Reglementările privind confidențialitatea asupra datelor personale în Uniunea Europeană, reunite în așa-numitul GDPR (Regulamentul General pentru Protecția Datelor Personale) suferă de ”lacune majore” și ”contradicții fără sfârșit”, potrivit unuia dintre cei mai respectați șefi ai autorităților de reglementare din Uniune, Johannes Caspar, directorul autorității de profil din Hamburg, citat de Bloomberg.
GDPR-ul, pus în aplicare cu mare pompă în urmă cu trei ani, amenința cu amenzi de miliarde de euro companiile globale care nu respectă confidențialitatea datelor personale ale indivizilor și promitea acțiuni prompte pentru rezolvarea acestor probleme caracteristice noii realități a secolului XXI.
În realitate, însă, a declanșat conflicte de aplicare a politicilor între autoritățile de profil din UE și anchete întârziate cu anii, a spus Johannes Caspar, care urmează să părăsească funcția de șef al Comisiei pentru Protecția Datelor Personale din Hamburg, după 12 ani de mandat.
Tensiunile în ceea ce privește GDPR-ul au existat încă de la început.
Practic peste noapte, comisia irlandeză pentru protecția datelor a fost transformată în principala autoritate de supraveghere din Uniunea Europeană care să îi oblige pe giganții tehnologici din Silicon Valley să respecte legislația europeană, în condițiile în care marile companii precum Apple sau Facebook, operează business-urile de pe piața europeană prin intermediul unor companii înregistrate în Irlanda.
Autoritatea de la Dublin are în derulare 28 de investigații asupra marilor companii de tehnologie, fără ca vreuna dintre acestea să pară a se îndrepta în viitorul apropiat spre o rezoluție definitivă. În aceste condiții, supraveghetorul irlandez s-a confruntat cu o mulțime de critici ai celor care îl acuză de lentoare și de prea multă indulgență.
”Modelul de bază al procedurii instituite de GDPR are lacune majore și pur și simplu nu poate funcționa. Este un lucru inacceptabil pe termen lung. La ce folosesc aceste legi oamenilor dacă nu sunt aplicate?”, a spus Caspar, indignat.
Reputatul jurist german în vârstă de 59 de ani, care se va întoarce la catedră, în mediul academic, după 28 iunie, și-a câștigat reputația de a fi unul dintre șefii celei mai intransigente autorități de reglementare din UE.
El a ieșit pentru prima dată în lumina reflectoarelor în 2010, când a criticat lansarea Google Street View. Mai recent, autoritatea pe care o conduce a aplicat o amendă de 35,3 milioane de euro pentru subsidiara germană a retailerului suedez de îmbrăcăminte Hennes & Mauritz (H&M), care a fost găsită vinovată de spionarea personalului, în urma unei anchete soluționate în mai puțin de un an de la declanșare.
Problemele cu GDPR-ul
Unul dintre defectele sistemului GDPR, subliniază el, este modul în care acesta le oferă autorităților de reglementare ”prea mult spațiu pentru interpretarea” regulilor.
“La sfârșitul zilei, energiile noastre se vor fi consumat în tot felul de lupte inutile”, a mai spus Caspar.
O caracteristică esențială a Regulamentului este așa-numitul sistem de ”ghișeu unic”, care instituie cu autoritate deplină de jurisdicție europeană instituția de supraveghere a protecției datelor personale din țara în care compania vizată își are sediul.
Acest lucru a stârnit numeroase tensiuni. O dispută între Facebook și autoritatea de profil din Belgia cu privire la competența acesteia de a pune în aplicare un ordin împotriva gigantului rețelelor de socializare s-a încheiat Curtea de Justiție a Uniunii Europene, care a decis luna aceasta că și alte autorități omoloage din alte state membre pot avea drept de control și supraveghere în unele cazuri.
O altă chestiune problematică este aceea că investigațiile cu privire la posibile încălcări ale Regulamentului, care pot produce efecte la nivelul Uniunii Europene, nu pot fi soluționate doar de autoritatea principală care se ocupă de caz într-o anumită țară. Autoritățile omoloage din întregul bloc comunitar trebuie să contrasemneze aceste soluții.
De pidlă, Helen Dixon, comisarul irlandez pentru protecția datelor, a fost protagonista unei situații complicate tocmai din această pricină, la finalul primei mari anchete care a vizat o companie din Big Tech, Twitter. Autoritatea irlandeză a fost acuzată că s-a mișcat foarte lent în rezolvarea cauzei, acuze pe care ea le-a catalogat drept ridicole.
”Ideea că 30 de autorități de protecție a datelor decid soluționarea cauzelor prin consens și cooperare ne face să ne pierdem vremea cu teme de importanță secundară”, a mai spus Caspar comentând acest neajuns al GDPR-ului.
Hamburg vs. Big Tech
Luna trecută, Caspar a emis un ordin care interzice Facebook să proceseze date personale ale utilizatorilor WhatsApp, pentru cel puţin trei luni, şi a cerut unei comisii a autorităţilor de reglementare în domeniul datelor din Uniunea Europeană să ia o măsură similară, astfel încât interdicţia să fie aplicată în toate statele membre.
În acest caz, autoritățile de resort din Hamburg se bucură de putere jurisdicțională federală, întrucât sucursala germană a Facebook are sediul în acest oraș.
Caspar a spus că va preda cazul Comitetului European pentru Protecția Datelor, un organism independent al UE care aplică regulile în întregul bloc comunitar.
”Acesta este un caz important pentru viitorul supravegherii privind protecția datelor în interiorul UE”, a spus Caspar.
Comitetului European pentru Protecția Datelor ”ar putea – și asta este ceea ce cerem – să extindă măsurile dincolo de cele trei luni și să impună aceleași măsuri în întreaga Europă”, a continuat el.
Lăsând prea mult control în mâinile autorităților naționale, care pot să decidă când și dacă este necesar să deschidă o anchetă, precum și care ar trebui să fie domeniul de aplicare al anchetei respective, fără ca alte autorități omoloage să aibă vreun cuvânt de spus până la prezentarea concluziilor și soluției propuse, creează tensiuni majore, a spus el.
”Pentru mine, acesta este motivul principal pentru care un astfel de sistem nu poate funcționa. Autoritățile trebuie să lucreze rapid și eficient pentru a putea da semne clare de descurajare în privința unor comportamente ale marilor companii care nu sunt OK. Dacă acest lucru nu se întâmplă, legea și realitatea ajung să se afle în contradicție”, a încheiat Caspar.