O jurisdicție a internetului: aplicarea teritorială a prevederilor RGPD în contextul platformelor digitale

De Mihaela-Ruxandra Sava

22 ian. 2024

Vizualizari: 200

Universuljuridic.ro PREMIUM

Aici găsiți informaţiile necesare desfăşurării activităţii dvs. profesionale.

Universuljuridic.ro PREMIUM pune la dispoziția profesioniștilor lumii juridice un prețios instrument de pregătire profesională. Oferim un volum vast de conținut: articole, editoriale, opinii, jurisprudență și legislație comentată, acoperind toate domeniile și materiile de drept. Clar, concis, abordăm eficient problematicile actuale, răspunzând scenariilor de activitate din lumea reală, în care practicienii activează.

Testează ACUM beneficiile Universuljuridic.ro PREMIUM prin intermediul abonamentului GRATUIT pentru 7 zile!

🔑Vreau cont PREMIUM!

1. Introducere

Studiile au revelat un paradox al confidențialității, oamenii fiind, pe de o parte, îngrijorați cu privire la pierderea controlului asupra vieții private, dar, în același timp, entuziaști să consume produse digitale^[1]. La 29 de ani de la apariția WWW, utilizarea internetului pentru activități curente, profesionale, comerciale sau recreative nu mai este un capriciu, ci o necesitate. În realitate, utilizarea internetului este regula, iar offline-ul pierde treptat, dar sigur, teritoriu. Un internet liber, fără limite, deschide nu doar apetitul utilizatorilor pentru produse și servicii din afara teritoriului Uniunii, dar și interesul organizațiilor pentru datele personale care sunt privite ca un „activ valoros și competitiv”^[2] cu un rol bine recunoscut în dezvoltarea economiei^[3]. Datele personale sunt vitale pentru funcționarea comerțului electronic, dar un comerț electronic internațional naște întrebări de ordin jurisdicțional deoarece, printre alte aspecte, utilizatorul nu este localizat în țara unde se află serverele care îi stochează datele^[4].

În trecut, sub imperiul Directivei nr. 95/46^[5] situația jurisdicției pe internet era incertă ^[6], situația care a fost lămurită, în linii mari, de jurisprudența Curții de Justiție a Uniunii Europene (CJUE), așa cum vom arăta în secțiunile următoare. Oricum, cel mai important pas realizat în protejarea drepturilor persoanelor fizice vizate^[7] într-un context digital internațional, îl are apariția Regulamentului General privind Protecția Datelor (RGPD)^[8] care a devenit „cel mai strict și mai influent regim privind protecția datelor” ^[9].

RGPD se află în armonie cu paradoxul confidențialității, având obiectivul de a asigura un echilibru între protecția datelor și libera circulație a acestora. Pentru a asigura o protecție adecvată a datelor care circulă pe un internet fără granițe, RGPD a extins sfera de aplicabilitate teritorială. El se aplică, în anumite condiții, chiar și organizațiilor care nu au un sediu în Uniune.

RGPD are o sferă de aplicabilitate globală și se aplică, în situațiile indicate de regulament, atât prelucrărilor efectuate în interiorul UE, dar și prelucrărilor efectuate în afara UE, atât operatorilor, dar și persoanelor împuternicite^[10]. El se aplică, deopotrivă, în condițiile regulamentului, nu doar entităților stabilite în UE, dar și celor din afara UE^[11]. Mai mult, regulamentul se aplică atât persoanelor aflate în UE, dar, în anumite condiții, și persoanelor din afara UE, indiferent de cetățenia sau naționalitatea lor^[12] .

RGPD se aplică, din punct de vedere teritorial, pe baza a două „criterii principale: cel privind «sediul», în conformitate cu articolul 3 alineatul (1) RGPD, și cel privind «persoanele vizate»”^[13] în conformitate cu art. 3 alin. (2) RGPD. El se aplică organizațiilor din afara Uniunii sau care prelucrează date în afara Uniunii în patru situații, respectiv:

(i) atunci când operatorul sau persoana împuternicită are sediul pe teritoriul UE, indiferent dacă prelucrarea are loc sau nu pe teritoriul Uniunii [art. 3 alin. (1) RGPD];

(ii) în situațiile în care operatorul sau persoana împuternicită nu este stabilit(ă) în Uniune, dar oferă bunuri sau servicii unor persoane vizate din Uniune [art. 3 alin. (2) lit. a) RGPD];

(iii) în situațiile în care operatorul sau persoana împuternicită nu este stabilit(ă) în Uniune, dar monitorizează comportamentul persoanelor din cadrul Uniunii [art. 3 alin. (2) lit. b) RGPD];

(iv) atunci când operatorul care nu este stabilit în Uniune, ci într-un loc în care dreptul intern se aplică în temeiul dreptului internațional public [art. 3 alin. (3) RGPD].

În secțiunile următoare, vom detalia primele trei situații cu o aplecare spre jurisprudența CJUE și orientările Comitetului European pentru Protecția Datelor (CEPD).

2. Problematica sediului

Art. 3 alin. (1) RGPD prevede că regulamentul se aplică dacă operatorul sau persoana împuternicită are sediul pe teritoriul UE, indiferent dacă prelucrarea are loc sau nu pe teritoriul Uniunii.
În primul rând, observăm o diferență esențială față de Directiva nr. 95/46, respectiv aplicarea teritorială a RGPD are în vedere atât sediul operatorului, cât și sediul persoanei împuternicite, prin urmare toate obligațiile prevăzute de RGPD în sarcina persoanei împuternicite^[14] trebuie respectate de aceasta din urmă chiar dacă lucrează doar pentru operatori care nu sunt stabiliți în Uniune^[15] și chiar în situațiile în care nu se prelucrează date pe teritoriul Uniunii sau cu privire la persoane aflate în Uniune. În continuare vom oferi un exemplu.

Exemplul #1: Compania InboxDirect are sediul în Uniunea Europeană și este o platformă de e-mail marketing. Compania InboxDirect oferă servicii B2B către companii din SUA (operatori de date), iar în raport cu această activitate de prelucrare, InboxDirect are calitatea de persoană împuternicită. Având în vedere că are sediul în Uniunea Europeană, RGPD chiar dacă nu se prelucrează date pe teritoriul Uniunii sau cu privire la persoane aflate în Uniune.

Conferința națională „Prevenirea și combaterea spălării banilor”. Impactul noii legi asupra profesiilor liberale

Noțiunea de „sediu”^[16] necesită o abordare separată. Considerentul (22) din RGPD prevede:

„Sediul implică exercitarea efectivă și reală a unei activități în cadrul unor înțelegeri stabile. Forma juridică a unor astfel de înțelegeri, prin intermediul unei sucursale sau al unei filiale cu personalitate juridică, nu este factorul determinant în această privință”.

Din interpretarea considerentului (22) RGPD, rezultă faptul că sediul, în sensul RGPD, nu este echivalent cu sediul social sau sediul profesional conform dreptului societar, ci are o sferă de aplicabilitate mai extinsă. Sediul implică „exercitarea efectivă și reală a unei activități în cadrul unor înțelegeri stabile” și, așa cum subliniază CJUE, pentru a ne afla în prezența unui sediu, activitatea exercitată poate fi „chiar minimă”^[17].

Tot CJUE a arătat, în cauza Wirtschaftsakademie Schleswig-Holstein^[18], faptul că nu este obligatoriu ca „o astfel de prelucrare să fie efectuată „de” însuși sediul în cauză, ci doar ca ea să fie efectuată în cadrul activităților acestuia”^[19], arătând faptul că o interpretare restrictivă a noțiunii de sediu nu va fi în armonie cu o protecție eficientă și completă a dreptului la protecția datelor: „trebuie amintit, mai întâi, că, având în vedere obiectivul urmărit de Directiva 95/46, constând în asigurarea unei protecții eficiente și complete a libertăților și a drepturilor fundamentale ale persoanelor fizice, în special a dreptului la viață privată, în ceea ce privește prelucrarea datelor cu caracter personal, expresia „în cadrul activităților [unui sediu]” nu poate primi o interpretare restrictivă”^[20].

* Articol extras din revista Pandectele Române nr. 5/2020.

^[1] R. Leenes, R. van Brakel, S. Gutwirth, P. De Hert, Data Protection and Privacy. The Age of Intelligent Machines, Hart Publishing, 2017, p. 66.

^[2] A. Azzi, The Challenges Faced by the Extraterritorial Scope of the General Data Protection Regulation, JIPITEC, 2018, p. 127.

^[3] Ibidem.

^[4] I.-L. Stănculescu The Legal Issues in Outer Space Data Storage by Cloud-Computing Services (12 noiembrie 2015), 2015, disponibil la SSRN: https://ssrn.com/abstract=2689603, p. 267, link accesat 24.08.2020.

^[5] Directiva nr. 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date, JO L 281, 23.11.1995, p. 31-50. În prezent abrogată.

^[6] I.-L. Stănculescu, op. cit. supra n. 5, p. 267.

^[7] A se vedea, în acest sens, D.-M. Șandru, I. Alexe, Subiectele Regulamentului General privind Protecția Datelor în caleidoscopul nuanțelor de fericire, în Pandectele Române nr. 3/2019, p. 74-80.

^[8] Regulamentul nr. 2016/679/UE al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei nr. 95/46/CE (JO L119/04.05.2016).

^[9] A. Azzi, op. cit. supra n. 3, p. 127.

^[10] Pentru înțelegerea noțiunilor de operator, persoană împuternicită și a relației dintre cei doi, a se vedea I. Alexe, Relația dintre operator și persoana împuternicită în domeniul protecției datelor personale, în Pandectele Române nr. 2/2018, p. 71-79.

^[11] „Articolul 3 din RGPD reflectă intenția legiuitorului de a asigura protecția cuprinzătoare a drepturilor persoanelor vizate din UE și de a stabili condiții de concurență echitabile din perspectiva cerințelor în materie de protecția datelor pentru întreprinderile care își desfășoară activitatea pe piețele din UE, în contextul fluxurilor de date la nivel mondial”, CEPD, Orientările nr. 3/2018 privind domeniul de aplicare teritorial al RGPD (articolul 3), Versiunea 2.1, 12 noiembrie 2019, Bruxelles, p. 4; „operatorii și persoanele împuternicite de operatori care nu au sediul în UE, dar se angajează în activități de prelucrare care intră sub incidența articolului 3 alineatul (2), trebuie să desemneze un reprezentant în Uniune”, idem, p. 5.

^[12] „Prin urmare, CEPD consideră că orice prelucrare de date cu caracter personal în cadrul activităților unui sediu al unui operator sau al unei persoane împuternicite de operator pe teritoriul Uniunii intră în sfera de aplicare a RGPD, indiferent de locul în care se află sau de naționalitatea avută de persoana vizată ale cărei date cu caracter personal sunt prelucrate. Această abordare este susținută de Considerentul 14 din RGPD, care prevede că „[p]rotecția conferită de prezentul regulament ar trebui să vizeze persoanele fizice, indiferent de cetățenia sau de locul de reședință al acestora, în ceea ce privește prelucrarea datelor cu caracter personal ale acestora”, idem, p. 10.

^[13] Idem, p. 4.

^[14] „Ca de exemplu obligațiile în raport cu gestionarea relației cu operatorul (art. 28 RGPD), obligația de a ține o evidență a activităților de prelucrare (art. 30 RGPD), obligația de a numi un responsabil cu protecția datelor (art. 37), obligația de a respecta regulile transferurilor internaționale de date”, L. Feiler, N. Forgo, M. Weigl (eds.), The EU General Data Protection Regulation (GDPR): A Commentary, Globe Law And Business, 2018, p. 115, Scribd Version.

^[15] Ibidem.

^[16] Noțiunea de sediu prezintă importanță și în stabilirea competenței autorității de supraveghere deoarece „ca urmare a faptului că prelucrarea în cauză este efectuată în cadrul activităților unui sediu al operatorului pe teritoriul acestui stat membru, această autoritate de supraveghere poate exercita ansamblul competențelor care îi sunt conferite de acest drept în privința acestui sediu, independent de aspectul dacă operatorul dispune de sedii și în alte state membre”, CJUE, cauza C-210/16, Wirtschaftsakademie Schleswig-Holstein, hotărârea din 5 iunie 2018, ECLI:EU:C:2018:388, p. 52.

Noțiunea de sediu prezintă importanță și în stabilirea legislației aplicabile deoarece, așa cum a precizat CJUE în cauza Verein fur Konsumenteninformation „o prelucrare de date efectuată în cadrul activităților unui sediu este reglementată de dreptul statului membru pe teritoriul căruia este situat acest sediu”, CJUE, Cauza C-191/15, Verein fur Konsumenteninformation, hotărârea din 28 iulie 2016, ECLI:EU:C:2016:612, pct. 74.

^[17] CJUE, cauza C-230/14, Weltimmo, hotărârea din 1 octombrie 2015, ECLI:EU:C:2015:639, pct. 41.

^[18] CJUE, cauza C-210/16, hot. cit. supra n. 17.

^[19] Idem, p. 57.

^[20] Idem, p. 56.

O jurisdicție a internetului: aplicarea teritorială a prevederilor RGPD în contextul platformelor digitale was last modified: ianuarie 22nd, 2024 by Mihaela-Ruxandra Sava