Principalul mecanism în baza căruia se transferau date cu caracter personal din UE în SUA a fost invalidat de C.J.U.E.!
Prin Hotărârea pronunțată de C.J.U.E. în cauza C-311/18[1], Facebook pierde, pentru a doua oară, bătălia cu Maximillian Schrems, Curtea considerând că transferurile de date cu caracter personal către SUA, întemeiate pe Scutul de confidențialitate UE-SUA (Privacy shield) sunt nelegale pe motiv că autoritățile americane desfășoară programe de supraveghere în masă și au acces la datele cu caracter personal ale cetățenilor UE într-o manieră incompatibilă cu dreptul la viață privată.
Această hotărâre nu vizează însă exclusiv compania Facebook, ea având impact asupra tuturor companiilor din UE care efectuează un transfer de date cu caracter personal către SUA (a se înțelege și situațiile în care, în activitatea profesională, sunt utilizate produsele Google, Microsoft, Facebook etc.) și care își întemeiază acest transfer pe Scutul de confidențialitate UE-SUA (Privacy shield), invalidat prin Hotărârea C.J.U.E.
Privacy shield. Ce înseamnă el și de ce era atât de important pentru transferurile de date din UE către SUA
În temeiul legislației UE[2], o modalitate de a transfera date cu caracter personal în străinătate este pe baza unei „decizii privind caracterul adecvat al nivelului de protecție” adoptate de Comisia Europeană prin care se stabilește că o țară terță asigură un nivel de protecție a datelor care este în esență echivalent cu cel din UE. Efectul unei astfel de decizii este de a permite fluxul liber de date către țara terță în cauză fără alte garanții sau autorizări suplimentare.[3] Lista țărilor considerate de Comisie ca asigurând un nivel de protecție adecvat se găsește aici.
În ceea ce privește SUA, Comisia Europeană a emis Decizia (UE) 2016/1250[4] (Decizia Privacy shield), prin care a stabilit că acele companii din SUA care au aderat la Scutul de confidențialitate UE-SUA (Privacy shield) garantează un nivel adecvat de protecție a datelor cu caracter personal pe care le primesc din UE.
Scutul de confidențialitate UE-SUA (Privacy shield) a fost conceput ca un mecanism adresat companiilor UE-SUA care să respecte cerințele de protecție a datelor atunci când se efectuează un transfer de date cu caracter personal din UE către SUA[5]. Aderarea la Privacy shield nu era obligatorie pentru companiile din S.U.A. Lista companiilor care au aderat la Privacy shield poate fi consultată aici.
Scutul de confidențialitate UE-SUA (Privacy shield) a devenit astfel principalul mecanism utilizat în practică pentru transferul datelor cu caracter personal din UE în SUA, fiind folosit inclusiv de companii precum Google, care îl utilizau ca și temei atunci când, în cadrul serviciilor oferite companiilor din UE, prelucrau datele aparținând acestora din urmă pe teritoriul SUA.[6]
Privacy shield invalidat începând cu data de 16 iulie 2020
Prin Hotărârea pronunțată la data de 16 iulie 2020, în cauza C-311/18 (Shrems II), C.J.U.E. invalidează Privacy Shield motivat de faptul că legislația SUA permite autorităților americane să acceseze datele cu caracter personal transferate din UE în SUA și să le utilizeze într-o manieră discreționară în cadrul programelor desfășurate, cum ar PRISM și UPSTREAM.[7]
PRISM și UPSTREAM, la care se face trimitere în hotărârea C.J.U.E, reprezintă programe de supraveghere în masă derulate de autoritățile din SUA, care permit o ingerință foarte mare a acestor autorități în viața privată a persoanelor fizice. Astfel, în baza PRISM, furnizorii de servicii de internet sunt obligați să furnizeze NSA (National Security Agency) toate comunicările trimise și primite de un „selector”, o parte dintre acestea fiind de asemenea transmisă către FBI și CIA. În baza programului UPSTREAM, NSA are acces atât la metadate, cât și la conținutul comunicațiilor.
Or, un asemenea acces al autorităților SUA la datele cu caracter personal transferate din UE, fără ca acest acces să fie limitat la ceea ce este strict necesar pentru atingerea scopului, să implice garanții suficiente care să protejeze împotriva abuzurilor și fără să existe o legislație care să confere persoanelor fizice din UE o cale de atac legală pentru a-și exercita drepturile, este de natură să aducă atingere substanței dreptului fundamental la respectarea vieții private și a dreptului fundamental la o protecție jurisdicțională efectivă, astfel cum sunt consacrate de Carta drepturilor fundamentale ale Uniunii Europene.
Consecințele invalidării Privacy shield
Odată cu invalidarea Privacy Shield, transferurile de date către SUA nu se mai pot baza pe acest mecanism. Prin urmare, companiile din UE care transferă date către SUA trebuie să se orienteze spre un alt mecanism de transfer. Un asemenea mecanism îl pot constitui clauzele standard de protecție (CCS), care reprezintă clauze contractuale adoptate de Comisie și însușite de părțile implicate în transfer (partea care transferă și partea care primește datele). Conținutul acestor clauze, în forma adoptată de Comisie, poate fi consultat aici.
Cu toate acestea, simpla încheiere a unor clauze contractuale standard (CCS) nu implică prin ea însăși o conformare la prevederile Regulamentului GDPR iar explicația este una relativ simplă: degeaba destinatarul datelor din SUA se obligă printr-un contract să păstreze confidențialitatea datelor primite dacă legislația căreia el i se supune îl obligă să divulge acele date autorităților, într-o manieră discreționară și fără garanții pentru persoanele ale căror date sunt divulgate.
Prin Hotărârea pronunțată, CJUE stabilește că o campanie din UE, care transferă date către SUA în baza unor clauze contractuale standard (CCS), are obligația de a verifica dacă, prin acest transfer, se asigură un ”nivel adecvat de protecție” și anume dacă există:
- garanții suficiente pentru persoanele vizate,
- drepturi opozabile pentru persoanele vizate și
- căi de atac eficiente pentru persoanele vizate.
Mai precis, nu este suficientă semnarea unor clauze contractuale standard (CCS), aceasta trebuind dublată de verificarea sistemului juridic din SUA pentru a evalua dacă nu cumva acesta împiedică destinatarul datelor să își respecte obligațiile asumate prin clauzele contractuale standard. Dacă legislația din SUA permite autorităților ingerințe incompatibile cu principiile dreptului la viață privată astfel cum este el reglementat de legislația UE (ceea ce este foarte probabil raportat la hotărârea curții), atunci transferul ar trebui să nu aibă loc sau, dacă a fost inițiat, să fie încetat.
Cum se poate realiza, în practică, această verificare a sistemului juridic din SUA și cum se poate stabili dacă acesta împiedică asigurarea efectivă a unui nivel de protecție adecvat al datelor este cu siguranță o chestiune care va ridica serioase dificultăți în practică.
Ce alte mecanisme de transfer mai putem folosi?
În lipsa Privacy shield și dacă nu se poate recurge în mod valabil la clauze contractuale standard (CCS) încheiate cu destinatarul datelor din SUA, transferul poate fi efectuat în baza unor derogări pentru situații specifice[8], cum ar fi, spre exemplu:
- consimțământul explicit al persoanelor vizate cu privire la transferul de date, după ce au fost informate asupra posibilelor riscuri pe care astfel de transferuri le pot implica ca urmare a lipsei unor garanții adecvate;
- atunci când transferul este necesar pentru executarea unui contract încheiat între compania din UE (operatorul de date) și persoana vizată sau pentru aplicarea unor măsuri precontractuale adoptate la cererea persoanei vizate;
- atunci când transferul este necesar pentru încheierea / executarea unui contract încheiat între compania din UE (operatorul de date) și o terță parte, dar în interesul persoanelor vizate;
- atunci când transferul este necesar din considerente importante de interes public;
- atunci când transferul este necesar pentru stabilirea, exercitarea sau apărarea unui drept în instanță;
- atunci când transferul este necesar pentru protejarea intereselor vitale ale persoanei vizate sau ale altor persoane, atunci când persoana vizată nu are capacitatea fizică sau juridică de a-și exprima acordul;
- atunci când transferul este necesar în scopul realizării intereselor legitime majore ale companiei din UE (operatorului de date), dar in acest caz numai dacă interesul legitim este recunoscut în dreptul intern sau în dreptul UE, nu prevalează interesele sau drepturile și libertățile persoanei vizate, transferul nu este repetitiv, transferul se referă doar la un număr limitat de persoane vizate, compania prezintă garanții corespunzătoare în ceea ce privește protecția datelor cu caracter personal, compania informează autoritatea de supraveghere precum și persoana vizată cu privire la transfer.
Concluzii
Ca urmare a Hotărârii C.J.U.E. din 16 iulie 2020, apreciem că toate companiile din UE trebuie să efectueze o evaluare a transferurilor de date pe care le efectuează către companii din SUA (implicit atunci când folosesc serviciile Google, Microsoft, Facebook etc.) și să stabilească mecanismele de transfer.
Dacă nu se pot asigura mecanisme de transfer eficiente, aceste transferuri trebuie stopate, în caz contrar fiind încălcate prevederile Regulamentului GDPR, cu toate consecințele ce derivă de aici.
Trebuie de asemenea evaluate diversele raporturi contractuale pe care companiile din UE le au cu alte companii din UE, care prestează servicii de tip cloud, fiind foarte probabil ca aceste companii să apeleze, la rândul lor, la furnizori de servicii din SUA.
Pentru o înțelegere a situației, luăm un caz practic: compania Y SRL din România apelează pentru servicii de hosting website la o altă companie din România. În acest raport contractual, compania Y SRL este operator de date iar compania de hosting este o persoană împuternicită, care prelucrează datele conform instrucțiunilor companiei Y SRL. La o primă analiză, compania Y SRL ar putea fi tentată să considere că nu realizează un transfer de date în afara UE. Totuși, un asemenea transfer de date se efectuează atunci când compania de hosting apelează la serviciile unei terțe companii care are servere localizate în SUA. În acest caz, compania Y SRL, care este operator de date, nu este exonerată de răspundere pentru un eventual transfer ilegal de date către SUA de aceea, ea trebuie să se asigure, printr-un acord de prelucrare a datelor cu caracter personal (DPA) încheiat cu compania de hosting, că datele prelucrate de compania de hosting rămân pe teritoriul UE.
Pe post de concluzii, arătăm că, în cadrul discursului său privind starea Uniunii Europene la 14 septembrie 2016, Jean-Claude Juncker în calitatea sa de Președinte, pe acea vreme, a Comisiei Europene, afirma că „[s]ă fii european înseamnă dreptul ca datele tale cu caracter personal să fie protejate de legi europene solide. […] Și asta pentru că, în Europa, protejarea vieții private contează. Această chestiune ține de demnitatea umană.”[9] La mai puțin de 4 ani după, C.J.U.E. vine să infirme o Decizie a Comisiei Europene care stabilea că SUA oferă un nivel de protecție adecvat. Această hotărâre a Curții vine să ne reamintească, încă o dată, importanța și seriozitatea cu care trebuie tratate activitățile de prelucrare a datelor cu caracter personal.
Sursa foto: https://www.telegraph.co.uk/
Managing Partner BRANCOV SIMIONESCU TODOR S.C.A.
[1] C.J.U.E., cauza C‑311/18, Data Protection Commissioner c. Facebook Ireland Limited și Maximillian Schrems, Hotărârea din data de 16 iulie 2020, ECLI:EU:C:2020:559, curia.europa.eu.
[2] Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) (Text cu relevanță pentru SEE) JO L 119, 4.5.2016, p. 1–88, articolul 45.
[3] Comisia Europeană, Comunicare a Comisiei către Parlamentul European și Consiliu. Schimbul de date cu caracter personal și protecția acestora într-o lume globalizată, Bruxelles, 10.1.2017 COM(2017) 7 final, p. 4, document disponibil la adresa <https://ec.europa.eu/transparency/regdoc/rep/1/2017/RO/COM-2017-7-F1-RO-MAIN-PART-1.PDF>, accesat 19.07.2020.
[4] Decizia de punere în aplicare (UE) 2016/1250 din 12 iulie 2016 în temeiul Directivei 95/46/CE a Parlamentului European și a Consiliului privind caracterul adecvat al protecției oferite de Scutul de confidențialitate UE-SUA [notificată cu numărul C(2016) 4176] (Text cu relevanță pentru SEE), JO L 207, 1.8.2016, p. 1–112.
[5] Privacy shield framework, <https://www.privacyshield.gov/welcome>, accesat 18.07.2020.
[6] <https://cloud.google.com/security/compliance/privacy-shield> link accesat 18.07.2020.
[7] C.J.U.E., cauza C‑311/18, Data Protection Commissioner c. Facebook Ireland Limited și Maximillian Schrems, Hotărârea din data de 16 iulie 2020, în principal pct. 61-62, 164-165, ECLI:EU:C:2020:559, curia.europa.eu.
[8] Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) (Text cu relevanță pentru SEE) JO L 119, 4.5.2016, p. 1–88, art. 49.
[9] Comisia Europeană, Comunicare a Comisiei către Parlamentul European și Consiliu. Schimbul de date cu caracter personal și protecția acestora într-o lume globalizată, Bruxelles, 10.1.2017 COM(2017) 7 final, p. 2, document disponibil la adresa <https://ec.europa.eu/transparency/regdoc/rep/1/2017/RO/COM-2017-7-F1-RO-MAIN-PART-1.PDF>, accesat 19.07.2020.