Moment de referință în prelucrarea datelor cu caracter personal
Principiile Safe Harbor nu mai constituie garanții adecvate pentru transferul de date personale în SUA.
Prin Decizia 2000/520/CE a Comisiei Europene, adoptată în temeiul Directivei 95/46/CE a Parlamentului European și a Consiliului, se recunoștea de către Comisia Europeană faptul că anumite entități care aderau la Principiile Safe Harbor prezentau garanții adecvate pentru primirea unor date personale din Uniunea Europeană. Specialiștii de la Mușat & Asociații aduc lămuriri cu privire la această decizie și implicațiile ei.Această Decizie făcea posibil transferul de date cu caracter personal din state ale Uniunii Europene către entități din SUA cu mai multă ușurință, prin simpla adeziune a acestor entități la principiile “sferei de siguranță” privind protecția vieții private, principii publicate de Departamentului Comerțului al Statelor Unite ale Americii, entitățile fiind ulterior certificate în acest sens.
Decizia 2000/520/CE a fost însă invalidată de Hotărârea Curții de Justiție a Uniunii Europene pronunțată în Cauza C-362/14 Maximillian Schrems împotriva Data Protection Commissioner (“Hotărârea”) și publicată în data de 6 Octombrie 2015. Iulian Popescu, Partner în cadrul Mușat & Asociații spune că “impactul pe care îl va avea Hotărârea asupra transferurilor de date cu caracter personal efectuate de către operatori stabiliți în România este încă destul de greu de evaluat, deoarece o astfel de invalidare va putea avea efecte atât în ceea ce privește prelucrările de date viitoare cât și în ceea ce privește prelucrările de date în curs, care se bazează actualmente pe certificările Safe Harbor pentru transmiterea datelor personale către entități din SUA.”
În aceste condiții, deși nu există deocamdată o opinie oficială în acest sens a Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal (“ANSPDCP”), avocații Mușat & Asociații întrevăd următoarele posibile abordări:
În primul rând, ANSPDCP ar putea refuza pe viitor autorizarea transferurilor de date personale către entități din SUA, bazate pe certificări Safe Harbor, punând astfel în dificultate entitățile care își construiseră strategia de transfer de date pe o astfel de garanție.
În ceea ce privește prelucrările aflate în desfășurare și autorizate de către ANSPDCP în baza certificărilor Safe Harbor, autoritatea ar putea aplica prin analogie principiile așa-zisei teorii a dreptului câștigat, menținând valabilitatea autorizațiilor deja emise și întemeiate pe certificările Safe Harbor, atâta timp cât modul în care sunt prelucrate datele cu caracter personal rămâne identic cu cel din momentul emiterii autorizației. Totuși, în situația în care ar interveni orice modificare în modalitatea de prelucrare a datelor cu caracter personal, ce în mod implicit va atrage după sine o modificare a notificării deja aprobate, hotărârea Curții își va găsi aplicabilitatea, urmând astfel ca operatorul de date să ofere noi garanții pentru protecția datelor cu caracter personal ce urmează să fie transferate de la momentul efectuării modificării.
O altă posibilă abordare a acestei situații de către ANSPDCP ar putea consta în obligarea tuturor operatorilor de date cu caracter personal stabiliți în România și care la momentul actual transferă date cu caracter personal în străinătate în baza unei autorizații a ANSPDCP întemeiată pe un certificat Safe Harbor de a-și modifica strategia și implicit notificările, în sensul oferirii altor garanții pentru protecția drepturilor persoanelor vizate ale căror date personale sunt transferate către state terțe. Această abordare ar putea prezenta un important dezavantaj în activitatea operatorilor de date, întrucât aceștia vor fi obligați să adopte noi strategii și să revizuiască politici la nivel de grup. Totodată, o astfel de decizie ar putea crea un val de solicitări adresate ANSPDCP pentru modificarea notificărilor în sensul de mai sus, ceea ce ar conduce la congestionarea sistemului și implicit la întârzierea semnificativă a procesului de soluționare a modificărilor notificărilor.
Indiferent de măsurile ce vor fi întreprinse în continuare, Hotărârea Curții de Justiție a Uniunii Europene reprezintă un moment de referință în domeniul protecției datelor cu caracter personal, ce va avea cu siguranță un ecou semnificativ asupra activității a numeroși operatori de date cu caracter personal stabiliți în Uniunea Europeană, care transferă date personale în baza unor certificări Safe Harbor.
Ce este Safe Harbor?
Safe Harbor este o înțelegere între Europa și Statele Unite cu privire la transferul de date cu caracter personal. Formal, acestă înțelegere indică faptul că Statele Unite oferă un nivel adecvat de protecția a datelor. În practică, companiile care aderă la principiile Safe Harbor nu trec prin nicio procedură de verificare a măsurilor de protecție, ci pur și simplu declară în mod voluntar că respectă obligațiile din Safe Harbor. Și toată lumea trebuie să creadă pe cuvânt.