O sferă care nu mai este sigură și o nouă piedică în calea TTIP: Invalidarea deciziei comisiei  2000/250/EC   care privește principiile  sferei de siguranță (safe harbor)  în domeniul protecției datelor personale

Dincolo  de  rațiunile  geopolitice,  acordul  privind  comerțul  și  investițiile  transatlantice  (The Transatlantic Trade and Investment Partnership – TTIP) aflat în negociere încă din 2013 între Uniunea  Europeană  și  Statele  Unite  este  așteptat  să  genereze  oportunități  comerciale  și  de investiții  și,  implicit,  oportunități  în  sfera  relațiilor  de  muncă.  Armonizarea  reglementărilor  și eliminarea barierelor tarifare și netarifare în vederea integrării piețelor dincolo de ceea ce permit tratatele comerciale și de investitii în prezent în vigoare sunt obiective principale ale TTIP.

În mod natural, ambele țărmuri ale Atlanticului ar avea de câștigat; dincolo de aceasta însă, TTIP ar putea ranforsa sinergiile dintre cele două economii atât încât să remodeleze economia mondială și fluxurile comerciale curente substanțial influențate de puteri economice emergente precum China.

Negocierile pentru TTIP sunt deja la a unsprezecea rundă care se desfășoară în octombrie 2015. Obstacolele nu sunt puține. Sunt atât de fond – cu câteva capitole cu privire la care discuțiile se arată   dificile   sau   chiar   amenință   continuarea   negocierilor,   precum   agricultura,   siguranța alimentară,    reglementările    financiare,    drepturile    maritime    și    aeriene,    mecanismele    de soluționare  a  disputelor  dintre  investitori  și  stat  și,  nu  în  ultimul  rând,  Big  Data  și  protecția datelor  cu  caracter  personal  –  dar  și  de  atmosfera:  inamicii  tradiționali  ai  globalizării  sau persoane  preocupate de efecte specifice precum teama de o  posibilă relaxare a standardelor în domeniul  siguranței  alimentare  sau  o  deteriorare  a  standardelor  în  domeniul  muncii  sau  în domeniul protecției mediului opun rezistență și militează împotriva continuării negocierilor.

În același timp, nu vor putea fi evitate subiecte recurente în istoria dezvoltării Uniunii legate de capacitatea juridică a acesteia de a asuma un tratat internațional, de forța acestuia în ierarhia legislativă europeană și de mecanismele prin care prevederile tratatului vor fi integrate în sistemul european și cele naționale. Pare o perspectivă care, din punct de vedere al chestiunilor juridice pe care le va genera, ar putea rescrie traiectoria Uniunii înseși, aflată în căutarea căii optime pentru funcționarea unui tandem economic, Uniunea Europeană – Statele Unite.

Dincolo  de  dificultăți,  este  de  așteptat  ca  progresul  negocierilor  să  fie  temporizat  pe  fondul efervescenței electorale din 2016 din Statele Unite.

Va fi această pauză necesară pentru a reflecta la a se găsi soluții pentru sincopa în relațiile transatlantice la care poate conduce recenta hotărâre a Curții de Justiție a Uniunii Europene în materia transferului de date personale? Timpul ne va spune.

La  data  de  6  octombrie  2015,  Curtea  de  Justiție  a  Uniunii  Europene  („Curtea”)  a  pronunțat Hotărârea   în   Cauza   C-362/14   Maximilian   Schrems   vs.   Data   Protection   Commissioner („Hotărârea”). Hotărârea invalidează Decizia Comisiei Europene 2000/520/EC („Decizia 520”)

 

emisă în baza Directivei 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995  privind  protecția  persoanelor  fizice  în  ceea  ce  privește  prelucrarea  datelor  cu  caracter personal  și  libera  circulație  a  acestor  date  („Directiva  95/46”).  În  esență,  prin  Decizia  520 invalidată, Comisia constatase că Statele Unite asigură un nivel adecvat de protecție în materia transferului  de  date  personale  în  baza  principiilor  „sferei  de  siguranță”  (safe  harbour)  privind protecția vieții private și a lămuririlor furnizate cu privire la aceste principii.

Hotărârea a fost pronunțată în urma unei întrebări preliminare adresate în cadrul unui litigiu între domnul Schrems, pe de o parte, și Comisarul pentru protecția datelor din Irlanda, pe de altă parte, ca urmare a refuzului Comisarului de a investiga plângerea formulată de domnul Schrems împotriva faptului că Facebook Ireland Ltd. transferă către Statele Unite datele cu caracter personal ale utilizatorilor săi și le stochează pe servere situate în această țară.

Directiva 95/46 prevede că transferul datelor cu caracter personal către o țară terță nu poate avea loc, ca regulă, decât dacă țara terță în cauză asigură un nivel adecvat de protecție a datelor cu caracter personal. În același timp, în baza puterilor de implementare conferite Comisiei, aceasta poate decide că o țară terță asigură un nivel adecvat de protecție prin dreptul național sau tratatele internaționale la care este parte cu privire la viața privată și drepturile și libertățile fundamentale ale persoanei.

Comisia  s-a  prevalat  de  puterile  amintite  și,  prin  Decizia  520,  a  constatat  că  pentru  toate activitățile care intră în domeniul de aplicare al Directivei 95/46 (așadar, inclusiv transferul de date personale), principiile sferei de siguranță („safe harbour”) puse în aplicare în conformitate cu orientările oferite ca urmare a întrebarilor de bază („frequently asked questions”) publicate de Departamentul  de  Comerț  al  Statelor  Unite  la  21 iulie  2000  „asigură  un  nivel  adecvat  de protecție a  datelor  personale transferate din  Comunitate către organizații  stabilite în Statele Unite ale Americii”.

În  acelaşi  timp,  Comisia  arată  că  securitatea  este  asigurată  dacă  organizația  destinatară  din Statele  Unite  (1)  și-a  declarat  în  mod  voluntar,  public  și  neechivoc  angajamentul  față  de principiile sferei de siguranță și (2) intră sub jurisdicția unui organism administrativ din Statele Unite  care  este  investit  cu  autoritatea  de  a  investiga  plângeri  și  de  a  pune  în  aplicare  măsuri reparatorii în caz de încălcare a principiilor (lista acestor organisme fiind anexată Deciziei 520).

Așadar,  Comisia  a  considerat  nivelul  de  protecție  ca  fiind  adecvat  prin  faptul  auto-certificării voluntare de către organizația destinatară din Statele Unite sub aspectul adeziunii la principii și al  situării  sale  sub  competența  unui  organ  administrativ  dintre  cele  enumerate.  În  opinia Comisiei, reafirmată în Comunicarea din 27 noiembrie 2013 intitulată „Reconstruirea încrederii în  fluxul  de  date  între  UE  și  SUA”,  Decizia  520  oferă  „temeiul  juridic  pentru  transferurile  de date  cu  caracter  personal  din  UE  către  întreprinderi  cu  sediul  în  SUA,  care  au  aderat  la principiile sferei de siguranță”.

Prin Hotărâre, Curtea invalidează Decizia 520 și, prin urmare, temeiul juridic oferit prin Decizie pentru  transferurile de date personale  între cele două  țărmuri ale Atlanticului. Curtea arată că acțiunea  Comisiei  a  fost  de  a  analiza  principiile  sferei  de  siguranță  și  a  constata  că  nivelul  de protecție adecvat este atins. Aceasta nu echivalează cu a constata că nivelul de protecție în Statele Unite  este  similar  cu  cel  din  Uniunea  Europeană,  care  ar  fi  trebuit  să  fie  în  fapt  misiunea Comisiei.

Este adevărat că Directiva 95/46 nu arată în termeni expreși că nivelul de protecție asigurat de țara spre care datele sunt transferate (Statele Unite, în speță), care trebuie să fie adecvat, trebuie să fie și identic cu cel din țara din care datele sunt transferate (un stat membru al Uniunii, în speță). Dar, asa cum s-a arătat în dezbaterile care au prefațat Hotărârea luată de Curte, conceptul de nivel adecvat de protecție trebuie interpretat în sensul în care implică un nivel de protecție „în esență echivalent cu cel garantat în cadrul Uniunii în temeiul Directivei 95/46” chiar dacă

 

mijloacele prin care este asigurată protecția sunt diferite în cele două jurisdicții. Ca atare, misiunea Comisiei când examinează nivelul de protecție este una comparativă și periodică așa încât să se asigure că nivelul de protecție adecvat este, în esență, similar cu cel asigurat de Uniunea Europeana și că această concluzie se menține valabilă în cazul în care apar schimbări care afectează nivelul de protecție în țara destinatară.

În același timp, Curtea dezavuează sistemul adeziunii voluntare la principiile sferei de siguranță întrucât, în fapt, nu asigură mecanismele de detecție și supraveghere care permit ca încălcările drepturilor fundamentale să fie identificate și sancționate. De asemenea, arată că subordonarea principiilor de siguranță oricărei măsuri necesare pentru a asigura siguranța națională, interesul public sau punerea în aplicare a legii, așa cum se întâmplă în Statele Unite, este de natură să aducă atingere nivelului de protecție adecvat, întrucât, într-un potențial conflict între prevederi precum cele menționate mai sus și principiile sferei de siguranță, cele dintâi vor prevala în detrimentul protecției datelor personale.

Invalidând Decizia 520, Curtea a deschis calea multor întrebări care își caută răspunsul și care privesc  atât  eventuale  efecte  retroactive  cât  și  soluțiile  necesare  pentru  transferuri  în  curs  sau viitoare.  Impactul  nu  este  de  neglijat  având  în  vedere,  de  exemplu,  tranzacțiile  cu  amploare transatlantică ce implică printre altele, transferul unor baze de date esențiale pentru activitățile părților; cu alte cuvinte, tocmai acele tranzacții pe care TTIP își propune să le încurajeze și să le faciliteze. Prin urmare, progresul negocierilor pentru TTIP va fi influențat și de soluționarea pe fond a divergențelor cu privire la nivelul de protecție al datelor cu caracter personal asigurat în Uniunea Europeană și, respectiv, Statele Unite.

Share this

Continuous recruitment


    doc,docx,pdf,odc file types with 4mb maximum size

    Think ahead!


      doc,docx,pdf,odc file types with 6mb maximum size


      doc,docx,pdf,odc file types with 6mb maximum size


      doc,docx,pdf,odc file types with 6mb maximum size

      Vrei să știi cum îți vom utiliza datele cu caracter personal? Click aici pentru mai multe detalii.

      Think ahead! Practice at Filip & Company!


        doc,docx,pdf,odc file types with 6mb maximum size


        doc,docx,pdf,odc file types with 6mb maximum size


        doc,docx,pdf,odc file types with 6mb maximum size

        Vrei să știi cum îți vom utiliza datele cu caracter personal? Click aici pentru mai multe detalii.

        Legal Assistant


          doc,docx,pdf,odc file types with 4mb maximum size

          Webinars


            Continuous recruitment


              doc,docx,pdf,odc file types with 4mb maximum size

              Think ahead! Practice at Filip & Company!


                doc,docx,pdf,odc file types with 6mb maximum size


                doc,docx,pdf,odc file types with 6mb maximum size


                doc,docx,pdf,odc file types with 6mb maximum size

                Vrei să știi cum îți vom utiliza datele cu caracter personal? Click aici pentru mai multe detalii.

                Webinars