Directiva Parlamentului European si a Consiliului 95/46/CE din 24 octombrie 1995 privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si libera circulatie a acestora („Directiva privind prelucrarea datelor cu caracter personal„) prevede in Capitolul IV articolul 25 alineatul (1) ca „tranferul catre o tara terta a datelor cu caracter personal care fac obiectul prelucrarii sau sunt destinate prelucrarii dupa transfer nu poate avea loc decat daca, sub rezerva respectarii dispozitiilor de drept intern […], tara terta in cauza asigura un nivel de protectie adecvat„.
„Practic, prevederea de mai sus se refera la interdictia transferului datelor cu caracter personal in exteriorul Spatiului Economic European, exceptie facand tarile care pot asigura un nivel adecvat de protectie acestor date”, explica Alexandru Campean (foto articol), avocat senior in cadrul Wolf Theiss Rechtsanwälte GmbH & Co KG.
La scurt timp dupa ce Directiva a fost adoptata, Comisia Europeana a evaluat nivelul de protectie oferit de catre Statele Unite ale Americii ca fiind insuficient. In anul 2000 Statele Unite si Uniunea Europeana au negociat si agreat un sistem de principii privind protectia datelor cu caracter personal la care societatile americane pot adera in mod voluntar. Sistemul, denumit „Safe Harbour„, permite implementarea de catre societatile interesate a unor masuri de securitate asemanatoare cu cele prevazute in Directiva.
In prezent, mai mult de 4.000 de societati din Statele Unite ale Amercii implementeaza sistemul Safe Harbour, fapt care permite filialelor acestora din Uniunea Europeana sa transfere in mod legal date cu caracter personal in Statele Unite ale Americii.
La data de 23 septembrie 2015, Avocatul General European din cadrul Curtii Europene de Justitie, Yves Bot, a emis o opinie in cazul C-362/14 – Maxililian Schrems vs. Comisarul pentru Protectia Datelor, conform careia „existenta unei decizii a Comisiei prin care se constata ca o tara terta asigura un nivel de protectie adecvat datelor cu caracter personal transferate nu poate anula si nici macar reduce competentele de care dispun autoritatile nationale de supraveghere in temeiul Directivei privind prelucrarea datelor cu caracter personal„.
Avocatul general considera ca, „daca o autoritate nationala de supraveghere apreciaza ca un transfer de date aduce atingere protectiei cetatenilor Uniunii in ceea ce priveste prelucrarea datelor lor, aceasta are competenta de a suspenda acest transfer, indiferent de evaluarea generala realizata de Comisia Europeana. Atributiile prevazute de Directiva pentru Comisie nu afecteaza puterile conferite de aceeasi Directiva autoritatilor nationale de supraveghere. Altfel spus, Comisia nu este imputernicita sa restrictioneze puterile autoritatilor nationale de supraveghere„.
In finalul opiniei sale Avocatul General European considera ca decizia Comisiei (emisa in anul 2000) prin care declara ca sistemul Safe Harbour confera un nivel adecvat de protectie datelor cu caracter personal apartinand cetatenilor statelor Uniunii este inaplicabila si ca „Comisia ar trebui sa suspende imediat transferul datelor utilizatorilor europeni” catre servere din Statele Unite.
Opinia Avocatului General European are un impact cu atat mai mare cu cat in paralel Comisia Europeana negociaza in prezent cu guvernul Statelor Unite ale Americii cu privire la reformarea sistemului Safe Harbour si respectarea acestuia.
Curtea Europeana de Justitie va pronunta o decizie in cazul Schrems pana la sfarsitul anului 2015 sau posibil chiar mai devreme. Curtea nu este obligata sa adopte opinia Avocatului General European insa practica arata ca aceste opinii sunt totusi, de cele mai multe ori, preluate si de Curte.
In cazul in care Curtea Europeana de Justitie va adopta opinia Avocatului General European, societatile din Romania care transmit date cu caracter personal in Statele Unite ale Americii dar si societatile americane care prelucreaza aceste date, bazandu-se exclusiv pe certificarea Safe Harbour, vor trebui sa gaseasca solutii alternative pentru a-si putea continua activitatea in mod legal.
Alte optiuni admise de legislatia in vigoare sunt:
• obtinerea consimtamantului ferm al persoanei vizate;
Consimtamantul trebuie sa fie explicit si oferit in cunostinta de cauza pentru a fi considerat valabil. De asemenea, este recomandat ca operatorii de date cu caracter personal si reprezentatii acestora sa pastreze consimtamantul colectat de la persoanele vizate pentru orice potentiale contestatii sau inspectii din partea autoritatii de supraveghere.
• incheierea unui contract intre societatea care transmite datele cu caracter personal si societatea care primeste aceste date;
Comisia Europeana a pus la dispozitie clauze model care pot fi incluse in astfel de contracte, asigurand astfel un nivel adecvat de protectie a datelor cu caracter personal transferate.
„In cazul invalidarii sistemului Safe Harbour de catre Curtea Europeana de Justitie, transferurile de date cu caracter personal in Statele Unite ale Amercii vor trebui re-analizate de catre Autoritatea Natioanala de Supraveghere a Prelucrarii Datelor cu Caracter Personal pentru a determina daca nivelul de protectie a datelor este unul adecvat chiar si in absenta certificarii Safe Harbour. In cazul in care Autoritatea constata ca nivelul de protectie oferit de catre statul de destinatie (sau de operatorul din statul de destinatie in acest caz) este nesatisfacator, poate dispune interzicerea transferului de date”, conchide avocatul Alexandru Campean.
Din aceste motive operatorii romani care transfera date cu caracter personal catre Statele Unite ale Americii ar trebui sa ia in considerare, cel putin, analiza interna a conditiilor in care transferul de date este autorizat si efectuat.
