Curtea de Justiție a UE a declarat joi ca fiind nevalid acordul crucial Privacy Shield ce permite transferul de date personale între UE și SUA, considerând că sunt riscante programele ample de supraveghere desfășurate de Statele Unite. Acordul face posibile ingerințe în domeniul drepturilor fundamentale ale persoanelor ale căror date sunt tranferate către SUA, spune Curtea Europeană.
Privacy Shield înlocuia înțelegerea numită Safe Harbour care a intrat în vigoare acum 20 ani, dar care a fost invalidată printr-o hotărâre a Curții de Justiție a UE în 2015 pe motiv că datele cetățenilor UE sunt insuficient protejate în SUA.
Decizia de joi înseamnă că activitățile companiilor americane care transferă date comerciale vor fi mult complicate. Totuși, Cuirtea a validat un alt sistem de transfer de date numit Standard Contractual Clauses.
Decizia a fost primită cu mare bucurie de juristul austriac Max Schrems, celebru pentru luptele sale în justiție în favoarea protecției datelor personale. ”După o prmă lectură a hotărârii Curții privind Privacy Shield pare că am câștigat în proporție de 100%”, spune el, pe Twitter ”SUA trebuie să se angajeze într-o reformă serioasă a modului în care se face supravegherea, dacă vor revenirea la un statut privilegiat pentru companiile americane”, spune Schrems.
Schrems a devenit celebru în 2015 când a contestat acordul Safe harbour, susținând că transferarea unui volum atât de mare de date despre europeni în SUA îi expune pe cetățenii europeni spionajului american și programelor ilegale de monitorizare dezvoltate de NSA.
CVe spune CJUE
Curtea declară nevalidă Decizia 2016/1250 privind caracterul adecvat al protecției oferite de Scutul de confidențialitate UE-SUA. În schimb, aceasta statuează că Decizia 2010/87 a Comisiei privind clauzele contractuale tip pentru transferul de date cu caracter personal către persoanele împuternicite de către operators tabilite în țări terțe este validă.
Regulamentul general privind protecția datelor (RGPD) prevede că transferul unor astfel de date către o țară terță, în principiu, se poate realiza numai dacă țara terță în cauză asigură un nivel de protecție adecvat în privința acestor date. Potrivit acestui regulament, Comisia poate să decidă că o țară terță asigură, ca urmare a legislației sale interne sau a angajamentelor sale internaționale, un nivel de protecție adecvat. În absența unei asemenea decizii privind caracterul adecvat al nivelului de protecție, un astfel de transfer se poate realiza numai dacă exportatorul datelor cu caracter personal, stabilit în Uniune, oferă garanții adecvate, care pot să rezulte în special din clauze standard de protecție a datelor adoptate de Comisie, și cu condiția să existe drepturi opozabile și căi de atac eficiente pentru persoanele vizate.
Pe de altă parte, RGPD stabilește, în mod precis, condițiile în care se poate realiza un astfel de transfer în absența unei decizii privind caracterul adecvat al nivelului de protecție sau a unor garanții adecvate. Domnul Maximillian Schrems, resortisant austriac cu reședința în Austria, este un utilizator al Facebook din anul 2008. La fel ca în cazul celorlalți utilizatori cu reședința în Uniune, datele cu caracter personal ale domnului Schrems sunt, în tot sau în parte, transferate de Facebook Ireland către servere care aparțin Facebook Inc., situate pe teritoriul Statelor Unite, unde fac obiectul unei prelucrări.
Domnul Schrems a depus o plângere la autoritatea de supraveghere irlandeză, având ca obiect, în esență, interzicerea acestor transferuri. El a susținut că dreptul și practicile Statelor Unite nu oferă o protecție suficientă împotriva accesului autorităților publicela datele transferate către această țară. Plângerea menționată a fost respinsă în special pentru motivul că în Decizia 2000/5205 (denumită „Decizia Sfera de siguranță”)
Comisia constatase că Statele Unite asigurau un nivel de protecție adecvat. Prin Hotărârea din 6 octombrie 2015, Curtea, sesizată cu o întrebare preliminară adresată de High Court (Înalta Curte, Irlanda), a declarat nevalidă această decizie (denumită în continuare „Hotărârea Schrems I .În urma Hotărârii Schrems I și a anulării consecutive, de către instanța irlandeză, a deciziei prin care s-a respins plângerea domnului Schrems, autoritatea de supraveghere irlandeză l-a invitat să își reformuleze plângerea ținând seama de declararea nevalidității de către Curte a Deciziei 2000/520.
În plângerea sa reformulată, domnul Schrems susține că Statele Unite nu oferă o protecție suficientă a datelor transferate către această țară. El solicită să se suspende sau să se interzică pentru viitor, transferurile datelor sale cu caracter personal din Uniune către Statele Unite, pe care Facebook le realizează în prezent în temeiul clauzelor standard de protecție care figurează în anexa la Decizia 2010/877. Întrucât a considerat că soluționarea plângerii domnului Schrems depinde, în special, de validitatea Deciziei 2010/87, autoritatea de supraveghere irlandeză a inițiat o procedură în fața High Court (Înalta Curte) pentru ca aceasta să sesizeze Curtea cu o cerere de decizie preliminară.
După deschiderea acestei proceduri, Comisia a adoptat Decizia(UE )2016/1250 privind caracterul adecvat al protecției oferite de Scutul de confidențialitate UE-SUA (denumită„Decizia Scutul de confidențialitate”). Prin cererea sa de decizie preliminară, instanța de trimitere solicită Curții să se pronunțe cu privire la aplicabilitatea RGPD în cazul unor transferuri de date cu caracter personal întemeiate pe clauze standard de protecție care figurează în Decizia 2010/87,cu privire la nivelul de protecție impus de acest regulament în cadrul unui astfel de transfer și cu privire la obligațiile care revin autorităților de supraveghere în acest context. În plus, High Court ridică problema validității atât a Deciziei 2010/87, cât și a Deciziei 2016/1250.
Prin hotărârea pronunțată astăzi, Curtea constată că analiza Deciziei 2010/87 în raport cu Carta drepturilor fundamentale ale Uniunii Europene nu evidențiază niciun element de natură să afecteze validitatea sa. În schimb, aceasta declară nevalidă Decizia 2016/1250.
Curtea consideră, în primul rând, că dreptul Uniunii și, în special, RGPD, se aplică în cazul unui transfer de date cu caracter personal efectuat în scopuri comerciale de un operator economic stabilit într-un stat membru către un alt operator economic stabilit într-o țară terță, chiar dacă, în cursul sau în urma acestui transfer, datele menționate sunt susceptibile de a fi prelucrate de autoritățile țării terțe în cauză în scopuri de siguranță publică, de apărare și de securitatea statului. Ea precizează că acest tip de prelucrare a datelor de către autoritățile unei țări terțe nu poate exclude un asemenea transfer din domeniul de aplicare a RGPD..
În ceea ce privește nivelul de protecție impus în cadrul unui astfel de transfer, Curtea statuează că cerințele prevăzute în acest scop de dispozițiile RGPD, care se referă la garanții adecvate, drepturi opozabile și căi de atac eficiente, trebuie interpretate în sensul că persoanele ale căror date cu caracter personal sunt transferate către o țară terță în temeiul unor clauze standard de protecție a datelor, trebuie să beneficieze de un nivel de protecție în esență echivalent cu cel garantat în cadrul Uniunii de regulamentul menționat, interpretat în lumina cartei. În acest context, ea precizează că evaluarea acestui nivel de protecție trebuie să ia în considerare atât stipulațiile contractuale convenite între exportatorul datelor stabilit în Uniune și destinatarul transferului stabilit în țara terță în cauză, cât și, în ceea ce privește un eventual acces al autorităților publice ale acestei țări terțe la datele cu caracter personal astfel transferate, elementele relevante ale sistemului său juridic.
În ceea ce privește obligațiile care revin autorităților de supraveghere în contextul unui astfel de transfer, Curtea declară că, cu excepția cazului în care există o decizie privind caracterul adecvat al nivelului de protecție adoptată în mod valabil de Comisie, aceste autorități sunt în special obligate să suspende sau să interzică un transfer de date cu caracter personal către o țară terță atunci când consideră, în lumina tuturor împrejurărilor proprii transferului menționat, că clauzele standard de protecție a datelor nu sunt sau nu pot fi respectate în această țară și că protecția datelor transferate impusă de dreptul Uniunii, nu poate fi asigurată prin alte mijloace, în cazul în care însuși exportatorul stabilit în Uniune nu a suspendat ori nu a încetat un astfel de transfer.
Curtea analizează apoi validitatea Deciziei 2010/87. Potrivit Curții, validitatea acestei decizii nu este repusă în discuție prin simplul fapt că clauzele standard de protecție a datelor care figurează în aceasta nu sunt obligatorii, ca urmare a caracterului lor contractual, pentru autoritățile țării terțe către care poate fi efectuat un astfel de transfer. În schimb, precizează Curtea, această validitate depinde de aspectul dacă decizia menționată cuprinde mecanisme eficiente care permit, în practică, să se asigure respectarea nivelului de protecție impus de dreptul Uniunii și suspendarea sau interzicerea transferurilor de date cu caracter personal, întemeiate pe astfel de clauze, în cazul încălcării acestor clauze sau al imposibilității de a le onora.
Curtea constată că Decizia 2010/87 prevede asemenea mecanisme. În această privință, ea subliniază, în special, că decizia menționată instituie o obligație a exportatorului datelor și a destinatarului transferului de a verifica, în prealabil, respectarea acestui nivel de protecție în țara terță în cauză și că ea obligă acest destinatar să informeze exportatorul datelor cu privire la eventuala sa imposibilitate de a asigura conformitatea cu clauzele menționate, ultimul având în acest caz sarcina de a suspenda transferul de date și/sau de a rezilia contractul încheiat cu primul.
Curtea procedează, în sfârșit, la analiza validității Deciziei2016/1250 în raport cu cerințele care decurg din RGPD, interpretat în lumina dispozițiilor cartei care garantează respectarea vieții private și de familie, protecția datelor cu caracter personal și dreptul la protecție jurisdicțională efectivă. În această privință, Curtea arată că decizia menționată consacră, asemenea Deciziei 2000/520, supremația cerințelor privind securitatea națională, interesul public și respectarea legislației americane, făcând astfel posibile unele ingerințe în drepturile fundamentale ale persoanelor ale căror date sunt transferate către această țară terță.
Potrivit Curții, limitările protecției datelor cu caracter personal care decurg din reglementarea internă a Statelor Unite privind accesul și utilizarea de către autoritățile publice americane a unor astfel de date transferate din Uniune către această țară terță și pe care Comisia le-a evaluat în Decizia 2016/125 0nu sunt circumscrise astfel încât să îndeplinească cerințe în esență echivalente cu cele prevăzute, în dreptul Uniunii, de principiul proporționalității, în sensul că programele de supraveghere întemeiate pe această reglementare nu sunt limitate la strictul necesar.
Întemeindu-se pe constatările care figurează în această decizie, Curtea arată că, pentru anumite programe de supraveghere, respectiva reglementare nu evidențiază în niciun mod existența unor limitări ale abilitării pe care o presupune pentru punerea în aplicare a acestor programe, și nici existența unor garanții pentru persoane care nu sunt cetățeni americani potențial vizate. Curtea adaugă că, deși aceeași reglementare prevede cerințe pe care trebuie să le respecte autoritățile publice cu ocazia punerii în aplicare a programelor de supraveghere în cauză, ea nu conferă persoanelor vizate drepturi opozabile autorităților americane în fața instanțelor judecătorești. În ceea ce privește cerința protecției jurisdicționale, Curtea statuează că, în mod contrar celor considerate de Comisie în Decizia 2016/1250, mecanismul de tip Ombudsman prevăzut de decizia menționată nu furnizează acestor persoane o cale de atac în fața unui organ care oferă garanții în esență echivalente cu cele impuse de dreptul Uniunii de natură să asigure atât independența Ombudsmanului prevăzut de acest mecanism, cât și existența unor norme care să abiliteze Ombudsmanul menționat să adopte decizii obligatorii în privința serviciilor americane de informații. Pentru toate aceste motive, Curtea declară nevalidă Decizia 2016/1250.
