr de card nereal care se trimite comerciantului), nu este disponibilă decât în SUA. Blur este foarte util dacă nu vreți ca toate site-urile pe care vă creați cont să dețină adresa reală de email, în schimb doriți să puteți citi toate mesajele de pe o singură adresă, şi este şi foarte uşor de folosit. Ca efect secundar, în cazul spam-urilor primite pe o adresă mascată, se poate vedea exact pentru ce site ați creat-o și, deci, ce site nu asigură confidenţialitatea datelor.

Alte extensii care contribuie la sporirea confidenţialităţii includ HTTPS Everywhere, AdBlock Plus, Beef Taco (Targeted Advertising Cookie Opt Out) – doar pentru Firefox, şi toată colecţia de add-on-uri privacy pentru Firefox facută de Mozilla.

În plus faţă de cele de mai sus, Ghidul de confidenţialitate ApTI şi infograficul 9 Tips for Keeping Your Internet Usage Private sunt cu siguranţă lecturi necesare.

Spor la navigare privată!

Astfel, potrivit comunicatului de presă, Curtea Constituțională a reținut că întregul act normativ încalcă următoarele articole din Constituție:

• 1 alin. (5) din Constituție, care consacră principiul legalității, este încălcat prin deficiențele sub aspectul respectării normelor de tehnică legislativă, coerență, claritate și previzibilitate;
• 119, referitoare la atribuțiile C.S.A.T, este încălcat prin lipsa avizului Consiliului Suprem de Apărare a Tarii;
• 1 alin.(3), (4) și (5) referitoare la principiul statului de drept, principiul separației puterilor în stat, respectiv principiul legalității;
• 21 alin.(1) și (3) referitor la accesul liber la justiție și dreptul la un proces echitabil;
• 26 privind viața intimă, familială și privată;
• 28 referitor la secretul corespondenței;
• 53 privind restrângerea exercițiului unor drepturi sau al unor libertăți.

Prevederi punctuale din Legea securității cibernetice care încalcă Constituția sunt:

• definirea noțiunii de „deținători de infrastructuri cibernetice” (art.2);
• desemnarea Serviciului Român de Informații ca autoritate națională în domeniul securității cibernetice (art.10);
• lipsa garanțiilor legale (autorizarea de către o instanță judecătorească) aferente respectării obligației deținătorilor de infrastructuri cibernetice de a permite accesul reprezentanților autorităților competente la datele deținute, relevante în contextul solicitării (art.17);
• lipsa reglementării prin lege a criteriilor în funcție de care se realizează selecția infrastructurilor cibernetice de interes național, cât și a modalității prin care se stabilesc acestea (art. 19);
• autoritatea care efectuează auditarea de securitate cibernetică (art. 20 lit.c));
• lipsa reglementării prin lege a circumstanțelor în care este necesară notificarea, precum și a conținutului acesteia (art. 20 lit.c));
• lipsa consacrării legale a controlului judecătoresc cu privire la actele administrative emise de autoritățile competente și care sunt susceptibile a prejudicia drepturi sau interese legitime (art. 16-23);
• lipsa predictibilității normelor referitoare la procedurile de monitorizare și control, respectiv a celor privind constatarea și sancționarea contravențiilor (art. 27, 28, 30);
• lipsa garanțiilor legale (autorizarea de către o instanță judecătorească) aferente respectării obligației deținătorilor de infrastructuri cibernetice de a permite autorităților competente să efectueze inspecții, inclusiv inopinate, la orice instalație, incintă sau infrastructură (art.27 alin. (2)).

Această decizie se alătură altor două decizii de neconstituționalitate pronunțate anul trecut, una cu privire la legea privind reținerea datelor de trafic, și cealaltă cu privire la cartelele pre-pay, ambele explicitate de Curte printr-o adresă din septembrie 2014.

În plus, decizia Curții Constituționale este în același spirit cu o recentă opinie a serviciului juridic al Parlamentului European (încă nepublicată oficial), în care se analizează consecinţele hotărârii Curţii de Justiţie în Cauzele C-293-12 şi C-594/12 și în cadrul căreia există o analiză general valabilă cu privire la condiţiile în care dreptul la viaţă privată poate fi limitat prin lege. Aceste condiţii includ:
a) actul normativ de limitare trebuie să prevadă măsuri clare şi precise pentru a limita interferenţa la ceea ce este „strict necesar”, în special prin introducerea unor „măsuri de protecţie minimale” şi „garanţii suficiente”
b) măsurile trebuie să fie limitate în timp iar legea să prevadă o perioadă după care datele obţinute să fie distruse.
c) respectarea principiului proporţionalităţii potrivit art. 52(1) din Carta Drepturilor Fundamentale UE, ceea ce implică (între altele):
i) Aplicarea accesului la date trebuie să fie justificată de existenţa unor suspiciuni fundamentate pe probe care leagă persoana vizată, direct sau indirect, de săvârşirea unor infracţiuni grave;
ii) Măsurile trebuie să fie restrânse la (i) o anumită perioadă de timp, zonă geografică sau cerc de persoane probabil a fi implicate, sau (ii) persoane care ar putea contribui la prevenirea, detectarea sau anchetarea infracţiunilor grave.
iii) Actul normativ trebuie să prevadă criterii obiective în funcţie de care să fie determinate limitele dreptului de acces la date şi utilizarea subsecventă;
iv) Accesul la date al autorităţilor competente trebuie supus unor condiţii substanţiale şi procedurale, având criterii obiective potrivit cărora numărul persoanelor autorizate să aibă acces la date este limitat la strictul necesar;
v) Accesul la date de către autorităţile competente trebuie supus controlului anterior efectuat de o instanţă sau de un organism administrativ independent.

Explozia de popularitate a aplicațiilor de social media a înlăturat aproape în totalitate barierele comunicării de masă. Cu un slide și două-trei tap-uri pe ecranul telefonului, utilizatorul Facebook poate distribui gânduri sau imagini de zeci de ori mai repede decât redactorii oricărei publicații și-ar fi închipuit nu cu foarte mulți ani în urmă. Libertatea de exprimare, augmentată de succesul aplicațiilor de social media nu înseamnă totuși renunțarea la sau limitarea protecției valorilor sociale tradiționale, inclusiv a dreptului la ocrotirea vieții private.

I. Dreptul la imagine

La nivel de principiu, captarea imaginii (fotografierea) unei persoane ori utilizarea acestei imagini (inclusiv prin distribuiri pe site-urile de socializare) sunt interzise în absența consimțământului prealabil al persoanei fotografiate, sau, în cazul minorilor, în absența consimțământului prealabil al reprezentanților legali. Totuși, dreptul la imagine nu este un drept absolut, iar fotografierea și utilizarea imaginii unei persoane sunt permise chiar în lipsa unui consimțământ prealabil atunci când acestea se fac cu bună credință în exercitarea altor drepturi fundamentale cum este, de exemplu, dreptul la libera exprimare.

Delimitarea dreptului la imagine de dreptul la liberă exprimare nu este un exercițiu simplu, iar instanțele de judecată sunt de multe ori puse în situația de a cântări atent limitele acestor drepturi fundamentale atunci când sunt chemate să decidă dacă utilizarea imaginii unei persoane satisface sau nu exigențele legale. În efortul de a trasa granița între dreptul la imagine și dreptul la liberă exprimare, legea și practica judiciară au definit câteva reguli principiale.

Fotografierea unei persoane aflate într-un spațiu privat, indiferent că acel spațiu îi aparține ei sau altei persoane, fără acordul acesteia, este de principiu interzisă, indiferent dacă este urmată sau nu de utilizarea acelei imagini sau înregistrări (art. 74 lit. c) din Noul Cod Civil). Mai mult decât atât, în condițiile Codului Penal[1] fotografierea unei persoane aflate în spații private fără consimțământul său ar putea reprezenta infracțiune pedepsită cu amendă sau chiar închisoare.

La polul opus se află situația fotografierii / utilizării imaginii unei persoane surprinse într-un loc public în desfășurarea unei activități publice (artiștii care susțin un concert, sportivii care participă la un eveniment sportiv etc.) caz în care, de principiu, utilizarea imaginii persoanei respective fără acordul său nu încalcă legea dacă nu aduce atingere reputației ori demnității sale.

Situațiile cel mai des întâlnite și care generează conflicte legale sunt acelea când, fără acordul său, se utilizează imaginea unei persoane surprinse într-un loc public, însă în desfășurarea unei activități private (de exemplu, persoanele din publicul unui concert sau unui eveniment sportiv). Legea nu consacră regula conform cu care tot ce se întâmplă pe domeniul public poate fi filmat sau fotografiat. Dreptul la imagine ar suferi o restrângere nejustificată dacă el ar putea fi exercitat numai în limitele spațiilor private. Activitățile curente presupun deplasarea și prezența individului în spații și locuri publice, iar a considera că această alegere reprezintă o opțiune în sensul acceptării unei expuneri către publicul larg ar conduce la concluzia forțată că o persoană va putea să păstreze intimitatea activităților sale zilnice numai dacă ar rămâne în permanență în securitatea unui spațiu privat[2]. Din acest motiv, fotografierea și utilizarea imaginilor cu activități private desfășurate în locuri publice sunt legale numai dacă înregistrările sunt utilizate cu bună-credință. Aceasta impune existența unui interes legitim[3] care să justifice fotografierea și utilizarea, interes care trebuie să existe inclusiv la momentul fotografierii (de ex. surprinderea unor fapte nelegale). În caz contrar, utilizarea cu bună-credință este pusă sub semnul întrebării, iar persoana în cauză se va putea opune utilizării imaginii sale.

Într-o situație specială se află persoanele general cunoscute, fie deoarece ocupă o funcție care implică desfășurarea unor activități publice (de exemplu membrii Parlamentului, Guvernului și ai altor autorități publice), fie datorită domeniului în care profesează (actori, cântăreți sau alte categorii de artiști și persoane larg cunoscute). În primul caz, fotografierea și utilizarea imaginilor sunt mai permisive, notorietatea persoanei conferind o notă de „publicitate” activităților sale, corespunzătoare unei nevoi de informare mai acute a publicului larg. În cel de-al doilea caz, activitățile private ale persoanelor general cunoscute vor putea fi surprinse fără acordul lor dacă există un interes legitim al publicului larg de a cunoaște conduita acestora în timpul nealocat activității ce presupune expunere.

Reglementări similare există și în alte state. De exemplu, în Franța a fost sancționată situația în care imaginea unei persoane, surprinsă în public, a fost utilizată fără acordul său într-un context care urmărește să dea o altă dimensiune imaginii, plasând individul într-o ipostază diferită de cea inițială[4]. De asemenea, instanța supremă franceză a decis[5] că informarea publicului cu privire la consecințele unui eveniment trebuie să se facă cu respectarea demnității persoanei[6].

Jurisprudența franceză recunoaște la rândul său un regim special pentru persoanele publice[7]; este prezumată existența consimțământului ca parte a activității publice sau profesiei, cu condiția ca imaginea să fie utilizată în scopuri de informare și non-comerciale. În aceeași notă, doctrina italiană susține principiul conform cu care publicarea imaginii unei persoane fără consimțământul acesteia este permisă atunci când subiectul este o persoană cunoscută, dacă publicarea este necesară pentru înfăptuirea justiției sau pentru realizarea unor interese generale ale societății[8].

II. Distribuirea portretelor în general

Fotografierea și distribuirea imaginii unei persoane fără acordul acesteia trebuie să se facă cu responsabilitate, astfel încât să se asigure un just echilibru între libertatea de expresie, nevoia publicului de informare și respectarea vieții private. O relație de prietenie între cel care utilizează imaginea și persoana vizată nu este de natură să „legalizeze” utilizarea imaginii primului fără acordul său, însă ar putea să aibă relevanță sub aspectul existenței unui acord implicit al persoanei portretizate.[9] De asemenea, art. 76 din Codul civil prezumă acordul persoanei fotografiate pentru utilizarea imaginii sale atunci când respectiva persoană a oferit fotografia unei persoane despre care cunoștea că își desfășoară activitatea în domeniul informării publicului (de exemplu unui fotoreporter).

În plus față de cele de mai sus, publicarea fotografiei unei persoane constituie prelucrare a datelor cu caracter personal ale persoanei în cauză. În conformitate cu legislația specială în materia prelucrării datelor personale (Legea nr. 677/2001[10]), persoanele vizate au dreptul să se opună prelucrării datelor lor (în cazul de față, utilizarea imaginii), putând obliga pe cel care publică imaginile în cauză să le șteargă. În măsura în care persoana vizată suferă o vătămare morală, iar încetarea utilizării imaginii nu este suficientă pentru a acoperi această vătămare, instanța de judecată poate obliga pe autorul utilizării să plătească daune morale. În plus, refuzul de a șterge imaginile relevante conform dispozițiilor instanței poate atrage obligarea celui în cauză să plătească o amendă stabilită pe zi de întârziere până la conformarea cu decizia instanței de judecată.

III. Distribuirea portretelor în cazul particular al rețelelor de socializare

Pe lângă considerentele de ordin juridic general expuse mai sus, rețelele de socializare au și condiții proprii referitoare la distribuirea de fotografii, inclusiv cele în care sunt portretizate persoane. În cele ce urmează vom analiza situația particulară a distribuirii fotografiilor pe Facebook, fiind rețeaua de socializare cu cei mai mulți utilizatori și, deci, cea mai reprezentativă.

Politica Facebook este, în linii mari, că utilizatorii sunt răspunzători pentru legalitatea conținutului postat. Cu titlu special, Standardele Comunității Facebook[11] prevăd faptul că înainte să distribui conținut pe Facebook trebuie să te asiguri că ai dreptul să faci acest lucru, și totodată că nu trebuie să publici informațiile personale ale altor persoane dacă nu ai consimțământul acestora, ceea ce înseamnă că fiecare utilizator în parte trebuie să aibă consimțământul persoanelor fotografiate pentru a le distribui pe Facebook. Facebook are implementate și remedii pentru situațiile în care cerințele indicate nu sunt respectate. Mai exact, persoanele care se consideră lezate prin publicarea unor imagini fără acordul lor, au la îndemână posibilitatea raportării imaginilor[12]. În cazul în care raportarea se întemeiază pe încălcarea drepturilor de proprietate intelectuală, exista două opțiuni: solicitarea ca utilizatorul să șteargă imaginea, sau raportarea către Facebook pe motiv că imaginea încalcă drepturile persoanei vizate. În cel de-al doilea caz dacă, în urma verificării, Facebook constată că într-adevăr au fost încălcate Standardele Facebook, atunci va înlătura imaginea respectivă fără a solicita implicarea utilizatorului care a distribuit imaginea.

O chestiune mai puțin perceptibilă utilizatorilor obișnuiți ai rețelelor de socializare este faptul că termenii și condițiile serviciilor respective pot prevedea faptul că utilizatorii acordă deținătorilor rețelei dreptul de a utiliza fotografiile postate. De exemplu, în 2013 s-a creat ceva vâlvă atunci când Facebook a propus modificarea condițiilor sale pentru a dobândi dreptul de a folosi conținutul utilizatorilor în legătură cu publicitatea făcută de terți pe rețeaua de socializare, însă limbajul foarte invaziv a fost modificat. La fel, termenii Instagram se doreau modificați în așa fel încât rețeaua (deținută tot de Facebook) să poată folosi fotografiile postate.

Este important de precizat că Facebook poate fi considerat spațiu public, cu unele nuanțări. Cea mai clară situație este cea în care postările au setarea de audiență ca „public”. Aceasta deoarece postarea respectivă devine accesibilă oricui, fie că vorbim de prieteni sau followeri cărora postarea le apare în fluxul de știri, de alți utilizatori care au un link direct la postarea respectivă, sau chiar persoane care nu sunt logate sau nu au cont de Facebook, și care găsesc postarea respectivă prin motoare de căutare sau linkuri postate pe alte pagini de internet. Practic, în momentul în care un utilizator distribuie ceva pe Facebook cu setare de audiență publică, diseminarea informației respective este teoretic nelimitată.

Situația mai puțin clară este cea în care utilizatorul are setarea de audiență limitată la prieteni. Într-o decizie recentă[13], Curtea de Apel Mureș a decis că „rețeaua de socializare Facebook nu poate echivala, sub aspectul controlului mesajelor difuzate cu o căsuță poștală electronică”, iar profilul personal pe Facebook „chiar dacă este accesibil doar prietenilor adică unui grup restrâns de persoane, tot public este, oricare dintre „prieteni” putând distribui informațiile postate de titularul paginii, aspecte pe care reclamantul îl cunoștea”. Cu alte cuvinte, în opinia instanței nici setarea de audiență limitată la prieteni nu modifică publicitatea conținutului distribuit, pentru simplul motiv că oricare dintre acei prieteni poate re-distribui conținutul în cauză. Raționamentul este însă discutabil pentru că, în cazul redistribuirii de către un prieten (B) unei poze pe care titularul (A) a distribuit-o prietenilor săi, redistribuirea lui B va fi vizibilă numai prietenilor comuni ai celor doua persoane (care aveau acces la conținutul cu pricina după prima distribuire), pentru toți ceilalți prieteni doar ai lui B apărând cel mult un mesaj care anunță că respectivul conținut nu este disponibil. Totuși, din motivarea Curții de Apel Mureș putem întrevedea și posibila rezolvare a problemei: dacă titularul restricționează audiența, în așa fel încât din punct de vedere tehnic să dispară posibilitatea redistribuirii[14], ar rezulta că acel conținut nu mai are caracter public.

IV. Remedii pentru încălcarea dreptului la imagine prin distribuire pe rețele de socializare

În măsura în care un terț folosește fără drept datele personale și/sau fotografiile unei persoane, există mai multe remedii de ordin juridic la care se poate recurge. Mai întâi, în ce privește protecția datelor cu caracter personal, persoana poate face plângere la Autoritatea Națională pentru Supravegherea Prelucrării Datelor cu Caracter Personal, care poate face controale și aplica sancțiuni operatorilor din România care prelucrează contrar legii date cu caracter personal (cum este imaginea). În măsura în care operatorul de date este în străinătate însă, lucrurile se complică, mai ales dacă este în afara Uniunii Europene.

Pe de altă parte, Legea nr. 8/1996 privind dreptul de autor și drepturile conexe[15] prevede că utilizarea unei opere (inclusiv fotografie) care conține un portret fără consimțământul persoanei reprezentate în acest portret și fără ca acest consimțământ să fie implicit, constituie contravenție și se sancționează cu amendă de la 3.000 lei la 30.000 lei (suma se dublează în cazul persoanelor juridice care folosesc fără drept portrete în scop comercial). Constatarea și sancționarea contravenției intră în sarcina Poliției, către care trebuie înaintată plângerea de către persoana care se consideră lezată.

Bineînțeles, în toate cazurile persoana care consideră că a suferit un prejudiciu prin folosirea unei fotografii în care este portretizată se poate adresa instanței pentru a solicita încetarea vătămării și acoperirea prejudiciului suferit. Poate fi vorba atât de un prejudiciu material (cum este cazul în care fotografia ar fi folosită în scop comercial) cât și de un prejudiciu moral (atingeri aduse reputației, de exemplu).

 _____________________

[1]   Conform art. 226 alin (1) din Noul Cod Penal: „Atingerea adusă vieții private, fără drept, prin fotografierea, captarea sau înregistrarea de imagini, ascultarea cu mijloace tehnice sau înregistrarea audio a unei persoane aflate într-o locuință sau încăpere ori dependință ținând de aceasta sau a unei convorbiri private se pedepsește cu închisoare de la o lună la 6 luni sau cu amendă.”

[2]   În același sens, Curtea de Apel București reține în cuprinsul Deciziei 119/R/2009 că „a considera că persoanele publice aflate în spații publice desfășoară în mod obligatoriu activități publice ar conduce la o limitare a prevederilor Legii 8/1996 [decizia este dată în contextul reglementării anterioare, n.n.] deoarece ar echivala cu protecția acestei categorii de persoane numai cât timp ele se află într-un spațiu privat, chiar dacă în mod obiectiv acestea sunt nevoite să iasă din aceste spații (private) pentru desfășurarea unor activități necesare derulării vieții lor private”.

[3]   În ceea ce privește analiza interesului legitim al persoanei care ar folosi fotografia și balanța între acesta și interesele persoanei portretizate, este relevant Avizul Grupului de Lucru Art. 29 nr. 06/2014 cu privire la noțiunea de interese legitime ale operatorului în temeiul articolului 7 din Directiva 95/46/CE (WP 217), disponibil la http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2014/wp217_en.pdf.

[4]   Fotografierea unui copil în cadrul unui festival de folk este posibilă, chiar și fără acordul părinților, dacă el este surprins în acel context, în acea ipostază. În momentul în care poza inițială este transformată într-un portret, fotografia capătă o valență cu totul nouă, ce nu putea fi anticipată în mod rezonabil la momentul luării deciziei de a participa la festival, pentru care este nevoie de acordul părinților – Cour de Cassation, Chambre civile 1, 12 decembrie 2000, 98-21.311.

[5]   Cour de Cassation, Chambre civile 1, 20 februarie 2001, 98-23.471.

[6]   Această limitare este consacrată expres în alin. (6) al art. 30 din Constituția României.

[7]   Cour de Cassation, 1ère Chambre Civile, 3 aprilie 2002, apel nr. 99-19852.

[8]   Luigi Tramontano, „Codice Civile spiegato”, decima edizione, pag. 81.

[9]   „Le consentement donné par l’intéressé sur la diffusion de son image doit être interprété de façon restrictive. Ainsi, constitue une atteinte à la vie privée la publication de photographies ne respectant pas la finalité visée dans l’autorisation donnée par l’intéressé”. Cass. Civ. 1ère, 30 mai 2000 (JCP 2001.II.10524, note Montels). Chiar daca in speță nu se menționează modul in care a fost dat acordul, considerăm ca raționamentul este pertinent pentru oricare din cazuri: utilizarea fotografiei trebuie să se păstreze în limita definită prin autorizare, fie ea expresă sau tacită; cu privire la cea tacită nu putem considera că ea ar avea un caracter general deoarece codul circumstanţiază scopul prin calitatea persoanei beneficiare, „în domeniul informării publicului”.

[10] Legea nr. 677/2001 pentru protecția persoanelor cu privire la prelucrarea datelor cu caracter personal si libera circulație a acestor date, publicată în Monitorul Oficial nr. 790 din 12 decembrie 2001, cu modificările și completările ulterioare.

[11] https://www.facebook.com/communitystandards.

[12] Mai multe informații se pot găsi pe pagina dedicată https://www.facebook.com/help/428478523862899.

[13] Curtea de Apel Târgu Mureș, Secția a II-a civilă de contencios administrativ și fiscal, sentința nr. 21 din 17 ianuarie 2013, disponibilă la http://storage0.dms.mpinteractiv.ro/media/1/186/3927/10654636/1/decizie-mircea-muntean.pdf. Decizia a fost menţinută şi în calea de atac de către Înalta Curte de Casaţie şi Justiţie, printr-o decizie din 27 noiembrie 2014, încă nepublicată.

[14] Acest lucru se poate realiza prin restrângerea audienței la liste de prieteni sau la anumiți prieteni, cazuri în care (cel puțin în prezent) nici persoanele respective nu mai au posibilitatea redistribuirii.

[15] Legea 8/1996 privind dreptul de autor si drepturile conexe, publicată în Monitorul Oficial nr. 60 din 26 martie 1996, cu modificările și completările ulterioare.