Prin Digital Omnibus, un proiect legislativ de tip trenuleț, Comisia vrea să modifice mai multe reglementări europene, inclusiv GDPR, într-un fel care pare să favorizeze exclusiv marile companii de tehnologie, în special cele care produc algoritmi de inteligență artificială generativă. În Uniunea Europeană, Regulamentul GDPR este principala legislație prin care cetățenii au dreptul să exercite control și autonomie asupra datelor cu caracter personal.
Numeroase mecanisme de colectare și folosire a datelor personale, de pe website-uri sau din aplicații, s-au adaptat la Regulamentul GDPR pentru a putea funcționa în continuare în Uniunea Europeană. Ca efect, în unele cazuri, chiar și persoanele din afara Uniunii au avut de câștigat de pe urma faptului că platformele online au ales să colecteze mai puține date, în general, mai degrabă decât să implementeze versiuni diferite de servicii: „pentru cei cu GDPR (sau legi similare)” și „pentru restul țărilor”.
O scurgere de date de la Comisia Europeană a dat în vileag un document în stadiul de „ciornă”, o propunere de „simplificare” a unei serii de Regulamente, între care GDPR și recentul AI Act. Un ONG cu expertiză în legislația drepturilor digitale, NOYB, din Austria, a publicat o analiză amănunțită a acestei „ciorne”, alături de un rezumat al schimbărilor și interpretarea lor asupra situației. NOYB arată că această reformă, care ar fi trebuit să aducă doar ajustări specifice pentru a reduce birocrația și a ajuta companiile să se conformeze mai ușor, a ajuns să modifice aspecte fundamentale ale legislației privind protecția digitală, care vor afecta semnificativ drepturile tuturor persoanelor.
O scrisoare deschisă semnată de peste 100 de organizații cu expertiză în drepturi digitale, inclusiv ApTI, cere Comisiei să schimbe direcția în care duce acest efort de „simplificare” a unor Regulamente. Cadrul legislativ construit deja în Uniunea Europeană, spune scrisoarea, e cea mai bună apărare pe care o avem împotriva inechității algoritmice, a exploatării digitale și a supravegherii în masă.
La rândul nostru, vrem să trecem prin aceste schimbări propuse și să clarificăm care ar putea să fie efectul lor. Din capul locului, ce e cel mai important de subliniat e că aceste schimbări au implicații majore, nu sunt doar „mici simplificări”, așa cum menționase Comisia Europeană că plănuiește să facă. Apoi, ne este foarte clar că cei care au de suferit în urma acestor schimbări, dacă ele ar fi trecute în forma actuală, sunt cetățenii, dar și firmele europene. Procedura prin care se încearcă trecerea acestor modificări e una de urgență.
Pretinzând că ajută IMM-urile, Comisia întinde covorul roșu pentru marile companii AI
În septembrie 2025, Comisia Europeană trâmbița intenția sa de a simplifica Regulamentul GDPR și alte Regulamente europene, pentru a degreva micile business-uri și antreprenorii de proceduri greoaie și complicate. Astfel de simplificări reale ar fi fost bine-venite, căci GDPR-ul, așa util cum ne-a fost, uneori poate crea birocrație și mărește costurile pentru companii mici și mijlocii, fără a aduce mari beneficii. Totuși, ce vedem în „ciorna” denumită Digital Omnibus nu are aproape nimic în comun cu viziunea asta, a simplificării care să ajute micile companii. „Ciorna” aduce beneficii aproape exclusiv marilor companii de tehnologie, în detrimentul autonomiei cetățenilor Uniunii Europene.
„Ciorna” Digital Omnibus va face din definiția „datelor personale” ceva subiectiv, la latitudinea fiecărui operator de date personale (de exemplu, o companie sau o instituție). Propunerea este ca fiecare operator de date să decidă dacă poate să identifice o persoană în mod unic folosind anumite date. Dacă nu poate, atunci Digital Omnibus propune ca acele date să nu mai fie considerate „personale”, deci să nu mai fie protejate de GDPR. Asta înseamnă că anumite tipuri de date, considerate, acum, pseudonime, dar protejate în continuare de GDPR ar putea să piardă această protecție. Exemple de astfel de date ar fi adresele IP (declarate de Curtea de Justiție UE a fi protejate de GDPR în decizia Breyer) sau orice identificator unic.
Apoi, tot pe subiectul datelor în sine, Digital Omnibus caută să scoată de sub protecția GDPR datele personale din categorii speciale, dacă acestea nu au fost „dezvăluite în mod direct” celui care colectează și procesează date. În momentul de față, enorm de multe date personale din categorii protejate, precum starea de sănătate, genul, apartenența la o religie sau la o mișcare politică, sau informații despre preferințele sexuale pot fi deduse din alte seturi de date. Însă, chiar dacă ele pot fi deduse, folosirea lor ca atare este interzisă de GDPR. De exemplu, Curtea de Justiție a UE a decis deja în favoarea lui Max Schrems atunci când acesta a dat în judecată Facebook, deținută de Meta. Schrems a susținut că Facebook nu ar fi trebuit să proceseze date despre orientarea sa sexuală, date pe care le-a dedus din contextul postărilor sale.
Practic, Digital Omnibus deschide ușa pentru profilarea utilizatorilor cu privire la datele pe care nu le declară în mod direct, scoțând totodată aceste date din sfera de protecție și garanții prevăzute acum de GDPR: orientarea sexuală, preferințele politice, starea de sănătate (inclusiv mentală), credința.
Să punem în perspectivă cât de părtinitoare este „ciorna” asta: conform propunerilor, prelucrarea datelor cu caracter personal pentru a antrena și operaționaliza algoritmi de inteligență artificială generativă devine permisă. Apoi, când vine vorba de prelucrarea datelor din categorii speciale pentru a antrena AI-ul, „ciorna” formulează foarte vag o datorie a operatorului să elimine aceste date extrem de sensibile, dacă nu cumva necesită un efort „disproporționat”. Adică, dacă se poate, dacă nu e cu supărare...
Dacă același set de date e stocat într-un Excel amărât, sau prelucrat pentru alte scopuri (de exemplu, îmbunătățirea serviciilor unei platforme), nu beneficiază de acest covor roșu pe care Digital Omnibus în întinde la picioarele companiilor de AI generativă.
Ce drepturi mai pierdem
Digital Omnibus mai conține și alte schimbări îngrijorătoare:
- permite multiple temeiuri juridice pentru extragerea de informații dintr-un dispozitiv personal sau urmărirea deținătorului dispozitivului folosind tehnologii de monitorizare la distanță (cookie-urile sunt un astfel de exemplu, deși ne-am obișnuit cu ele);
- persoanele care cer acces la datele lor personale colectate și procesate, sau cer ștergerea acestora, pot fi refuzate dacă operatorul datelor sau entitatea care le-a colectat consideră că cererea este „excesivă”;
- obligația celor care colectează și prelucrează date cu caracter personal de a notifica Autoritatea pentru prelucrarea datelor cu caracter personal în cazul unei breșe care expune datele public, sau le scurge către alte entități, a fost modificată să se aplice doar în cazuri de „risc înalt”, ceea ce înseamnă că vor fi recunoscute și făcute publice și mai puține astfel de cazuri.
Din analiza pe care a făcut-o NOYB, reiese că unele dintre modificările pe care le propune „ciorna” Digital Omnibus încalcă convențiile europene în domeniul protecției datelor, Carta drepturilor fundamentale a Uniunii Europene, sau jurisprudența Curții de Justiție. Asta înseamnă și că degeaba e procedura prin care se încearcă adoptarea una accelerată, că tot riscă întreaga propunere să fie respinsă de Curtea de Justiție a UE.
Cine sunt câștigătorii și pierzătorii?
Experții avertizează că dereglementarea propusă va afecta încrederea în Uniunea Europeană și competitivitatea. Modificările vor eroda suveranitatea digitală a Europei, crescând dependență de marile companii din afara Uniunii. De asemenea, ei arată că faptul că se încearcă adoptarea acestei legislații complexe fără o dezbatere adecvată, fără dovezi suficiente și fără a urma principiile bunei legiferări este extrem de periculos, deoarece duce la scăderea încrederii în statul de drept și valorile democratice, din care vom pierde cu toții.
În timp ce Comisia lucrează la această „ciornă” Digital Omnibus, în paralel, se discută - din nou! - și propunerea de Regulament de monitorizare în masă supranumită Chat Control despre care noi am mai scris.
Deși cele două direcții ar fi în aparență diferite, ambele au consecințe directe și clare asupra cetățenilor: erodează drepturile digitale. Sub pretextul simplificării și reducerii poverii pentru companiile mici, Digital Omnibus slăbește regulile pentru colectarea datelor personale de către toate corporațiile, inclusiv pentru cele mari din domeniul AI, și le permite să colecteze și proceseze mai multe date cu mai puțină responsabilitate. Pe de altă parte, sub pretextul siguranței publice, Chat Control propune supravegherea și monitorizarea în masă a comunicațiilor și slăbește confidențialitatea și drepturile privind viața privată.
Împreună, cele două inițiative conturează o viziune periculoasă pentru viitor, în care guvernele preiau mai multe prerogative de monitorizare și acces la comunicațiile noastre private, iar companiile primesc acces mai larg și mai puțin strict la datele noastre personale. Cetățenii, în schimb, pierd controlul asupra datelor personale, protecția sporită pentru datele sensibile, le este restrâns dreptul de a afla ce date s-au colectat și dreptul de a solicita ștergerea lor.
În aceste condiții, munca de protejarea a drepturilor fundamentale ale omului de toate aceste încercări de a le constrânge și a le submina este mai importantă ca oricând.
NOYB, Irish Council of Civil Liberties și European Digital Rights(EDRi), rețeaua de organizații cu expertiză în drepturi digitale, din care face parte și ApTI, au adresat Comisarului pentru Tehnologie, Securitate și Democrație, Henna Virkkunen și Comisarului pentru Democrație, Justiție, Stat de Drept și Protecția Consumatorilor, Michael McGrath, o altă scrisoare deschisă. Scrisoarea se încheie cu un avertisment puternic: simplificarea nu trebuie să devină niciodată o scuză pentru a desființa drepturi fundamentale.
Articolul a fost modificat editorial față de versiunea de pe site-ul ApTI.
