Decizie importantă ce va permite transferul de date UE-SUA, după problemele cu care s-au confruntat Facebook și alte platforme americane în Europa

Uniunea Europeană a mai făcut luni un pas important pentru transferul transatlantic de date personale: Comisia Europeană a adoptat decizia privind caracterul adecvat al nivelului de protecție a datelor pentru Cadrul UE-SUA privind confidențialitatea datelor.

Potrivit unui comunicat transmis, luni, de Comisia Europeană publicației StartupCafe.ro, decizia UE concluzionează că Statele Unite asigură un nivel adecvat de protecție – comparabil cu cel al Uniunii Europene – pentru datele cu caracter personal transferate din UE către companiile din SUA în temeiul noului cadru.

Pe baza noii decizii privind caracterul adecvat al nivelului de protecție, datele cu caracter personal pot circula în condiții de siguranță din UE către firmele din SUA care participă la cadru, fără a fi nevoie să se instituie garanții suplimentare în materie de protecție a datelor.

Comisia Europeană consideră că noul Cadru UE-SUA privind confidențialitatea datelor introduce noi garanții obligatorii pentru a „răspunde tuturor preocupărilor exprimate de Curtea de Justiție a Uniunii Europene”, după ce, în anul 2020, instanța europeană a invalidat un acord de transfer de date UE-SUA, din anul 2016, EU–US Privacy Shield. În urma deciziei din 2020 a CJUE, o serie întreagă de companii americane au avut probleme în a-și mai derula serviciile online în Europa, în lipsa unui cadru transatlantic de transfer de date. Cea mai nemulțumită a fost compania americană Meta, care deține platformele Facebook, Intsagram și WhatsApp. Aceasta a fost amendată de mai multe ori de autoritatea iralandeză de protecție a datelor persoane, în baza Regulamentului european GDPR de protecție a datelor. Cel mai recent, în mai 2023, Meta a primit o amendă-record de 1,2 miliarde de euro  în contextul transferului transatlantic de date. Din cauza acestei situații, Meta a amenințat și cu suspendarea popularelor sale servicii în Europa.

Acum, Comisia Europeană spune că decizia sa de luni este în acord cu hotărârea Curții Europene de la Luxemburg, printr-o serie de prevederi cuprinse în Cadrul UE-SUA:

• limitarea accesului serviciilor de informații ale SUA la datele din UE la ceea ce este necesar și proporțional,
• instituirea unei instanțe de reexaminare în materie de protecție a datelor (Data Protection Review Court – DPRC), la care vor avea acces persoanele UE.
• Noul cadru aduce îmbunătățiri semnificative în comparație cu mecanismul care a existat în cadrul Scutului de confidențialitate. De exemplu, în cazul în care constată că datele au fost colectate cu încălcarea noilor garanții, DPRC va putea să dispună ștergerea datelor.
•  Noile garanții în domeniul accesului autorităților publice la date vor completa obligațiile pe care vor trebui să le respecte companiile din SUA ce importă date din UE.

Alte prevederi ale deciziei CE privind Cadrul UE-SUA:

1. Companiile din SUA vor putea adera la Cadrul UE-SUA privind confidențialitatea datelor prin asumarea unui angajament de a respecta un set detaliat de obligații în materie de confidențialitate, de exemplu cerința de a șterge datele cu caracter personal atunci când acestea nu mai sunt necesare în scopul pentru care au fost colectate, și de a asigura continuitatea protecției atunci când datele cu caracter personal sunt partajate cu părți terțe.
2. Persoanele fizice din UE vor beneficia de mai multe căi de atac în cazul în care datele lor sunt gestionate în mod greșit de întreprinderi din SUA. Printre aceste căi de atac se numără mecanisme independente gratuite de soluționare a litigiilor și o comisie de arbitraj.
3. În plus, cadrul juridic al SUA prevede o serie de garanții în ceea ce privește accesul la datele transferate în temeiul cadrului de către autoritățile publice din SUA, în special în scopul asigurării respectării dreptului penal și al securității naționale. Accesul la date este limitat la ceea ce este necesar și proporțional pentru a proteja securitatea națională.
4. Persoanele fizice din UE vor avea acces la un mecanism de exercitare a unei căi de atac independent și imparțial în ceea ce privește colectarea și utilizarea datelor lor de către serviciile de informații ale SUA; acest mecanism cuprinde și o instanță nou-creată de reexaminare în materie de protecție a datelor. Instanța va investiga și va soluționa în mod independent plângerile, inclusiv prin adoptarea unor măsuri de remediere obligatorii.
5. Garanțiile instituite de SUA vor facilita, de asemenea, fluxurile de date transatlantice la un nivel mai general, deoarece acestea se aplică și atunci când datele sunt transferate utilizându-se alte instrumente, cum ar fi clauzele contractuale standard și regulile corporatiste obligatorii.

Etapele următoare

Funcționarea Cadrului UE-SUA privind confidențialitatea datelor va face obiectul unor revizuiri periodice, care vor fi efectuate de Comisia Europeană, împreună cu reprezentanți ai autorităților europene pentru protecția datelor și ai autorităților competente din SUA.

Prima revizuire va avea loc în termen de un an de la intrarea în vigoare a deciziei privind caracterul adecvat al nivelului de protecție, pentru a verifica dacă toate elementele relevante au fost puse în aplicare pe deplin în cadrul juridic al SUA și funcționează în mod eficace în practică.

„Noul Cadru UE-SUA privind confidențialitatea datelor va asigura fluxuri de date sigure pentru europeni și va oferi securitate juridică întreprinderilor de pe ambele maluri ale Atlanticului. În urma acordului de principiu la care am ajuns anul trecut cu președintele Biden, SUA au pus în aplicare angajamente fără precedent de a institui noul cadru. Astăzi facem un pas important pentru a le oferi cetățenilor încrederea că datele lor sunt sigure, pentru a aprofunda legăturile economice dintre UE și SUA și, în același timp, pentru a ne reafirma valorile comune. Dovedim astfel că, lucrând împreună, putem aborda cele mai complexe aspecte”, a declarat președinta Comisiei Europene, Ursula von der Leyen.

Cum s-a ajuns la noul Cadru UE-SUA privind datele

Comisia Europeană a mai explicat luni că Articolul 45 alineatul (3) din Regulamentul GDPR  îi conferă competența de a decide, prin intermediul unui act de punere în aplicare, că o țară din afara UE asigură „un nivel adecvat de protecție” – un nivel de protecție a datelor cu caracter personal care este în esență echivalent cu nivelul de protecție din cadrul UE. Deciziile privind caracterul adecvat al nivelului de protecție au ca efect faptul că datele cu caracter personal pot circula liber din UE (și din Norvegia, Liechtenstein și Islanda) către o țară terță, fără alte obstacole.

După ce Curtea de Justiție a UE a invalidat, în 2020, decizia anterioară a Comisiei Europene  privind caracterul adecvat al nivelului de protecție asigurat de Scutul de confidențialitate UE-SUA, Comisia Europeană și guvernul SUA au inițiat discuții referitoare la un nou cadru care să abordeze problemele ridicate de Curtea de la Luxemburg.

În martie 2022, președinta von der Leyen și președintele Biden au anunțat că au ajuns la un acord de principiu cu privire la un nou cadru privind fluxurile de date transatlantice, în urma negocierilor dintre comisarul Reynders și secretarul SUA Raimondo. În octombrie 2022, președintele Biden a semnat un ordin executiv privind consolidarea garanțiilor pentru activitățile de colectare de informații de tip SIGINT desfășurate de Statele Unite, care a fost completat de reglementări emise de procurorul general al SUA, Garland. Împreună, aceste două instrumente au transpus în legislația SUA angajamentele asumate de SUA în temeiul acordului de principiu și au completat obligațiile care le revin întreprinderilor din SUA în temeiul Cadrului UE-SUA privind confidențialitatea datelor.

Un element esențial al cadrului juridic al SUA care consacră aceste garanții este Ordinul executiv al SUA privind consolidarea garanțiilor pentru activitățile de colectare de informații de tip SIGINT desfășurate de Statele Unite ale Americii, care răspunde preocupărilor exprimate de Curtea de Justiție a Uniunii Europene în hotărârea sa din iulie 2020, în cazul Schrems II (după numele activistului austriac Maximillian Schrems, care a contestat în instanță transferul de date transatlantic).

Cadrul este administrat și monitorizat de Departamentul Comerțului al SUA. Comisia Federală pentru Comerț din SUA va asigura respectarea normelor de către întreprinderile din SUA.