CJUE. Statele Unite nu asigura un nivel suficient de protecţie a datelor personale transferate.

CJUE a declarat, prin decizia Maximilian Schrems împotriva Facebook Ireland Limited, nevalidă o decizie a Comisiei Europene potrivit careia Statele Unite ale Americii ar asigura un nivel adecvat de protecţie a datelor cu caracter personal transferate către SUA. Maximilian Schrems, utilizator de Facebook, a depus o plangere la autoritatea irlandeza de protecţie a datelor cu caracter personal, considerând că, având în vedere dezvăluirile făcute în anul 2013 de Edward Snowden cu privire la activităţile serviciilor de informaţii ale Statelor Unite (în special NSA), dreptul şi practicile din Statele Unite nu asigură o protecţie suficientă a datelor transferate către această ţară împotriva supravegherii în masă comisă de către autorităţile publice. Autoritatea irlandeză a respins plângerea, având în vedere o decizie din 2006 a Comisiei europene, prin care  s-a apreciat ca SUA asigurau un nivel adecvat de protecţie a datelor cu caracter personal transferate.

Sesizată cu această cauză, High Court of Ireland (curtea supremă a Irlandei) a solicitat CJUE să se stabilească dacă decizia menţionată a Comisiei are drept efect să împiedice o autoritate naţională de supraveghere să investigheze o plângere în care se pretinde ca un stat terţ nu asigură un nivel de protecţie adecvat şi, dacă este cazul, să suspende transferul de date contestat.

Potrivit comunicatului de presă al CJUE
„Analizand validitatea deciziei Comisiei Europene din vara anului 2000, Curtea Europeana de Justitie subliniaza ca Executivul European era tinut sa constate ca Statele  Unite asigura in  mod efectiv, in  temeiul legislatiei  interne  sau  al angajamentelor  lor  internationale,  un  nivel de  protectie a drepturilor fundamentale in esenta echivalent cu cel garantat in cadrul Uniunii in temeiul directivei interpretate in  lumina cartei.  CJUE arata ca Executivul European nu  a realizat  o asemenea constatare, ci  s-a limitat sa examineze sistemul sferei de siguranta.

Or, fara a fi nevoie sa verifice daca sistemul mentionat asigura un nivel de protectie in esenta echivalent cu cel garantat in cadrul Uniunii, Curtea arata ca el este aplicabil numai intreprinderilor americane care  subscriu la  respectivul  sistem, fara ca autoritatile publice din Statele Unite sa fie ele  insele  supuse acestuia.

In plus, cerintele privind  securitatea  nationala,  interesul  public  si respectarea legilor Statelor Unite prevaleaza asupra sistemului sferei de siguranta, astfel  incat intreprinderile americane sunt obligate sa inlature, fara nicio restrictie, principiile de protectie prevazute  de  acest  sistem atunci  cand  intra  in  conflict  cu  asemenea  cerinte.

Sistemul american al sferei de siguranta face astfel posibile ingerinte ale autoritatilor publice americane in drepturile  fundamentale  ale  persoanelor,  decizia  Comisiei necuprinzand  nicio constatare  nici  in privinta existentei, in Statele Unite, a unor norme destinate sa limiteze aceste eventuale ingerinte, nici in privinta existentei unei protectii juridice eficiente impotriva acestor ingerinte.

Curtea  considera  ca aceasta analiza  a sistemului este confirmata  de doua comunicari  ale Comisiei din care reiese printre altele ca autoritatile Statelor Unite puteau avea acces la date cu caracter personal transferate din statele membre catre aceasta tara si sa le prelucreze intr-un mod incompatibil, in special, cu scopurile transferului lor si care depaseste ceea ce era strict necesar si proportional cu protectia securitatii nationale.

De asemenea,  Comisia  a  constatat ca nu  existau, pentru persoanele respective, cai de drept administrative sau judiciare care sa permita, in special, accesul la datele care le privesc si, daca este cazul, obtinerea rectificarii sau stergerii lor.

In ceea ce priveste nivelulde protectie in esenta echivalent cu libertatile si drepturile fundamentale garantate in  cadrul  Uniunii,  Curtea  constata  ca, in  dreptul  Uniunii, o reglementare nu este limitata  la  strictul  necesar  in  cazul in  care  autorizeaza  in  mod generalizat  stocarea integralitatii  datelor  cu  caracter  personal  ale  tuturor  persoanelor ale caror  date  sunt transferate din Uniune catre Statele Unite, fara a se face vreo diferentiere, limitare sau exceptie in  functie  de  obiectivul  urmarit  si  fara  a  se  prevedea criterii  obiective in  vederea  delimitarii accesului autoritatilor publice la date si a utilizarii lor  ulterioare.  Curtea  adauga ca trebuie sa se considere ca o reglementare care le permite autoritatilor publice accesul in  mod  generalizat  la continutul  comunicarilor  electronice  aduce atingere  substantei dreptului fundamental  la respectarea vietii private.

De asemenea, Curtea arata ca o reglementare care nu prevede nicio posibilitate pentru justitiabil de a exercita cai legale pentru a avea acces la date cu caracter personal care il privesc sau de a obtine rectificarea sau stergerea unor astfel de date aduce atingere substantei  dreptului fundamental  la  o  protectie  jurisdictionala efectiva, o  asemenea posibilitate fiind  inerenta existentei unui stat de drept.

In sfarsit, Curtea constata ca Decizia Comisiei din 26 iulie 2000 priveaza autoritatile nationale de supraveghere de competentele lor, in cazul in care o persoana pune in discutie compatibilitatea deciziei cu protectia vietii private si a drepturilor si libertatilor fundamentale ale persoanelor. Curtea considera ca Comisia  nu avea  competenta de a restrange astfel competentele autoritatilor nationale de supraveghere.

Pentru toate aceste motive, Curtea declara Decizia Comisiei din 26 iulie 2000 nevalida.

Aceasta hotarare are drept consecinta faptul ca autoritatea irlandeza de supraveghere este tinuta sa examineze  cererea  domnului Schrems cu toata diligenta necesara si ca ii revine  acesteia sarcina  de  a  decide, la  finalizarea investigatiei sale, daca, in temeiul directivei, trebuie sa suspende transferul datelor utilizatorilor europeni al Facebook catre Statele  Unite pentru motivul ca aceasta tara nu ofera un nivel adecvat de protectie a datelor personale”.