CJUE. Statele Unite nu asigura un nivel suficient de protecţie a datelor personale transferate.

CJUE a declarat, prin decizia Maximilian Schrems împotriva Facebook Ireland Limited, nevalidă o decizie a Comisiei Europene potrivit careia Statele Unite ale Americii ar asigura un nivel adecvat de protecţie a datelor cu caracter personal transferate către SUA. Maximilian Schrems, utilizator de Facebook, a depus o plangere la autoritatea irlandeza de protecţie a datelor cu caracter personal, considerând că, având în vedere dezvăluirile făcute în anul 2013 de Edward Snowden cu privire la activităţile serviciilor de informaţii ale Statelor Unite (în special NSA), dreptul şi practicile din Statele Unite nu asigură o protecţie suficientă a datelor transferate către această ţară împotriva supravegherii în masă comisă de către autorităţile publice. Autoritatea irlandeză a respins plângerea, având în vedere o decizie din 2006 a Comisiei europene, prin care s-a apreciat ca SUA asigurau un nivel adecvat de protecţie a datelor cu caracter personal transferate.

Sesizată cu această cauză, High Court of Ireland (curtea supremă a Irlandei) a solicitat CJUE să se stabilească dacă decizia menţionată a Comisiei are drept efect să împiedice o autoritate naţională de supraveghere să investigheze o plângere în care se pretinde ca un stat terţ nu asigură un nivel de protecţie adecvat şi, dacă este cazul, să suspende transferul de date contestat.

Potrivit comunicatului de presă al CJUE

“Analizand validitatea deciziei Comisiei Europene din vara anului 2000, Curtea Europeana de Justitie subliniaza ca Executivul European era tinut sa constate ca Statele Unite asigura in mod efectiv, in temeiul legislatiei interne sau al angajamentelor lor internationale, un nivel de protectie a drepturilor fundamentale in esenta echivalent cu cel garantat in cadrul Uniunii in temeiul directivei interpretate in lumina cartei. CJUE arata ca Executivul European nu a realizat o asemenea constatare, ci s-a limitat sa examineze sistemul sferei de siguranta.

Or, fara a fi nevoie sa verifice daca sistemul mentionat asigura un nivel de protectie in esenta echivalent cu cel garantat in cadrul Uniunii, Curtea arata ca el este aplicabil numai intreprinderilor americane care subscriu la respectivul sistem, fara ca autoritatile publice din Statele Unite sa fie ele insele supuse acestuia.

In plus, cerintele privind securitatea nationala, interesul public si respectarea legilor Statelor Unite prevaleaza asupra sistemului sferei de siguranta, astfel incat intreprinderile americane sunt obligate sa inlature, fara nicio restrictie, principiile de protectie prevazute de acest sistem atunci cand intra in conflict cu asemenea cerinte.

Sistemul american al sferei de siguranta face astfel posibile ingerinte ale autoritatilor publice americane in drepturile fundamentale ale persoanelor, decizia Comisiei necuprinzand nicio constatare nici in privinta existentei, in Statele Unite, a unor norme destinate sa limiteze aceste eventuale ingerinte, nici in privinta existentei unei protectii juridice eficiente impotriva acestor ingerinte.

Curtea considera ca aceasta analiza a sistemului este confirmata de doua comunicari ale Comisiei din care reiese printre altele ca autoritatile Statelor Unite puteau avea acces la date cu caracter personal transferate din statele membre catre aceasta tara si sa le prelucreze intr-un mod incompatibil, in special, cu scopurile transferului lor si care depaseste ceea ce era strict necesar si proportional cu protectia securitatii nationale.

De asemenea, Comisia a constatat ca nu existau, pentru persoanele respective, cai de drept administrative sau judiciare care sa permita, in special, accesul la datele care le privesc si, daca este cazul, obtinerea rectificarii sau stergerii lor.

In ceea ce priveste nivelulde protectie in esenta echivalent cu libertatile si drepturile fundamentale garantate in cadrul Uniunii, Curtea constata ca, in dreptul Uniunii, o reglementare nu este limitata la strictul necesar in cazul in care autorizeaza in mod generalizat stocarea integralitatii datelor cu caracter personal ale tuturor persoanelor ale caror date sunt transferate din Uniune catre Statele Unite, fara a se face vreo diferentiere, limitare sau exceptie in functie de obiectivul urmarit si fara a se prevedea criterii obiective in vederea delimitarii accesului autoritatilor publice la date si a utilizarii lor ulterioare. Curtea adauga ca trebuie sa se considere ca o reglementare care le permite autoritatilor publice accesul in mod generalizat la continutul comunicarilor electronice aduce atingere substantei dreptului fundamental la respectarea vietii private.

De asemenea, Curtea arata ca o reglementare care nu prevede nicio posibilitate pentru justitiabil de a exercita cai legale pentru a avea acces la date cu caracter personal care il privesc sau de a obtine rectificarea sau stergerea unor astfel de date aduce atingere substantei dreptului fundamental la o protectie jurisdictionala efectiva, o asemenea posibilitate fiind inerenta existentei unui stat de drept.

In sfarsit, Curtea constata ca Decizia Comisiei din 26 iulie 2000 priveaza autoritatile nationale de supraveghere de competentele lor, in cazul in care o persoana pune in discutie compatibilitatea deciziei cu protectia vietii private si a drepturilor si libertatilor fundamentale ale persoanelor. Curtea considera ca Comisia nu avea competenta de a restrange astfel competentele autoritatilor nationale de supraveghere.

Pentru toate aceste motive, Curtea declara Decizia Comisiei din 26 iulie 2000 nevalida.

Aceasta hotarare are drept consecinta faptul ca autoritatea irlandeza de supraveghere este tinuta sa examineze cererea domnului Schrems cu toata diligenta necesara si ca ii revine acesteia sarcina de a decide, la finalizarea investigatiei sale, daca, in temeiul directivei, trebuie sa suspende transferul datelor utilizatorilor europeni al Facebook catre Statele Unite pentru motivul ca aceasta tara nu ofera un nivel adecvat de protectie a datelor personale”.