avocatnet.ro 
Prin decizia dată în Cauza C-311/18 (Comisarul pentru protecția datelor împotriva Facebook Ireland Ltd și Maximillian Schrems), CJUE a stabilit că Scutul de confidențialitate UE-SUA nu oferă suficiente garanții pentru asigurarea protecției datelor personale transmise din UE în SUA (în esență, e vorba de legislația SUA, care a fost considerată ca neoferind protecție adecvată datelor personale). Astfel, firmele care se bazau pe acesta, pentru a transfera date în SUA, nu mai pot să o facă.
De aceea, CEPD, cum spuneam, a venit cu o serie de întrebări și răspunsuri ce ar putea să clarifice anumite nelămuriri firmelor ce transferă date în SUA. Le prezentăm, mai jos, pe cele mai importante.
1. Există vreo perioadă de grație, de la momentul deciziei Curții (16 iulie), în care să poată avea loc, în continuare, transferul datelor în SUA, fără o evaluare a temeiului legal pentru transfer?
Nu. Conform CEPD, e vorba de faptul că legislația americană nu oferă protecții suficiente pentru datele personale ale cetățenilor UE și, astfel, trebuie făcută o evaluare a transferului de date, din UE, în SUA.
2. Nu mai este posibil transferul de date în SUA, din UE?
Ba da. O soluție este folosirea de clauze contractuale standard (CCS), conform Articolului 46, alineat (2), litera d, din Regulamentul general privind protecția datelor (GDPR). Astfel de clauze sunt adoptate fie direct de Comisia Europeană, fie de o autoritate de supraveghere națională, din domeniul protecției datelor, și apoi adoptate de Comisie.
Însă și în acest caz, conform CEPD, pentru a putea folosi CCS, este nevoie o analiză a circumstanțelor concrete ale transferului de date și, eventual, ale măsurilor suplimentare ce ar putea fi puse în aplicare, pentru garantarea unei protecții adecvate datelor personale.
În cazul în care, în ciuda folosirii CCS și a unor măsuri suplimentare, nu este posibilă garantarea unui nivel adecvat de protecție a datelor, este obligatorie suspendarea sau încetarea transferului de date. În ipoteza în care, chiar și în acest caz, firma din UE dorește să transfere date către SUA, trebuie anunțată autoritatea de supraveghere în domeniul protecției datelor personale (ANSPDCP, în România).
Practic, folosirea de CCS implică o analiză concretă a protecției oferite datelor personale în SUA, iar responsabilitatea acestei analize le revine celui care transferă și celui către care se transferă datele.
Același raționament, ca cel de mai sus, se aplică și în cazul folosirii de reguli corporatiste obligatorii (acestea sunt politici ce trebuie respectate de operatorul de date sau de persoana împuternicită de acesta și care vizează domeniul transferului de date personale într-o țară din afara UE; ele trebuie aprobate de Autoritatea de protecție a datelor), pentru transferul de date în SUA.
În esență, astfel cum menționează și CEPD, scopul este să se determine că protecția efectivă a datelor, primită în SUA, este echivalentă cu cea primită în UE, în baza GDPR.
3. Ce sunt măsurile suplimentare, menționate mai sus?
CEPD precizează că analizează, acum, decizia CJUE, pentru a vedea ce fel de măsuri suplimentare ar fi potrivite în cazurile în care ele sunt necesare. În concret, ele pot varia de la măsuri legale, la chestiuni de ordin tehnic și organizatoric. E vorba, așadar, de o analizare în concret a necesităților.
4. Articolul 49 din GDPR stabilește anumite derogări, în cazul cărora este permis transferul către SUA. Pot firmele să se bazeze pe el?
Acest lucru este posibil, atât timp cât sunt respectate cazurile derogatorii. Până la urma, fomularea Articolului 49 prevede că el se va aplica atunci când nu există o decizie cum a fost cea privind Scutul de confidențialitate și nu sunt asigurate garanții de protecție, cum era cazul cu CCS, de exemplu.
Derogări pot fi date, de exemplu, pentru transferurile consimțite de persoana vizată de datele transferate sau atunci când transferul este necesar pentru executarea unui contract între persoana vizată de date și un operator (transferul trebuie să fie necesar pentru executarea contractului).
Sandu Marian