Pe 16 iulie, CJUE a pronunțat hotărârea Schrems II care invalidează decizia privind Scutul de Confidențialitate (Privacy Shield) și oferă clarificări asupra Clauzelor Contractuale Standard (CCS).

Mult zgomot și „ceață” în rândul organizațiilor, în special asupra efectelor hotărârii Schrems II. Urmează ca autoritățile de supraveghere din UE și EDPB să reacționeze în curând și să aducă mai multă lumină privind acest subiect.

Până atunci, redăm mai jos câteva aspecte cheie pe care ar trebui să le luați în considerare.

1. Ce înseamnă că Privacy Shield UE-SUA a fost invalidat?

Privacy Shield UE-SUA a permis organizațiilor UE să exporte date către organizații din SUA, enumerate în Lista Privacy Shield UE-SUA. Privacy Shield UE-SUA a fost emis în baza articolului 45 din GDPR, care conferă Comisiei dreptul de a decide că anumite state terțe sau teritorii asigură un nivel de protecție adecvat pentru persoanele vizate și, prin urmare, organizațiilor li se permite să transfere date în astfel de state sau teritorii.

Prin articolul 1 alineatul (1) din Decizia privind Privacy Shield, Comisia a constatat că SUA asigură un nivel de protecție adecvat al datelor cu caracter personal transferate din UE către organizații din SUA pe baza Privacy Shield UE-SUA.

Prin hotărârea Schrems II, CJUE a constatat că, dimpotrivă, SUA nu asigură un nivel de protecție adecvat (echivalent cu cel asigurat de țările UE) și, prin urmare, a stabilit că decizia Comisiei privind Privacy Shield UE-SUA este invalidă.

Aceasta presupune că organizațiile UE nu ar mai trebui să se bazeze pe Privacy Shield UE-SUA pentru transferul de date către organizații din SUA.

2. Ce se întâmplă cu transferurile în curs de desfășurare în baza Privacy Shield UE-SUA?

CJUE a fost destul de directă pe acest subiect extrem de sensibil și a statuat că organizațiile ar trebui să utilizeze mijloacele alternative de transfer de date prevăzute de articolul 49 din GDPR.

Important de menționat, Secretarul comerțului din SUA, Wilbur Ross, a declarat în 16 iulie 2020 că Departamentul de Comerț al SUA va continua să gestioneze programul Privacy Shield și, în particular, va continua să proceseze cererile de înregistrare (pe bază de auto-certificare) în Privacy Shield.

Deși este destul de devreme să tragem concluzii, cu excepția cazului în care Comisia va adopta o nouă decizie privind nivelul de protecție adecvat oferit de SUA, cel mai probabil Privacy Shield UE-SUA își va încheia în curând existența.

În viitorul apropiat, ne așteptăm ca autoritățile de supraveghere a UE și EDPB să emită poziții (comune) și îndrumări suplimentare către organizații de a nu (mai) utiliza Privacy Shield UE-SUA și de a încerca să se bazeze pe mijloace alternative valabile de transfer de date.

3. Există vreo perioadă de grație pentru conformare în ceea ce privește transferurile în curs în temeiul Privacy Shield UE-SUA?

Nu. Organizațiile ar trebui să ia în considerare imediat mijloace alternative valide pentru transferul de date în SUA. Acestea ar putea consta fie în punerea în aplicare a CCS adecvate sau a regulilor corporative obligatorii – RCO (fezabilitatea de evaluat de la caz la caz) sau utilizarea oricăruia dintre mecanismele alternative de transfer descrise la articolul 49 din GDPR.

4. Sunt clauzele contractuale standard (CCS) în continuare valide?

În principiu, da. Totuși, principala provocare va fi ca organizațiile UE care exportă datele în țări terțe în baza CCS să poată demonstra că importatorul de date din țara terță este în fapt capabil să îndeplinească garanțiile stipulate în cadrul CCS. Acest lucru ar presupune că organizațiile care se bazează pe CCS verifică dacă legislația țării terțe asigură un nivel similar de protecție în conformitate cu legislația UE în ceea ce privește drepturile persoanelor vizate.

5. La ce ar trebui să se aștepte organizațiile pe viitor?

În primul rând, organizațiile ar trebui să se aștepte la o creștere semnificativă a numărului de solicitări de acces ale persoanelor vizate în ceea ce privește transferurile de date către țări terțe. Putem presupune în mod rezonabil că cele mai expuse industrii vor fi telecomunicațiile, industria financiar-bancară, asigurările, sănătatea, retail etc.

În mod corespunzător, anticipăm o creștere a numărului de reclamații ale persoanelor vizate și, în acest sens, a investigațiilor inițiate de autoritățile UE (inclusiv ANSPDCP) în legătură cu transferurile de date către țări terțe (indiferent dacă sunt făcute pe baza Privacy Shield UE-SUA, CCS sau RCO).

De asemenea, nu putem exclude ca autoritățile naționale să deschidă investigații din oficiu cu privire la validitatea mecanismelor de transfer de date utilizate de organizații, cu accent pe transferurile de date către țări terțe. În special, unele autorități de supraveghere ale UE au subliniat deja necesitatea unei abordări unitare în ceea ce privește deciziile pe care le vor lua în privința companiilor care transferă date în țări terțe^[1].

Însă, probabil cel mai dramatic impact pentru organizații este că, în conformitate cu articolului 58 din GDPR, autoritățile de supraveghere din UE (inclusiv ANSPDCP) vor putea interzice (temporar sau definitiv) sau ordona suspendarea unui transfer de date sau a unui set de transferuri bazate pe CCS, dacă constată că transferul ar putea să aibă un efect negativ semnificativ asupra garanțiilor oferite persoanei vizate (inclusiv în cazul în care s-ar constata că, în fapt, legislația importatorului de date îl împiedică să se conformeze cu garanțiile oferite formal prin CCS).

În sfârșit, din perspectiva cadrului de conformare, cel mai probabil Comisia va emite versiuni actualizate ale CCS^[2]. Este de așteptat ca aceste versiuni să includă mecanisme mai dure pentru asigurarea unei protecții adecvate și eficiente a persoanelor vizate și, cel mai probabil, organizațiile vor fi obligate să încheie noi CCS pe modelul acestor versiuni actualizate.

6. Ce ar trebui să facă organizațiile în continuare?

Puteți lua în considerare următorii pași:

1. Identificați urgent și țineți o evidență a tuturor transferurilor către țări terțe pentru care v-ați bazat pe Privacy Shield UE-SUA, CCS or RCO.
2. Pentru transferurile către SUA:
   1. Suspendați sau încetați temporar orice transfer de date pe baza Privacy Shield UE-SUA. Monitorizați îndeaproape orice evoluție pe această temă, în special emiterea de către Comisie a unei noi decizii privind asigurarea unui nivel de protecția adecvat de către SUA.
   2. Identificați mecanisme alternative de transfer conform GDPR, precum CCS, RCO sau derogările enumerate la articolul 49 din GDPR.
   3. Dacă nicio variantă dintre cele de mai sus nu este posibilă, evaluați impactul asupra afacerii care rezultă din încetarea acestor transferuri de date imediat și analizați opțiuni alternative (cum ar fi mutarea bazei de date în UE sau într-o țară terță recunoscută ca asigurând un nivel de protecție adecvat).
3. Pentru transferurile de date către țări terțe altele decât SUA desfășurate în baza CCS:
   1. Evaluați dacă legislația țării terțe asigură un nivel similar de protecție ca și legislația UE. Inter alia, ar trebui să verificați garanțiile legale legate de orice acces potențial la date al autorităților publice din țara terță și capacitatea reală a importatorului de date de a respecta angajamentele din CCS.
   2. Dacă nu este cazul, ar trebui să luați în considerare următoarele:
      • Verificați dacă țara terță beneficiază de o decizie privind recunoașterea unui nivel de protecție adecvat emisă de Comisie. Dacă există o astfel de decizie, inițiați negocieri pentru încetarea CCS și bazați-vă în continuare pe această decizie privind nivelul de protecție adecvat.
      • În cazul în care nu există nicio decizie privind nivelul de protecție adecvat, puteți lua în considerare punerea în aplicare a unor garanții suplimentare CCS pentru a face eficientă protecția persoanelor vizate.
      • Dacă nu sunt disponibile sau fezabile garanții suplimentare, puteți lua în considerare încetarea CCS și aplicare unor mecanisme alternative de transfer valabile în conformitate cu GDPR (cum ar fi RCO sau una dintre derogările enumerate la articolul 49 GDPR).
      • Dacă nicio variantă dintre cele de mai sus nu este posibilă, evaluați impactul asupra afacerii care rezultă din încetarea imediată a acestor transferuri de date către țara terță și evaluați opțiunile alternative (cum ar fi mutarea bazei de date în UE sau într-o țară terță recunoscută ca asigurând un nivel de protecție adecvat).
4. Revizuiți documentele de informare utilizate (politici de confidențialitate, note de informare etc.) pentru a vă asigura că respectați toate cerințele de transparență impuse de GDPR în ceea ce privește transferurile de date către țări terțe.
5. Pregătiți un plan de acțiune și prezentați-l managementului organizației.
6. Documentați toți pașii pentru a vă asigura că puteți dovedi că ați pus în aplicare controale eficiente pentru a respecta GDPR și noul cadru stabilit de hotărârea CJUE Schrems II.

NOTE DE SUBSOL:

[1]  A se vedea comunicatul emis de autoritatea de protecție a datelor din Germania HmbBfDI – https://www.datenschutz.rlp.de/de/aktuelles/detail/news/detail/News/paukenschlag-eugh-schreddert-den-privacy-shield-datenuebermittlung-in-staaten-jenseits-der-eu-aber/.

[2]   În observațiile introductive cu privire la hotărârea CJUE Schrems II, comisarul Reynders a subliniat că „lucrăm deja de ceva timp la modernizarea [CCS] și la asigurarea că setul nostru de instrumente pentru transferurile internaționale de date este potrivit scopului. […] Acum suntem într-un stadiu avansat al acestui proiect și vom ține cont, desigur, de cerințele hotărârii” – a se vedea https://ec.europa.eu/commission/presscorner/detail/en/statement_20_1366.

Decizia de implementare a Acordului EU-US Privacy Shield a intrat în vigoare începând cu data de 12 iulie 2016.

În SUA, noul cadru de reglementare va fi publicat în Registrul Federal (echivalentul Jurnalului Oficial al UE). Ulterior publicării, Departamentul de Comerț al SUA va începe să aplice Acordul EU-US Privacy Shield. După ce se vor alinia standardelor impuse de noul cadru, entitățile din SUA interesate în efectuarea de transferuri transfrontaliere de date cu caracter personal, se vor putea înregistra la Departamentul de Comerț al SUA, începând cu data de 01 August 2016.

De asemenea, Comisia Europeană va publica un scurt ghid pentru cetățenii UE în care să explice căile de atac disponibile în cazul în care o persoană consideră că datele sale cu caracter personal au fost folosite fără respectarea regulilor privind protecția datelor cu caracter personal.

În această Opinie, Grupul de Lucru a indicat o serie de aspecte ce ar trebui luate în considerare pentru optimizarea Acordului EU-US Privacy Shield (inclusiv pentru ca acesta să fie în linie cu Regulamentul privind protecția generală a datelor cu caracter personal), dintre care notabile sunt:

• Neclaritatea modului de aplicare a Pricipiilor Privacy Shield organizațiilor care acționează ca împuterniciți (e., organizații ce prelucrează datele în contextul transferului în SUA pentru și în numele operatorilor de date cu caracter personal implicați într-un astfel de transfer) – Acordul nu conține prevederi cu privire la modul de aplicare a principiilor sale în cazul organizațiilor ce acționează în calitate de împuterniciți și, mai mult, există posibilitatea nașterii unor conflicte între aceste principii și clauzele contractelor în baza cărora acționează împuterniciții; Grupul de Lucru a recomandat clarificarea modului concret de aplicare a Acordului Privacy Shield în cazul împuterniciților.
• Lipsa de garanții suficiente pentru prelucrarea efectuată ca urmare a deciziilor automatizate (i.e., fără intervenție umană) - Grupul de Lucru consideră că nu este asigurat un nivel adecvat de protecție și că ar fi necesară introducerea unor astfel de garanții.
• Necesitatea reglementării suplimentare a transferurilor de date de la operatori/împuterniciți din UE/USA către state terțe – Grupul de Lucru a recomandat reglementarea expresă a obiectului acestor transferuri, a limitărilor aplicabile, scopului prelucrării și garanțiilor incidente.

În continuarea demersurilor pentru instituirea noului cadru ce va guverna transferurile transatlantice de date cu caracter personal, Comisia Europeană a dat publicității, în data de 29 februarie 2016, un nou comunicat prin care:

• se face public conținutul textelor legale care vor guverna transferurile transatlantice de date cu caracter personal;
• se publică draftul Deciziei Comisiei Europene de recunoaștere a unui nivel de protecție adecvat în cazul transferurilor de date cu caracter personal din Europa către SUA; și
• se arată care vor fi pașii următori, în vederea implementării propriu-zise a noului cadru – Acordul EU-US Privacy Shield.

Grupul de Lucru Art. 29, organism care reunește reprezentanții autorităților de supraveghere din statele membre ale Uniunii, a emis o declarație prin care:

• salută publicarea draftului Deciziei Comisiei Europene de recunoaștere a unui nivel adecvat de protecție adecvat pentru transferurile de date către SUA și a textelor care vor constitui Acordul EU-US Privacy Shield, și
• anunță următorii pași în vederea adoptării noului Acord EU-US Privacy Shield, anume:
  • analizarea documentelor mai sus menționate și emiterea unei opinii a Grupului de Lucru Art. 29, care va fi adoptată la întâlnirea plenară a Grupului din 12 și 13 aprilie 2016;
  • emiterea opiniei reprezentanților statelor membre UE parte din Comitetul care asistă Comisia Europeană conform Directivei 95/46/CE privind prelucrarea datelor cu caracter personal;
  • adoptarea Deciziei Comisiei Europene de recunoaștere a unui nivel adecvat de protecție adecvat pentru transferurile de date către SUA.

În continuarea reacțiilor după invalidarea acordului Safe Harbor, în data de 2 februarie 2016, Comisia Europeană a emis un comunicat în legătură cu noul cadru care va guverna transferurile transatlantice de date cu caracter personal, urmare a încheierii negocierilor cu SUA, respectiv acordul politic numit „EU-US Privacy Shield”. Potrivit acestui comunicat, acest acord va impune obligații mai ferme în sarcina societăților americane care importă date cu caracter personal din Europa și un nivel mai înalt de monitorizare a acestor date de către Departamentul pentru Comerț al SUA și Comisia Federală pentru Comerț, care vor trebui să coopereze cu autoritățile UE.

Potrivit comunicatului mai sus menționat și comunicatului referitor la subiectele de discuție în cadrul conferinței de presă referitoare la noul acord, ambele emise de Comisia Europeană, angajamentele cuprinse în noul acord vor viza:

• Impunerea de obligații ferme operatorilor/împuterniciților acestora care prelucrează date cu caracter personal ce provin din Europa – orice operator/împuternicit care va prelucra astfel de date va trebui să își ia angajamentul de a respecta deciziile autorităților europene competente în materie de protecție a datelor cu caracter personal; mai mult, vor fi prevăzute condiții mai stricte pentru efectuarea transferurilor ulterioare de date către partenerii operatorilor/împuterniciților implicați;
• Monitorizarea atentă a prelucrărilor de date și activității operatorilor/împuterniciților care prelucrează date cu caracter personal ce provin din Europa – Departamentul pentru Comerț al SUA va efectua verificări și actualizări regulate ale listei acestor operatori/împuterniciți din SUA, sancționându-i și eliminându-i de pe listă pe cei care încalcă prevederile acordului EU-US Privacy Shield;
• Luarea unor măsuri de siguranță și transparență stricte în legătură cu accesul autorităților americane la datele prelucrate în scopul aplicării legii și al asigurării securității publice – accesul autorităților americane va fi subiectul unei supravegheri stricte, precum și unor limitări și măsuri de securitate specifice;
• Sporirea protecției cetățenilor UE – fiecare cetățean care se va considera lezat va avea la dispoziție mai multe modalități de atac împotriva unor astfel de atingeri;
• Revizuirea anuală a acordului EU-US Privacy Shield.

Ca reacție la comunicatul de mai sus, Grupul de Lucru Art. 29, organism care reunește reprezentanții autorităților de supraveghere din statele membre ale Uniunii, a emis o declarație în data de 3 februarie 2016, prin care a salutat semnarea acordului EU-US Privacy Shield și a solicitat Comisiei Europene să îi furnizeze documente cu privire la acest acord, în vederea examinării acestora.

Prin aceeași declarație, Grupul de Lucru Art. 29 a reamintit necesitatea ilustrării în cadrul noului acord a celor patru garanţii importante care ar trebui respectate în cazul transferurilor către state terţe, în lumina deciziei Curţii de Justiţie a Uniunii Europene, pronunţată în cazul Schrems, respectiv:

• Prelucrarea datelor cu caracter personal trebuie să aibă la bază reguli clare, precise și accesibile;
• Demonstrarea necesității și proporționalității prin raportare la scopurile legitime urmărite;
• Existența unui mecanism independent de supraveghere, care să fie atât imparțial cât și efectiv, fie un judecător/al organism independent;
• Existența unor remedii efective pentru persoanele vizate de prelucrare.

Cu privire la cele de mai sus, Autoritatea de supraveghere din România (Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal – ANSPDCP) a emis în data de 5 februarie 2016 un comunicat de presă prin care menționează că, în contextul actual, „efectuarea transferurilor în SUA se poate realiza numai în baza celorlalte garanții de transfer prevăzute de art. 29 alin. (4) din Legea nr. 677/2001 (clauze contractuale standard, reguli corporatiste obligatorii – BCR), precum şi în situaţiile prevăzute de art. 30 din Legea nr. 677/2001.”

Invalidarea în 6 octombrie a Deciziei 2000/520/CE prin hotărârea Curții de Justiție în Cauza C-362/14 Schrems, despre care am scris aici, a schimbat major paradigma transferurilor de date personale din Uniune peste ocean.

Printre primii care au reacționat la vestea invalidării Deciziei 2000/520/CE au fost chiar cei menționați în hotărâre: Max Schrems (devenit între timp doctorand în drept și un promotor fervent al protecției datelor cu caracter personal), prezent la sediul Curții din Luxemburg când a fost făcută publică hotărârea și Edward Snowden (aflat încă în Rusia, singura țară unde nu riscă sancțiuni pentru dezvăluirile făcute în 2013). Mai exact, Snowden a scris pe Twitter că îl felicită pe Schrems, întrucât a schimbat lumea în bine, iar Schrems a publicat un prim punct de vedere la doar câteva ore după pronunțare, în care s-a arătat (în mod previzibil) extrem de mulțumit de hotărârea Curții, pe care a numit-o un punct de cotitură în ceea ce privește dreptul la viață privată în mediul online.

La fel de previzibil, atât presa cât și instituțiile europene și americane au vuit pe tema invalidării recunoașterii acordului Safe Harbor. Reprezentanții Comisiei, puternic pusă la zid pentru îngrădirea puterilor autorităților naționale de supraveghere, au ținut o conferință de presă în chiar ziua pronunțării, vice-președintele Timmermans declarând că vor fi emise reguli clare pentru autoritățile naționale cu privire la tratarea cererilor de transfer de date către Statele Unite, deși hotărârea Curții tocmai afirmase că nu este permis Comisiei să limiteze puterile autorităților naționale.

Oficiali ai Casei Albe și ai Departamentului pentru Comerț din Statele Unite au declarat că se tem de consecințele economice ale invalidării acordului Safe Harbor și că sunt dezamăgiți de faptul că CJUE a anulat un acord care începând din anul 2000 s-a dovedit de o importanță critică în protejarea vieții private și promovarea creșterii economice în SUA și UE, fără să aducă în discuție niciun moment gravitatea încălcării unor drepturi considerate a fi fundamentale în Uniune, reținute de Curte în motivarea sa.

Grupul de Lucru Art. 29, organism care reunește reprezentanții autorităților de supraveghere din statele membre ale Uniunii, a emis o declarație în data de 16 octombrie 2015, prin care a subliniat că transferurile de date care continuă în temeiul Safe Harbor sunt de acum contrare legii. Grupul de Lucru a solicitat statele membre și instituțiile europene să inițieze discuții cu autoritățile americane pentru a găsi soluții tehnice și juridice care să permită continuarea transferurilor de date către Statele Unite, inclusiv prin finalizarea discuțiilor actuale referitoare la noul acord Safe Harbor. O chestiune importantă clarificată de Grupul de Lucru (deși deciziile sale nu au putere obligatorie, însă se bucură de recunoaștere generală) este aceea că celelalte temeiuri pentru transferul de date – anume clauzele contractuale standard și regulile corporatiste obligatorii – pot fi adoptate ca soluții temporare, iar dacă până la sfârșitul lunii ianuarie 2016 nu se găsește o soluție legislativă, autoritățile naționale de supraveghere vor fi obligate să ia toate măsurile necesare și oportune, care pot include sancțiuni coordonate. Nu în ultimul rând, Grupul de Lucru a sfătuit companiile să analizeze implementarea rapidă a unor soluții tehnice și juridice pentru a reduce riscurile și a asigura conformarea cu regulile de protecție a datelor cu caracter personal ca urmare a hotărârii Schrems.

Pe 26 octombrie Comisarul pentru Justiție, Protecția Consumatorilor și Egalitatea de Gen, Věra Jourová, a ținut un discurs în fața Comitetului pentru Libertăți Civile din cadrul Parlamentului European (Comitetul LIBE) în care a salutat declarația Grupului de Lucru Art. 29 însă a subliniat nevoia de claritate suplimentară până la finalul lunii ianuarie 2016. În acest context, ea a anunțat că în cadrul Comisiei va fi pregătit în viitorul apropiat un document explicativ cu privire la consecințele hotărârii Schrems cu scopul de a oferi îndrumare organizațiilor în ceea ce privește transferurile internaționale de date. Documentul menționat a fost publicat de Comisie pe 6 noiembrie (detalii mai jos).

Autoritatea de supraveghere din România (Autoritatea Națională pentru Supravegherea Prelucrării Datelor cu Caracter Personal – ANSPDCP) a publicat în 19 octombrie 2015 un comunicat de presă prin care precizează faptul că începând cu 6 octombrie 2015 nu mai înscrie în registrul de evidență a prelucrărilor de date cu caracter personal prelucrările/transferul datelor cu caracter personal către entități din Statele Unite ale Americii în baza principiilor Safe Harbour, dar totodată confirmă faptul că efectuarea transferurilor în SUA se poate realiza în baza celorlalte garanții de transfer – clauze contractuale standard și reguli corporatiste obligatorii, precum și, în subsidiar, în situațiile în care transferul este întotdeauna permis prevăzute de art. 30 din Legea nr. 677/2001.

Pe 26 octombrie 2015 autoritățile federale de supraveghere din Germania au emis o poziție comună cu privire la Safe Harbor și posibilele alternative pentru transferul datelor cu caracter personal către Statele Unite. Documentul conține 14 declarații în legătură cu decizia Schrems, concluzia generală fiind una extrem de negativă și în totală contradicție cu poziția Grupului de Lucru – mai exact, potrivit poziției autorităților germane transferul de date către Statele Unite nu mai poate avea loc decât cu titlu limitat. Câteva din afirmațiile cele mai importante din poziția comună includ:

• Ca urmare a deciziei Safe Harbor autoritățile germane pun sub semnul întrebării legalitatea transferului de date către Statele Unite în baza altor mecanisme de transfer, cum sunt clauzele contractuale standard sau regulile corporatiste obligatorii (BCR). De altfel, documentul precizează că la acest moment autoritățile respective nu mai emit noi autorizații de transfer în temeiul BCR sau contractelor ce conțin clauze standard;
• În măsura în care le este adus la cunoștință, autoritățile germane vor interzice transferurile de date către Statele Unite bazate exclusiv pe Safe Harbor;
• În exercitarea puterilor de autorizare a transferului de date conferite de articolul 4 al deciziilor Comisiei care aprobă clauzele contractuale standard (Decizia 2004/915/CE și Decizia 2010/87/CE), autoritățile germane vor implementa principiile formulate de CJUE. Autoritățile germane vor verifica în special dacă reglementările din statele destinatare aduc atingere substanței dreptului fundamental la respectarea vieții private sau nu respectă substanța dreptului fundamental la o protecție jurisdicțională efectivă (par. 94 și 95 din hotărârea CJUE);
• Consimțământul poate constitui temeiul transferului de date cu caracter personal numai sub condiții foarte stricte, iar în ce privește datele angajaților, numai cu titlu excepțional;
• Transferul de date către SUA nu trebuie să fie masiv sau să intervină în mod uzual ori repetat.

Pe 27 octombrie 2015 David Smith, Comisar adjunct și Director pentru Protecția Datelor cu Caracter Personal în cadrul Information Commissioner’s Office din Marea Britanie a publicat o opinie prin care sfătuiește companiile britanice să nu intre în panică și să nu se grăbească să adopte alte temeiuri suboptime pentru transfer, subliniind că nici măcar consimțământul nu este întotdeauna un temei adecvat. Totuși, din punct de vedere practic aceleași societăți sunt sfătuite să își facă o analiză proprie, începând cu un inventar al categoriilor de date cu caracter personal pe care le transferă înafara Uniunii, către ce stat, și ce măsuri au fost luate pentru a asigura protecția adecvată, iar apoi să decidă singure dacă imaginea rezultantă este una potrivită în lumina ghidului ICO cu privire la transferurile internaționale. Autorul menționează și faptul că e posibil ca în viitorul apropiat să intervină aprobarea noului acord Safe Harbor, care ar elimina multe din problemele practice de astăzi.

Autoritatea pentru Drept, Informație și Tehnologie din Israel (ILITA) a anunțat pe 19 octombrie 2015 că acordul Safe Harbor nu mai constituie un temei legitim pentru transferul datelor cu caracter personal din Israel către Statele Unite. Legea locală prevede că transferul internațional de date este permis către state unde acest drept este recunoscut și de către Uniunea Europeană, iar în lumina Deciziei 2000/520/CE care prevedea că societățile din Statele Unite care respectă principiile Safe Harbor oferă un „nivel de protecție adecvat” pentru datele cu caracter personal în conformitate cu Directiva 95/46/CE, ILITA a considerat că aceste societăți se încadrează în excepția reglementată de legea israeliană. Cu toate acestea, ca urmare a invalidării Deciziei 2000/520/CE ILITA și-a revizuit poziția în sensul în care companiile nu se mai pot preleva de excepția menționată ca temei al transferului de date cu caracter personal din Israel către companii din Statele Unite.

La scurt timp, pe 22 octombrie 2015, Comisarul pentru protecția datelor din Elveția a declarat că, în lumina deciziei CJUE în cazul Schrems, acordul Safe Harbor nu mai constituie nici în Elveția un temei juridic suficient pentru transferul datelor cu caracter personal din Elveția către Statele Unite în conformitate cu legea elvețiană a protecției datelor cu caracter personal.

Comisia Europeană a emis în 6 noiembrie o comunicare cuprinzând orientări privind transferul transatlantic de date, precum și un set de întrebări și răspunsuri (Q&A) cu privire la Safe Harbor. În comunicare Comisia a precizat că poartă discuții cu guvernul american, cu intenția de a finaliza cadrul actualizat pentru transferurile transatlantice de date personale în decurs de trei luni. Cadrul actualizat trebuie să conțină, potrivit Comisiei, limitări și garanții suficiente pentru a asigura protecția datelor personale ale cetățenilor europeni, inclusiv în ce privește accesul autorităților publice cu atribuții în domeniul justiției și securității naționale.

Până la adoptarea unui cadru juridic nou, operatorii pot folosi celelalte temeiuri legale pentru transferul de date către Statele Unite, comunicarea Comisiei incluzând orientări cu privire la fiecare dintre acestea (clauze contractuale, reguli corporatiste obligatorii BCR pentru transferuri intra-grup, derogări).

În ce privește transferurile întemeiate pe contracte, Comisia a subliniat că acestea trebuie să compenseze în mod satisfăcător absența unui nivel general de protecție adecvată, prin includerea unor elemente esențiale de protecție care lipsesc în orice situație particulară. Părțile pot recurge la clauzele contractuale standard aprobate de Comisie, caz în care în principiu autoritățile naționale vor fi obligate să le accepte. Totuși, deși în principiu autoritățile de supraveghere nu ar putea refuza transferul pe motiv că clauzele contractuale standard nu oferă un nivel de protecție adecvat, nimic nu împiedică autoritățile să examineze clauzele standard din prisma hotărârii în cauza Schrems iar, în caz de dubiu, să solicite instanțelor naționale să se pronunțe, cele din urmă putând transmite întrebări preliminare Curții Uniunii. Comisia precizează că există state membre unde pentru clauzele contractuale standard este păstrată cerința notificării sau autorizării (România făcând parte din cea de-a doua categorie), caz in care autoritățile de supraveghere trebuie să compare clauzele contractuale folosite de părți cu clauzele contractuale standard, pentru a verifica dacă există diferențe. Dacă clauzele au fost folosite fără modificări, autorizarea este, în principiu, acordată automat. Comisia mai arată și faptul că, urmare a contractului, atât exportatorul cât și importatorul de date intră sub supravegherea autorității naționale relevante.

În ce privește temeiurile derogatorii – în principal consimțământ neechivoc, executarea unui contract, exercitarea unui drept în justiție – Comisia reia poziția mai veche a Grupului de Lucru Art. 29 menționând că acestea sunt de strictă interpretare, și că transferuri repetate, în masă sau structurale trebuie efectuate cu garanții corespunzătoare și, dacă este posibil, în baza unui temei specific cum ar fi contractul sau regulile corporatiste obligatorii.

Mai mult, întemeierea transferului pe derogările prevăzute în directivă trebuie să îndeplinească două condiții – colectarea și prelucrarea primară a datelor trebuie să fi fost legitimă în sine, iar operatorii de date rămân responsabili de asigurarea unei protecții efective a datelor la folosirea temeiului alternativ.

Comisia va revizui și celelalte decizii de constatare a unui nivel de protecție adecvat, întrucât toate conțin o prevedere similară cu cea din Decizia invalidată 2000/520/CE, în sensul limitării puterii de apreciere a autorităților naționale.

La scurt timp după publicarea materialelor de către Comisie, pe 19 noiembrie, și autoritatea franceză de supraveghere (CNIL) a publicat propriile orientări și propriul set de întrebări și răspunsuri. CNIL a menționat că autoritățile de supraveghere din statele membre încă analizează impactul hotărârii Schrems cu privire la regulile corporatiste obligatorii și la clauzele contractuale standard, dar că au decis să permită operatorilor să le folosească în continuare pe termen limitat. CNIL precizează că cel mai potrivit temei sunt clauzele contractuale standard, operatorii fiind îndrumați să implementeze acest mecanism. Orientarea CNIL nu menționează și nu face nicio apreciere cu privire la posibilitatea întemeierii transferului pe situațiile derogatorii, nici măcar în ce privește consimțământul. CNIL a precizat totuși că operatorii trebuie să își modifice notificările până la sfârșitul lunii ianuarie 2016, când fie să indice faptul că transferul a încetat, fie că are la bază un alt temei (în principal clauzele standard).

Safe Harbor generația a doua

În discursul ținut pe 26 octombrie în fața Comitetului LIBE, Comisarul pentru Justiție, Protecția Consumatorilor și Egalitatea de Gen, Věra Jourová, a vorbit și despre situația negocierilor purtate cu Statele Unite în ce privește noul acord Safe Harbor. Ea a clarificat faptul că scopul negocierilor este acela de a asigura și în Statele Unite un regim de protecție echivalent, nu neapărat identic, cu cel din Uniunea Europeană în ce privește datele cu caracter personal.

Comisarul a menționat că s-a ajuns la un acord în principiu cu privire la un nou sistem de auto-certificare cu „mecanisme eficiente de detectare și de supraveghere”, precum și că interfața și canalele de comunicare cu autoritățile naționale de supraveghere și Departamentul pentru Comerț al SUA vor fi îmbunătățite, autoritățile de supraveghere urmând să fie mai active și mai vizibile în rolul de a revizui funcționalitatea noului sistem. Modalitatea concretă în care aceste angajamente vor respecta hotărârea Schrems este încă în discuție, cum este și implementarea unui mecanism anual de verificare comună care să acopere toate aspectele legate de funcționalitatea noului sistem, inclusiv folosirea excepțiilor de securitate națională.

Věra Jourová a mai precizat și că au fost realizate progrese pentru ca Statele Unite să ofere o protecție sporită cetățenilor europeni, fiind propusă acordarea unor drepturi rezervate până acum doar cetățenilor americani (U.S. Bill of Judicial Redress, care oferă protecție cetățenilor americani potrivit U.S. Privacy Act), iar Comisia salută aceste inițiative și analizează măsurile propuse.

Cu toate acestea, doar o zi mai târziu, pe 27 octombrie, Senatul american a aprobat o propunere controversată de lege a securității cibernetice (cunoscută sub acronimul „CISA”), despre care numeroși activiști – inclusiv Edward Snowden – au avertizat că oferă instituțiilor americane posibilitatea legală de a avea acces la informații confidențiale fără a fi supuse unui control.

Mai mult, pe 29 octombrie Parlamentul European a adoptat o rezoluție prin care reclamă lipsa acțiunilor din partea Comisiei și a statelor membre pentru a proteja drepturile fundamentale ale cetățenilor în fața supravegherii electronice în masă, în conformitate cu rezoluția Parlamentului din 12 martie 2014. Noua rezoluție solicită Comisiei să asigure că toate transferurile de date către Statele Unite sunt supuse unui nivel de protecție efectiv și substanțial echivalent cu cel garantat în Uniunea Europeană, și să analizeze de urgență impactul hotărârii Schrems asupra celorlalte temeiuri de transfer de date către Statele Unite, urmând să elaboreze un raport pe această chestiune până la finalul anului 2015.

În ce privește negocierile pentru noul acord Safe Harbor, comisarul Věra Jourová a efectuat o vizită la Washington la mijlocul lunii noiembrie, ocazie cu care a declarat că s-au făcut deja progrese ca urmare a faptului că SUA s-au angajat ca Department of Commerce să asigure o supraveghere mai strânsă și să existe o cooperare mai mare între autoritățile europene de supraveghere și Federal Trade Commission, ceea ce va schimba sistemul dintr-unul de autocertificare într-unul proactiv. Comisarul a mai declarat că se lucrează de asemenea la crearea unui mecanism comun de audit anual care să acopere toate aspectele funcționării noului cadru, incluzând folosirea excepțiilor în scop de justiție și securitate națională.

Până la adoptarea unui cadru juridic nou, unele companii iau deja măsuri proprii. Oracle a anunțat din octombrie faptul că își va construi data centere în Uniunea Europeană, însă această abordare s-ar putea să nu fie suficientă. Sub acest aspect este de o importanță critică decizia pe care instanța din New York o va da în dosarul Matter of a Warrant to Search a Certain E-Mail Account Controlled and Maintained by Microsoft Corporation (pe scurt Microsoft v. United States) în care Department of Justice din Statele Unite a solicitat Microsoft Corporation să pună la dispoziție informații dintr-un cont de e-mail outlook.com al unui cetățean european, deși datele sunt localizate în Irlanda. Microsoft a pierdut în primă instanță, iar acum executarea este suspendată până la judecarea recursului. În favoarea Microsoft au intervenit o pleiadă de terți rar întâlniți în aceeași enumerare: multe societăți din domeniul IT (între care Apple, Cisco, AT&T, Verizon, Amazon, Verizon, Cisco, HP, eBay, Salesforce.com), din presă (ABC, CNN, Forbes, Fox News, National Public Radio, The Guardian, The Washington Post), multiple asociații profesionale, specialiști IT, Digital Rights Ireland (cea care a dat denumirea hotărârii CJUE de invalidare a directivei de retenție a datelor), Republica Irlanda și europarlamentarul Jan Philipp Albrecht, toți depunând amicus briefs care se regăsesc în întregime aici.

În acest context incert cu privire la soluția definitivă, Microsoft a recurs la o soluție inovatoare – folosirea unui „fiduciar de date”, astfel încât nici măcar Microsoft să nu poată avea acces la date. Fiduciarul este T-Systems, o filială Deutsche Telekom, deci o companie cât se poate de respectabilă situată în mod strategic în Germania, țara cu reputația de a avea cel mai drastic regim al datelor cu caracter personal din Uniune. Microsoft transmite astfel un mesaj foarte clar atât autorităților din Statele Unite, care dacă vor acces la date vor trebui să se adreseze fiduciarului, cât și clienților, care vor avea mai multă încredere în serviciul furnizat în acest mod. Izolarea datelor prin modelul fiduciarului este o evoluție majoră, mai ales atât de rapid după decizia Curții în cauza Schrems, având potențialul de a influența puternic abordările viitoare.

Cu titlu preliminar trebuie menționat că, potrivit articolului 25 din Directiva 95/46/CE (Directiva generală privind protecția datelor cu caracter personal), transferul datelor cu caracter personal către un stat terț nu poate avea loc decât dacă statul terț în cauză asigură un nivel de protecție adecvat, chestiune care poate fi constatată de către Comisie prin decizie. Asemenea decizii de asigurare a unui nivel de protecție adecvat au fost emise[3] până acum de Comisie pentru Andorra, Argentina, Canada, Elveția, Insulele Feroe, Guernsey, Israel, Insula Man, Jersey, Noua Zeelandă și, nu în ultimul rând, Statele Unite potrivit principiilor Safe Harbor – Decizia 2000/520/CE. Cea din urmă a fost pusă în discuție și invalidată de Curte prin decizia în Cauza C-362/14, Schrems, chestiune care afectează toate organizațiile din Uniunea Europeană care transferă date cu caracter personal către cele aproximativ 4500 de companii Statele Unite auto-certificate că respectă principiile Safe Harbor.

Situația premisă

Max Schrems, un tânăr austriac, utilizator Facebook începând din 2008, a făcut în iunie 2013 o plângere la autoritatea de supraveghere din Irlanda (Data Protection Commissioner) prin care solicita un control cu privire la modul în care datele sale cu caracter personal sunt transferate de la filiala irlandeză (Facebook Ireland Ltd.) către sediul central al Facebook, în Statele Unite. El acuza faptul că în Statele Unite legea nu asigură nicio protecție reală a datelor păstrate, iar datele sunt cu ușurință accesate de către serviciile de informații, în special National Security Agency – NSA, după cum a reieșit din informațiile făcute publice de Edward Snowden în 2013.

Autoritatea de supraveghere din Irlanda a respins plângerea ca nefondată, considerând că nu era obligată să deschidă o investigație cu privire la faptele denunțate de Schrems în plângerea sa, întrucât pe de o parte nu existau dovezi că NSA ar fi avut acces la datele cu caracter personal ale persoanei interesate, iar pe de altă parte orice problemă referitoare la caracterul adecvat al protecției datelor cu caracter personal în Statele Unite trebuia să fie soluționată în conformitate cu Decizia 2000/520/CE, prin care Comisia constatase că Statele Unite ale Americii asigură un nivel de protecție adecvat.

Schrems a atacat respectiva decizie la High Court[4] care, constatând că în baza documentelor și declarațiilor de la dosar prin care „nu se contestă exactitatea unui număr semnificativ din dezvăluirile făcute de Edward Snowden” se demonstrează săvârșirea de către NSA și alte organe federale a unor „excese considerabile” față de care cetățenii Uniunii nu dispun de niciun remediu, a suspendat judecata, transmițând CJUE o serie de întrebări preliminare menite să clarifice validitatea stabilirii de către Comisie a caracterului adecvat de protecție conferit de acordul Safe Harbor. Mai exact:

„1) În cursul analizei unei plângeri adresate unui funcționar independent învestit prin lege cu funcții de administrare și de aplicare a legislației privind protecția datelor, referitoare la faptul că date cu caracter personal sunt transferate într‑o țară terță (în speță, Statele Unite) ale cărei legi și practici se pretinde că nu conțin măsuri de protecție adecvate pentru persoana în cauză, acest funcționar, având în vedere articolele 7, 8 și 47 din [cartă] și fără a aduce atingere dispozițiilor articolului 25 alineatul (6) din Directiva 95/46[…], este ținut în mod absolut să respecte constatarea contrară a Uniunii cuprinsă în Decizia [2000/520]?

2) Sau, dimpotrivă, funcționarul poate și/sau trebuie să desfășoare o investigație proprie asupra problemei în lumina evoluțiilor factuale ulterioare datei la care decizia Comisiei a fost publicată pentru prima dată?”

Hotărârea

Curtea de Justiție a disociat analiza în funcție de cele două componente relevate de întrebările preliminare – pe de o parte competențele autorităților naționale de supraveghere în cazul unei decizii de adecvare a Comisiei, iar pe de alta – validitatea Deciziei 2000/520/CE.

În ceea ce privește primul aspect, Curtea a concluzionat că o decizie prin care Comisia constată că o țară terță asigură un nivel de protecție adecvat, cum este Decizia 2000/520/CE, nu se opune ca o autoritate de supraveghere dintr‑un stat membru să examineze cererea unei persoane de protecție a drepturilor și libertăților sale în ceea ce privește prelucrarea datelor cu caracter personal care o privesc, care au fost transferate dintr‑un stat membru către această țară terță, atunci când această persoană invocă faptul că dreptul și practicile în vigoare în țara terță menționată nu asigură un nivel de protecție adecvat (par. 66). Totuși, a subliniat că doar Curtea este singura competentă să constate nevaliditatea unui act al Uniunii (cum este Decizia 2000/520/CE), caracterul exclusiv al acestei competențe având ca obiectiv garantarea securității juridice prin asigurarea aplicării uniforme a dreptului Uniunii (par. 61).

Sub cea de-a doua component, Curtea a analizat Decizia 2000/52/CE, cu precădere faptul că cerințele „privind securitatea națională, interesul public și respectarea legilor Statelor Unite ale Americii” prevalează asupra principiilor Safe Harbor, ceea ce înseamnă în opinia Curții că „organizațiile americane autocertificate care primesc date cu caracter personal din Uniune sunt obligate să înlăture, fără limitare, aceste principii atunci când acestea din urmă intră în conflict cu aceste cerințe și se dovedesc, așadar, incompatibile cu ele” (par 86). Mai mult, Decizia 2000/52/CE (i) „nu cuprinde nicio constatare în privința existenței în Statele Unite a unor norme cu caracter statal destinate să limiteze eventualele ingerințe în drepturile fundamentale ale persoanelor ale căror date sunt transferate din Uniune către Statele Unite” (par. 88) și nici (ii) „nu menționează existența unei protecții juridice eficiente împotriva unor ingerințe de această natură” (par. 89). Tocmai pe aceste două paliere Curtea a găsit motive de invalidare a articolului 1 al Deciziei 2000/520/CE, găsind că (i) posibilitatea autorităților publice să acceadă în mod generalizat la conținutul comunicărilor electronice „aduce atingere substanței dreptului fundamental la respectarea vieții private” reglementat de art. 7 din Carta Drepturilor Fundamentale a Uniunii Europene (par. 94), și că lipsa unei posibilități pentru justițiabil „de a exercita căi legale pentru a avea acces la date cu caracter personal care îl privesc sau pentru a obține rectificarea sau ștergerea unor astfel de date” încalcă dreptul fundamental la o protecție jurisdicțională efectivă, consacrat de art. 47 din aceeași Cartă (par. 95).

Curtea a invalidat de asemenea și articolul 3 din Decizia 2000/520/CE, întrucât prevede reguli derogatorii referitoare competențele autorităților naționale de supraveghere în raport cu o constatare efectuată de Comisie referitoare la nivelul de protecție adecvat (par. 100), în condițiile în care competența Comisiei potrivit Directivei 95/46/CE nu include posibilitatea de a restrânge competențele autorităților naționale de supraveghere (par. 103), ceea ce înseamnă că prin adoptarea articolului 3 din Decizie Comisia și‑a depășit competența atribuită la articolul 25 alineatul (6) din Directiva 95/46/CE, interpretat în lumina Cartei (par. 104).

Ca urmare a constatării nevalidității articolelor 1 și 3 din Decizia 2000/520/CE, și constatând că restul Deciziei – articolele 2 și 4 și anexele – nu poate fi disociat de acestea, Curtea a concluzionat că întreaga Decizie 2000/520/CE este nevalidă (par. 105).

Nu a fost prevăzut niciun termen tranzitoriu pentru efectele acestei decizii, ceea ce înseamnă că nevaliditatea Deciziei 2000/520/CE și implicit ineficacitatea principiilor Safe Harbor au intervenit imediat, de la 6 octombrie 2015.

Ce înseamnă hotărârea Schrems pentru operatorii români de date care au notificat transferul în temeiul Safe Harbor?

Hotărârea în discuție are implicații foarte largi atât la nivel statal cât mai ales la nivelul societăților în cadrul cărora transferul transatlantic de date joacă un rol important. Una din concluziile principale de tras este aceea că în cadrul Uniunii Europene cerințele de protecție a datelor cu caracter personal au ajuns la un nivel extrem de ridicat, iar dreptul la protecția acestor date este unul fundamental, pe care Curtea de Justiție nu va ezita să îl proclame ca atare. De altfel, această hotărâre conturează o practică constantă după celelalte hotărâri semnificative în domeniul supravegherii în masă (C-293/12 și C-594/12, Digital Rights Ireland – invalidarea Directivei 2006/24/CE privind păstrarea datelor generate sau prelucrate în legătură cu furnizarea serviciilor de comunicații electronice accesibile publicului sau de rețele de comunicații publice), activității persoanelor juridice (C-131/12, Google Spain – dreptul de a fi uitat) și a persoanelor fizice (C-212/13, Ryneš – sisteme CCTV ale persoanelor fizice).

O dificultate practică este ușor de anticipat datorită faptului că, în special ca urmare a recentei hotărâri Weltimmo, aceleași fapte ar putea fi supuse analizei (și, posibil, sancțiunilor) în mai multe state membre. Acest lucru este o problemă reală pentru societățile multinaționale, în special având în vedere opiniile divergente ale autorităților naționale de supraveghere. În plus, o asemenea abordare fragmentată diminuează extrem de mult încrederea în implementarea unui sistem „one-stop-shop” preconizat a fi reglementat în viitorul regulament general de protecție a datelor.

Realitatea de la care pleacă analiza măsurilor de implementat este aceea că, în prezent, transferul de date cu caracter personal către Statele Unite în baza Safe Harbor nu mai este legal, iar în conformitate cu punctul de vedere al Grupului de Lucru Art. 29 (organism care reunește reprezentanții autorităților de supraveghere din statele membre ale Uniunii) din 16 octombrie 2015[5], companiile au la dispoziție un timp scurt – până pe 31 ianuarie 2016, să găsească și să implementeze un temei alternativ.

Având în vedere orientarea exprimată de Autoritatea Națională pentru Supravegherea Prelucrării Datelor cu Caracter Personal[6], temeiurile alternative ce pot fi avute în vedere de societățile române ar putea fi clauzele contractuale standard, regulile corporatiste obligatorii, sau consimțământul expres pentru efectuarea transferului. Niciuna din aceste opțiuni nu este simplu sau rapid de implementat, astfel că apare oportună analizarea în primul rând a necesității transferului de date personale în Statele Unite, cu scopul de a reduce sau elimina transferurile care nu sunt necesare. O asemenea reducere ar avea loc în situația în care, de exemplu, ar fi folosite centre de date din Uniunea Europeană, deși chiar și în acest caz trebuie avut în vedere faptul că societățile americane pot fi obligate, în anumite condiții, să predea informații pe care afiliații lor le dețin în străinătate referitor la cetățeni străini.

În al doilea rând, trebuie efectuată o analiză a contractelor încheiate cu furnizori americani cu scopul ca, în măsura în care contractele nu conțin deja clauzele standard aprobate de Comisia Europeană (prin Deciziile 2010/87/UE sau 2001/497/CE), contractele existente să fie înlocuite cu asemenea clauze standard. În acest caz trebuie avut în vedere faptul că există două tipuri de clauze standard: operator-operator și operator-împuternicit, fiecare potrivit în alt tip de situații. Mai mult, pe lângă clauzele care nu pot fi modificate, clauzele standard aprobate de Comisie includ și anexe al căror conținut nu este prestabilit și pe care părțile contractului trebuie să le introducă după o analiză detaliată – între altele, categoriile de date transferate, modalitatea prelucrării, măsurile tehnice și organizatorice prin care importatorul de date american asigură un nivel de protecție adecvat potrivit standardelor Uniunii Europene.

Este însă posibil ca, deși transferul de date a fost notificat în temeiul Safe Harbor, contractul care îi stă la bază să conțină deja clauzele standard. Aceasta pentru că, până în 6 octombrie 2015, notificarea de către un operator român a transferului de date în Statele Unite în temeiul Safe Harbor elimina complet necesitatea autorizării transferului de către ANSPDCP, chestiune care nu subzista în cazul transferului întemeiat pe clauze standard; drept urmare, atunci când operatorul a avut încheiat un contract cu clauze standard dar partenerul american (importator de date) era și certificat Safe Harbor, atunci notificarea a fost făcută pe acest din urmă temei pentru a elimina timpul suplimentar și formalitățile mai stricte aferente autorizării. Acum, după hotărârea Schrems, operatorii respectivi trebuie să modifice notificările depuse și să schimbe temeiul transferului în clauze contractuale standard (atașând copie), după care să aștepte autorizarea din partea Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal. În prezent, această formalitate poate dura chiar și 4 luni, ceea ce înseamnă că modificarea trebuie făcută cât mai curând.

Pentru transferurile intra-grup de date personale (în special date ale angajaților în cadrul companiilor multinaționale) operatorii pot implementa reguli corporatiste obligatorii (BCR), deși acest proces este în general dificil și costisitor.

Nu în ultimul rând, operatorii de date pot solicita consimțământul persoanelor vizate pentru efectuarea transferului. Deși acest temei are avantajul de a exclude necesitatea autorizării transferului, obținerea consimțământului se poate dovedi foarte oneroasă sau chiar imposibilă – de exemplu, în ce privește datele deja colectate de la un număr semnificativ de persoane vizate, și care continuă să fie deținute, chiar și pasiv, de către operatorii în cauză prin intermediul unor împuterniciți stabiliți în Statele Unite.

În fine, o chestiune care nu poate fi ignorată este faptul că motivarea hotărârii Schrems (anume existența unor mijloace de supraveghere necontrolată din partea autorităților SUA) poate fi aplicată și în ceea ce privește toate celelalte temeiuri de transfer al datelor cu caracter personal către Statele Unite. O asemenea interpretare drastică ar conduce, practic, la imposibilitatea transferului de date către Statele Unite, în ciuda celor mai bune eforturi depuse atât de companiile din Uniune cât și de cele de peste ocean. Din fericire, cel puțin deocamdată orientarea autorității române de supraveghere este una moderată, care permite recurgerea la toate celelalte temeiuri înafara Safe Harbor. Acest lucru însă nu elimină necesitatea ca operatorii români de date să își facă propria analiză și să își decidă propriile măsuri de implementat ca urmare a invalidării acordului Safe Harbor.

[1]   Textul hotărârii este disponibil la http://goo.gl/tfzktH.

[2]   Decizia Comisiei 2000/520/CE privind caracterul adecvat al protecției oferite de principiile „sferei de siguranță” privind protecția vieții private și întrebările de bază aferente, publicate de Departamentul Comerțului al S.U.A., publicată în Jurnalul Oficial nr. L215/7 din 25 august 2000, disponibilă la http://eur-lex.europa.eu/legal-content/RO/TXT/PDF/?uri=
CELEX:32000D0520&from=RO.

[3] Lista țărilor și legături către deciziile relevante ale Comisiei pot fi accesate la http://ec.europa.eu/justice/data-protection/international-transfers/adequacy/index_en.htm.

[4]   În ciuda denumirii, în Irlanda “High Court” este o instanță de prim grad.

[5]   Disponibil la http://ec.europa.eu/justice/data-protection/article-29/press-material/press-release/art29_press_material/2015/20151016_wp29_statement_on_schrems_judgement.pdf.

[6]   A se vedea comunicatul de la http://dataprotection.ro/?page=Transper_date_conf_CJUE&lang=ro.