Invalidarea în 6 octombrie a Deciziei 2000/520/CE prin hotărârea Curții de Justiție în Cauza C-362/14 Schrems, despre care s-a scris aici, a schimbat paradigma transferurilor de date personale din Uniune către SUA.
În continuarea reacțiilor după invalidarea acordului Safe Harbor, în data de 2 februarie 2016, Comisia Europeană a emis un comunicat în legătură cu noul cadru care va guverna transferurile transatlantice de date cu caracter personal, urmare a încheierii negocierilor cu SUA, respectiv acordul politic numit „EU-US Privacy Shield”. Potrivit acestui comunicat, acest acord va impune obligații mai ferme în sarcina societăților americane care importă date cu caracter personal din Europa și un nivel mai înalt de monitorizare a acestor date de către Departamentul pentru Comerț al SUA și Comisia Federală pentru Comerț, care vor trebui să coopereze cu autoritățile UE.
Potrivit comunicatului mai sus menționat și comunicatului referitor la subiectele de discuție în cadrul conferinței de presă referitoare la noul acord, ambele emise de Comisia Europeană, angajamentele cuprinse în noul acord vor viza:
- Impunerea de obligații ferme operatorilor/împuterniciților acestora care prelucrează date cu caracter personal ce provin din Europa – orice operator/împuternicit care va prelucra astfel de date va trebui să își ia angajamentul de a respecta deciziile autorităților europene competente în materie de protecție a datelor cu caracter personal; mai mult, vor fi prevăzute condiții mai stricte pentru efectuarea transferurilor ulterioare de date către partenerii operatorilor/împuterniciților implicați;
- Monitorizarea atentă a prelucrărilor de date și activității operatorilor/împuterniciților care prelucrează date cu caracter personal ce provin din Europa – Departamentul pentru Comerț al SUA va efectua verificări și actualizări regulate ale listei acestor operatori/împuterniciți din SUA, sancționându-i și eliminându-i de pe listă pe cei care încalcă prevederile acordului EU-US Privacy Shield;
- Luarea unor măsuri de siguranță și transparență stricte în legătură cu accesul autorităților americane la datele prelucrate în scopul aplicării legii și al asigurării securității publice – accesul autorităților americane va fi subiectul unei supravegheri stricte, precum și unor limitări și măsuri de securitate specifice;
- Sporirea protecției cetățenilor UE – fiecare cetățean care se va considera lezat va avea la dispoziție mai multe modalități de atac împotriva unor astfel de atingeri;
- Revizuirea anuală a acordului EU-US Privacy Shield.
Ca reacție la comunicatul de mai sus, Grupul de Lucru Art. 29, organism care reunește reprezentanții autorităților de supraveghere din statele membre ale Uniunii, a emis o declarație în data de 3 februarie 2016, prin care a salutat semnarea acordului EU-US Privacy Shield și a solicitat Comisiei Europene să îi furnizeze documente cu privire la acest acord, în vederea examinării acestora.
Prin aceeași declarație, Grupul de Lucru Art. 29 a reamintit necesitatea ilustrării în cadrul noului acord a celor patru garanţii importante care ar trebui respectate în cazul transferurilor către state terţe, în lumina deciziei Curţii de Justiţie a Uniunii Europene, pronunţată în cazul Schrems, respectiv:
- Prelucrarea datelor cu caracter personal trebuie să aibă la bază reguli clare, precise și accesibile;
- Demonstrarea necesității și proporționalității prin raportare la scopurile legitime urmărite;
- Existența unui mecanism independent de supraveghere, care să fie atât imparțial cât și efectiv, fie un judecător/al organism independent;
- Existența unor remedii efective pentru persoanele vizate de prelucrare.
Cu privire la cele de mai sus, Autoritatea de supraveghere din România (Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal – ANSPDCP) a emis în data de 5 februarie 2016 un comunicat de presă prin care menționează că, în contextul actual, „efectuarea transferurilor în SUA se poate realiza numai în baza celorlalte garanții de transfer prevăzute de art. 29 alin. (4) din Legea nr. 677/2001 (clauze contractuale standard, reguli corporatiste obligatorii – BCR), precum şi în situaţiile prevăzute de art. 30 din Legea nr. 677/2001.”