Transferurile de date personale catre statele terțe: usa din dos deschisa supravegherii globale. Despre o decizie a Comisiei Europene – implicatii reale, interpretari false

Decizia Comisiei Europene de a recunoaste oficial Israelului – ca stat terț – capacitatea de a asigura un nivel ridicat de protectie a datelor personale in cazurile in care exista transferuri sau prelucrari ale acestora a dat nastere la o serie de perceptii eronate referitor la fondul problemei. Vom cauta sa elucidam care este riscul real al deciziei luate si vom arata si care sunt interpretarile nefondate legate de chestiune.

In esenta, riscul real este legat de crearea unor precedente de transferuri de date personale pe plan global si a unei baze legale pentru astfel de procedee, limitate insa in ceea ce priveste aria datelor personale aflate in cauza; interpretarile nefondate sunt ca Israelul ar fi, conform acestei decizii, un fel de Master of Personal Data al Uniunii Europene. Acest lucru ar insemna, practic, existenta unei piramide a supravegherii si controlului datelor personale care in acest moment nu exista decat in proiect si in constructie. Deocamdata, prin decizii ca cele citate, nu se intra pe usa din fata a crearii unor astfel de sisteme globale de control a datelor personale – pentru acest lucru ar fi nevoie de interoperabilitatea bazelor de date centrale – ci pe usa din dos a transferurilor de date personale in situatii concrete, dupa cum vom vedea mai jos.

Pentru a intelege problema, trebuie sa vedem care este directiva la care Comisia Europeana face trimitere atunci cand atesta Israelului, in calitatea sa de stat terț, capacitatea de a proteja datele personale ale cetatenilor statelor membre. Este vorba despre:

Dataprotection.ro: DIRECTIVA 95/46/CE a PARLAMENTULUI EUROPEAN SI A CONSILIULUI din 24 octombrie 1995

Un bun rezumat al acesteia este aici – Saferpedia: Date personale (Directiva Europeana)

Datele personale sunt definite ca „orice informație referitoare la o persoană identificată sau identificabilă natural”; o persoană identificabilă este o persoană care poate fi identificată, direct sau indirect, ȋn special prin referire la un număr de identificare sau la unul sau mai mulți factori specifici identității sale fizice, fiziologice, psihice, economice, culturale sau sociale. (art. 2 a)

Această definiție este menită să fie foarte pe larg. Datele, sunt „date cu caracter personal”, atunci când cineva este ȋn măsură facă legătura ȋntre informațiile respective și o persoană, chiar dacă persoana care deține datele nu poate face această legătură. Câteva exemple de „date personale” sunt: adresa, numărul cardului de credit, extrasele de cont, cazierul judiciar, etc.

Noțiunea prelucrarea ȋnseamnă „orice operațiune sau set de operațiuni care se efectuează asupra datelor cu caracter personal, idiferent dacă sunt sau nu prin mijloace automate, precum colectarea, ȋnregistrarea, organizarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, deavăluirea prin transmitere, diseminare sau ȋn orice alt mod, alăturarea ori combinarea, blocarea, ștergerea sau distrugerea;” (art. 2 b)

Responsabilitatea pentru respectare regulilor revine pe umerii „inspectorului”, ȋnsemnând persoana fizică sau artificială, autoritatea publică, agenția sau orice alt organism care singur sau ȋmpreună cu altele stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal; (art. 2 d)

Normele privind protecția datelor sunt aplicabile nu numai ȋn cazul ȋn care operatorul este stabilit ȋn cadrul UE, ci ori de câte ori operatorul folosește echipamente situate ȋn UE pentru a procesa datele. (art. 4) Operatorii din afara UE, care prelucrează date ȋn UE, va trebui să se supună regulamentului de protecție a datelor. Ȋn principiu, orice tranzacționare de afaceri online cu cetăț3nii UE, presupune prelucrarea de date personale și va folosi echipamente din UE pentru procesarea datelor (de exemplu calculatorul clientului). Ȋn consecință, operatorul, ar trebui să respecte normele europene de protecție a datelor. (…)

Datele pot fi prelucrate numai ȋn următoarele situații (art. 7):

1. Atunci când persoana vizată și-a dat consimțământul
2. Ȋn cazul ȋn care prelucrarea este necesară pentru ȋncheierea unui contract
3. Atunci când prelucrarea este necesară pentru respectarea unei obligații legale
4. Atunci când prelucrarea este necesară cu scopul de a proteja interesele vitale ale persoanei vizate
5. Când prelucrarea este necesară, pentru ȋndepinirea unei sarcini de interes public sau ȋn exercitarea autorității publice sau a unei părți terțe cărei ȋi sunt comunicate datele
6. Prelucrarea este necesară, pentru realizarea interesului legitim urmărit de operator sau de către un terț sau părți terțe, cărora le sunt comunicate datele, cu excepția cazului ȋn care acest interes nu va prejudicia interesul pentru drepturile și libertățile fundamentale ale persoanei vizate. Persoana are dreptul de a accesa toate datele prelucrate despre ea. Persoana vizată are dreptul de a solicita rectificarea, ștergerea sau blocarea datelor care sunt incomplete, inexacte sau care nu sunt procesate ȋn conformitate cu normele de protecție a datelor.

Dar ceea ce intereseaza, in primul rand, este transferul catre state terțe:

Transferul de date cu caracter personal către țări terțe

Termenul țări terțe este utilizat ȋn UE pentru a desemna țările din afara Uniunii Europene. Datele cu caracter personal pot fi transferate către ţări terţe în cazul în care această ţară oferă un nivel adecvat de protecţie. Unele excepţii de la această regulă sunt prevăzute, de exemplu atunci când operatorului însuşi poate garanta că destinatarul se conformează cu normele de protecţie a datelor.

Articolul 29 al directivei a creat „Grupul de lucru al protecției persoanelor cu privire la prelucrarea datelor cu caracter personal”, cunoscut ȋn general ca „Grupul de lucru al articolului 29”. Grupul de lucru oferă sfaturi cu privire la nivelul de protecție ȋn Uniunea Europeană și țările terțe.

Grupul de lucru a negociat cu reprezentanții Statelor Unite despre protecția datelor cu caracter personal și s-a ajuns ca rezultat la principiile Safe Harbor. Conform criticilor, principiile Safe Harbor nu prevăd un nivel adecvat de protecție deoarece conține mai puține obligații pentru operator și permite anumite drepturi celor care ȋntocmesc contractele.

Ȋn iulie 2007, a fost semnat un nou acord ȋntre Statele Unite și UE, numit „PNR – Passenger Name Record” (Registru de Nume a Pasagerilor).

În februarie 2008, Jonathan Faull, şeful Comisiei de către UE a afacerilor interne, sa plâns cu privire la politica bilaterală a Statelor Unite privind PNR. Statele Unite a semnat, în februarie 2008, un memorandum de înţelegere (MOU – Memorandum Of Understanding) cu Republica Cehă în schimbul unui sistem de Visa Waiver, fără o consultare premergătoare la Bruxelles. Tensiunile între Washington şi Bruxelles sunt în principal cauzate de un nivel mai scăzut de protecţie a datelor în SUA, mai ales că străinii nu beneficiază de confidenţialitatea SUA din 1974. Alte ţări au abordat memorandumul de ȋnţelegere bilaterală printre care și Regatul Unit, Estonia, Germania şi Grecia.

Asadar, este vorba despre date personale care sunt supuse prelucrarii de catre operatori (fie privati, fie publici) din tari care nu fac parte din Uniunea Europeana. Uniunea Europeana a emis directiva din 1995 pentru a stabili conditiile care trebuie indeplinite de un stat tert ca acesta sa fie considerat drept ”safe” pentru a se putea derula transferuri de date personale. Un prim lucru care trebuie inteles si care a dus la false interpretari: nu este vorba despre transferul brut al datelor personale ce se afla in bazele nationale de date.

In schimb, daca ne aflam in situatii – contracte, calatorii, operatiuni financiare, s.am.d. – care presupun o posibila prelucrare a datelor noastre personale de catre un stat tert, adica exterior Uniunii Europene, atunci e bine sa stim care sunt aceste state terte acceptate de UE pentru a derula astfel de operatiuni cu datele personale si care nu. Asadar, este vorba despre situatii concrete in care astfel de transferuri de date au loc. O astfel de situatie concreta este legata de datele pasagerilor companiilor aeriene – unde s-a si inregistrat un faimos diferend intre UE si SUA in trecut. UE a demarat, de altfel, negocieri cu state terte (SUA, Canada, Australia) in privinta datelor personale din registrul cu numele pasagerilor si a conditiilor in care acestea pot fi supuse transferului. Detalii se gasesc aici: Rezoluţia Parlamentului European din 11 noiembrie 2010 referitoare la abordarea globală privind transferul de date din registrul cu numele pasagerilor (PNR) către țările terțe și recomandările Comisiei adresate Consiliului de a autoriza inițierea de negocieri între Uniunea Europeană și Australia, Canada și Statele Unite

O alta situatie concreta este legata de transferul datelor de mesagerie financiara catre SUA in cadrul Programului de urmarire a finantarii in scopuri teroriste. Cu alte cuvinte, prelucrarea datelor personale ale celor din UE care fac operatiuni financiare in SUA. In ambele situatii Parlamentul European a impus unele restrictii, cum ar fi un anume control asupra modului in care se face prelucrarea acestor date, interdictia realizarii de profiluri cu aceste date etc.

Ambele situatii – datele pasagerilor si datele de mesagerie financiara – au fost ridicate in special sub pretextul luptei antiterorism. Ideea principala este ca informatii care altadata erau intime, protejate de amestecul statelor terte, acum devin accesibile monitorizarii si inregistrarii, oferindu-se si o baza legala pentru acest lucru.

Riscul real al unor astfel de practici, negocieri si decizii este de a crea precedente prin care datele personale sunt accesibile, sub pretextul combaterii terorismului, unor enitati statale straine care pot urmari cine stie ce agende.

In acest context trebuie inteleasa si decizia Comisiei Europene din 31 ianuarie 2011. Israelul va fi unul din aceste state terțe catre care se vor putea face transferuri de date personale in situatiile concrete in care este implicat statul evreu – calatorii, operatiuni financiare etc.

Dar asta nu inseamna ca Israelul are acces la TOATE datele noastre personale, la baza de date nationala, sau ca ar avea controlul ei. O asemenea interpretare e absurda si nefundamentata.

Exista un obiectiv maximal urmarit de perpetuatorii Big Brotherului mondial – crearea unei interoperabilitati globale intre bazele de date nationale sau supranationale. Dupa cum ne aducem aminte:

• Romania Libera: Terorismul 2.0 în slujba “Califatului virtual”

Directorul Shin Bet, Agenţia de Securitate Internă a Israelului, a afirmat că Internetul, aplicaţii precum Google Earth sau diverse aplicaţii pentru iPhone ajută teroriştii să obţină informaţii secrete la care altfel nu ar avea accces. Yuval Diskin, director al Shin Bet din 2005 şi unul dintre favoriţii la preluarea conducerii Mossadului, a avertizat, cu prilejul unei conferinţe privind securitea internă organizate la Tel Aviv, că terorismul secolului 21 este „global şi transnaţional”.

„Informaţiile privind fabricarea de arme de distrugere în masă, precum şi a armamentului sofisticat, care erau până acum rezervate statelor, sunt astăzi disponibile – graţie Internetului – organizaţiilor teroriste.” Globalizarea terorismului permite, de exemplu, unor organizaţii precum Hamas sau Jihadul Islamic să obţină pe calea aerului, pe uscat sau pe apă arme din Coreea de Nord sau Iran, care sunt transportate cu ajutorul unor reţele intermediare prin Yemen, Sudan şi Egipt şi de aici în Fâşia Gaza. Principala caracteristică a terorismului contemporan, a afirmat şeful Shin Bet – agenţie care susţine că a capturat în ultimii ani 120 de terorişti sinucigaşi, este că, după 11 septembrie 2001, „nu mai există inhibiţiile psihologice care să prevină realizarea unor mega-atacuri”. Faptul că, în plus, lumea s-a transformat într-un „sat global” cu ajutorul Internetului, al aplicaţiei Google Earth sau al aplicaţiilor pentru iPhone, face ca terorismul secolului 21 să fi devenit mult mai letal.

Referitor la pachetele explozive trimise din Yemen şi destinate unor sinagogi din Chicago, Diskin a afirmat că „nu este deloc surprins de faptul că în spatele tentativelor de atacuri s-ar afla celule Al Qaeda din Yemen”. Există o ameninţare crescândă, a afirmat şeful Shin Bet, la adresa industriei aviatice, fie că aceasta se manifestă prin colete explozive plasate în avioane cargo sau de pasageri, fie chiar prin tentative de a doborî avioanele cu ajutorul unor lansatoare de rachete portabile. Diskin a avertizat că singura metodă de a combate cu succes terorismul global este ca ţările să coopereze, să împărtăşească informaţii şi tehnologie şi să creeze o bază legală pentru acţiunile lor, un obiectiv pe care l-a calificat drept „realizabil”. (…)

Scriam atunci:

Adica sa creeze sisteme de baze de date internationale cu datele personale ale cetatenilor, pe modelul Schengen. Logica este ca, daca terorismul este o amenintare globala si transantionala, atunci supravegherea si controlul trebuie sa fie si el global si transational. Dar de ce sa combati un rau cu planuri imense politienesti care ameninta libertatea civica si sa nu faci un lucru simplu, cum ar fi interdictia legala a aplicatiilor gen Google Earth, care sunt periculoase si pentru intimitatea oamenilor, nu numai pentru informatiile de stat?Ah, cumva pentru ca de fapt intentia este crearea infrastructurii de supraveghere totala a lumii?

Insa decizia Comisiei Europene face parte din alt registru al internationalizarii datelor personale, unul mai putin sistematic, care nu implica inca interoperabilitate intre bazele de date centrale. Ne-am afla doar in fata partiturii de deschidere pentru crearea unui sistem global de identificare si supraveghere a individului. Deocamdata se edifica diferite structuri, fluxurile de date circula pe diferite nivele. Constructia inca nu e gata, dar se construieste de zor la ea.

Precizare:

– conceptul de interoperabilitate este folosit indeobste pentru a desemna faptul ca bazele de date personale sistemice comunica intre ele. Ele pot comunica la nivel national (bazele de date de identitate cu cele ale fiscului, de pilda) sau la nivel international – cum este sistemul Schenghen.

• EUR-Lex:  2011/61/UE: Decizia Comisiei din 31 ianuarie 2011 în temeiul Directivei 95/46/CE a Parlamentului European și a Consiliului privind nivelul de protecție adecvat asigurat de Statul Israel privind prelucrarea automată a datelor cu caracter personal [notificată cu numărul C(2011) 332] Text cu relevanță pentru SEE