Claudiu Zamfir
Uniunea Europeană a mai făcut luni un pas important pentru transferul transatlantic de date personale: Comisia Europeană a adoptat decizia privind caracterul adecvat al nivelului de protecție a datelor pentru Cadrul UE-SUA privind confidențialitatea datelor.
Potrivit unui comunicat transmis, luni, de Comisia Europeană publicației StartupCafe.ro, decizia UE concluzionează că Statele Unite asigură un nivel adecvat de protecție – comparabil cu cel al Uniunii Europene – pentru datele cu caracter personal transferate din UE către companiile din SUA în temeiul noului cadru.
Pe baza noii decizii privind caracterul adecvat al nivelului de protecție, datele cu caracter personal pot circula în condiții de siguranță din UE către firmele din SUA care participă la cadru, fără a fi nevoie să se instituie garanții suplimentare în materie de protecție a datelor.
Comisia Europeană consideră că noul Cadru UE-SUA privind confidențialitatea datelor introduce noi garanții obligatorii pentru a „răspunde tuturor preocupărilor exprimate de Curtea de Justiție a Uniunii Europene”, după ce, în anul 2020, instanța europeană a invalidat un acord de transfer de date UE-SUA, din anul 2016, EU–US Privacy Shield. În urma deciziei din 2020 a CJUE, o serie întreagă de companii americane au avut probleme în a-și mai derula serviciile online în Europa, în lipsa unui cadru transatlantic de transfer de date. Cea mai nemulțumită a fost compania americană Meta, care deține platformele Facebook, Intsagram și WhatsApp. Aceasta a fost amendată de mai multe ori de autoritatea iralandeză de protecție a datelor persoane, în baza Regulamentului european GDPR de protecție a datelor. Cel mai recent, în mai 2023, Meta a primit o amendă-record de 1,2 miliarde de euro în contextul transferului transatlantic de date. Din cauza acestei situații, Meta a amenințat și cu suspendarea popularelor sale servicii în Europa.
Acum, Comisia Europeană spune că decizia sa de luni este în acord cu hotărârea Curții Europene de la Luxemburg, printr-o serie de prevederi cuprinse în Cadrul UE-SUA:
Funcționarea Cadrului UE-SUA privind confidențialitatea datelor va face obiectul unor revizuiri periodice, care vor fi efectuate de Comisia Europeană, împreună cu reprezentanți ai autorităților europene pentru protecția datelor și ai autorităților competente din SUA.
Prima revizuire va avea loc în termen de un an de la intrarea în vigoare a deciziei privind caracterul adecvat al nivelului de protecție, pentru a verifica dacă toate elementele relevante au fost puse în aplicare pe deplin în cadrul juridic al SUA și funcționează în mod eficace în practică.
„Noul Cadru UE-SUA privind confidențialitatea datelor va asigura fluxuri de date sigure pentru europeni și va oferi securitate juridică întreprinderilor de pe ambele maluri ale Atlanticului. În urma acordului de principiu la care am ajuns anul trecut cu președintele Biden, SUA au pus în aplicare angajamente fără precedent de a institui noul cadru. Astăzi facem un pas important pentru a le oferi cetățenilor încrederea că datele lor sunt sigure, pentru a aprofunda legăturile economice dintre UE și SUA și, în același timp, pentru a ne reafirma valorile comune. Dovedim astfel că, lucrând împreună, putem aborda cele mai complexe aspecte”, a declarat președinta Comisiei Europene, Ursula von der Leyen.
Comisia Europeană a mai explicat luni că Articolul 45 alineatul (3) din Regulamentul GDPR îi conferă competența de a decide, prin intermediul unui act de punere în aplicare, că o țară din afara UE asigură „un nivel adecvat de protecție” – un nivel de protecție a datelor cu caracter personal care este în esență echivalent cu nivelul de protecție din cadrul UE. Deciziile privind caracterul adecvat al nivelului de protecție au ca efect faptul că datele cu caracter personal pot circula liber din UE (și din Norvegia, Liechtenstein și Islanda) către o țară terță, fără alte obstacole.
După ce Curtea de Justiție a UE a invalidat, în 2020, decizia anterioară a Comisiei Europene privind caracterul adecvat al nivelului de protecție asigurat de Scutul de confidențialitate UE-SUA, Comisia Europeană și guvernul SUA au inițiat discuții referitoare la un nou cadru care să abordeze problemele ridicate de Curtea de la Luxemburg.
În martie 2022, președinta von der Leyen și președintele Biden au anunțat că au ajuns la un acord de principiu cu privire la un nou cadru privind fluxurile de date transatlantice, în urma negocierilor dintre comisarul Reynders și secretarul SUA Raimondo. În octombrie 2022, președintele Biden a semnat un ordin executiv privind consolidarea garanțiilor pentru activitățile de colectare de informații de tip SIGINT desfășurate de Statele Unite, care a fost completat de reglementări emise de procurorul general al SUA, Garland. Împreună, aceste două instrumente au transpus în legislația SUA angajamentele asumate de SUA în temeiul acordului de principiu și au completat obligațiile care le revin întreprinderilor din SUA în temeiul Cadrului UE-SUA privind confidențialitatea datelor.
Un element esențial al cadrului juridic al SUA care consacră aceste garanții este Ordinul executiv al SUA privind consolidarea garanțiilor pentru activitățile de colectare de informații de tip SIGINT desfășurate de Statele Unite ale Americii, care răspunde preocupărilor exprimate de Curtea de Justiție a Uniunii Europene în hotărârea sa din iulie 2020, în cazul Schrems II (după numele activistului austriac Maximillian Schrems, care a contestat în instanță transferul de date transatlantic).
Cadrul este administrat și monitorizat de Departamentul Comerțului al SUA. Comisia Federală pentru Comerț din SUA va asigura respectarea normelor de către întreprinderile din SUA.