Modificări aduse RGPD și RPDUE

Modificări care suscită preocupări semnificative

Unele modificări propuse ridică preocupări semnificative, deoarece pot afecta în mod negativ nivelul de protecție de care se bucură persoanele fizice, pot crea insecuritate juridică și pot îngreuna aplicarea legislației privind protecția datelor.

CEPD și AEPD îndeamnă insistent colegiuitorii să nu adopte modificările propuse ale definiției datelor cu caracter personal, deoarece acestea depășesc cu mult o modificare specifică sau tehnică a RGPD. În plus, acestea nu reflectă cu acuratețe și depășesc în mod clar jurisprudența CJUE și ar avea ca rezultat restrângerea semnificativă a conceptului de date cu caracter personal. Comisia Europeană nu ar trebui să fie însărcinată să decidă printr-un act de punere în aplicare ce nu mai sunt date cu caracter personal după pseudonimizare, deoarece aceasta afectează în mod direct domeniul de aplicare al legislației UE privind protecția datelor. 

„Simplificarea este esențială pentru reducerea birocrației și consolidarea competitivității UE – dar nu în detrimentul drepturilor fundamentale. Salutăm măsurile luate de Comisie în direcția unei mai mari armonizări, coerențe și securități juridice. Cu toate acestea, îndemnăm cu fermitate colegiuitorii să nu adopte modificările propuse în definiția datelor cu caracter personal, deoarece acestea riscă să slăbească în mod semnificativ protecția datelor individuale.”

Președintele CEPD, Anu Talus

„Îndemnăm cu fermitate colegiuitorii să nu adopte modificările propuse ale definiției datelor cu caracter personal. Aceste modificări nu sunt conforme cu jurisprudența Curții și ar restrânge în mod semnificativ conceptul de date cu caracter personal.  Trebuie să ne asigurăm că orice modificare adusă RGPD și RPDUE clarifică efectiv obligațiile și oferă securitate juridică, menținând în același timp încrederea și un nivel ridicat de protecție a drepturilor și libertăților individuale.”

 

Autoritatea Europeană pentru Protecția Datelor, Wojciech Wiewiórowski

Pași în direcția cea bună

CEPD și AEPD sunt în favoarea creșterii pragului de risc care conduce la obligația de  a notifica o încălcare a securității datelor autorității competente pentru protecția datelor (APD) și a prelungirii termenului de depunere a unei astfel de notificări. Acest lucru ar reduce în mod semnificativ sarcina administrativă pentru organizații, fără a afecta protecția datelor cu caracter personal ale persoanelor fizice. În plus, modelele și listele comune propuse pentru încălcările securității datelor și evaluările impactului asupra protecției datelor sunt pozitive. 

CEPD și AEPD salută, de asemenea, propunerea de introducere a unei noi derogări pentru prelucrarea categoriilor speciale de date pentru autentificarea biometrică,  în cazul în care mijloacele de verificare se află sub controlul exclusiv al persoanei.

În cele din urmă, acestea sprijină armonizarea noțiunii de „cercetare științifică” și alte modificări conexe, deoarece sporesc securitatea juridică și contribuie la o mai mare armonizare. 

Schimbări care necesită reglaj fin

Astfel cum se menționează în Avizul 28/2024 al CEPD privind modelele de IA,  interesul legitim poate fi utilizat, în unele cazuri, ca temei juridic în contextul dezvoltării și implementării modelelor sau sistemelor de IA. Prin urmare, CEPD și AEPD nu consideră că este necesar să se includă o dispoziție specifică în acest sens în RGPD. 

CEPD și AEPD salută obiectivul propunerii de a introduce o derogare specifică de la interdicția de a prelucra date sensibile, sub rezerva anumitor condiții, care să acopere prelucrarea accidentală și reziduală a acestor date în contextul dezvoltării și funcționării sistemelor sau modelelor de IA. Cu toate acestea, ele recomandă mai multe îmbunătățiri, cum ar fi clarificarea domeniului de aplicare al derogării și asigurarea unor garanții pe parcursul întregului ciclu de viață.

CEPD și AEPD sunt de acord cu obiectivul Comisiei de a oferi claritate juridică operatorilor în cazul în care aceștia se confruntă cu abuzuri de drept din partea persoanelor vizate. Cu toate acestea, ele consideră că exercitarea dreptului de acces în alte scopuri decât protecția datelor cu caracter personal nu ar trebui să fie un element care să definească ce este un abuz. În ceea ce privește noua derogare pentru transparență, CEPD și AEPD sprijină simplificarea cerințelor de informare și reducerea sarcinii administrative, în special pentru IMM-uri, dar sugerează clarificări pentru a asigura securitatea juridică și pentru a se asigura că persoanele fizice pot primi în continuare informații relevante cu privire la datele lor atunci când este necesar. 

În cele din urmă, ar trebui clarificate modificările aduse dispoziției privind procesul decizional individual automatizat, pentru ca aceste modificări să fie semnificative și solide din punct de vedere juridic. 

Modificări ale Directivei asupra confidențialității și comunicațiilor electronice

CEPD și AEPD sprijină ferm obiectivul de a oferi o soluție de reglementare pentru a aborda oboseala consimțământului și proliferarea bannerelor cookie. Acest lucru se referă, de exemplu, la cerințele propuse privind utilizarea indicațiilor automatizate și care pot fi citite automat cu privire la alegerile persoanelor fizice în ceea ce privește prelucrarea datelor lor. Utilizarea mijloacelor tehnice poate simplifica respectarea normelor de către operatori și poate sprijini persoanele fizice să își facă alegerile online eficace.

CEPD și AEPD salută, de asemenea, derogările suplimentare limitate de la interdicția generală de a stoca sau de a obține acces la datele cu caracter personal în echipamentele terminale și invită, de asemenea, colegiuitorii să stimuleze publicitatea contextuală, mai degrabă decât publicitatea comportamentală, prin adăugarea unei excepții specifice înconjurate de unele garanții.

CEPD și AEPD salută faptul că supravegherea acestor aspecte va fi încredințată APD. 

În același timp, CEPD și AEPD subliniază dificultățile juridice și tehnice ridicate de coexistența a două regimuri diferite pentru datele cu caracter personal și cele fără caracter personal. Acestea oferă, de asemenea, recomandări suplimentare pentru a spori securitatea juridică, a reduce la minimum riscul și a promova inovarea responsabilă.

Modificări ale acquis-ului în materie de date

CEPD și AEPD sprijină simplificarea acquis-ului în materie de date prin integrarea în Legea privind datele a normelor din Legea privind guvernanța datelor și din Directiva privind datele deschise referitoare la reutilizarea datelor și a documentelor deținute de organismele din sectorul public.

În ceea ce privește accesul acordat de organismele publice pentru reutilizare, acestea recomandă menținerea clarității oferite de cadrul juridic actual, și anume că acesta nu obligă organismele din sectorul public să permită reutilizarea și nici nu oferă un temei juridic pentru acordarea accesului.

În ceea ce privește urgențele publice, CEPD și AEPD recomandă să se afirme că datele cu caracter personal pot fi partajate numai sub formă pseudonimizată cu organismele din sectorul public, în cazurile în care datele anonime sunt insuficiente pentru a răspunde urgenței publice.

În ceea ce privește serviciile de intermediere de date și organizațiile de promovare a altruismului în materie de date, CEPD și AEPD subliniază importanța unui schimb de date fiabil și responsabil. Acestea recomandă menținerea unor garanții specifice, favorizând transparența și supravegherea.

CEPD și AEPD recomandă raționalizarea în continuare a dispozițiilor privind asigurarea respectării legii (de exemplu, prin facilitarea schimbului de informații între reglementări privind asigurarea respectării legii, inclusiv cu APD, și prin clarificarea rolului APD în asigurarea respectării Legii privind datele).

CEPD și AEPD salută confirmarea de către propunere a rolului Comitetului european pentru inovare în domeniul datelor (EDIB) în sprijinirea aplicării coerente a Legii privind datele. În ceea ce privește elaborarea de orientări, acestea recomandă împuternicirea Comisiei să emită orientări cu privire la orice subiect referitor la Legea privind datele și clarificarea rolului EDIB în sprijinirea Comisiei în acest proces. Acest lucru ar permite Comisiei să elaboreze orientări comune cu CEPD și ar permite EDIB să consilieze și să asiste Comisia în elaborarea unor astfel de orientări.

Notă către editori:

*La 19 noiembrie 2025, Comisia a adoptat o propunere „Digital Omnibus” de modificare a unui corpus amplu al legislației digitale a UE, inclusiv RGPD, RPDUE, Legea privind datele, Directiva asupra confidențialității și comunicațiilor electronice, Directiva NIS 2.

La 25 noiembrie 2025, Comisia a consultat în mod oficial CEPD și AEPD în conformitate cu articolul

42(2) RPDUE și a solicitat un aviz cu privire la aspectele referitoare la RGPD, RPDUE, Directiva asupra confidențialității și comunicațiilor electronice și acquis-ul în materie de date.

La 20 ianuarie 2026, la cererea Comisiei, CEPD și AEPD au adoptat, de asemenea, un  aviz comun privind „Omnibusul digital privind IA”.

** „acquis-ul în materie de date”, care face parte din propunerea privind Omnibusul digital, vizează abrogarea Legii privind guvernanța datelor („DAG”), a Directivei privind datele deschise („ODD”) și a Regulamentului privind libera circulație a datelor fără caracter personal („FFNPR”) și integrează dispozițiile relevante modificate ale acestor acte în Legea privind datele.