Lovitură primită astăzi de Facebook, Google şi Apple: Nu vor mai avea acces facil la date despre consumatorii europeni!

Curtea de Justiţie a Uniunii Europene a invalidat Decizia 2000/520/CE a Comisiei Europene, adoptată în temeiul Directivei 95/46/CE a Parlamentului European şi a Consiliului. Această Decizie făcea posibil transferul de date cu caracter personal din state ale Uniunii Europene către entităţi din SUA cu mai multă uşurinţă, prin simpla adeziune a acestor entităţi la principiile “sferei de siguranţă” privind protecţia vieţii private, principii publicate de Departamentului Comerţului al Statelor Unite ale Americii, entităţile fiind ulterior certificate în acest sens, potrivit reprezentanţilor casei de avocatură Muşat şi Asociaţii.

Decizia 2000/520/CE a fost însă invalidată de Hotărârea Curţii de Justiţie a Uniunii Europene pronunţată în Cauza C-362/14 Maximillian Schrems împotriva Data Protection Commissioner (“Hotărârea”) şi publicată în data de 6 Octombrie 2015. Iulian Popescu, partner în cadrul Muşat & Asociaţii spune că “impactul pe care îl va avea Hotărârea asupra transferurilor de date cu caracter personal efectuate de către operatori stabiliţi în România este încă destul de greu de evaluat, deoarece o astfel de invalidare va putea avea efecte atât în ceea ce priveşte prelucrările de date viitoare cât şi în ceea ce priveşte prelucrările de date în curs, care se bazează actualmente pe certificările Safe Harbor pentru transmiterea datelor personale către entităţi din SUA.”

În aceste condiţii, deşi nu există deocamdată o opinie oficială în acest sens a Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal (“ANSPDCP”), avocaţii Muşat & Asociaţii întrevăd mai multe posibile abordări.

În primul rând, spun ei, ANSPDCP ar putea refuza pe viitor autorizarea transferurilor de date personale către entităţi din SUA, bazate pe certificări Safe Harbor, punând astfel în dificultate entităţile care îşi construiseră strategia de transfer de date pe o astfel de garanţie.

În ceea ce priveşte prelucrările aflate în desfăşurare şi autorizate de către ANSPDCP în baza certificărilor Safe Harbor, autoritatea ar putea aplica prin analogie principiile aşa-zisei teorii a dreptului câştigat, menţinând valabilitatea autorizaţiilor deja emise şi întemeiate pe certificările Safe Harbor, atâta timp cât modul în care sunt prelucrate datele cu caracter personal rămâne identic cu cel din momentul emiterii autorizaţiei. Totuşi, în situaţia în care ar interveni orice modificare în modalitatea de prelucrare a datelor cu caracter personal, ce în mod implicit va atrage după sine o modificare a notificării deja aprobate, hotărârea Curţii îşi va găsi aplicabilitatea, urmând astfel ca operatorul de date să ofere noi garanţii pentru protecţia datelor cu caracter personal ce urmează să fie transferate de la momentul efectuării modificării.

O altă posibilă abordare a acestei situaţii de către ANSPDCP ar putea consta în obligarea tuturor operatorilor de date cu caracter personal stabiliţi în România şi care la momentul actual transferă date cu caracter personal în străinătate în baza unei autorizaţii a ANSPDCP întemeiată pe un certificat Safe Harbor de a-şi modifica strategia şi implicit notificările, în sensul oferirii altor garanţii pentru protecţia drepturilor persoanelor vizate ale căror date personale sunt transferate către state terţe. Această abordare ar putea prezenta un important dezavantaj în activitatea operatorilor de date, întrucât aceştia vor fi obligaţi să adopte noi strategii şi să revizuiască politici la nivel de grup. Totodată, o astfel de decizie ar putea crea un val de solicitări adresate ANSPDCP pentru modificarea notificărilor în sensul de mai sus, ceea ce ar conduce la congestionarea sistemului şi implicit la întârzierea semnificativă a procesului de soluţionare a modificărilor notificărilor.

Indiferent de măsurile ce vor fi întreprinse în continuare, Hotărârea Curţii de Justiţie a Uniunii Europene reprezintă un moment de referinţă în domeniul protecţiei datelor cu caracter personal, ce va avea cu siguranţă un ecou semnificativ asupra activităţii a numeroşi operatori de date cu caracter personal stabiliţi în Uniunea Europeană, care transferă date personale în baza unor certificări Safe Harbor. C. LAURENŢIU