Istoric
Scutul de confidențialitate UE – SUA (“Privacy Shield”) a fost adoptat în iulie 2016 ca înlocuitor al sistemului “Safe Harbor” anulat de Curtea de Justiție a UE (CJEU). Ambele sisteme au asigurat transferul de date cu caracter personal între UE și SUA. Pentru a primi date personale din UE în scopuri comerciale și în absența unui alt temei juridic pentru astfel de transferuri de date, companiile americane trebuie să se certifice la Departamentul de Comerț al Statelor Unite și să se angajeze în mod public să respecte cerințele privitoare la protecția datelor.
Problema
In 5 iulie 2018 Parlamentul European a solicitat Comisiei Europene să suspende protecția privată UE – SUA, deoarece nu asigură în mod eficient protecția datelor cu caracter personal adecvate pentru cetățenii UE – dacă SUA nu se conformează până la 1 septembrie 2018.
Ca reacție la scandalul Cambridge Analytica, parlamentarii europeni au solicitat o supraveghere mai puternică a Scutului de confidențialitate. Ei cer acum autorităților americane să reacționeze în mod corespunzător, inclusiv prin eliminarea companiilor care nu au respectat lista de certificare Privacy Shield.
În plus, autoritățile UE pentru protecția datelor ar trebui să își folosească competențele de examinare și de sancționare și ar trebui, prin urmare, să întrerupă sau să interzică anumite transferuri de date care se desfășoară în prezent sub protecția protecției datelor. Autocertificarea nu ar trebui să ducă la lacune sau la avantaje competitive pentru companiile din SUA.
Concluzia?
S-ar putea presupune, având în vedere modificările recente din legislația SUA, că va fi dificil să se respecte cerințele stabilite de Parlamentul European într-un perioada atat de scurta. Într-adevăr, Congresul Statelor Unite a adoptat recent Legea privind utilizarea datelor legale în străinătate (“Legea CLOUD”), care acordă accesul poliției americane și străine la datele cu caracter personal dincolo de frontiere. Prin urmare, adoptarea Legii CLOUD ar putea chiar să sporească tensiunile și conflictul cu standardele UE de protecție a datelor consacrate în GDPR.
Pe de altă parte, adoptarea recentă a Actului privind protecția consumatorilor din California indică o voință clară la nivelul guvernelor statelor individuale de a proteja viața privată individuală, cu unele măsuri care depășesc chiar și standardele europene GDPR.
Doar timpul va spune dacă și cum vor fi capabile cele doua parti UE și SUA să facă din Cadrul de protecție a datelor UE – SUA un cadru fiabil și robust pentru transferurile internaționale de date.
Solutia individuala – Politica pentru transferuri internationale din setul OptiKit de documentatie GDPR
Între timp, nu Parlamentul European, ci numai Comisia Europeană are puterea de a suspenda sau revizui cadrul de protecție a confidențialității, în ciuda competenței Curții de Justiție a UE de a invalida deciziile Comisiei Europene. În timp ce Rezoluția Parlamentului European nu este obligatorie pentru Comisia Europeană (sau pentru CJUE), este cu siguranță un semnal politic puternic. În plus, un caz de invalidare a Scutului de confidențialitate (inițiat de Max Schrems), care este în prezent în curs de examinare în fața CJEU, viitorul Scutului de confidențialitate nu arată foarte luminos …
