La data de 16.07.2020 s-a pronunțat Hotărârea din cauza C-311/18, prin care Curtea de Justiție a Uniunii Europene a invalidat Decizia 2016/1250 privind caracterul adecvat al protecției oferite de Scutul de confidențialitate dintre Uniunea Europeană și Statele Unite ale Americii întrucât acesta nu respectă normele prevăzute în Regulamentul 2016/678 al Parlamentului European și al Consiliului din 27 aprilie 2016 (GDPR).
În fapt, un cetățean austriac, utilizator al platformei de socializare Facebook, a depus plângere la autoritatea de supraveghere irlandeză, plângere care avea ca obiect interzicerea transferului de date cu caracter personal transferate de Facebook Ireland către Facebook Inc. al cărei sediu se află în Statele Unite ale Americii.
În esență, cetățeanul austriac a susținut faptul că Statele Unite ale Americii nu oferă o protecție suficientă a datelor cu caracter personal transferate către această țară, solicitând suspendare ori interzicerea pentru viitor a acestui tip de transfer de date.
Astfel, CJUE a fost investită cu o cerere de decizie preliminară prin care aceasta urma să se pronunțe cu privire la aplicabilitatea GDPR în cadrul transferurilor de date către SUA și a valabilității Deciziilor 2010/87 și 2016/1250.
Prin hotărârea pronunțată astăzi, Curtea arată că în ceea ce privește Decizia 2010/87 aceasta este validă întrucât în raport cu Carta drepturilor fundamentale ale Uniunii Europene nu există elemente care sunt de natură să afecteze validitatea actului. Însă, în ceea ce privește Decizia 2016/1250 s-a constatat că acesta este nevalidă.
Sub acest aspect, Curtea a arătat că GDPR se aplică în cazul în care un operator economic stabilit într-un stat membru transferă date cu caracter personal în scop comercial către un alt operator economic stabilit într-o țară terță chiar și în ipoteza în care datele transferate sunt susceptibile de a fi prelucrate de autoritățile unei țări terțe în scopuri de siguranță publică, de apărare și de securitate a statului.
Totodată, se arată că persoanele a căror date cu caracter personal sunt transferate către o țară terță trebuie să beneficieze de un nivel de protecție cel puțin egal cu cel garantat de dreptul Uniunii, mai precis de prevederile GDPR. Astfel, în analiza nivelului de protecție trebuie avute în vedere atât stipulațiile contractuale dintre exportatorul de date și destinatarul din statul terț, cât și un eventual acces la datele cu caracter personal transferate a diferitelor autorități publice ale acelui stat terț.
Mergând mai departe, Curtea a statuat că în ceea ce privește obligațiile autorităților de supraveghere, în ipoteza în care nu există o Decizie adoptată în mod valabil de Comisie, acestea au obligația să suspende sau să interzică orice activitate care implică transfer de date cu caracter personal atunci când clauzele standard de protecție nu sunt sau nu pot fi respectate în statul terț, iar protecția impusă de dreptul unional nu poate fi asigurată prin alte mijloace.
Nu în ultimul rând, în ceea ce privește Decizia 2016/1250, CJUE a precizat că limitările în raport de protecția datelor cu caracter personal care decurg din reglementarea internă a Statelor Unite care au ca obiect accesul și utilizarea de către autoritățile publice americane a datelor cu caracter personal rezultate din transferul datelor aferente cetățenilor unionali către SUA nu sunt în măsură să îndeplinească cerințele, cel puțin echivalente, cu prevederile din dreptul unional. Mai exact, programele de supraveghere întemeiate pe reglementările americane nu se limitează la un strict necesar, o cerință primordială în dreptul unional.
De asemenea, Curtea arată că deși există o serie de cerințe pe care autoritățile publice americane trebuie să le respecte, reglementarea nu pune la dispoziția persoanelor vizate drepturi opozabile autorităților americane în fața instanțelor judecătorești.
Cu alte cuvinte, persoana vizată nu are o cale de atac în fața unui organ care, în esență, oferă garanții echivalente cu cele impuse de către dreptul Uniunii Europene.
În concluzie, Curtea prin Hotărârea din Cauza C-311/18 a declarat validă decizia 2010/87 Comisiei privind clauzele contractuale tip pentru transferul de date cu caracter personal către persoanele împuternicite de către operator stabilite în țări terțe, însă a declarat nevalidă Decizia 2016/1250 privind caracterul adecvat al protecției oferite de Scutul de confidențialitate UE-SUA.