Hotararea Curtii de Justitie a Uniunii Europene (CJUE), prin care a declarat nul acordul care permitea transferul de date cu caracter personal intre Uniunea Europeana (UE) si Statele Unite ale Americii (SUA), denumit EU-US Privacy Shield, a creat ingrijorare atat in randul specialistilor pe teme de protectia datelor cu caracter personal, dar mai ales printre companiile multinationale. Este vorba in principal de companiile care transfera datele catre societatile mama, sau de cele care utilizeaza serviciile unor companii americane, precum furnizorii de servicii de tip cloud.
Insa, inainte de a evalua impactul pe care acest eveniment il are asupra activitatii companiilor vizate, trebuie punctate cateva aspecte.
In ce a constat mecanismul EU-US Privacy Shield?
Programul permitea companiilor americane sa se inscrie pe site-ul Departamentului de Comert al Statelor Unite si sa auto-certifice aderarea la cadrul Privacy Shield si indeplinirea cerintelor adecvate legate de protectia datelor cu caracter personal. Aderarea la acest program facilita transferul datelor cetatenilor UE catre companiile americane si oferea incredere partenerilor si autoritatilor din UE, responsabile cu protectia datelor cu caracter personal, ca datele europenilor sunt prelucrate in conformitate cu cerintele GDPR.
Alternative la programul EU-US Privacy Shield
Este important de mentionat ca nu toate transferurile de date cu caracter personal catre SUA se realizau in baza programului EU-US Privacy Shield. Exista companii care fie nu au aderat la acest cadru, fie au considerat mai potrivite celelalte optiuni pe care le pune la dispozitie GDPR.
- Una din alternativele la mecanismul oferit de Privacy Shield consta in utilizarea regulilor corporatiste obligatorii (Binding Corporate Rules), un cod de reguli dezvoltat de catre companie si validat de autoritatile responsabile cu protectia datelor cu caracter personal. In baza acestor reguli, datele cu caracter personal pot fi transferate catre tari din afara UE. Principalul dezavantaj al utilizarii regulilor corporatiste obligatorii este ca se aplica doar transferurilor operate in cadrul aceluiasi grup de companii, neputand fi utilizate in relatia client - furnizor.
- Utilizarea clauzelor contractuale standard adoptate de Comisia Europeana este, probabil, cea mai utilizata optiune pentru demonstrarea caracterului adecvat al masurilor de protectie a datelor cu caracter personal, constand intr-un set de prevederi care se incheie ca o anexa separata in relatiile comerciale cu companiile americane. Acestea sunt disponibile companiilor pe site-ul Comisiei Europene. Prin decizia luata joi, 16 iulie, se mentine aceasta optiune pentru transferul datelor catre SUA.
Pe langa cele doua alternative descrise mai sus, GDPR prevede si alte modalitati adecvate pentru realizarea transferurilor de date, mai greu de implementat in prezent, dar a caror exploatare este de asteptat sa creasca in viitorul apropiat.
Printre acestea se numara:
- utilizarea unor clauze contractuale intre parti, care nu necesita aprobarea Comisiei, dar trebuie autorizate de Autoritatea de Protectia Datelor competenta;
- utilizarea clauzelor standard emise de Autoritatea de Supraveghere competenta si aprobate de Comisia Europeana;
- utilizarea unui cod de conduita aprobat de Autoritatea de Supraveghere competenta;
- certificarea companiei americane in conformitate cu mecanismele aprobate, existente la nivelul statului membru UE.
Impactul deciziei CJUE asupra companiilor
Singurele companii afectate de decizia Curtii Europeane de Justitie sunt cele care transferau date cu caracter personal in baza EU-US Privacy Shield. In aceste cazuri, ca urmare a deciziei curtii, se impune evaluarea transferurilor realizate si implementarea de urgenta a uneia dintre alternativele mentionate.
Decizia CJUE a produs, probabil, ingrijorare mai cu seama in randul utilizatorilor de servicii de tip cloud. In ceea ce priveste furnizorii din aceasta categorie, inca din 2018 (anul intrarii in vigoare a GDPR), acestia au luat masuri pentru a solutiona problema transferurilor de date cu caracter personal. Printre altele, in contractele incheiate cu furnizorii de servicii de tip cloud, s-a inclus o garantie referitoare la stocarea datelor cetatenilor pe teritoriul UE.
In concluzie, desi decizia CJUE are un impact in zona de transfer a datelor cu caracter personal, companiile afectate au la dispozitie alternative viabile pentru a-si continua activitatea in conditii de siguranta a datelor si cu respectarea reglementarilor aplicabile.
Material de opinie de Iulia Antonie (foto), Deloitte Central Europe Privacy Leader, și Silvia Axinescu, Senior Managing Associate la Reff & Asociații|Deloitte Legal