Musat & Asociatii: Principiile Safe Harbor nu mai constituie garantii adecvate pentru transferul de date personale in SUA

Prin Decizia 2000/520/CE a Comisiei Europene, adoptata in temeiul Directivei 95/46/CE a Parlamentului European si a Consiliului, se recunostea de catre Comisia Europeana faptul ca anumite entitati care aderau la Principiile Safe Harbor prezentau garantii adecvate pentru primirea unor date personale din Uniunea Europeana. Aceasta Decizie facea posibil transferul de date cu caracter personal din state ale Uniunii Europene catre entitati din SUA cu mai multa usurinta, prin simpla adeziune a acestor entitati la principiile “sferei de siguranta” privind protectia vietii private, principii publicate de Departamentului Comertului al Statelor Unite ale Americii, entitatile fiind ulterior certificate in acest sens.

Decizia 2000/520/CE a fost insa invalidata de Hotararea Curtii de Justitie a Uniunii Europene pronuntata in Cauza C-362/14 Maximillian Schrems impotriva Data Protection Commissioner (“Hotararea”) si publicata in data de 6 Octombrie 2015. Iulian Popescu (foto articol), Partner in cadrul Musat & Asociatii, spune ca “impactul pe care il va avea Hotararea asupra transferurilor de date cu caracter personal efectuate de catre operatori stabiliti in Romania este inca destul de greu de evaluat, deoarece o astfel de invalidare va putea avea efecte atat in ceea ce priveste prelucrarile de date viitoare cat si in ceea ce priveste prelucrarile de date in curs, care se bazeaza actualmente pe certificarile Safe Harbor pentru transmiterea datelor personale catre entitati din SUA.

In aceste conditii, desi nu exista deocamdata o opinie oficiala in acest sens a Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu Caracter Personal (“ANSPDCP”), avocatii Musat & Asociatii intrevad urmatoarele posibile abordari:

In primul rand, ANSPDCP ar putea refuza pe viitor autorizarea transferurilor de date personale catre entitati din SUA, bazate pe certificari Safe Harbor, punand astfel in dificultate entitatile care isi construisera strategia de transfer de date pe o astfel de garantie.

In ceea ce priveste prelucrarile aflate in desfasurare si autorizate de catre ANSPDCP in baza certificarilor Safe Harbor, autoritatea ar putea aplica prin analogie principiile asa-zisei teorii a dreptului castigat, mentinand valabilitatea autorizatiilor deja emise si intemeiate pe certificarile Safe Harbor, atata timp cat modul in care sunt prelucrate datele cu caracter personal ramane identic cu cel din momentul emiterii autorizatiei. Totusi, in situatia in care ar interveni orice modificare in modalitatea de prelucrare a datelor cu caracter personal, ce in mod implicit va atrage dupa sine o modificare a notificarii deja aprobate, hotararea Curtii isi va gasi aplicabilitatea, urmand astfel ca operatorul de date sa ofere noi garantii pentru protectia datelor cu caracter personal ce urmeaza sa fie transferate de la momentul efectuarii modificarii.

O alta posibila abordare a acestei situatii de catre ANSPDCP ar putea consta in obligarea tuturor operatorilor de date cu caracter personal stabiliti in Romania si care la momentul actual transfera date cu caracter personal in strainatate in baza unei autorizatii a ANSPDCP intemeiata pe un certificat Safe Harbor de a-si modifica strategia si implicit notificarile, in sensul oferirii altor garantii pentru protectia drepturilor persoanelor vizate ale caror date personale sunt transferate catre state terte. Aceasta abordare ar putea prezenta un important dezavantaj in activitatea operatorilor de date, intrucat acestia vor fi obligati sa adopte noi strategii si sa revizuiasca politici la nivel de grup. Totodata, o astfel de decizie ar putea crea un val de solicitari adresate ANSPDCP pentru modificarea notificarilor in sensul de mai sus, ceea ce ar conduce la congestionarea sistemului si implicit la intarzierea semnificativa a procesului de solutionare a modificarilor notificarilor.

Indiferent de masurile ce vor fi intreprinse in continuare, Hotararea Curtii de Justitie a Uniunii Europene reprezinta un moment de referinta in domeniul protectiei datelor cu caracter personal, ce va avea cu siguranta un ecou semnificativ asupra activitatii a numerosi operatori de date cu caracter personal stabiliti in Uniunea Europeana, care transfera date personale in baza unor certificari Safe Harbor.

9V8A0706-Bogdan-Mihai

Pentru a raspunde acestor provocari, echipa specializata in protectia datelor si securitate cibernetica din cadrul Musat & Asociatii se afla in permanenta consultare cu autoritatea de resort si cu operatorii de date a caror activitate de prelucrare va fi afectata, pentru a limita impactul acestei schimbari de paradigma. Bogdan Mihai (foto deasupra), Managing Associate si coordonator in cadrul departamentului de protectie a datelor din cadrul Musat & Asociatii: “Analizam mai multe variante de preintampinare a unor blocaje in fluxul de comunicatii, identificarea solutiei optime depinzand in buna masura de categoriile de date si scopul prelucrarii, un factor decisiv in evitarea blocajelor fiind viteza de reactie a operatorilor de date fata de noile reguli”. Acesta este de parere ca “analizarea fluxului de date si planificarea implementarii noilor garantii adecvate trebuie facuta inainte de o reactie concreta a autoritatii, realinierea la noile reguli putand necesita perioade relativ mari de implementare.”