Reacții după invalidarea acordului Safe Harbor
Invalidarea în 6 octombrie a Deciziei 2000/520/CE prin hotărârea Curții de Justiție în Cauza C-362/14 Schrems, despre care am scris aici, a schimbat major paradigma transferurilor de date personale din Uniune peste ocean.
Printre primii care au reacționat la vestea invalidării Deciziei 2000/520/CE au fost chiar cei menționați în hotărâre: Max Schrems (devenit între timp doctorand în drept și un promotor fervent al protecției datelor cu caracter personal), prezent la sediul Curții din Luxemburg când a fost făcută publică hotărârea și Edward Snowden (aflat încă în Rusia, singura țară unde nu riscă sancțiuni pentru dezvăluirile făcute în 2013). Mai exact, Snowden a scris pe Twitter că îl felicită pe Schrems, întrucât a schimbat lumea în bine, iar Schrems a publicat un prim punct de vedere la doar câteva ore după pronunțare, în care s-a arătat (în mod previzibil) extrem de mulțumit de hotărârea Curții, pe care a numit-o un punct de cotitură în ceea ce privește dreptul la viață privată în mediul online.
La fel de previzibil, atât presa cât și instituțiile europene și americane au vuit pe tema invalidării recunoașterii acordului Safe Harbor. Reprezentanții Comisiei, puternic pusă la zid pentru îngrădirea puterilor autorităților naționale de supraveghere, au ținut o conferință de presă în chiar ziua pronunțării, vice-președintele Timmermans declarând că vor fi emise reguli clare pentru autoritățile naționale cu privire la tratarea cererilor de transfer de date către Statele Unite, deși hotărârea Curții tocmai afirmase că nu este permis Comisiei să limiteze puterile autorităților naționale.
Oficiali ai Casei Albe și ai Departamentului pentru Comerț din Statele Unite au declarat că se tem de consecințele economice ale invalidării acordului Safe Harbor și că sunt dezamăgiți de faptul că CJUE a anulat un acord care începând din anul 2000 s-a dovedit de o importanță critică în protejarea vieții private și promovarea creșterii economice în SUA și UE, fără să aducă în discuție niciun moment gravitatea încălcării unor drepturi considerate a fi fundamentale în Uniune, reținute de Curte în motivarea sa.
Grupul de Lucru Art. 29, organism care reunește reprezentanții autorităților de supraveghere din statele membre ale Uniunii, a emis o declarație în data de 16 octombrie 2015, prin care a subliniat că transferurile de date care continuă în temeiul Safe Harbor sunt de acum contrare legii. Grupul de Lucru a solicitat statele membre și instituțiile europene să inițieze discuții cu autoritățile americane pentru a găsi soluții tehnice și juridice care să permită continuarea transferurilor de date către Statele Unite, inclusiv prin finalizarea discuțiilor actuale referitoare la noul acord Safe Harbor. O chestiune importantă clarificată de Grupul de Lucru (deși deciziile sale nu au putere obligatorie, însă se bucură de recunoaștere generală) este aceea că celelalte temeiuri pentru transferul de date – anume clauzele contractuale standard și regulile corporatiste obligatorii – pot fi adoptate ca soluții temporare, iar dacă până la sfârșitul lunii ianuarie 2016 nu se găsește o soluție legislativă, autoritățile naționale de supraveghere vor fi obligate să ia toate măsurile necesare și oportune, care pot include sancțiuni coordonate. Nu în ultimul rând, Grupul de Lucru a sfătuit companiile să analizeze implementarea rapidă a unor soluții tehnice și juridice pentru a reduce riscurile și a asigura conformarea cu regulile de protecție a datelor cu caracter personal ca urmare a hotărârii Schrems.
Pe 26 octombrie Comisarul pentru Justiție, Protecția Consumatorilor și Egalitatea de Gen, Věra Jourová, a ținut un discurs în fața Comitetului pentru Libertăți Civile din cadrul Parlamentului European (Comitetul LIBE) în care a salutat declarația Grupului de Lucru Art. 29 însă a subliniat nevoia de claritate suplimentară până la finalul lunii ianuarie 2016. În acest context, ea a anunțat că în cadrul Comisiei va fi pregătit în viitorul apropiat un document explicativ cu privire la consecințele hotărârii Schrems cu scopul de a oferi îndrumare organizațiilor în ceea ce privește transferurile internaționale de date. Documentul menționat a fost publicat de Comisie pe 6 noiembrie (detalii mai jos).
Autoritatea de supraveghere din România (Autoritatea Națională pentru Supravegherea Prelucrării Datelor cu Caracter Personal – ANSPDCP) a publicat în 19 octombrie 2015 un comunicat de presă prin care precizează faptul că începând cu 6 octombrie 2015 nu mai înscrie în registrul de evidență a prelucrărilor de date cu caracter personal prelucrările/transferul datelor cu caracter personal către entități din Statele Unite ale Americii în baza principiilor Safe Harbour, dar totodată confirmă faptul că efectuarea transferurilor în SUA se poate realiza în baza celorlalte garanții de transfer – clauze contractuale standard și reguli corporatiste obligatorii, precum și, în subsidiar, în situațiile în care transferul este întotdeauna permis prevăzute de art. 30 din Legea nr. 677/2001.
Pe 26 octombrie 2015 autoritățile federale de supraveghere din Germania au emis o poziție comună cu privire la Safe Harbor și posibilele alternative pentru transferul datelor cu caracter personal către Statele Unite. Documentul conține 14 declarații în legătură cu decizia Schrems, concluzia generală fiind una extrem de negativă și în totală contradicție cu poziția Grupului de Lucru – mai exact, potrivit poziției autorităților germane transferul de date către Statele Unite nu mai poate avea loc decât cu titlu limitat. Câteva din afirmațiile cele mai importante din poziția comună includ:
- Ca urmare a deciziei Safe Harbor autoritățile germane pun sub semnul întrebării legalitatea transferului de date către Statele Unite în baza altor mecanisme de transfer, cum sunt clauzele contractuale standard sau regulile corporatiste obligatorii (BCR). De altfel, documentul precizează că la acest moment autoritățile respective nu mai emit noi autorizații de transfer în temeiul BCR sau contractelor ce conțin clauze standard;
- În măsura în care le este adus la cunoștință, autoritățile germane vor interzice transferurile de date către Statele Unite bazate exclusiv pe Safe Harbor;
- În exercitarea puterilor de autorizare a transferului de date conferite de articolul 4 al deciziilor Comisiei care aprobă clauzele contractuale standard (Decizia 2004/915/CE și Decizia 2010/87/CE), autoritățile germane vor implementa principiile formulate de CJUE. Autoritățile germane vor verifica în special dacă reglementările din statele destinatare aduc atingere substanței dreptului fundamental la respectarea vieții private sau nu respectă substanța dreptului fundamental la o protecție jurisdicțională efectivă (par. 94 și 95 din hotărârea CJUE);
- Consimțământul poate constitui temeiul transferului de date cu caracter personal numai sub condiții foarte stricte, iar în ce privește datele angajaților, numai cu titlu excepțional;
- Transferul de date către SUA nu trebuie să fie masiv sau să intervină în mod uzual ori repetat.
Pe 27 octombrie 2015 David Smith, Comisar adjunct și Director pentru Protecția Datelor cu Caracter Personal în cadrul Information Commissioner’s Office din Marea Britanie a publicat o opinie prin care sfătuiește companiile britanice să nu intre în panică și să nu se grăbească să adopte alte temeiuri suboptime pentru transfer, subliniind că nici măcar consimțământul nu este întotdeauna un temei adecvat. Totuși, din punct de vedere practic aceleași societăți sunt sfătuite să își facă o analiză proprie, începând cu un inventar al categoriilor de date cu caracter personal pe care le transferă înafara Uniunii, către ce stat, și ce măsuri au fost luate pentru a asigura protecția adecvată, iar apoi să decidă singure dacă imaginea rezultantă este una potrivită în lumina ghidului ICO cu privire la transferurile internaționale. Autorul menționează și faptul că e posibil ca în viitorul apropiat să intervină aprobarea noului acord Safe Harbor, care ar elimina multe din problemele practice de astăzi.
Autoritatea pentru Drept, Informație și Tehnologie din Israel (ILITA) a anunțat pe 19 octombrie 2015 că acordul Safe Harbor nu mai constituie un temei legitim pentru transferul datelor cu caracter personal din Israel către Statele Unite. Legea locală prevede că transferul internațional de date este permis către state unde acest drept este recunoscut și de către Uniunea Europeană, iar în lumina Deciziei 2000/520/CE care prevedea că societățile din Statele Unite care respectă principiile Safe Harbor oferă un „nivel de protecție adecvat” pentru datele cu caracter personal în conformitate cu Directiva 95/46/CE, ILITA a considerat că aceste societăți se încadrează în excepția reglementată de legea israeliană. Cu toate acestea, ca urmare a invalidării Deciziei 2000/520/CE ILITA și-a revizuit poziția în sensul în care companiile nu se mai pot preleva de excepția menționată ca temei al transferului de date cu caracter personal din Israel către companii din Statele Unite.
La scurt timp, pe 22 octombrie 2015, Comisarul pentru protecția datelor din Elveția a declarat că, în lumina deciziei CJUE în cazul Schrems, acordul Safe Harbor nu mai constituie nici în Elveția un temei juridic suficient pentru transferul datelor cu caracter personal din Elveția către Statele Unite în conformitate cu legea elvețiană a protecției datelor cu caracter personal.
Comisia Europeană a emis în 6 noiembrie o comunicare cuprinzând orientări privind transferul transatlantic de date, precum și un set de întrebări și răspunsuri (Q&A) cu privire la Safe Harbor. În comunicare Comisia a precizat că poartă discuții cu guvernul american, cu intenția de a finaliza cadrul actualizat pentru transferurile transatlantice de date personale în decurs de trei luni. Cadrul actualizat trebuie să conțină, potrivit Comisiei, limitări și garanții suficiente pentru a asigura protecția datelor personale ale cetățenilor europeni, inclusiv în ce privește accesul autorităților publice cu atribuții în domeniul justiției și securității naționale.
Până la adoptarea unui cadru juridic nou, operatorii pot folosi celelalte temeiuri legale pentru transferul de date către Statele Unite, comunicarea Comisiei incluzând orientări cu privire la fiecare dintre acestea (clauze contractuale, reguli corporatiste obligatorii BCR pentru transferuri intra-grup, derogări).
În ce privește transferurile întemeiate pe contracte, Comisia a subliniat că acestea trebuie să compenseze în mod satisfăcător absența unui nivel general de protecție adecvată, prin includerea unor elemente esențiale de protecție care lipsesc în orice situație particulară. Părțile pot recurge la clauzele contractuale standard aprobate de Comisie, caz în care în principiu autoritățile naționale vor fi obligate să le accepte. Totuși, deși în principiu autoritățile de supraveghere nu ar putea refuza transferul pe motiv că clauzele contractuale standard nu oferă un nivel de protecție adecvat, nimic nu împiedică autoritățile să examineze clauzele standard din prisma hotărârii în cauza Schrems iar, în caz de dubiu, să solicite instanțelor naționale să se pronunțe, cele din urmă putând transmite întrebări preliminare Curții Uniunii. Comisia precizează că există state membre unde pentru clauzele contractuale standard este păstrată cerința notificării sau autorizării (România făcând parte din cea de-a doua categorie), caz in care autoritățile de supraveghere trebuie să compare clauzele contractuale folosite de părți cu clauzele contractuale standard, pentru a verifica dacă există diferențe. Dacă clauzele au fost folosite fără modificări, autorizarea este, în principiu, acordată automat. Comisia mai arată și faptul că, urmare a contractului, atât exportatorul cât și importatorul de date intră sub supravegherea autorității naționale relevante.
În ce privește temeiurile derogatorii – în principal consimțământ neechivoc, executarea unui contract, exercitarea unui drept în justiție – Comisia reia poziția mai veche a Grupului de Lucru Art. 29 menționând că acestea sunt de strictă interpretare, și că transferuri repetate, în masă sau structurale trebuie efectuate cu garanții corespunzătoare și, dacă este posibil, în baza unui temei specific cum ar fi contractul sau regulile corporatiste obligatorii.
Mai mult, întemeierea transferului pe derogările prevăzute în directivă trebuie să îndeplinească două condiții – colectarea și prelucrarea primară a datelor trebuie să fi fost legitimă în sine, iar operatorii de date rămân responsabili de asigurarea unei protecții efective a datelor la folosirea temeiului alternativ.
Comisia va revizui și celelalte decizii de constatare a unui nivel de protecție adecvat, întrucât toate conțin o prevedere similară cu cea din Decizia invalidată 2000/520/CE, în sensul limitării puterii de apreciere a autorităților naționale.
La scurt timp după publicarea materialelor de către Comisie, pe 19 noiembrie, și autoritatea franceză de supraveghere (CNIL) a publicat propriile orientări și propriul set de întrebări și răspunsuri. CNIL a menționat că autoritățile de supraveghere din statele membre încă analizează impactul hotărârii Schrems cu privire la regulile corporatiste obligatorii și la clauzele contractuale standard, dar că au decis să permită operatorilor să le folosească în continuare pe termen limitat. CNIL precizează că cel mai potrivit temei sunt clauzele contractuale standard, operatorii fiind îndrumați să implementeze acest mecanism. Orientarea CNIL nu menționează și nu face nicio apreciere cu privire la posibilitatea întemeierii transferului pe situațiile derogatorii, nici măcar în ce privește consimțământul. CNIL a precizat totuși că operatorii trebuie să își modifice notificările până la sfârșitul lunii ianuarie 2016, când fie să indice faptul că transferul a încetat, fie că are la bază un alt temei (în principal clauzele standard).
Safe Harbor generația a doua
În discursul ținut pe 26 octombrie în fața Comitetului LIBE, Comisarul pentru Justiție, Protecția Consumatorilor și Egalitatea de Gen, Věra Jourová, a vorbit și despre situația negocierilor purtate cu Statele Unite în ce privește noul acord Safe Harbor. Ea a clarificat faptul că scopul negocierilor este acela de a asigura și în Statele Unite un regim de protecție echivalent, nu neapărat identic, cu cel din Uniunea Europeană în ce privește datele cu caracter personal.
Comisarul a menționat că s-a ajuns la un acord în principiu cu privire la un nou sistem de auto-certificare cu „mecanisme eficiente de detectare și de supraveghere”, precum și că interfața și canalele de comunicare cu autoritățile naționale de supraveghere și Departamentul pentru Comerț al SUA vor fi îmbunătățite, autoritățile de supraveghere urmând să fie mai active și mai vizibile în rolul de a revizui funcționalitatea noului sistem. Modalitatea concretă în care aceste angajamente vor respecta hotărârea Schrems este încă în discuție, cum este și implementarea unui mecanism anual de verificare comună care să acopere toate aspectele legate de funcționalitatea noului sistem, inclusiv folosirea excepțiilor de securitate națională.
Věra Jourová a mai precizat și că au fost realizate progrese pentru ca Statele Unite să ofere o protecție sporită cetățenilor europeni, fiind propusă acordarea unor drepturi rezervate până acum doar cetățenilor americani (U.S. Bill of Judicial Redress, care oferă protecție cetățenilor americani potrivit U.S. Privacy Act), iar Comisia salută aceste inițiative și analizează măsurile propuse.
Cu toate acestea, doar o zi mai târziu, pe 27 octombrie, Senatul american a aprobat o propunere controversată de lege a securității cibernetice (cunoscută sub acronimul „CISA”), despre care numeroși activiști – inclusiv Edward Snowden – au avertizat că oferă instituțiilor americane posibilitatea legală de a avea acces la informații confidențiale fără a fi supuse unui control.
Mai mult, pe 29 octombrie Parlamentul European a adoptat o rezoluție prin care reclamă lipsa acțiunilor din partea Comisiei și a statelor membre pentru a proteja drepturile fundamentale ale cetățenilor în fața supravegherii electronice în masă, în conformitate cu rezoluția Parlamentului din 12 martie 2014. Noua rezoluție solicită Comisiei să asigure că toate transferurile de date către Statele Unite sunt supuse unui nivel de protecție efectiv și substanțial echivalent cu cel garantat în Uniunea Europeană, și să analizeze de urgență impactul hotărârii Schrems asupra celorlalte temeiuri de transfer de date către Statele Unite, urmând să elaboreze un raport pe această chestiune până la finalul anului 2015.
În ce privește negocierile pentru noul acord Safe Harbor, comisarul Věra Jourová a efectuat o vizită la Washington la mijlocul lunii noiembrie, ocazie cu care a declarat că s-au făcut deja progrese ca urmare a faptului că SUA s-au angajat ca Department of Commerce să asigure o supraveghere mai strânsă și să existe o cooperare mai mare între autoritățile europene de supraveghere și Federal Trade Commission, ceea ce va schimba sistemul dintr-unul de autocertificare într-unul proactiv. Comisarul a mai declarat că se lucrează de asemenea la crearea unui mecanism comun de audit anual care să acopere toate aspectele funcționării noului cadru, incluzând folosirea excepțiilor în scop de justiție și securitate națională.
Până la adoptarea unui cadru juridic nou, unele companii iau deja măsuri proprii. Oracle a anunțat din octombrie faptul că își va construi data centere în Uniunea Europeană, însă această abordare s-ar putea să nu fie suficientă. Sub acest aspect este de o importanță critică decizia pe care instanța din New York o va da în dosarul Matter of a Warrant to Search a Certain E-Mail Account Controlled and Maintained by Microsoft Corporation (pe scurt Microsoft v. United States) în care Department of Justice din Statele Unite a solicitat Microsoft Corporation să pună la dispoziție informații dintr-un cont de e-mail outlook.com al unui cetățean european, deși datele sunt localizate în Irlanda. Microsoft a pierdut în primă instanță, iar acum executarea este suspendată până la judecarea recursului. În favoarea Microsoft au intervenit o pleiadă de terți rar întâlniți în aceeași enumerare: multe societăți din domeniul IT (între care Apple, Cisco, AT&T, Verizon, Amazon, Verizon, Cisco, HP, eBay, Salesforce.com), din presă (ABC, CNN, Forbes, Fox News, National Public Radio, The Guardian, The Washington Post), multiple asociații profesionale, specialiști IT, Digital Rights Ireland (cea care a dat denumirea hotărârii CJUE de invalidare a directivei de retenție a datelor), Republica Irlanda și europarlamentarul Jan Philipp Albrecht, toți depunând amicus briefs care se regăsesc în întregime aici.
În acest context incert cu privire la soluția definitivă, Microsoft a recurs la o soluție inovatoare – folosirea unui „fiduciar de date”, astfel încât nici măcar Microsoft să nu poată avea acces la date. Fiduciarul este T-Systems, o filială Deutsche Telekom, deci o companie cât se poate de respectabilă situată în mod strategic în Germania, țara cu reputația de a avea cel mai drastic regim al datelor cu caracter personal din Uniune. Microsoft transmite astfel un mesaj foarte clar atât autorităților din Statele Unite, care dacă vor acces la date vor trebui să se adreseze fiduciarului, cât și clienților, care vor avea mai multă încredere în serviciul furnizat în acest mod. Izolarea datelor prin modelul fiduciarului este o evoluție majoră, mai ales atât de rapid după decizia Curții în cauza Schrems, având potențialul de a influența puternic abordările viitoare.