Legal Brain

Printr-o analiză pe care ne-o dorim cât mai puțin tehnică și prin câteva exemple practice, ne dorim să clarificăm diferențele de sens dintre noțiunile de „acord de voință/consimțământ”, ce stă la baza încheierii și executării unui contract între o persoană vizată și un operator de date (noțiunea de “operator” fiind clarificată în primul articol al acestei serii pe care îl găsiți aici) și „consimțământ”, ca și temei juridic al prelucrării, noțiuni care, la o primă impresie, au aceeași valoare juridică.

Cu toate acestea, atunci când discutăm despre două dintre temeiurile juridice ale prelucrării datelor, respectiv CONTRACTUL și CONSIMȚĂMÂNTUL, aceeași noțiune –„consimțământ”- capătă sensuri diferite pe care, dacă nu le înțelegem suficient de bine, vom avea dificultăți în a identifica ușor temeiul juridic al unei prelucrări: (i) art. 6 alin. 1 lit. (a) din GDPR, respectiv CONSIMȚĂMÂNTUL sau (ii) art. 6 alin. 1 lit. b), respectiv EXECUTAREA CONTRACTULUI.

DEX definește noțiunea de „consimțământ” ca fiind „un acord de voință a persoanelor care încheie un contract.” [1]

De asemenea, din perspectiva Codului Civil, noțiunea de consimțământ este sinonimă cu cea de “acord de voință”, așa cum rezultă din cele de mai jos:

• Nimeni nu poate fi supus vreunor imixtiuni în viața intimă, personală sau de familie, nici în domiciliul, reședința sau corespondența sa, fără consimţământul său.[2] (s.n. adică fără „acordul” său);

• Este interzisă orice atingere adusă onoarei și reputației unei persoane, fără consimțământul acesteia (...).[3] (s.n. adică fără „acordul” său);

• Căsătoria se încheie între bărbat şi femeie prin consimţământul personal şi liber al acestora.[4] (s.n. adică prin „acordul” lor).
  

Din punctul de vedere al unui contract, consimțământul reprezintă, potrivit Codului civil, alături de capacitate, obiect și cauză, unul dintre cele patru elemente esențiale pentru validitatea contractului intervenit între două sau mai multe persoane.

Așadar, este nevoie de consimțământ al părților pentru încheierea unui contract.

Este acest consimțământ același cu consimțământul prevăzut de GDPR drept temei juridic al prelucrării?

În alte cuvinte, ori de câte ori persoana vizată își oferă consimțământul pentru prelucrarea datelor sale personale intră într-un contract cu operatorul de date?

Cum vom ști dacă o persoana vizată și-a dat consimțământul pentru încheierea unui contract sau și l-a acordat fără ca acest lucru să conducă la încheierea unui contract?

În accepțiunea GDPR, consimțământul este un temei juridic al prelucrării diferit de executarea contractului.

Potrivit art. 6 din GDPR, prelucrarea este legală numai dacă și în măsura în care se aplică cel puțin una dintre următoarele condiții[5]:

(a) persoana vizată și-a dat consimțământul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice;

(b) prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte sau pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui contract.

Pentru o persoană cu pregătire juridică, diferențierea este facilă. Pentru operatorii de date însă, o astfel de diferențiere între consimțământ, ca temei juridic al prelucrării și consimțământ, ca și element necesar pentru încheierea unui contract pune probleme în practică.

Alegerea corectă a temeiului juridic al prelucrării, dintre cele două propuse spre analiză, este extrem de importantă cel puțin pentru următoarele considerente pe care ar trebui să le cunoască, deopotrivă atât operatorul de date, cât și persoana vizată:

În cazul în care prelucrarea are loc în temeiul consimțământului persoanei vizate, aceasta înseamnă că aceasta și-l poate retrage oricând, fără ca în urma retragerii persoana vizată să fie în vreun fel prejudiciată, fără să atragă asupra sa alte consecințe decât cele inerente retragerii acelui consimțământ.

Exemplu: Persoana vizată s-a înscris la un maraton, a oferit organizatorilor numele și prenumele, vârsta și date de contact și, înainte de începerea maratonului, nu mai dorește să participe, transmițând organizatorilor o solicitare privind retragerea consimțământului. Organizatorul va exclude acel participant de pe listele celor înscriși fără însă ca acest lucru să atragă asupra persoanei în cauză vreo sancțiune sau alte consecințe, cu excepția celei inerente, respectiv pierderea șansei de a mai alerga la acel maraton și eventual de a câștiga premiul oferit.

În schimb, când temeiul juridic al prelucrării este reprezentat de „necesitatea executării unui contract” la care persoana vizată este parte, retragerea acordului/consimțământului pe care și l-a dat la momentul semnării contractului reprezintă de fapt, o manifestare a dreptului de denunțare a acelui contract, ce va avea drept consecință încetarea contractului, alături de alte consecințe, potrivit naturii și prevederilor contractului, chiar potențiale sancțiuni pentru persoana vizată.

Exemplu: Persoana vizată a încheiat cu o agenție de turism un contract în care erau prevăzute prețul serviciilor, data de plată, precum și o penalitate de x % din valoarea contractului dacă prețul contractului nu va fi achitat la timp și integral. În acest caz, o eventuală exercitare a dreptului de opoziție la prelucrarea datelor personale va reprezenta, în fapt, o manifestare a voinței de încetare a contractului care, însă, va da naștere obligației de plată a penalității agreate pentru neplata prețului agreat.

Cele două temeiuri juridice pot coexista, însă operatorul de date trebuie să identifice corect fiecare scop al prelucrării și temeiul juridic aferent fiecăruia dintre scopuri.

Operatorul de date are obligația de a se asigura că manifestarea consimțământului persoanei vizate pentru un anumit scop al prelucrării ce se întemeiază pe consimțământ nu este obținută prin aceeași acțiune prin care se consimte la încheierea unui contract. Astfel, având temeiuri juridice independente, încetarea prelucrării pe baza unui temei nu va atrage automat și prelucrarea întemeiată pe celălalt temei juridic.

Exemplu: Cel mai relevant exemplu în această privință este cel din mediul online, în următoarea situație des întâlnită. Utilizatorului unui website de cumpărături îi este solicitat, prin “căsuțe” separate, să bifeze, pe de o parte, că este de acord cu “Termenii și Condițiile” website-ului (T&C), iar pe de altă parte, că dorește să primească comunicări de marketing.

Prin bifarea primei căsuțe, utilizatorul își exprimă acordul pentru a intra în contractul de vânzare a produselor (este acordul necesar pentru încheierea valabilă a contractului, sub forma T&C, prelucrarea datelor personale având aici drept temei juridic, necesitatea executării contractului), în timp ce prin bifarea celei de-a doua căsuțe, utilizatorul își exprimă consimțământul pentru primirea de comunicări (prelucrarea datelor personale având aici drept temei juridic, consimțământul).

În timp ce utilizatorul poate renunța oricând la comunicările de marketing, fără ca aceasta să atragă vreo consecință, din T&C se poate retrage ținând seama de prevederile T&C și de cele legale privitoare, de exemplu, la dreptul de retragere din contractele încheiate la distanță cu consumatorii.

Retragerea consimțământului (pentru comunicările de marketing, în exemplul de mai sus), nu va conduce la obligația operatorului de date de a șterge datele care sunt prelucrate în scopul executării contractului.

În consecință, operatorii ar trebui să știe clar de la început scopul prelucrării fiecărei categorii de date și temeiul legal pe care se bazează pentru a putea da curs unor eventuale solicitări din partea persoanelor vizate.

HINT pentru a face diferențierea mai ușor!

Atunci când prelucrarea datelor personale nu obligă nici persoana vizată și, de cele mai multe ori, nici operatorul de date la respectarea unor termene, condiții sau altor obligații (cu excepția celor din materia protecției datelor) și, prin urmare, nu există nicio consecință asupra persoanei vizate dacă aceasta decide să își retragă consimțământul, cel mai probabil prelucrarea respectivă se bazează pe consimțământ, ca temei juridic al prelucrării.

Dimpotrivă, atunci când prelucrarea datelor personale dă naștere unor obligații în sarcina persoanei vizate și, de cele mai multe ori, și în sarcina operatorului de date și a căror nerespectare poate avea unele consecințe pentru persoana vizată, cel mai probabil acea prelucrare are ca temei juridic al prelucrării necesitatea executării contractului.

Exemplu: 

Operatorul dorește să își promoveze afacerea, sens în care dorește să organizeze o serie de evenimente de prezentare la care accesul se face pe bază de invitație, fără vreun cost din partea participanților (ex: taxă de participare). Operatorul nu va putea transmite invitațiile pe email către potențialii participanți dacă nu are consimțământul prealabil al acestora pentru a le primi. Presupunând că potențialii participanți sunt de acord cu primirea de astfel de materiale, ei își pot retrage acest consimțământ oricând, ceea ce înseamnă ca pot renunța oricând la a primi astfel de invitații, cu consecința firească de a nu mai putea participa la eveniment, fără însă a suporta vreo altă consecință ca urmare a retragerii consimțământului. În schimb, dacă o persoană este invitată la acele evenimente pentru a ține un discurs, în schimbul unei remunerații, datele sale personale ce vor fi prelucrate de organizator având ca temei juridic necesitatea executării contractului încheiat între ei. Prin urmare, dacă persoana vizată transmite organizatorului o solicitare de ștergere a datelor, cel mai probabil, în funcție de clauzele contractului încheiat cu operatorul de date, această solicitare va putea conduce la încetarea contractului, cu unele potențiale consecințe asupra persoanei vizate, iar datele sale personale vor fi, cel mai probabil, prelucrate în continuare de către operatorul de date pe baza unui alt temei juridic (ex: obligație legală sau interes legitim)

[1] https://dexonline.ro/definitie/consim%C8%9B%C4%83m%C3%A2nt

[2] Codul Civil, art. 71 alin. (2)

[3] Ibid, art. 72 alin. (2)

[4] Ibid, art. 271

[5] Art. 6 prevede și alte temeiuri juridice ale prelucrării însă, pentru scopul prezentului articol, le-am menționat doar pe cele două indicate.

Regulamentul (UE) 2022/2065 al Parlamentului European și al Consiliului din 19 octombrie 2022 privind o piață unică pentru serviciile digitale și de modificare a Directivei 2000/31/CE (Regulamentul privind serviciile digitale, Digital Services Act sau DSA) este un act normativ adoptat recent la nivelul UE ca parte a unui pachet de acte normative menite să uniformizeze regulile aplicabile furnizorilor de servicii digitale activi pe piața unică. Principalul său obiectiv este de a preveni activitățile ilegale și dăunătoare online și răspândirea dezinformării. DSA se concentrează pe protecția consumatorilor și pe asigurarea unui mediu digital sigur și impune obligații operatorilor în funcție de rolul lor în furnizarea de servicii intermediare pe piața internă europeană.

În sfera de aplicabilitate a DSA intră: (i) furnizorilor de servicii intermediare; (ii) furnizorii de servicii de găzduire sau hosting; (iii) platformele online; și (iv) platformele online foarte mari (very large online platforms sau VLOPs) și motoarele de căutare online foarte mari (very large online search engines sau VLOSEs). Acele platforme și motoare de căutare online care se includ la categoria “foarte mari” au fost deja numite în mod expres de Comisia Europeană. Acestora din urmă DSA li se aplică deja de la finalul anului 2023. Cu privire la ceilalți furnizori de servicii, DSA urmează să își producă efectele începând cu data de 17 februarie 2024.

DSA conține (i) norme privind exonerarea condiționată de răspundere a furnizorilor de servicii intermediare pentru activitatea sau conținutul nelegale; (ii) norme privind obligațiile specifice în materie de diligență, adaptate anumitor categorii specifice de furnizori de servicii intermediare și (iii) norme privind punerea în aplicare și asigurarea respectării DSA, inclusiv în ceea ce privește cooperarea și coordonarea între autoritățile competente.

Lăsând la o parte situația VLOP și VLOSE (cărora DSA le impune obligațiile cele mai oneroase), celorlalți furnizori de servicii intermediare le sunt impuse obligații în funcție de rolul lor pe piață. Mai jos am selectat unele aspecte generale de avut în vedere, cu caveat-ul că fiecare situație trebuie tratată separat și în mod personalizat față de activitatea desfășurată de furnizorul în cauză.

Exonerarea condiționată

În temeiul DSA, furnizorii de servicii intermediare vor beneficia de exonerarea de răspundere prevăzută de DSA, cu respectarea următoarelor condiții:[1] (a) să nu aibă cunoștință efectiv despre activitatea ilegală sau conținutul ilegal, iar în ceea ce privește acțiunile în despăgubiri, să nu aibă cunoștință de fapte sau circumstanțe din care să rezulte caracterul ilegal al activității sau al conținutului; sau (b) din momentul în care ia cunoștință de aceste aspecte, să acționeze prompt pentru a elimina conținutul ilegal sau pentru a bloca accesul la acesta.

Condiția (a) de mai sus devine inaplicabilă dacă destinatarul serviciului acționează sub autoritatea sau sub controlul furnizorului; și în ceea ce privește răspunderea în temeiul dreptului privind protecția consumatorilor care le revine platformelor online care le permit consumatorilor să încheie contracte la distanță cu comercianții, în cazul în care o astfel de platformă online prezintă informația specifică sau facilitează în alt mod tranzacția specifică în cauză în așa fel încât un consumator obișnuit să creadă că informația, produsul sau serviciul care face obiectul tranzacției este furnizat fie de platforma online însăși, fie de un destinatar al serviciului care acționează sub autoritatea sau sub controlul său.

De avut în vedere că DSA nu impune furnizorilor de servicii intermediare o obligație generală de monitorizare a informațiilor pe care le transmit sau le stochează și nici obligația de a căuta în mod activ fapte sau circumstanțe care să indice activități ilegale.[2]

DSA prevede următoarele obligații aplicabile furnizorilor de servicii intermediare la primirea unui ordin de la o autoritate publică:

• Să acționeze împotriva conținutului/ activității nelegale;[3]

• Să furnizeze autorității informații relevante cu privire la conținutul/activitatea nelegale;[4]

• Să informeze autoritatea cu privire la modul în care s-a dat curs ordinului, precizând dacă și când s-a dat curs ordinului;[5]

• Să informeze pe destinatarul serviciului în cauză cu privire la ordinul primit și la modul în care s-a dat curs ordinului. Aceste informații furnizate destinatarului serviciului vor include o expunere de motive, căile de atac posibile și o descriere a domeniului de aplicare teritorial al ordinului.[6]
  

Obligații de diligență aplicabile furnizorilor de servicii intermediare

Următoarele obligații specifice de diligență se aplică furnizorilor de servicii intermediare:

• Să desemneze un punct unic de contact care să le permită să comunice direct, prin mijloace electronice, cu autoritățile prevăzute în DSA;[7]

• Să desemneze un punct unic de contact care să permită destinatarului serviciului să comunice direct și rapid cu furnizorul, prin mijloace electronice, dar permițând destinatarilor serviciului să aleagă și mijloacele de comunicare, care nu se bazează exclusiv pe instrumente automatizate;[8]

• Să includă în condițiile generale de utilizare, informații cu privire la orice restricții pe care le impun în legătură cu utilizarea serviciului lor în ceea ce privește informațiile furnizate de destinatarii serviciului. Informațiile respective vor include informații cu privire la politicile, procedurile, măsurile și instrumentele utilizate în scopul moderării conținutului, inclusiv procesul decizional algoritmic și verificarea de către o persoană, precum și cu privire la regulamentul de procedură al sistemului intern de soluționare a plângerilor;[9]

• Să pună la dispoziția publicului, într-un format care poate fi citit automat și într-un mod ușor accesibil, cel puțin o dată pe an, rapoarte clare și ușor de înțeles cu privire la orice moderare a conținutului pe care au efectuat-o în perioada relevantă.[10]

De notat că o parte dintre obligațiile prevăzute pentru furnizorii de servicii intermediare nu se aplică IMM-urilor care nu sunt platforme online foarte mari.[11]

Aplicarea DSA în România

În România, autoritatea competentă pentru serviciile digitale este Autoritatea Națională pentru Administrare și Reglementare în Comunicații (ANCOM). Proiectul de lege privind stabilirea unor măsuri pentru aplicarea DSA se află în prezent în proces legislativ în Parlamentul României, termenul de adoptare preconizat fiind 22 martie 2024, conform informațiilor disponibile pe site-ul Camerei Deputaților la data acestui articol. Modul cum DSA se va aplica în România rămâne de urmărit, pornind de la noul text de lege și continuând cu deciziile care vor fi adoptate de către ANCOM.

[1] Art. 6 DSA

[2] Art. 8 DSA.

[3] Art. 9 (1) DSA

[4] Art. 10 DSA

[5] Art. 9(1) DSA

[6] Art. 9 (5) DSA

[7] Art. 11 DSA

[8] Art. 12 DSA

[9] Art. 14 DSA

[10] Art. 15 DSA

[11] Art. 15(2) DSA.

"Obiectivul prezentei directive este de a îmbunătăți aplicarea dreptului și a politicilor Uniunii în domenii specifice prin stabilirea unor standarde minime comune care să prevadă un nivel ridicat de protecție a persoanelor care raportează încălcări ale dreptului Uniunii." Acesta este articolul 1 din Directiva (UE) 2019/1937 a Parlamentului European și a Consiliului din 23 octombrie 2019 privind protecția persoanelor care raportează încălcări ale dreptului Uniunii (denumită și "Directiva privind avertizorii de integritate" sau, în continuare, "Directiva"). Directiva stabilește o serie de măsuri pe care entitățile juridice din sectorul public și privat trebuie să le pună în aplicare și să le respecte pentru a atinge scopul descris în articolul citat.

În conformitate cu dreptul Uniunii, statele membre ale UE aveau obligația de a transpune Directiva în legislația națională, cu respectarea a două termene limită, și anume 17 decembrie 2021 și 17 decembrie 2023. Ultimul termen se referea la entitățile juridice din sectorul privat cu un număr de 50 până la 249 de lucrători, în legătură cu care statele membre aveau obligația de a pune în aplicare actele cu putere de lege și actele administrative necesare pentru a se conforma obligației de a stabili canale interne de raportare.

În România, transpunerea prevederilor Directivei privind avertizorii de integritate care trebuiau transpuse până la 17 decembrie 2021 a fost realizată prin modificări aduse mai multor acte normative,[1] în timp ce prevederile care trebuiau transpuse până la 17 decembrie 2023 au fost transpuse prin Legea nr. 361/2022 privind protecția avertizorilor în interes public ("Legea 361").

Mai jos este prezentată o comparație neexhaustivă și selectivă a particularităților naționale incluse în Legea 361 de transpunere a Directivei.

[1] Inclusiv Codul Civil, Codul Muncii, Codul de Procedură Civilă, Codul de Procedură Penală, precum și alte acte normative care conțin prevederi relevante pentru drepturile cetățenilor și înfăptuirea justiției.

[2] Art. 6 para. 2) din Directivă.

[3] Art. 2 para. 3) din Legea 361.

[4] Art. 11 para. 1) lit. b) din Legea 361.

[5] Art. 8 para. 7 din Directivă.

[6] Art. 5 para. 3) din Legea 361.

[7] Art. 11 para. 1) din Directivă.

[8] Art. 18 para. 1) din Directivă.

[9] Art. 7 para. 2) din Legea 361.

[10] Art. 19 din Directivă.

[11] Art. 22 para. 1) din Legea 361.

[12] Art. 23 din Directivă.

[13] Art. 28 para. 2 lit. a) din Legea 361.

[14] Ibid lit. b).

[15] Ibid lit. c).

[16] Obligația de a menține confidențialitatea este inclusă în Art. 16 din Directivă.

[17] Art. 28 para. 2 lit. d) din Legea 361.

[18] Ibid lit. e).