În această Opinie, Grupul de Lucru a indicat o serie de aspecte ce ar trebui luate în considerare pentru optimizarea Acordului EU-US Privacy Shield (inclusiv pentru ca acesta să fie în linie cu Regulamentul privind protecția generală a datelor cu caracter personal), dintre care notabile sunt:

• Neclaritatea modului de aplicare a Pricipiilor Privacy Shield organizațiilor care acționează ca împuterniciți (e., organizații ce prelucrează datele în contextul transferului în SUA pentru și în numele operatorilor de date cu caracter personal implicați într-un astfel de transfer) – Acordul nu conține prevederi cu privire la modul de aplicare a principiilor sale în cazul organizațiilor ce acționează în calitate de împuterniciți și, mai mult, există posibilitatea nașterii unor conflicte între aceste principii și clauzele contractelor în baza cărora acționează împuterniciții; Grupul de Lucru a recomandat clarificarea modului concret de aplicare a Acordului Privacy Shield în cazul împuterniciților.
• Lipsa de garanții suficiente pentru prelucrarea efectuată ca urmare a deciziilor automatizate (i.e., fără intervenție umană) - Grupul de Lucru consideră că nu este asigurat un nivel adecvat de protecție și că ar fi necesară introducerea unor astfel de garanții.
• Necesitatea reglementării suplimentare a transferurilor de date de la operatori/împuterniciți din UE/USA către state terțe – Grupul de Lucru a recomandat reglementarea expresă a obiectului acestor transferuri, a limitărilor aplicabile, scopului prelucrării și garanțiilor incidente.

În continuarea demersurilor pentru instituirea noului cadru ce va guverna transferurile transatlantice de date cu caracter personal, Comisia Europeană a dat publicității, în data de 29 februarie 2016, un nou comunicat prin care:

• se face public conținutul textelor legale care vor guverna transferurile transatlantice de date cu caracter personal;
• se publică draftul Deciziei Comisiei Europene de recunoaștere a unui nivel de protecție adecvat în cazul transferurilor de date cu caracter personal din Europa către SUA; și
• se arată care vor fi pașii următori, în vederea implementării propriu-zise a noului cadru – Acordul EU-US Privacy Shield.

Grupul de Lucru Art. 29, organism care reunește reprezentanții autorităților de supraveghere din statele membre ale Uniunii, a emis o declarație prin care:

• salută publicarea draftului Deciziei Comisiei Europene de recunoaștere a unui nivel adecvat de protecție adecvat pentru transferurile de date către SUA și a textelor care vor constitui Acordul EU-US Privacy Shield, și
• anunță următorii pași în vederea adoptării noului Acord EU-US Privacy Shield, anume:
  • analizarea documentelor mai sus menționate și emiterea unei opinii a Grupului de Lucru Art. 29, care va fi adoptată la întâlnirea plenară a Grupului din 12 și 13 aprilie 2016;
  • emiterea opiniei reprezentanților statelor membre UE parte din Comitetul care asistă Comisia Europeană conform Directivei 95/46/CE privind prelucrarea datelor cu caracter personal;
  • adoptarea Deciziei Comisiei Europene de recunoaștere a unui nivel adecvat de protecție adecvat pentru transferurile de date către SUA.

În continuarea reacțiilor după invalidarea acordului Safe Harbor, în data de 2 februarie 2016, Comisia Europeană a emis un comunicat în legătură cu noul cadru care va guverna transferurile transatlantice de date cu caracter personal, urmare a încheierii negocierilor cu SUA, respectiv acordul politic numit „EU-US Privacy Shield”. Potrivit acestui comunicat, acest acord va impune obligații mai ferme în sarcina societăților americane care importă date cu caracter personal din Europa și un nivel mai înalt de monitorizare a acestor date de către Departamentul pentru Comerț al SUA și Comisia Federală pentru Comerț, care vor trebui să coopereze cu autoritățile UE.

Potrivit comunicatului mai sus menționat și comunicatului referitor la subiectele de discuție în cadrul conferinței de presă referitoare la noul acord, ambele emise de Comisia Europeană, angajamentele cuprinse în noul acord vor viza:

• Impunerea de obligații ferme operatorilor/împuterniciților acestora care prelucrează date cu caracter personal ce provin din Europa – orice operator/împuternicit care va prelucra astfel de date va trebui să își ia angajamentul de a respecta deciziile autorităților europene competente în materie de protecție a datelor cu caracter personal; mai mult, vor fi prevăzute condiții mai stricte pentru efectuarea transferurilor ulterioare de date către partenerii operatorilor/împuterniciților implicați;
• Monitorizarea atentă a prelucrărilor de date și activității operatorilor/împuterniciților care prelucrează date cu caracter personal ce provin din Europa – Departamentul pentru Comerț al SUA va efectua verificări și actualizări regulate ale listei acestor operatori/împuterniciți din SUA, sancționându-i și eliminându-i de pe listă pe cei care încalcă prevederile acordului EU-US Privacy Shield;
• Luarea unor măsuri de siguranță și transparență stricte în legătură cu accesul autorităților americane la datele prelucrate în scopul aplicării legii și al asigurării securității publice – accesul autorităților americane va fi subiectul unei supravegheri stricte, precum și unor limitări și măsuri de securitate specifice;
• Sporirea protecției cetățenilor UE – fiecare cetățean care se va considera lezat va avea la dispoziție mai multe modalități de atac împotriva unor astfel de atingeri;
• Revizuirea anuală a acordului EU-US Privacy Shield.

Ca reacție la comunicatul de mai sus, Grupul de Lucru Art. 29, organism care reunește reprezentanții autorităților de supraveghere din statele membre ale Uniunii, a emis o declarație în data de 3 februarie 2016, prin care a salutat semnarea acordului EU-US Privacy Shield și a solicitat Comisiei Europene să îi furnizeze documente cu privire la acest acord, în vederea examinării acestora.

Prin aceeași declarație, Grupul de Lucru Art. 29 a reamintit necesitatea ilustrării în cadrul noului acord a celor patru garanţii importante care ar trebui respectate în cazul transferurilor către state terţe, în lumina deciziei Curţii de Justiţie a Uniunii Europene, pronunţată în cazul Schrems, respectiv:

• Prelucrarea datelor cu caracter personal trebuie să aibă la bază reguli clare, precise și accesibile;
• Demonstrarea necesității și proporționalității prin raportare la scopurile legitime urmărite;
• Existența unui mecanism independent de supraveghere, care să fie atât imparțial cât și efectiv, fie un judecător/al organism independent;
• Existența unor remedii efective pentru persoanele vizate de prelucrare.

Cu privire la cele de mai sus, Autoritatea de supraveghere din România (Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal – ANSPDCP) a emis în data de 5 februarie 2016 un comunicat de presă prin care menționează că, în contextul actual, „efectuarea transferurilor în SUA se poate realiza numai în baza celorlalte garanții de transfer prevăzute de art. 29 alin. (4) din Legea nr. 677/2001 (clauze contractuale standard, reguli corporatiste obligatorii – BCR), precum şi în situaţiile prevăzute de art. 30 din Legea nr. 677/2001.”