Legal Brain

Regulamentul (UE) 2022/2065 al Parlamentului European și al Consiliului din 19 octombrie 2022 privind o piață unică pentru serviciile digitale și de modificare a Directivei 2000/31/CE (Regulamentul privind serviciile digitale, Digital Services Act sau DSA) este un act normativ adoptat recent la nivelul UE ca parte a unui pachet de acte normative menite să uniformizeze regulile aplicabile furnizorilor de servicii digitale activi pe piața unică. Principalul său obiectiv este de a preveni activitățile ilegale și dăunătoare online și răspândirea dezinformării. DSA se concentrează pe protecția consumatorilor și pe asigurarea unui mediu digital sigur și impune obligații operatorilor în funcție de rolul lor în furnizarea de servicii intermediare pe piața internă europeană.

În sfera de aplicabilitate a DSA intră: (i) furnizorilor de servicii intermediare; (ii) furnizorii de servicii de găzduire sau hosting; (iii) platformele online; și (iv) platformele online foarte mari (very large online platforms sau VLOPs) și motoarele de căutare online foarte mari (very large online search engines sau VLOSEs). Acele platforme și motoare de căutare online care se includ la categoria “foarte mari” au fost deja numite în mod expres de Comisia Europeană. Acestora din urmă DSA li se aplică deja de la finalul anului 2023. Cu privire la ceilalți furnizori de servicii, DSA urmează să își producă efectele începând cu data de 17 februarie 2024.

DSA conține (i) norme privind exonerarea condiționată de răspundere a furnizorilor de servicii intermediare pentru activitatea sau conținutul nelegale; (ii) norme privind obligațiile specifice în materie de diligență, adaptate anumitor categorii specifice de furnizori de servicii intermediare și (iii) norme privind punerea în aplicare și asigurarea respectării DSA, inclusiv în ceea ce privește cooperarea și coordonarea între autoritățile competente.

Lăsând la o parte situația VLOP și VLOSE (cărora DSA le impune obligațiile cele mai oneroase), celorlalți furnizori de servicii intermediare le sunt impuse obligații în funcție de rolul lor pe piață. Mai jos am selectat unele aspecte generale de avut în vedere, cu caveat-ul că fiecare situație trebuie tratată separat și în mod personalizat față de activitatea desfășurată de furnizorul în cauză.

Exonerarea condiționată

În temeiul DSA, furnizorii de servicii intermediare vor beneficia de exonerarea de răspundere prevăzută de DSA, cu respectarea următoarelor condiții:[1] (a) să nu aibă cunoștință efectiv despre activitatea ilegală sau conținutul ilegal, iar în ceea ce privește acțiunile în despăgubiri, să nu aibă cunoștință de fapte sau circumstanțe din care să rezulte caracterul ilegal al activității sau al conținutului; sau (b) din momentul în care ia cunoștință de aceste aspecte, să acționeze prompt pentru a elimina conținutul ilegal sau pentru a bloca accesul la acesta.

Condiția (a) de mai sus devine inaplicabilă dacă destinatarul serviciului acționează sub autoritatea sau sub controlul furnizorului; și în ceea ce privește răspunderea în temeiul dreptului privind protecția consumatorilor care le revine platformelor online care le permit consumatorilor să încheie contracte la distanță cu comercianții, în cazul în care o astfel de platformă online prezintă informația specifică sau facilitează în alt mod tranzacția specifică în cauză în așa fel încât un consumator obișnuit să creadă că informația, produsul sau serviciul care face obiectul tranzacției este furnizat fie de platforma online însăși, fie de un destinatar al serviciului care acționează sub autoritatea sau sub controlul său.

De avut în vedere că DSA nu impune furnizorilor de servicii intermediare o obligație generală de monitorizare a informațiilor pe care le transmit sau le stochează și nici obligația de a căuta în mod activ fapte sau circumstanțe care să indice activități ilegale.[2]

DSA prevede următoarele obligații aplicabile furnizorilor de servicii intermediare la primirea unui ordin de la o autoritate publică:

• Să acționeze împotriva conținutului/ activității nelegale;[3]

• Să furnizeze autorității informații relevante cu privire la conținutul/activitatea nelegale;[4]

• Să informeze autoritatea cu privire la modul în care s-a dat curs ordinului, precizând dacă și când s-a dat curs ordinului;[5]

• Să informeze pe destinatarul serviciului în cauză cu privire la ordinul primit și la modul în care s-a dat curs ordinului. Aceste informații furnizate destinatarului serviciului vor include o expunere de motive, căile de atac posibile și o descriere a domeniului de aplicare teritorial al ordinului.[6]
  

Obligații de diligență aplicabile furnizorilor de servicii intermediare

Următoarele obligații specifice de diligență se aplică furnizorilor de servicii intermediare:

• Să desemneze un punct unic de contact care să le permită să comunice direct, prin mijloace electronice, cu autoritățile prevăzute în DSA;[7]

• Să desemneze un punct unic de contact care să permită destinatarului serviciului să comunice direct și rapid cu furnizorul, prin mijloace electronice, dar permițând destinatarilor serviciului să aleagă și mijloacele de comunicare, care nu se bazează exclusiv pe instrumente automatizate;[8]

• Să includă în condițiile generale de utilizare, informații cu privire la orice restricții pe care le impun în legătură cu utilizarea serviciului lor în ceea ce privește informațiile furnizate de destinatarii serviciului. Informațiile respective vor include informații cu privire la politicile, procedurile, măsurile și instrumentele utilizate în scopul moderării conținutului, inclusiv procesul decizional algoritmic și verificarea de către o persoană, precum și cu privire la regulamentul de procedură al sistemului intern de soluționare a plângerilor;[9]

• Să pună la dispoziția publicului, într-un format care poate fi citit automat și într-un mod ușor accesibil, cel puțin o dată pe an, rapoarte clare și ușor de înțeles cu privire la orice moderare a conținutului pe care au efectuat-o în perioada relevantă.[10]

De notat că o parte dintre obligațiile prevăzute pentru furnizorii de servicii intermediare nu se aplică IMM-urilor care nu sunt platforme online foarte mari.[11]

Aplicarea DSA în România

În România, autoritatea competentă pentru serviciile digitale este Autoritatea Națională pentru Administrare și Reglementare în Comunicații (ANCOM). Proiectul de lege privind stabilirea unor măsuri pentru aplicarea DSA se află în prezent în proces legislativ în Parlamentul României, termenul de adoptare preconizat fiind 22 martie 2024, conform informațiilor disponibile pe site-ul Camerei Deputaților la data acestui articol. Modul cum DSA se va aplica în România rămâne de urmărit, pornind de la noul text de lege și continuând cu deciziile care vor fi adoptate de către ANCOM.

[1] Art. 6 DSA

[2] Art. 8 DSA.

[3] Art. 9 (1) DSA

[4] Art. 10 DSA

[5] Art. 9(1) DSA

[6] Art. 9 (5) DSA

[7] Art. 11 DSA

[8] Art. 12 DSA

[9] Art. 14 DSA

[10] Art. 15 DSA

[11] Art. 15(2) DSA.

"Obiectivul prezentei directive este de a îmbunătăți aplicarea dreptului și a politicilor Uniunii în domenii specifice prin stabilirea unor standarde minime comune care să prevadă un nivel ridicat de protecție a persoanelor care raportează încălcări ale dreptului Uniunii." Acesta este articolul 1 din Directiva (UE) 2019/1937 a Parlamentului European și a Consiliului din 23 octombrie 2019 privind protecția persoanelor care raportează încălcări ale dreptului Uniunii (denumită și "Directiva privind avertizorii de integritate" sau, în continuare, "Directiva"). Directiva stabilește o serie de măsuri pe care entitățile juridice din sectorul public și privat trebuie să le pună în aplicare și să le respecte pentru a atinge scopul descris în articolul citat.

În conformitate cu dreptul Uniunii, statele membre ale UE aveau obligația de a transpune Directiva în legislația națională, cu respectarea a două termene limită, și anume 17 decembrie 2021 și 17 decembrie 2023. Ultimul termen se referea la entitățile juridice din sectorul privat cu un număr de 50 până la 249 de lucrători, în legătură cu care statele membre aveau obligația de a pune în aplicare actele cu putere de lege și actele administrative necesare pentru a se conforma obligației de a stabili canale interne de raportare.

În România, transpunerea prevederilor Directivei privind avertizorii de integritate care trebuiau transpuse până la 17 decembrie 2021 a fost realizată prin modificări aduse mai multor acte normative,[1] în timp ce prevederile care trebuiau transpuse până la 17 decembrie 2023 au fost transpuse prin Legea nr. 361/2022 privind protecția avertizorilor în interes public ("Legea 361").

Mai jos este prezentată o comparație neexhaustivă și selectivă a particularităților naționale incluse în Legea 361 de transpunere a Directivei.

[1] Inclusiv Codul Civil, Codul Muncii, Codul de Procedură Civilă, Codul de Procedură Penală, precum și alte acte normative care conțin prevederi relevante pentru drepturile cetățenilor și înfăptuirea justiției.

[2] Art. 6 para. 2) din Directivă.

[3] Art. 2 para. 3) din Legea 361.

[4] Art. 11 para. 1) lit. b) din Legea 361.

[5] Art. 8 para. 7 din Directivă.

[6] Art. 5 para. 3) din Legea 361.

[7] Art. 11 para. 1) din Directivă.

[8] Art. 18 para. 1) din Directivă.

[9] Art. 7 para. 2) din Legea 361.

[10] Art. 19 din Directivă.

[11] Art. 22 para. 1) din Legea 361.

[12] Art. 23 din Directivă.

[13] Art. 28 para. 2 lit. a) din Legea 361.

[14] Ibid lit. b).

[15] Ibid lit. c).

[16] Obligația de a menține confidențialitatea este inclusă în Art. 16 din Directivă.

[17] Art. 28 para. 2 lit. d) din Legea 361.

[18] Ibid lit. e).

Deși din definițiile date de GDPR pare că înțelegem destul de bine ce înseamnă un operator de date, sau un împuternicit, în practică, chiar și acum, după 5 ani de la intrarea în vigoare a GDPR, atribuirea uneia sau alteia dintre aceste calități unei entități ce prelucrează date personale nu este un demers ușor. De aceea, circumstanțele concrete în care sunt prelucrate datele personale, rolurile participanților la prelucrare, independența sau, dimpotrivă, dependența decizională, sunt tot atâția factori care vor trebui analizați pentru a stabili calitatea unei entități, fie de operator independent, de operator asociat sau de împuternicit.

Operatorul independent de date este entitatea care stabilește (i) scopul și (ii) mijloacele prelucrării datelor personale.

Dar ce înseamnă concret aceste concepte?

Scopul prelucrării nu este altceva decât “motivul, obiectivul final pentru care este necesară acea prelucrare”, respectiv, „ce urmărește să obțină entitatea juridică în cauză din prelucrarea datelor într-o anumită circumstanță”. Prin urmare, analizând scopul, se va putea determina și entitatea căreia îi servește în mod direct acel scop. Dacă scopul servește în mod evident unei entități determinate, atunci, cel mai probabil, acea entitate este și operatorul de date. Mai simplu spus, operatorul de date este entitatea cu care scopul are legăturile cele mai strânse.

Câteva exemple: 

• un angajator va prelucra datele salariaților săi pentru derularea raporturilor de muncă și pentru executarea obligațiilor născute din contractul de muncă;

• o agenție de turism va prelucra datele clienților în scopul îndeplinirii obligațiilor contractuale privind furnizarea serviciilor turistice;

• o companie ce comercializează articole de îmbrăcăminte sau orice alte produse de consum va prelucra datele participanților la campanii promoționale pe care le derulează în scopul organizării acestor campanii, desemnării câștigătorilor și atribuirii premiilor;

• un furnizor de servicii medicale va prelucra date medicale de la pacienți în scopul furnizării serviciilor medicale solicitate de aceștia;

• o companie de recrutare de personal va prelucra datele personale ale candidaților în scopul furnizării serviciilor de recrutare.

După cum se poate observa din exemplele de mai sus, de cele mai multe ori, calitatea de operator este dictată de relația strânsă dintre companie → serviciile/produsele pe care le oferă și → clientela sa (adică persoanele fizice ale căror date personale sunt prelucrate, denumite de GDPR “persoane vizate”).

Mijloacele prelucrării reprezintă modalitatea, metoda, procedeul prin care se poate atinge acel scop.

Aceste mijloace trebuie privite din două perspective, în raport de importanța și impactul lor asupra prelucrării datelor, cea de-a doua perspectivă având o strânsă legătură cu noțiunea de împuternicit pe care o vom analiza mai jos.

Mijloace esențiale prelucrării, și a căror natură are mai degrabă o importanță juridică, privind categoriile de date personale prelucrate, persoanele cărora le sunt dezvăluite datele, perioada pentru care sunt prelucrate datele într-un anumit scop.

Mijloace neesențiale prelucrării și care au mai degrabă o natură logistică, ce ține cu precădere de modalitatea concretă de implementare a mijloacelor esențiale. Acestea sunt, deseori, variate și au un caracter alternativ. Tocmai pentru că operatorul le poate înlocui cu altele fără a schimba scopul prelucrării sau mijloacele esențiale, ele nu sunt de esența acelei prelucrări.

Câteva exemple:

• prelucrarea datelor de payroll și salarizare se poate face de un operator prin utilizarea programului software x, pe care ulterior, același operator îl schimbă cu programul Y. Așadar, scopul prelucrării nu se schimbă și nici mijloacele esențiale prelucrării nu se schimbă (se prelucrează aceleași date, pentru aceleași perioade etc.), schimbându-se doar mijlocul neesențial care este programul software;

• operatorul poate organiza o campanie promoțională la care se pot înscrie mai mulți participanți. Modalitatea de colectare a datelor de la participanți se poate face, fie prin corespondență prin email, fie prin intermediul rețelelor sociale, fie printr-o platformă dedicată campaniei respective. Așadar, aceste mijloace de prelucrare a datelor (colectarea de date fiind o prelucrare, noțiune ce va fi clarificată într-un articol viitor) sunt variante alternative pe care operatorul de date le poate folosi fără a afecta nici scopul prelucrării și nici mijloacele esențiale ale acestei prelucrări.

Operatorii asociați de date sunt de fapt acei operatori despre care am discutat mai sus, dar care au un scop comun al prelucrării. Aceasta înseamnă că, în comun, doi sau mai mulți operatori (independenți în alte circumstanțe), în ce privește un anumit proiect, apărut la un moment dat, au un interes comun, motiv pentru care stabilesc împreună atât scopul, cât și mijloacele prelucrării. Pentru a fi operatori asociați nu este absolut necesar ca prelucrarea de date realizată de fiecare dintre ei să fie identică, ca perioada de stocare a datelor să fie identică etc., ci mai degrabă să urmărească același obiectiv, pe care să îl atingă utilizând (chiar și în proporții diferite) aceleași mijloace ale prelucrării.

Câteva exemple:

• o companie de produse cosmetice și o alta de servicii de spa & wellness doresc să se promoveze în comun, sens în care demarează o campanie promoțională de tip concurs la care se pot înscrie mai multe persoane, câștigătorii urmând a primi drept cadou un pachet de produse cosmetice și un voucher la spa. Prin regulamentul campaniei cele două entități stabilesc scopul comun, precum și mijloacele prelucrării, respectiv ce tipuri de date vor colecta, pentru ce perioadă le vor stoca, cui vor da acces la date, dar și cum vor face toate acestea în mod concret (prin ce platforme vor derula campania, în ce bază de date vor colecta și vor stoca datele etc.)

• o societate ce oferă servicii de recrutare este solicitată de o companie să îi identifice o persoană care să ocupe funcția x. Compania de recrutare are un portofoliu de persoane în căutarea unui loc de muncă (potențiali candidați), dar va identifica în piață și alte persoane ce răspund cerințelor acelei poziții. Într-o primă etapă, recrutarea presupune o verificare a CV-urilor potențialilor candidați, din portofoliul companiei de recrutare sau identificați ulterior, și primele interviuri, doar de către compania de recrutare, perioadă în care compania de recrutare va acționa ca și operator independent. Însă, într-o etapă următoare, 3 dintre candidații aflați pe lista scurtă vor avea întâlniri și vor trebui cunoscuți și de către client. Din acest moment, până la finalizarea procesului de recrutare, compania de recrutare și clientul vor putea fi considerați operatori asociați întrucât au un scop comun (recrutarea celui mai bun candidat), iar mijloacele prin care realizează atingerea scopului sunt stabilite în comun (clientul și compania de recrutare participă la întâlniri cu candidații, schimbă impresii, informații despre experiența acestuia, așteptările sale în raportul de funcția pentru care se derulează procesul de recrutare etc.)

Împuternicitul este entitatea care prelucrează datele în numele operatorului independent sau operatorilor asociați. Împuternicitul nu urmărește un scop propriu prin raportare la persoanele vizate ale căror date sunt prelucrate, cu prin raportare la operatorul de date prin sprijinirea acestuia în demersul său de a-si atinge scopul propus. Este adevărat că, în practică, împuternicitul are o contribuție proprie la atingerea scopului prelucrării, cu precădere prin utilizarea unor mijloace neesențiale proprii sau propuse de el. Însă, dat fiind faptul că aceste mijloace propuse de el sunt din categoria celor neesențiale, împuternicitul nu dictează nici cu privire la scop, nici cu privire la ce date personale trebuie prelucrate.

Împuternicitul poate sfătui operatorul de date, însă nu va lua decizia în locul acestuia, iar dacă va lua o decizie în locul operatorului o va putea lua doar pentru faptul că operatorul, prin contractul încheiat, i-a permis acest lucru. Așadar, în final, este tot decizia operatorului care trasează pentru împuternicit drepturile pe care le are în privința prelucrării datelor, limitele puterilor lui, practic, limita mandatului în care își poate îndeplini rolul său de împuternicit (așa numitele “instrucțiuni” ale operatorului).

Câteva exemple:

• un angajator apelează la o firmă de payroll și salarizare pentru îndeplinirea tuturor sarcinilor din acest domeniu în legătură cu salariații săi. Firma de payroll deține propriul software (mijloc neesențial) pentru prestarea serviciilor la care s-a angajat. Însă, în această relație, firma de payroll nu va avea niciodată calitatea de operator de date întrucât nu stabilește nici salariile angajaților respectivi, nici când li se acordă zile libere, nici valoarea indemnizației pentru ore suplimentare, nici dacă plătește un bonus salariatului sau nu. Firma de payroll și salarizare va fi întotdeauna un împuternicit.

• o companie care derulează o campanie promoțională angajează o agenție de publicitate pentru pregătirea și gestionarea campaniei. Agenția de publicitate poate avea libertatea de a alege mijloacele (neesențiale) de prelucrare a datelor participanților la campanie (ex: pe ce rețele sociale să se deruleze campania), însă derularea campaniei în sine, publicul țintă, premiile ce se vor acorda, perioada în care se va derula etc. vor fi decise de beneficiarul companiei, respectiv compania în cauză, și nu de către agenția de publicitate.

HINT! Ca regulă generală (fără a exclude excepții și care trebuie analizate de la caz la caz), atunci când doriți să stabiliți dacă o entitate juridică are calitatea de operator de date sau de împuternicit puteți analiza dacă serviciile acesteia, prin natura lor, sunt destinate mai degrabă persoanelor juridice sau pot fi destinate, în egală măsură, și companiilor și persoanelor fizice. Dacă sunt, mai degrabă, destinate companiilor, și nu în mod direct persoanelor fizice, probabilitatea ca acea entitate juridică să acționeze ca și împuternicit este foarte mare. Dimpotrivă, dacă serviciile unei entități sunt, prin natura lor, destinate cu precădere persoanelor fizice sau in egală măsură și persoanelor fizice și celor juridice, probabilitatea ca acea entitate să fie operator de date este foarte mare.

Exemple:

• servicii destinate, prin natura lor, cu precădere, persoanelor juridice = acționează cu precădere ca împuterniciți: SSM, payroll, contabilitate, mentenanță IT, servicii de cloud, agenții de publicitate, servicii de call center externe,

• servicii destinate, prin natura lor, cu precădere, persoanelor fizice sau, in egală măsură, și persoanelor fizice și celor juridice = acționează cu precădere ca operatori de date: servicii medicale, turistice, hoteliere, juridice, notariale, asigurări.