Efectul Snowden asupra Facebook: Decizie istorica a Curtii Europene de Justitie in domeniul protectiei datelor personale ale cetatenilor europeni
Curtea Europeana de Justitie a declarat, marti, drept nevalida o decizie a Comisiei Europene potrivit careia Statele Unite ale Americii ar asigura un nivel adecvat de protectie a datelor cu caracter personal transferate, o decizie care ar putea afecta serios schimbul de date dintre firmele din UE si cele din SUA. Totul a plecat de la austriacul Maximilian Schrems, utilizator de Facebook. Datele utilizatorilor europeni de Facebook sunt transferate, in tot sau in parte, de la filiala irlandeza a Facebook pe servere situate in SUA. Plecand de la dezvaluirile lui Edward Snowden legate de activitatea de spionaj a NSA, Schrems a depus plangere la autoritatea irlandeza de protectie a datelor, acuzand ca dreptul si practicile din SUA nu asigura o protectie suficienta a datelor transferate catre aceasta tara impotriva supravegherii de catre autoritatile publice.
Maximilian Schrems, care potrivit Reuterseste student la drept, utiliza Facebook din anul 2008. Schrems a depus o plangere la autoritatea irlandeza de protectie a datelor, considerand ca, avand in vedere dezvaluirile facute in anul 2013 de Edward Snowden cu privire la activitatile serviciilor de informatii ale Statelor Unite (in special National Security Agency sau ‘NSA’), dreptul si practicile din Statele Unite nu asigura o protectie suficienta a datelor transferate catre aceasta tara impotriva supravegherii de catre autoritatile publice.
Autoritatea irlandeza a respins plangerea, in special pentru motivul ca, intr-o decizie din 26 iulie 2000, Comisia a apreciat ca, in cadrul sistemului denumit al ‘sferei de siguranta’, Statele Unite asigura un nivel adecvat de protectie a datelor cu caracter personal transferate.
Sesizata cu aceasta cauza, High Court of Ireland (Inalta Curte de Justitie a Irlandei) a solicitat Curtii Europene de Justitie (CJUE) sa se stabileasca daca decizia mentionata a Comisiei are drept efect sa impiedice o autoritate nationala de supraveghere sa investigheze o plangere in care se pretinde ca o tara terta nu asigura un nivel de protectie adecvat si, daca este cazul, sa suspende transferul de date contestat.
Detalii din comunicatul CJUE: Ce a constatat Curtea Europeana de Justitie
„Analizand validitatea deciziei Comisiei Europene din vara anului 2000, Curtea Europeana de Justitie subliniaza ca Executivul European era tinut sa constate ca Statele Unite asigura in mod efectiv, in temeiul legislatiei interne sau al angajamentelor lor internationale, un nivel de protectie a drepturilor fundamentale in esenta echivalent cu cel garantat in cadrul Uniunii in temeiul directivei interpretate in lumina cartei. CJUE arata ca Executivul European nu a realizat o asemenea constatare, ci s-a limitat sa examineze sistemul sferei de siguranta.
Or, fara a fi nevoie sa verifice daca sistemul mentionat asigura un nivel de protectie in esenta echivalent cu cel garantat in cadrul Uniunii, Curtea arata ca el este aplicabil numai intreprinderilor americane care subscriu la respectivul sistem, fara ca autoritatile publice din Statele Unite sa fie ele insele supuse acestuia.
In plus, cerintele privind securitatea nationala, interesul public si respectarea legilor Statelor Unite prevaleaza asupra sistemului sferei de siguranta, astfel incat intreprinderile americane sunt obligate sa inlature, fara nicio restrictie, principiile de protectie prevazute de acest sistem atunci cand intra in conflict cu asemenea cerinte.
Sistemul american al sferei de siguranta face astfel posibile ingerinte ale autoritatilor publice americane in drepturile fundamentale ale persoanelor, decizia Comisiei necuprinzand nicio constatare nici in privinta existentei, in Statele Unite, a unor norme destinate sa limiteze aceste eventuale ingerinte, nici in privinta existentei unei protectii juridice eficiente impotriva acestor ingerinte.
Curtea considera ca aceasta analiza a sistemului este confirmata de doua comunicari ale Comisiei din care reiese printre altele ca autoritatile Statelor Unite puteau avea acces la date cu caracter personal transferate din statele membre catre aceasta tara si sa le prelucreze intr-un mod incompatibil, in special, cu scopurile transferului lor si care depaseste ceea ce era strict necesar si proportional cu protectia securitatii nationale.
De asemenea, Comisia a constatat ca nu existau, pentru persoanele respective, cai de drept administrative sau judiciare care sa permita, in special, accesul la datele care le privesc si, daca este cazul, obtinerea rectificarii sau stergerii lor.
In ceea ce priveste nivelulde protectie in esenta echivalent cu libertatile si drepturile fundamentale garantate in cadrul Uniunii, Curtea constata ca, in dreptul Uniunii, o reglementare nu este limitata la strictul necesar in cazul in care autorizeaza in mod generalizat stocarea integralitatii datelor cu caracter personal ale tuturor persoanelor ale caror date sunt transferate din Uniune catre Statele Unite, fara a se face vreo diferentiere, limitare sau exceptie in functie de obiectivul urmarit si fara a se prevedea criterii obiective in vederea delimitarii accesului autoritatilor publice la date si a utilizarii lor ulterioare. Curtea adauga ca trebuie sa se considere ca o reglementare care le permite autoritatilor publice accesul in mod generalizat la continutul comunicarilor electronice aduce atingere substantei dreptului fundamental la respectarea vietii private.
De asemenea, Curtea arata ca o reglementare care nu prevede nicio posibilitate pentru justitiabil de a exercita cai legale pentru a avea acces la date cu caracter personal care il privesc sau de a obtine rectificarea sau stergerea unor astfel de date aduce atingere substantei dreptului fundamental la o protectie jurisdictionala efectiva, o asemenea posibilitate fiind inerenta existentei unui stat de drept.
In sfarsit, Curtea constata ca Decizia Comisiei din 26 iulie 2000 priveaza autoritatile nationale de supraveghere de competentele lor, in cazul in care o persoana pune in discutie compatibilitatea deciziei cu protectia vietii private si a drepturilor si libertatilor fundamentale ale persoanelor. Curtea considera ca Comisia nu avea competenta de a restrange astfel competentele autoritatilor nationale de supraveghere.
Pentru toate aceste motive, Curtea declara Decizia Comisiei din 26 iulie 2000 nevalida.
Aceasta hotarare are drept consecinta faptul ca autoritatea irlandeza de supraveghere este tinuta sa examineze cererea domnului Schrems cu toata diligenta necesara si ca ii revine acesteia sarcina de a decide, la finalizarea investigatiei sale, daca, in temeiul directivei, trebuie sa suspende transferul datelor utilizatorilor europeni al Facebook catre Statele Unite pentru motivul ca aceasta tara nu ofera un nivel adecvat de protectie a datelor personale„.