Curtea de Justiție a UE a invalidat joi acordul Privacy Shield ce permite transferul de date personale între UE și SUA.
Faptul că primează securitatea națională, interesul public și respectarea legislației americane, permite unele ingerințe în drepturile fundamentale ale persoanelor ale căror date sunt transferate către SUA, se precizează în mult așteptata hotărâre pronunțată joi.
Privacy Shield ar fi trebuit să diminueze această ingerință a SUA, de exemplu prin instituirea unui Ombudsman care să gestioneze sesizările cetățenilor europeni, dar prevederile sale nu reușesc să respecte standardele legale în materie valabile în UE.
CJUE a menţinut însă validitatea mecanismului de transfer de date cunoscut drept ‘clauze contractuale standard’, subliniind însă că autorităţile de supraveghere trebuie să suspende sau interzică transferurile în afara UE dacă protecţia datelor nu poate fi asigurată, scrie Reuters, citată de Agerpres.
Decizia de joi, explică TechCrunch, nu se referă la așa-numitele transferuri de date „necesare”, cum ar fi posibilitatea de a rezerva prin email o cameră de hotel. Este vorba despre externalizarea masivă, în SUA, a procesării datelor colectate din UE. O consecință a hotărârii de joi ar putea fi apelarea la procesarea regională a datelor, în cazul datelor utilizatorilor europeni, scrie publicația.
Decizia va avea consecințe uriașe asupra giganților tech, marilor producători industriali şi auto, care folosesc aceste clauze pentru a transfera date personale ale europenilor în alte ţări pentru servicii precum infrastructură cloud, găzduire de date, state de plată, finanţe şi marketing.
Activitățile companiilor americane ce transferă date comerciale vor fi mult complicate după hotărârea CJUE.
Direct și puternic afectată este Facebook.
Decizia de joi a fost numită Schrems II, cu referire la celebrul activist și avocat Max Schrems, care a contestat și acordul precedent, Safe Harbour. CJUE a fost de acord atunci că transferarea în SUA a unui volum mare de date ale cetățenilor europeni îi expune pe aceștia practicilor ilegale de monitorizare derulate de NSA.
”După o primă lectură a hotărârii Curții privind Privacy Shield pare că am câștigat în proporție de 100%”, a reacționat Max Schrems imediat după aflarea deciziei de joi a CJUE. ”SUA trebuie să se angajeze într-o reformă serioasă a modului în care se face supravegherea, dacă vor revenirea la un statut privilegiat pentru companiile americane”, a scris el pe Twitter.
În esență, explică TechCrunch, este vorba de o confruntare între două regimuri legale total diferite referitoare la datele personale: pe de o parte SUA, cu legislația ce permite supravegherea și, de cealaltă parte, UE, cu protejarea datelor personale și Regulamentul general existent în acest sens.
Fragmente din hotărârea CJUE:
- Regulamentul general privind protecția datelor (RGPD) prevede că transferul unor astfel de date către o țară terță, în principiu, se poate realiza numai dacă țara terță în cauză asigură un nivel de protecție adecvat în privința acestor date. Potrivit acestui regulament, Comisia poate să decidă că o țară terță asigură, ca urmare a legislației sale interne sau a angajamentelor sale internaționale, un nivel de protecție adecvat. În absența unei asemenea decizii privind caracterul adecvat al nivelului de protecție, un astfel de transfer se poate realiza numai dacă exportatorul datelor cu caracter personal, stabilit în Uniune, oferă garanții adecvate, care pot să rezulte în special din clauze standard de protecție a datelor adoptate de Comisie, și cu condiția să existe drepturi opozabile și căi de atac eficiente pentru persoanele vizate.
- Domnul Schrems a depus o plângere la autoritatea de supraveghere irlandeză, având ca obiect, în esență, interzicerea acestor transferuri. El a susținut că dreptul și practicile Statelor Unite nu oferă o protecție suficientă împotriva accesului autorităților publicela datele transferate către această țară. Plângerea menționată a fost respinsă în special pentru motivul că în Decizia 2000/5205 (denumită „Decizia Sfera de siguranță”)
- Comisia constatase că Statele Unite asigurau un nivel de protecție adecvat. Prin Hotărârea din 6 octombrie 2015, Curtea, sesizată cu o întrebare preliminară adresată de High Court (Înalta Curte, Irlanda), a declarat nevalidă această decizie (denumită în continuare „Hotărârea Schrems I).
- În plângerea sa reformulată, domnul Schrems susține că Statele Unite nu oferă o protecție suficientă a datelor transferate către această țară. El solicită să se suspende sau să se interzică pentru viitor, transferurile datelor sale cu caracter personal din Uniune către Statele Unite, pe care Facebook le realizează în prezent în temeiul clauzelor standard de protecție care figurează în anexa la Decizia 2010/877.
- După deschiderea acestei proceduri, Comisia a adoptat Decizia(UE )2016/1250 privind caracterul adecvat al protecției oferite de Scutul de confidențialitate UE-SUA (denumită„Decizia Scutul de confidențialitate”). Prin cererea sa de decizie preliminară, instanța de trimitere solicită Curții să se pronunțe cu privire la aplicabilitatea RGPD în cazul unor transferuri de date cu caracter personal întemeiate pe clauze standard de protecție care figurează în Decizia 2010/87,cu privire la nivelul de protecție impus de acest regulament în cadrul unui astfel de transfer și cu privire la obligațiile care revin autorităților de supraveghere în acest context. În plus, High Court ridică problema validității atât a Deciziei 2010/87, cât și a Deciziei 2016/1250.
- Prin hotărârea pronunțată astăzi, Curtea constată că analiza Deciziei 2010/87 în raport cu Carta drepturilor fundamentale ale Uniunii Europene nu evidențiază niciun element de natură să afecteze validitatea sa. În schimb, aceasta declară nevalidă Decizia 2016/1250.
- Potrivit Curții, limitările protecției datelor cu caracter personal care decurg din reglementarea internă a Statelor Unite privind accesul și utilizarea de către autoritățile publice americane a unor astfel de date transferate din Uniune către această țară terță și pe care Comisia le-a evaluat în Decizia 2016/125 0nu sunt circumscrise astfel încât să îndeplinească cerințe în esență echivalente cu cele prevăzute, în dreptul Uniunii, de principiul proporționalității, în sensul că programele de supraveghere întemeiate pe această reglementare nu sunt limitate la strictul necesar.
- În ceea ce privește cerința protecției jurisdicționale, Curtea statuează că, în mod contrar celor considerate de Comisie în Decizia 2016/1250, mecanismul de tip Ombudsman prevăzut de decizia menționată nu furnizează acestor persoane o cale de atac în fața unui organ care oferă garanții în esență echivalente cu cele impuse de dreptul Uniunii de natură să asigure atât independența Ombudsmanului prevăzut de acest mecanism, cât și existența unor norme care să abiliteze Ombudsmanul menționat să adopte decizii obligatorii în privința serviciilor americane de informații. Pentru toate aceste motive, Curtea declară nevalidă Decizia 2016/1250.
