Iulia Antonie şi Silvia Axinescu, Reff & Asociaţii: Efectul căderii mecanismului EU-US Privacy Shield – pe cine afectează şi ce alternative au companiile vizate
Hotărârea Curţii de Justiţie a Uniunii Europene (CJUE), prin care a declarat nul acordul care permitea transferul de date cu caracter personal între Uniunea Europeană (UE) şi Statele Unite ale Americii (SUA), denumit EU-US Privacy Shield, a creat îngrijorare atât în rândul specialiştilor pe teme de protecţia datelor cu caracter personal, dar mai ales printre companiile multinaţionale. Este vorba în principal de companiile care transferă datele către societăţile mamă, sau de cele care utilizează serviciile unor companii americane, precum furnizorii de servicii de tip cloud.
Însă, înainte de a evalua impactul pe care acest eveniment îl are asupra activităţii companiilor vizate, trebuie punctate câteva aspecte.
În ce a constat mecanismul EU-US Privacy Shield?
Programul permitea companiilor americane să se înscrie pe site-ul Departamentului de Comerţ al Statelor Unite şi să auto-certifice aderarea la cadrul Privacy Shield şi îndeplinirea cerinţelor adecvate legate de protecţia datelor cu caracter personal. Aderarea la acest program facilita transferul datelor cetăţenilor UE către companiile americane şi oferea încredere partenerilor şi autorităţilor din UE, responsabile cu protecţia datelor cu caracter personal, că datele europenilor sunt prelucrate în conformitate cu cerinţele GDPR.
Alternative la programul EU-US Privacy Shield
Este important de menţionat că nu toate transferurile de date cu caracter personal către SUA se realizau în baza programului EU-US Privacy Shield. Există companii care fie nu au aderat la acest cadru, fie au considerat mai potrivite celelalte opţiuni pe care le pune la dispoziţie GDPR.
- Una din alternativele la mecanismul oferit de Privacy Shield constă în utilizarea regulilor corporatiste obligatorii (Binding Corporate Rules), un cod de reguli dezvoltat de către companie şi validat de autorităţile responsabile cu protecţia datelor cu caracter personal. În baza acestor reguli, datele cu caracter personal pot fi transferate către ţări din afara UE. Principalul dezavantaj al utilizării regulilor corporatiste obligatorii este că se aplică doar transferurilor operate în cadrul aceluiaşi grup de companii, neputând fi utilizate în relaţia client – furnizor.
- Utilizarea clauzelor contractuale standard adoptate de Comisia Europeană este, probabil, cea mai utilizată opţiune pentru demonstrarea caracterului adecvat al măsurilor de protecţie a datelor cu caracter personal, constând într-un set de prevederi care se încheie ca o anexă separată în relaţiile comerciale cu companiile americane. Acestea sunt disponibile companiilor pe site-ul Comisiei Europene. Prin decizia luată joi, 16 iulie, se menţine această opţiune pentru transferul datelor către SUA.
Pe lângă cele două alternative descrise mai sus, GDPR prevede şi alte modalităţi adecvate pentru realizarea transferurilor de date, mai greu de implementat în prezent, dar a căror exploatare este de aşteptat să crească în viitorul apropiat.
Printre acestea se numără:
- utilizarea unor clauze contractuale între părţi, care nu necesită aprobarea Comisiei, dar trebuie autorizate de Autoritatea de Protecţia Datelor competentă;
- utilizarea clauzelor standard emise de Autoritatea de Supraveghere competentă şi aprobate de Comisia Europeană;
- utilizarea unui cod de conduită aprobat de Autoritatea de Supraveghere competentă;
- certificarea companiei americane în conformitate cu mecanismele aprobate, existente la nivelul statului membru UE.
Impactul deciziei CJUE asupra companiilor
Singurele companii afectate de decizia Curţii Europeane de Justiţie sunt cele care transferau date cu caracter personal în baza EU-US Privacy Shield. În aceste cazuri, ca urmare a deciziei curţii, se impune evaluarea transferurilor realizate şi implementarea de urgenţă a uneia dintre alternativele menţionate.
Decizia CJUE a produs, probabil, îngrijorare mai cu seamă în rândul utilizatorilor de servicii de tip cloud. În ceea ce priveşte furnizorii din această categorie, încă din 2018 (anul intrării în vigoare a GDPR), aceştia au luat măsuri pentru a soluţiona problema transferurilor de date cu caracter personal. Printre altele, în contractele încheiate cu furnizorii de servicii de tip cloud, s-a inclus o garanţie referitoare la stocarea datelor cetăţenilor pe teritoriul UE.
În concluzie, deşi decizia CJUE are un impact în zona de transfer a datelor cu caracter personal, companiile afectate au la dispoziţie alternative viabile pentru a-şi continua activitatea în condiţii de siguranţă a datelor şi cu respectarea reglementărilor aplicabile.
Iulia Antonie, Deloitte Central Europe Privacy Leader, şi Silvia Axinescu, Senior Managing Associate la Reff & Asociaţii|Deloitte Legal