20.2.2009   

RO

Jurnalul Oficial al Uniunii Europene

C 42/1

1.

La 27 mai 2008, Comisia a adoptat o propunere de decizie a Consiliului de instituire a sistemului european de informații cu privire la cazierele judiciare (ECRIS) și de punere în aplicare a articolului 11 din Decizia-cadru 2008/…/JAI (denumită în continuare: „propunerea”) (1). Propunerea a fost transmisă de Comisie către AEPD pentru consultare, în conformitate cu articolul 28 alineatul (2) din Regulamentul (CE) nr. 45/2001.

2.

Propunerea vizează punerea în aplicare a articolului 11 din decizia-cadru a Consiliului privind organizarea și conținutul schimbului de informații extrase din cazierele judiciare între statele membre (2) (denumită în continuare: decizia-cadru a Consiliului) pentru a construi și dezvolta un sistem informatizat de schimb de informații între statele membre (3). Astfel cum este prevăzut la articolul 1, aceasta instituie sistemul european de informații cu privire la cazierele judiciare (ECRIS) și stabilește, de asemenea, elementele unui format standardizat pentru schimbul electronic de informații, precum și alte aspecte generale și tehnice de punere în aplicare pentru a organiza și a facilita schimburile de informații.

3.

AEPD salută faptul că este consultată și recomandă menționarea acestei consultări în considerentele propunerii, într-un mod similar celui din cadrul altor texte legislative asupra cărora a fost consultată AEPD, în conformitate cu Regulamentul (CE) nr. 45/2001.

4.

AEPD reamintește că a emis un aviz privind decizia-cadru a Consiliului la 29 mai 2006. Câteva elemente ale acestui aviz care merită reamintite sunt:

5.

Aceste elemente ale avizului din 2006 sunt încă ilustrative pentru contextul în care va fi analizată prezenta propunere. În special, divergența legislațiilor naționale privind cazierele judiciare este determinantă pentru context. Această divergență necesită măsuri suplimentare pentru a face ca sistemul de schimb să funcționeze. În acest sens, propunerea privind ECRIS reprezintă o măsură suplimentară. Cu toate acestea, contextul evoluează de asemenea.

6.

În primul rând, decizia-cadru a Consiliului și punerea sa în aplicare în propunerea privind ECRIS constituie un set dintr-o serie de instrumente juridice noi vizând facilitarea schimbului de informații dintre statele membre ale Uniunii Europene în scopul aplicării legii. Toate acestea concretizează principiul disponibilității, astfel cum a fost introdus prin Programul de la Haga din 2004 (4). În timp ce majoritatea acestor instrumente se axează pe cooperarea polițienească, acest instrument reprezintă un mijloc de cooperare judiciară în materie penală în sensul articolului 31 din TUE (5). Totuși, acesta are același obiectiv: facilitarea schimbului de informații în scopul aplicării legii. În multe cazuri, astfel de instrumente includ sau sunt susținute de sisteme informatizate și/sau de standardizarea practicilor de schimb. În acest sens, propunerea privind ECRIS nu este unică. În evaluarea prezentei propuneri, AEPD beneficiază de experiența din trecut cu instrumente comparabile.

7.

În al doilea rând, cadrul juridic al UE pentru protecția datelor evoluează. Adoptarea Deciziei-cadru a Consiliului privind protecția datelor cu caracter personal prelucrate în cadrul cooperării polițienești și judiciare în materie penală („FDDP”), menționată în considerentul 14 drept cadrul general care se aplică în contextul schimbului informatizat de informații extrase din cazierele judiciare, ar trebui să se facă până la sfârșitul anului 2008. Decizia-cadru a Consiliului va prevede garanții minime pentru protecția datelor, în cazul în care date cu caracter personal sunt sau au fost transmise sau puse la dispoziție între statele membre (6). Aceasta va duce la o mai mare convergență a legislațiilor naționale privind condițiile de utilizare a datelor cu caracter personal (în sensul articolului 9 din Decizia-cadru a Consiliului privind schimbul de informații extrase din cazierele judiciare).

8.

În acest context, ar trebui subliniat faptul că negocierile privind FDDP au dus la anumite modificări, dintre care unele vor afecta în mod specific cadrul juridic în care are loc schimbul de informații extrase din cazierele judiciare:

9.

În acest context, articolul 9 din Decizia-cadru privind schimbul de informații extrase din cazierele judiciare — care stabilește anumite „condiții de utilizare a datelor cu caracter personal” — trebuie considerat drept lex specialis privind protecția datelor, care oferă garanții suplimentare față de cele prevăzute în lex generalis, FDDP. Articolul respectiv — în special alineatele (2) și (4) — precizează principiul limitării scopului în ceea ce privește schimbul de informații extrase din cazierele judiciare. Acesta permite excepții de la acest principiu numai în situațiile menționate în mod explicit în acele dispoziții.

10.

În al treilea rând, strâns legată de prezenta propunere, Comisia a prezentat o Comunicare privind o strategie europeană în domeniul e-justiției (7). Prin această comunicare, Comisia Europeană intenționează să contribuie la consolidarea și dezvoltarea instrumentelor în domeniul e-justiției la nivel european. Comunicarea cuprinde o serie de inițiative cu impact semnificativ asupra protecției datelor cu caracter personal, precum, de exemplu, crearea unei rețele de schimburi securizate pentru schimbul de informații între autoritățile judiciare și crearea unei baze de date europene a traducătorilor și interpreților în domeniul juridic. AEPD intenționează să ofere un răspuns la această comunicare într-un document distinct.

11.

Articolul 11 din decizia-cadru a Consiliului descrie ce informații trebuie sau pot fi transmise [la alineatul (1) al acestuia]; acesta prevede, de asemenea, la alineatul (3), temeiul juridic al prezentei propuneri. Anexa II din decizia-cadru a Consiliului prevede un formular care trebuie utilizat pentru schimburi. Acesta include informații care trebuie furnizate de statul membru solicitant și informații care trebuie furnizate ca răspuns la solicitare. Formularul poate fi modificat printr-o decizie a Consiliului, astfel cum propune în prezent Comisia.

12.

Articolul 11 alineatul (1) face distincția între informațiile obligatorii, informațiile opționale, informațiile suplimentare și orice alte informații. Formularul din anexa II nu reflectă această distincție. De exemplu, informațiile privind numele părinților persoanei condamnate sunt considerate la articolul 11 drept informații opționale care trebuie transmise numai dacă sunt consemnate în cazierele judiciare. Anexa II nu reflectă caracterul opțional al acestei transmiteri.

13.

AEPD propune folosirea acestei ocazii pentru a restructura integral formularul în conformitate cu articolul 11. Aceasta va restrânge transmiterea datelor cu caracter personal la cele care sunt cu adevărat necesare pentru scopul schimbului. În exemplul menționat mai sus, nu pare să fie necesară transmiterea automată a numelor părinților persoanelor condamnate. Transmiterea acestora ar putea aduce, în mod inutil, prejudicii persoanelor în cauză, în special părinților.

14.

Articolul 3 constituie partea principală a propunerii. Acesta instituie ECRIS bazat pe o structură descentralizată a tehnologiei informației și care cuprinde trei elemente: baze de date ale cazierelor judiciare din statele membre, o infrastructură comună de comunicații și o aplicație software de interconectare.

15.

AEPD susține prezenta propunere de instituire a ECRIS, cu condiția ca observațiile formulate în prezentul aviz să fie luate în considerare.

16.

În acest context, AEPD subliniază că, pe de o parte, nicio bază de date centrală europeană nu este stabilită și niciun fel de acces direct la bazele de date ale cazierelor judiciare ale altor state membre nu este prevăzut, în timp ce, pe de altă parte, la nivel național responsabilitățile sunt centralizate pe lângă autoritățile centrale ale statelor membre, desemnate în temeiul articolului 3 din decizia-cadru a Consiliului. Acest mecanism restrânge la maxim stocarea și schimbul datelor cu caracter personal, stabilind în același timp în mod clar responsabilitățile autorităților centrale. În cadrul acestei mecanism, statele membre sunt responsabile de funcționarea bazelor de date naționale ale cazierelor judiciare și de eficiența schimburilor. De asemenea, acestea sunt responsabile de aplicația software de interconectare [articolul 3 alineatul (2) din propunere].

17.

Va exista o infrastructură comună. Inițial, aceasta va fi rețeaua S-TESTA (8), care poate fi înlocuită cu altă rețea securizată gestionată de Comisie [articolul 3 alineatul (4) din propunere]. AEPD consideră că Comisia este responsabilă de infrastructura comună, deși acest lucru nu este precizat la articolul 3. AEPD propune clarificarea acestei responsabilități în cadrul textului, din motive de siguranță juridică.

18.

În avizul său din 29 mai 2006, AEPD și-a exprimat sprijinul pentru o structură descentralizată. Printre altele, aceasta evită duplicarea suplimentară a datelor cu caracter personal într-o bază de date centrală. Alegerea unei astfel de structuri descentralizate presupune în mod automat că statele membre sunt responsabile de bazele de date ale cazierelor judiciare și de prelucrarea datelor cu caracter personal în cadrul acestor baze de date. Mai precis, autoritățile centrale ale statelor membre sunt inspectorii acelor baze de date. Acestea sunt, în calitate de inspectori, responsabile de bazele de date și de conținutul schimbului de informații. Decizia-cadru a Consiliului stabilește obligațiile statului membru de condamnare și ale statului membru de cetățenie.

19.

În acest cadru, ECRIS reprezintă o rețea de entități omoloage (peer-to-peer) pentru schimbul de informații între aceste baze de date naționale. O rețea de entități omoloage (peer-to-peer) precum ECRIS prezintă anumite riscuri care trebuie abordate.

20.

Armonizarea utilizării rețelei și a procedurilor legate de această utilizare este, prin urmare, esențială. AEPD remarcă în mod deosebit importanța utilizării armonizate a rețelei, la înalte standarde de protecție a datelor. Măsurile de punere în aplicare care se adoptă în temeiul articolului 6 din propunere sunt, prin urmare, de o deosebită importanță. AEPD recomandă ca la articolul 6 să se menționeze un înalt nivel de protecție a datelor, ca o condiție prealabilă pentru toate măsurile de punere în aplicare care urmează a fi adoptate.

21.

Autoritățile naționale de protecție a datelor ar putea juca un rol în acest context, cu condiția ca acestea să își desfășoare activitatea armonizat. AEPD propune includerea unui considerent care să sublinieze rolul autorităților de protecție a datelor, similar modului în care considerentul 11 și articolul 3 alineatul (5) precizează că Comisia asistă statele membre. Noul considerent ar trebui, de asemenea, să încurajeze cooperarea autorităților de protecție a datelor.

22.

În cele din urmă, AEPD salută includerea dispoziției de la articolul 3 alineatul (3) prin care este promovată utilizarea celor mai bune tehnici disponibile pentru a asigura confidențialitatea și integritatea datelor din cazierele judiciare transmise altor state membre. Cu toate acestea, ar fi de dorit ca autoritățile competente de protecție a datelor să fie, de asemenea, implicate — împreună cu (autoritățile centrale ale) statelor membre și Comisia — în identificarea acestor tehnici.

23.

Responsabilitatea Comisiei pentru infrastructura comună de comunicații presupune că aceasta ar trebui văzută ca furnizor al rețelei. În scopul protecției datelor, Comisia poate fi considerată drept inspector în sensul articolului 2 litera (i) din decizia-cadru a Consiliului privind protecția datelor cu caracter personal, deși are competențe limitate: pune la dispoziție rețeaua și asigură securitatea acesteia. În cazul în care datele cu caracter personal sunt prelucrate în contextul punerii la dispoziție a rețelei sau dacă apar probleme de protecția datelor în legătură cu securitatea rețelei, Comisia va răspunde în calitate de inspector. Acest rol al Comisiei este comparabil cu rolul pe care îl are în cadrul sistemelor SIS, VIS și Eurodac, și anume cel al responsabilului de gestionare operațională (și nu de conținut al datelor cu caracter personal). Acest rol a fost calificat drept unul de „inspector sui generis” (9).

24.

Infrastructura comună de comunicații va fi bazată pe S-TESTA, cel puțin pe termen scurt. S-TESTA urmărește interconectarea organismelor UE cu autoritățile naționale, cum ar fi administrații și agenții aflate pe tot cuprinsul Europei. Este o rețea de comunicații dedicată. Centrul serviciului operațional este situat în Bratislava. Acesta reprezintă, de asemenea, baza unor alte sisteme de informații din spațiul de libertate, securitate și justiție, precum Sistemul de informații Schengen. AEPD sprijină opțiunea pentru S-TESTA, care s-a dovedit a fi un sistem fiabil pentru schimburi.

25.

Responsabilitatea Comisiei în calitate de inspector „sui generis” are, de asemenea, consecințe asupra legii aplicabile în domeniul protecției datelor și asupra supravegherii. Articolul 3 din Regulamentul (CE) nr. 45/2001 dispune că acest regulament „se aplică prelucrării de date cu caracter personal din cadrul tuturor instituțiilor și organelor comunitare în măsura în care această prelucrare este efectuată prin desfășurarea tuturor sau a unei părți a activităților care intră sub incidența dreptului comunitar”.

26.

Dacă activitățile de prelucrare ale Comisiei ar intra, în totalitate sau în parte, în domeniul de aplicare al dreptului comunitar, nu ar fi niciun dubiu cu privire la aplicabilitatea Regulamentului (CE) nr. 45/2001. În special, articolul 1 al acestui regulament prevede că instituțiile și organismele comunitare protejează drepturile și libertățile fundamentale ale persoanelor fizice, în special dreptul acestora la viață privată în ce privește prelucrarea datelor cu caracter personal. În conformitate cu articolul 22 al acestui regulament, Comisia „pune în aplicare măsurile organizaționale și tehnice adecvate pentru a asigura un nivel de securitate în concordanță cu riscurile reprezentate de către prelucrarea și tipul datelor cu caracter personal care trebuie protejate”. Aceste activități se desfășoară sub supravegherea AEPD.

27.

Cu toate acestea, până în prezent și contrar Sistemului de informații Schengen (10), trebuie să se observe faptul că temeiul juridic al activităților de prelucrare se află în titlul IV al Tratatului UE (al treilea pilon). Aceasta înseamnă că Regulamentul (CE) nr. 45/2001 nu se aplică în mod automat și nici un alt cadru juridic privind protecția datelor și supravegherea nu se aplică activităților de prelucrare ale Comisiei. Această situație este regretabilă pentru motivul evident al lipsei protecției pentru persoana vizată, în special având în vedere caracterul sensibil al prelucrării datelor cu caracter personal referitoare la condamnări penale, astfel cum se menționează la articolul 10 alineatul (5) din Regulamentul (CE) nr. 45/2001 care definește prelucrarea referitoare la condamnări penale ca fiind operații de prelucrare care pot prezenta riscuri specifice. Este cu atât mai regretabil cu cât AEPD este — în temeiul altor instrumente juridice — implicată în supravegherea S-TESTA. Pentru acest motiv, AEPD propune introducerea unei dispoziții în decizie (11), care să precizeze că Regulamentul (CE) nr. 45/2001 se aplică prelucrării datelor cu caracter personal sub responsabilitatea Comisiei.

28.

Propunerea face distincție între infrastructura tehnică comună pentru conectarea bazelor de date și aplicațiile software de interconectare. După cum s-a menționat, statele membre sunt responsabile de aplicațiile software de interconectare. În conformitate cu considerentul 11, Comisia poate asigura aplicațiile software, dar statele membre par a fi libere să utilizeze sau nu aceste aplicații software în locul propriilor aplicații software de interconectare.

29.

Apare întrebarea referitoare la motivele pentru care trebuie să se facă distincție între responsabilitățile pentru infrastructura tehnică și pentru conectarea aplicațiilor software și cele pentru care Comisia ar trebui să aibă una dintre aceste responsabilități sau pe amândouă. Într-adevăr, ambele cazuri implică rețeaua între autoritățile centrale ale statelor membre (punctele naționale de acces la rețea) și nu schimbul de informații în cadrul statelor membre.

30.

Acordarea acestei responsabilități suplimentare Comisiei nu ar afecta caracterul descentralizat al arhitecturii tehnologiei informaționale, în timp ce, pe de altă parte, eficiența schimbului ar trebui să fie optimă. Îmbunătățirea eficienței este importantă din perspectiva protecției datelor pentru motive referitoare la calitatea datelor: doar datele esențiale trebuie să fie transmise și nu este nevoie de informații suplimentare din cauza imperfecțiunilor sistemului. Mai mult, s-ar permite o mai bună supraveghere a sistemului dacă responsabilitățile pentru infrastructura comună de comunicații și aplicațiile software de interconectare aparțin aceluiași factor de decizie.

31.

Aceasta este și mai importantă având în vedere funcția aplicației software de instrument pentru schimb. Printre caracteristicile importante ale aplicației software de conectare trebuie să fie cea care permite identificarea expeditorului, precum și compatibilitatea și integritatea solicitărilor și, în consecință, permiterea validării solicitărilor. Interoperabilitatea aplicațiilor software utilizate de statele membre este, astfel, o condiție prealabilă. Nu toate statele membre trebuie să utilizeze, în mod obligatoriu, aceeași aplicație software (deși opțiunea aceasta ar fi cea mai practică), dar aplicațiile software trebuie să fie deplin interoperabile.

32.

Propunerea recunoaște necesitatea armonizării aspectelor referitoare la aplicațiile software de interconectare. Măsurile de punere în aplicare menționate la articolul 6 — care trebuie adoptate prin procedura de comitologie — includ, de exemplu, „proceduri de verificare a conformității aplicațiilor de software cu specificațiile tehnice”. Articolul 6 menționează, de asemenea, un set comun de protocoale. Cu toate acestea, un astfel de set comun de protocoale nu este prevăzut în cazul aplicațiilor software de interconectare. Articolul 6 nu prevede nici identificarea unui sistem software.

33.

Având în vedere motivele menționate, pentru a îmbunătăți eficiența și securitatea schimburilor, AEPD recomandă, după cum urmează:

34.

Articolul 6 litera (b) precizează că un manual care va fi adoptat prin procedura de comitologie va cuprinde procedura pentru schimbul de informații, „abordând în special modalitățile de identificare a autorilor infracțiunilor”. AEPD se întreabă ce va conține, cu exactitate, acest manual și dacă, de exemplu, prevede identificarea prin mijloace biometrice.

35.

AEPD subliniază faptul că identificarea autorilor infracțiunilor nu ar trebui să conducă la schimburi de date cu caracter personal care nu sunt prevăzute în mod explicit în decizia-cadru. În plus, manualul ar trebui să prevadă garanții corespunzătoare pentru prelucrarea și transmiterea unor categorii speciale de date, cum sunt datele biometrice.

36.

Articolul 6 litera (c) și articolul 8 menționează colectarea datelor statistice, care reprezintă un element-cheie nu numai în ce privește evaluarea eficienței sistemului de schimburi de date, ci și în ce privește supravegherea respectării garanțiilor privind protecția datelor. Pe acest fundal, AEPD recomandă, în conformitate cu alte instrumente juridice privind schimbul de date cu caracter personal (12), ca elementele statistice care trebuie colectate să fie definite cu un plus de detaliu și luând în mod corespunzător în considerare necesitatea de a asigura supravegherea protecției datelor. De exemplu, datele statistice ar putea include, în mod explicit, elemente cum ar fi numărul de cereri de acces sau rectificare a datelor cu caracter personal, durata și finalizarea procesului de actualizare, calitatea persoanelor care au acces la aceste date, precum și cazurile de încălcări ale normelor de securitate. Mai mult, datele statistice și rapoartele bazate pe acestea ar trebui să fie puse în întregime la dispoziția autorităților competente de protecție a datelor.

37.

AEPD a evidențiat deja, în avizul său din 29 mai 2006 privind decizia-cadru privind schimbul de informații extrase din cazierele judiciare, faptul că propunerea nu ar trebui să abordeze doar cooperarea între autoritățile centrale, ci și cooperarea între diferitele autorități competente de protecție a datelor. Această necesitate a devenit și mai importantă din momentul în care negocierile privind FDDP au dus la eliminarea dispoziției care stabilea crearea unui grup de lucru ce reunea autorități de protecție a datelor din UE și coordona activitățile acestora cu privire la prelucrarea datelor în cadrul cooperării polițienești și judiciare în materie penală.

38.

Prin urmare, în vederea asigurării unei supravegheri atât eficiente cât și de bună calitate a circulației transfrontaliere a datelor extrase din cazierele judiciare, ar fi necesară elaborarea unor mecanisme adecvate de coordonare între autoritățile competente de protecție a datelor. Aceste mecanisme ar trebui să ia în considerare, de asemenea, atribuțiile în materie de supraveghere ale AEPD cu privire la infrastructura S-TESTA. Aceste mecanisme ar putea fi incluse fie într-o dispoziție specifică, fie adăugate la măsurile de punere în aplicare care vor fi adoptate în temeiul articolului 6 din propunere.

39.

Considerentele 6 și 8, precum și expunerea de motive a Comisiei, menționează utilizarea pe scară largă a traducerii automate. Deși AEPD salută orice măsură menită să îmbunătățească înțelegerea reciprocă a informațiilor transmise, aceasta subliniază, de asemenea, că este important să se definească și să se încadreze în mod clar utilizarea traducerii automate. În fapt, în măsura în care se face o pre-traducere corespunzătoare a categoriilor de infracțiuni menționate în anexa deciziei, utilizarea codurilor comune va permite autorităților naționale să citească traducerea automată a acestor categorii în propria lor limbă. Utilizarea traducerii automate reprezintă un instrument util și acesta poate favoriza înțelegerea reciprocă a încălcărilor cu caracter penal în cauză.

40.

Cu toate acestea, utilizarea traducerii automate pentru transmiterea informațiilor care nu au fost pre-traduse în mod corespunzător, cum ar fi observațiile suplimentare sau specificările adăugate în fiecare caz în parte, poate afecta calitatea informațiilor transmise — și, astfel, pe cea a deciziei luate în temeiul acestora — și ar trebui să fie, în principiu, exclusă. AEPD recomandă menționarea acestui aspect în considerentele deciziei Consiliului.

41.

AEPD recomandă menționarea prezentei consultări în considerentele propunerii.

42.

Se propune ca această ocazie să fie utilizată pentru restructurarea integrală a formularului în conformitate cu articolul 11 din decizia-cadru a Consiliului privind cazierele judiciare, care face distincție între informațiile obligatorii, informațiile opționale, informațiile suplimentare și orice alt tip de informații.

43.

AEPD susține prezenta propunere de instituire a ECRIS, cu condiția ca observațiile formulate în prezentul aviz să fie luate în considerare, inclusiv:

44.

Elementele statistice care urmează a fi colectate ar trebui să fie definite cu un plus de detaliu și luând în mod corespunzător în considerare necesitatea de a asigura supravegherea protecției datelor.

45.

Ar trebui elaborate mecanisme corespunzătoare de coordonare între autoritățile competente de protecție a datelor, luând în considerare atribuțiile în materie de supraveghere ale AEPD cu privire la infrastructura S-TESTA.

46.

Ar trebui să se specifice în considerentele deciziei Consiliului faptul că utilizarea traducerii automate nu ar trebui să se extindă la transmiterea informațiilor care nu au fost pre-traduse în mod corespunzător.