În anul 1980, OECD a creat o listă cu principii de bază care ar trebui urmate în protecția vieții private. Această listă numită “Recomandări ale Consiliului privind normele de guvernare pentru protecția vieții private și a transferului trans-frontalier de date personale” stipula că firmele sunt obligate să anunțe oamenii când și dacă le erau colectate datele. Datele colectate trebuiau să fie păstrate într-un mod sigur și să fie accesibile persoanelor de la care fuseseră colectate, acestea având dreptul să corecteze eventualele erori (O’Brien, 2017).
Aceste recomandări OECD au stat la baza directivei 95/46/CE adoptate de Comisia Europeană, directivă pe care acum GDPR o va înlocui. Directivele europene pot fi interpretate și aplicate diferit în statele membre, ceea ce a dus la o aplicare fragmentată, rezultând în diferite nivele de securitate pe teritoriul UE, conflicte între țările membre și o dificultate crescută pentru Curtea Europeană de Justiție în arbitrarea acelor cazuri în care ambele state respectau principiile directivei 96/46, dar în moduri care duceau la apariția de conflicte.
“Obiectivele și principiile Directivei 95/46/CE rămân solide, dar aceasta nu a prevenit fragmentarea modului în care protecția datelor este pusă în aplicare în Uniune, insecuritatea juridică sau percepția publică larg răspândită conform căreia există riscuri semnificative pentru protecția persoanelor fizice, în special în legătură cu activitatea online“ (Regulamentul general privind protecția datelor, 2016)
Astfel, Parlamentul UE a decis să înlocuiască Directiva 95/46 printr-un Regulament care va avea aplicare uniformă pe tot teritoriul UE, cu justificarea că, deși spațiul geografic al UE este fragmentat, spațiul online este comun și trebuie legislat în mod uniform.
În afară de Directiva 95/46, mai exista câteva inițiative legislative care compun programul de securitate cibernetică al UE:
- Strategia Europeană de Cibersecuritate (Cybersecurity Strategy of the European Union An Open Safe and Secure Cyberspace 7.2.2013 JOIN(2013);
- Agenda Europeană privind securitatea (European Agenda on Security (COM/2015/0185);
- Directiva privind e-privacy (2002/58/EC);
- Carta Fundamentală a drepturilor în UE (Charter of Fundamental Rights of the EU (2000/C 364/01) (articolul 8).
La acestea se adaugă, începând cu 2018, și GDPR. Principalele obiective ale GDPR sunt următoarele:
- Prevenirea atacurilor cibernetice și a impactului negativ al acestora asupra economiei și drepturilor fundamentale;
- Să dezvolte resurse industriale și tehnologice pentru cibersecuritate;
- Să propună soluții pentru securitatea online și a rețelelor;
- Să adopte reguli speciale aplicabile serviciilor de comunicații electronice (Directiva privind Securitatea Rețelelor și a Informației) (Tikhomirova, 2016, p.147)
Există două precedente juridice stabilite de Curtea Europeană de Justiție care au condus la înlocuirea Directivei 95/46 prin GDPR. În cazul Weltimmo (cazul C-230/14), o societate comercială bazată în Slovacia, opera un site de imobiliare în Ungaria. Publicarea unui anunț pe site-ul Weltimmo era gratuită în prima lună, apoi se cerea o taxă. Câteva agenții au trimis mailuri companiei slovace cerând să li se șteargă anunțurile precum și datele personale după prima lună. Weltimmo le-a ignorat cererile și, atunci când agențiile nu și-au plătit taxele, au trimis datele personale ale acestora către o firmă de colectare de datorii. Agențiile au depus o plângere contra Weltimmo la o autoritate ungară de protecția datelor care a impus o amendă de 10 milioane de forinți ungurești pentru că Weltimmo încălcase legislația ungurească de protecția datelor. Agenția ungurească de protecția datelor și-a motivat decizia dat fiind că subiecții datelor erau cetățeni și firme ungurești. Curtea supremă din Ungaria a trimis cazul la Curtea Europeană de Justiție cu întrebarea dacă o autoritatea ungurească are dreptul să aplice amenzi în cazurile când sunt implicați subiecți maghiari (Tikhomirova, 2016).
Curtea Europeană a decis pe 1 octombrie 2015 că o companie Europeană trebuie să respecte legile locale de protecția datelor dacă are sedii în alte state membre decât țara unde are sediul central. Această decizie are rol de precedent și s-a pus problema dacă această decizie nu va îngreuna totuși activitatea companiilor multi-naționale care vor trebui să fie în complianță cu legile locale de protecția datelor din toate țările unde au sedii. Astfel s-a ajuns la ideea de un singur loc (one stop shop) unde se pot rezolva problemele de protecția datelor, ceea a stat la baza unui principiu central al GDPR. Astfel, legislatorii au vrut să facă viața mai ușoară companiilor care aveau sedii în mai multe state și trebuiau să aibă de a face cu mai multe autorități legislative (EU GDPR Portal). Al doilea caz s-a petrecut la numai 5 zile după decizia Weltimmo, când Curtea Europeană de Justiție a declarat acordul cu SUA de safe-harbour pentru transferul de date ca fiind invalid. Acordul acesta stătea la baza activității a peste 4500 de companii. Decizia curții a precizat că acordul nu protejează și autoritățile publice americane și că, mai mult, aceste autorități au legi care intră în conflict cu acordul și îl invalidează de cele mai multe ori. Ideea din spatele GDPR a fost și să înlocuiască acest acord pentru a separa companiile private de autoritățile juridice (EU GDPR Portal)