Data Privacy Framework US - EU: Ce urmează?

Article UE-SUA Data Privacy Framework: Evoluții Legislativ și Impactul asupra Afacerilor Transatlantice

Context

Într-un pas semnificativ către dezvoltarea cooperării transatlantice în domeniul protecției datelor cu caracter personal, Comisia Europeană a adoptat o nouă decizie privind caracterul adecvat al cadrului UE-SUA privind confidențialitatea datelor. Această decizie de referință marchează un punct de cotitură în reglementarea transferurilor de date din Uniunea Europeană către Statele Unite, asigurându-se că datele cu caracter personal pot circula fără probleme între cele două entități, fără a compromite drepturile persoanelor fizice la protecția datelor.

Decizia Comisiei Europene privind caracterul adecvat al nivelului de protecție afirmă că Statele Unite garantează un nivel de protecție a datelor asemănător celui menținut în cadrul Uniunii Europene. În acest cadru, datele cu caracter personal pot fi transferate din UE către companiile americane care participă la cadru fără a necesita măsuri suplimentare de protecție a datelor documentate în cadrul unei evaluări a impactului transferului și utilizând clauzele contractuale standard. Acesta este un pas important, care răspunde preocupărilor exprimate de Curtea Europeană de Justiție și înlocuiește mecanismul anterior al Privacy Shield.

 

Schrems III?

Cu toate acestea, având în vedere evoluțiile anterioare în ceea ce privește cooperarea transatlantică în materie de transferuri de date cu caracter personal, atât acordurile anterioare, cum ar fi Safe Harbor, cât și cele ulterioare, Privacy Shield,  au fost în cele din urmă anulate de Curtea Europeană de Justiție din cauza incompatibilității lor cu garanțiile stabilite de legislația europeană, cum ar fi RGPD și Directiva asupra confidențialității și comunicațiilor electronice. Principala problemă cu acordurile menționate mai sus este supravegherea pe care SUA o efectuează într-o manieră largă cu ajutorul unor legi precum FISA (Foreign Intelligence Surveillance Act).

Ambele acorduri au fost contestate de activistul austriac Maximillian Schrems, ambele fiind anulate în cele din urmă de Curtea Europeană de Justiție, Safe Harbor în timpul deciziei din 2015 cunoscută sub numele de "Schrems I" și Privacy Shield în timpul deciziei din 2020 cunoscută sub numele de "Schrems II". Dincolo de acest punct, nu a existat o soluție clară la problema transferurilor, nici furnizorii, nici autoritățile nu au avut un răspuns clar cu privire la modul în care acestea vor fi funcționale în continuare, având în vedere poziția Curții de Justiție.

Potrivit lui Max Schrems, există o suprapunere considerabilă între Privacy Shield și Data Privacy Framework, ca atare, miezul problemei cu acordurile anterioare rămâne același, legile SUA privind supravegherea rămânând neschimbate. Numai acest fapt aduce o mare probabilitate a unui rezultat similar cu cel pe care l-am văzut în trecut cu astfel de acorduri de cooperare între regiuni.

De asemenea, este important să se țină seama de faptul că deciziile pe fronturi precum cea actuală durează ani de zile pentru a fi finalizate, între prima decizie Schrems și cea de-a doua a existat o întârziere de 5 ani, chiar dacă este foarte probabil ca Data Privacy Framework să fie contestat la Curtea Europeană de Justiție. 

 

Diferențele dintre acordurile din trecut și prezent 

Unul dintre aspectele cele mai remarcabile ale Data Privacy Framework este stabilirea unor noi garanții obligatorii. Aceste garanții sunt concepute cu atenție pentru a contracara temerile exprimate de Curtea Europeană de Justiție, cuprinzând măsuri de restricționare a accesului serviciilor de informații americane la datele UE numai la ceea ce este proporțional și necesar. Cadrul introduce, de asemenea, Curtea de control al protecției datelor, care acordă cetățenilor UE acces la un mecanism de abordare a reclamațiilor legate de protecția datelor.

O îmbunătățire față de Privacy Shield, însă o îmbunătățire cu o eficiență care rămâne de observat, este faptul ca noul cadru împuternicește curtea de control să ia măsuri, cum ar fi dispunerea ștergerii datelor despre care s-a constatat că sunt colectate cu încălcarea garanțiilor nou instituite. Această garanție, împreună cu restricțiile sporite privind accesul guvernului la date, consolidează angajamentele asumate de întreprinderile americane în ceea ce privește protejarea datelor importate din UE.

Președinta Ursula von der Leyen subliniază importanța acestei evoluții, afirmând că acest cadru nu numai că securizează fluxurile de date pentru europeni, ci oferă și securitate juridică întreprinderilor de ambele părți ale Atlanticului. Ea laudă angajamentele fără precedent asumate de SUA de a stabili acest cadru și subliniază abordarea bazată pe colaborare pentru abordarea problemelor complexe.

Companiile americane care doresc să participe la Data Privacy Framework trebuie să se angajeze să adere la un set cuprinzător de obligații privind confidențialitatea. Aceste obligații cuprind o serie de cerințe, inclusiv eliminarea responsabilă a datelor cu caracter personal atunci când scopul acestora este îndeplinit și asigurarea protecției continue a datelor atunci când se partajează date cu terțe părți.

Este important faptul că cetățenii europeni vor avea de câștigat mai multe căi de atac în cazul în care datele lor sunt gestionate necorespunzător de către companiile americane. Aceasta include punerea la dispoziție a unor mecanisme independente de soluționare a litigiilor și a unei comisii de arbitraj, ambele fiind accesibile gratuit.

Cadrul juridic al SUA din noul cadru UE-SUA privind confidențialitatea datelor oferă o serie de garanții privind accesul autorităților publice americane la datele transferate, în special în materie de aplicare a dreptului penal și de securitate națională. Acest acces trebuie limitat la ceea ce este proporțional și imperativ pentru protejarea securității naționale.

Persoanelor fizice din UE li se acordă acces la un mecanism imparțial de recurs în ceea ce privește colectarea și utilizarea datelor lor de către agențiile de informații americane. Acest mecanism cuprinde nou-instituita Curte de control al protecției datelor (DPRC), care deține autoritatea de a investiga plângerile și de a pune în aplicare căi de atac obligatorii.

Aceste garanții nu se referă numai la datele transferate în temeiul cadrului, ci se extind și la fluxurile transatlantice de date facilitate prin alte mecanisme, cum ar fi clauzele contractuale standard și regulile corporatiste obligatorii.

Privind în perspectivă, funcționarea cadrului UE-SUA privind confidențialitatea datelor va face obiectul unor revizuiri periodice. Aceste revizuiri vor fi efectuate de Comisia Europeană în colaborare cu autoritățile europene pentru protecția datelor și cu omologii competenți din SUA. 

Această decizie vine în contextul articolului 45 alineatul (3) din Regulamentul general privind protecția datelor (GDPR), care împuternicește Comisia Europeană să verifice caracterul adecvat al protecției datelor în țările din afara UE. După ce decizia anterioară privind caracterul adecvat al nivelului de protecție privind Privacy Shield UE-SUA a fost invalidată de Curtea de Justiție a UE, au urmat negocieri între Comisia Europeană și guvernul SUA pentru a răspunde preocupărilor exprimate de instanță.

În martie 2022 a fost anunțat un acord de principiu privind un nou cadru transatlantic privind fluxurile de date de către președinta Ursula von der Leyen și președintele Biden. Ordinele executive și reglementările ulterioare au consolidat angajamentele SUA, consacrând efectiv garanții care răspund preocupărilor evidențiate în decizia Schrems II.

Cadrul de confidențialitate a datelor UE-SUA marchează un pas decisiv către armonizarea standardelor de protecție a datelor între Uniunea Europeană și Statele Unite. Există în mod evident similitudini cu versiunea anterioară a acordurilor dintre regiuni, dar și diferențe esențiale observate cu noul cadru. Eficiența acestor diferențe în lumina unei analize a Curții Europene de Justiție rămâne de văzut în viitorul apropiat.

Considerații practice

În calitate de operator cu sediul în Uniunea Europeană, există, în mod evident, întrebări cu privire la cel mai bun mod de acțiune în lumina noilor evoluții. Este un fapt larg răspândit că cea mai mare parte a mediului de afaceri din UE/SEE se bazează în mare măsură pe infrastructura furnizată de companiile americane, astfel încât adaptarea fluxurilor și a documentației necesare la cea mai bună structură nu este doar optimă, ci și necesară.

Un aspect esențial al cadrului privind confidențialitatea datelor este alinierea la fostul Scut de confidențialitate, întrucât astfel de entități certificate în temeiul Scutului de confidențialitate vor fi, cel mai probabil, certificate în prezent și în temeiul cadrului. Certificarea furnizorilor în temeiul cadrului privind confidențialitatea datelor înseamnă efectiv că transferurile de date cu caracter personal pot fi efectuate pe baza deciziei privind caracterul adecvat al cadrului și, prin urmare, nu mai sunt necesare alte instrumente de transfer.

Dezavantajul este că nu putem ignora trecutul unor acorduri similare între SUA și UE, toate acestea rezultând până acum într-un rezultat nefavorabil din deciziile anterioare ale Curții Europene de Justiție. În cazul în care efortul necesar pentru adaptarea documentelor și a fluxurilor cu furnizorii este rectificat pentru a reflecta baza cadrului privind confidențialitatea datelor și, în câțiva ani, caracterul adecvat este anulat prin decizii similare celor privind Privacy Shield sau sfera de siguranță, organizația ar putea fi în măsură să găsească noi instrumente de transfer și să modifice din nou toate aspectele relevante. O acțiune care, în funcție de dimensiunea operatorului și de dependența de furnizorul din SUA, s-ar putea dovedi costisitoare.

Alternativa fiind utilizarea clauzelor contractuale standard, care vor implica necesitatea unei evaluări a impactului transferului și punerea în aplicare a unor măsuri suplimentare care ar putea reduce riscul prezentat de transferul în sine. Este important de remarcat faptul că, de cele mai multe ori, va fi fie ineficient, fie imposibil să se descurajeze accesul guvernamental prin utilizarea unor măsuri suplimentare, prin urmare, chiar dacă este o analiză de la caz la caz, dificultatea și eficiența măsurilor puse în aplicare pot fi discutabile.

Cu toate acestea, dacă alegeți să mergeți cu oricare dintre opțiuni, diligența necesară este esențială pentru a asigura cel mai mic risc pentru organizația dvs. În primul rând, va trebui să solicitați informații de la furnizor cu privire la stadiul certificării sale (aspect care poate fi, de asemenea, verificat public la https://www.dataprivacyframework.gov/s/participant-search), împreună cu celelalte cerințe relevante pentru procesul de due diligence. În cel de-al doilea scenariu, procesul este mult mai complex, deoarece în această fază va trebui să colectați informațiile relevante referitoare la măsurile de securitate pentru a efectua evaluarea impactului transferului și pentru a detalia măsurile suplimentare necesare.

 

Concluzie

Pentru a trage o concluzie, nu există un răspuns ușor la problema transferurilor transatlantice de date cu caracter personal, deoarece problema este volatilă, iar o decizie de adecvare, fiind pasul necesar înainte și instrumental pentru mediile de afaceri și colaborarea ambelor regiuni, nu este neapărat o garanție a unei mediu legislativ stabil. Deciziile referitoare la instrumentul sau metoda care trebuie utilizată în astfel de cazuri trebuie să ia în considerare atât nevoile operaționale, cât și perspectivele financiare ale organizațiilor.

 

Deoarece există mult scepticism în aer cu privire la eficiența unui astfel de acord, orice decizie bazată pe modul în care vor fi efectuate transferurile va avea, fără îndoială, atât avantaje, cât și dezavantaje, fie pe termen scurt, fie pe termen lung. Cea mai bună abordare a unei astfel de probleme este să consultați întotdeauna DPO-ul pentru o analiză a soluțiilor potențiale specifice situatiei dumneavoastre.

 

Alexandru BORLAN 

Senior Privacy & Data Protection Consultant la Decalex

 

 

Share:
DECALEX TEAM
Autor: DECALEX TEAM We make privacy easy
Ultimele articole
Data nașterii prelucrată de magazinele online ar putea fi considerată ilegală

Data nașterii prelucrată de magazinele online ar putea fi considerată ilegală

Opinia EDPB vs “Pay or Okay”

Opinia EDPB vs “Pay or Okay”

Moderarea conținutului în Regatul Unit

Moderarea conținutului în Regatul Unit

CJUE: Publicitatea digitală si licitarea datelor cu caracter personal

CJUE: Publicitatea digitală si licitarea datelor cu caracter personal

Cele mai citite articole
Condiții pentru a fi scutit de impozit dacă lucrezi în domeniul IT

Condiții pentru a fi scutit de impozit dacă lucrezi în domeniul IT

Ai o firma inactiva? Procesul de lichidare voluntara te poate scapa de probleme!

Ai o firma inactiva? Procesul de lichidare voluntara te poate scapa de probleme!

Date cu caracter personal: Tot ce trebuie să știi

Date cu caracter personal: Tot ce trebuie să știi

Tot ce trebuie sa stii despre GDPR: ce inseamna, regulament, aplicare si riscuri

Tot ce trebuie sa stii despre GDPR: ce inseamna, regulament, aplicare si riscuri

PUNE O INTREBARE

Contactează-ne

CLIENTI