Este timpul să apelăm la cacealma privind confidențialitatea datelor din SUA?

Juriul stabilește dacă Ordinul executiv semnat de președintele Biden pe 7 octombrie poate rezolva preocupările juridice evidențiate în cazul Schrems II și poate restabili „încrederea și stabilitatea” fluxurilor de date transatlantice, scrie Dick Roche, fost ministru irlandez pentru afaceri europene care a jucat un rol central în Referendumul irlandez care a ratificat Tratatul de la Lisabona care a recunoscut protecția datelor cu caracter personal ca drept fundamental.

Legile UE privind protecția datelor sunt recunoscute pe scară largă ca standardul de aur pentru reglementarea datelor și pentru protecția drepturilor la confidențialitate ale cetățenilor.

Când internetul era la început, UE a deschis un nou teren în 1995, stabilind reguli care reglementează circulația și prelucrarea datelor cu caracter personal în Directiva europeană privind protecția datelor.

Conform Tratatului de la Lisabona din 2007, protecția datelor cu caracter personal a devenit un drept fundamental. Tratatul privind funcționarea Uniunii Europene și Carta drepturilor fundamentale a UE, care a intrat în vigoare în 2009, protejează acest drept.

În 2012, Comisia UE a propus Regulamentul general privind protecția datelor (GDPR) care stabilește un set cuprinzător de reforme menite să stimuleze economia digitală a Europei și să consolideze securitatea online a cetățenilor.

În martie 2014, Parlamentul European a înregistrat un sprijin copleșitor pentru GDPR, când 621 de europarlamentari din spectrul politic au votat în favoarea propunerilor. Doar 10 deputați europeni au votat împotrivă și 22 s-au abținut. 

GDPR a devenit modelul global pentru legea privind protecția datelor.  

publicitate

Parlamentarii din SUA nu au urmat aceeași cale ca Europa. În SUA, drepturile de protecție a datelor în sectorul de aplicare a legii sunt constrânse: tendința este de a privilegia interesele de aplicare a legii și de securitate națională.

Două încercări de a reduce decalajul dintre abordările UE și SUA și de a crea un mecanism pentru fluxurile de date au eșuat atunci când Curtea de Justiție a UE a constatat lipsă de aranjamente numite „Safe Harbor” și „Scutul de confidențialitate”, numite destul de fantezis.  

Se pune întrebarea dacă noile aranjamente UE-SUA privind confidențialitatea datelor prevăzute în Ordinul executiv „Îmbunătățirea garanțiilor pentru activitățile de informații privind semnalele din Statele Unite”, semnat de președintele Biden pe 7.^th Octombrie va avea succes acolo unde Safe Harbor și Privacy Shield au eșuat. Există o mulțime de motive să te îndoiești că o vor face.

Schrems II a pus ștacheta înaltă

În iulie 2020, în cauza Schrems II, CJUE a hotărât că legislația SUA nu a îndeplinit cerințele privind accesul și utilizarea datelor cu caracter personal prevăzute de legislația UE.

Curtea a semnalat o preocupare continuă că utilizarea și accesul la datele UE de către agențiile americane nu au fost restricționate de principiul proporționalității. Acesta a considerat că este „imposibil să se concluzioneze” că acordul UE-SUA Privacy Shield este suficient pentru a asigura un nivel de protecție pentru cetățenii UE echivalent cu cel garantat de GDPR și a decis că mecanismul Ombudsmanului creat în cadrul Privacy Shield, a fost inadecvată și că independența acestuia nu putea fi garantată.  

Propunerile președintelui Biden și aprobarea Comisiei UE

Pe 7^th Președintele din octombrie Biden a semnat un Ordin executiv (EO) „Îmbunătățirea garanțiilor pentru activitățile de informații privind semnalele din Statele Unite”.

Pe lângă actualizarea unui ordin executiv al erei Obama privind modul în care protecția datelor funcționează în SUA, ordinul stabilește un nou cadru UE-SUA privind confidențialitatea datelor.

Briefing-ul de la Casa Albă despre EO caracterizează Framework ca restabilirea „încrederii și stabilității” fluxurilor de date transatlantice, pe care le descrie ca fiind „esențiale pentru a permite relația economică UE-SUA de 7.1 trilioane de dolari” - o afirmație destul de exagerată.

Briefing-ul descrie noile aranjamente ca susținând „gama deja riguroasă de garanții pentru confidențialitate și libertăți civile pentru activitățile de informații de semnale ale SUA”.

Acesta susține că noile aranjamente vor asigura că activitățile de informații ale SUA vor fi desfășurate numai în urmărirea obiectivelor definite de securitate națională a SUA și vor fi limitate la ceea ce este „necesar și proporțional” - o genuflexie față de hotărârea Schrems II.  

Briefing-ul stabilește, de asemenea, „un mecanism cu mai multe straturi” care va permite celor vătămați de activitățile de informații americane „să obțină (o) revizuire independentă și obligatorie și reparare a pretențiilor”.

Comisia UE a susținut cu entuziasm Ordinul președintelui Biden, care îl descrie ca oferind europenilor ale căror date cu caracter personal sunt transferate în SUA „garanții obligatorii care limitează accesul la date de către autoritățile de informații americane la ceea ce este necesar și proporțional pentru a proteja securitatea națională”. Fără a susține o analiză, acesta caracterizează dispozițiile ordinului de despăgubire și Curtea drept un mecanism „independent și imparțial” „de investigare și soluționare a plângerilor privind accesul la datele (europene) de către autoritățile de securitate națională din SUA”.

Câteva întrebări serioase

Sunt multe de pus sub semnul întrebării în prezentările Casei Albe și ale Comisiei.

Mulți ar pune la îndoială ideea că agențiile de informații americane sunt supuse unei „game riguroase de confidențialitate și libertăți civile”. 

O problemă majoră se ridică cu privire la instrumentul juridic utilizat de SUA pentru a introduce modificările. Ordinele executive sunt instrumente executive flexibile care pot fi modificate în orice moment de către un președinte al SUA în exercițiu. O schimbare la Casa Albă ar putea duce la aranjamentele convenite trimise la coșul de gunoi, așa cum s-a întâmplat când președintele Trump a renunțat la acordul minuțios negociat de a restrânge programul nuclear al Iranului în schimbul reducerii sancțiunilor.

Apar și întrebări cu privire la modul în care cuvintele „necesar" și „proporțional” care apar la Casa Albă și urmează a fi definite declarațiile Comisiei. Interpretarea acestor cuvinte cheie poate diferi considerabil de ambele părți ale Atlanticului. 

Centrul European pentru Drepturile Digitale, organizația fondată de Max Schrems, subliniază, în timp ce administrația SUA și Comisia UE au copiat cuvintele „necesar"Şi"proporționat" din hotărârea Schrems II nu sunt ad idem cu privire la semnificația lor legală. Pentru ca ambele părți să fie pe aceeași pagină, SUA ar trebui să își limiteze în mod fundamental sistemele de supraveghere în masă pentru a se alinia la înțelegerea UE privind supravegherea „proporționată” și că nu se va întâmpla: supravegherea în masă de către agențiile de informații americane va continua în conformitate cu noile aranjamente.

În ceea ce privește mecanismul de despăgubire, apar preocupări deosebit de grave. Mecanismul creat de EO al președintelui Biden este complex, constrâns și departe de a fi independent.

Aranjamentele de despăgubire impun ca plângerile să fie depuse mai întâi la ofițerii de protecție a libertăților civile numiți de agențiile de informații americane pentru a asigura respectarea de către agenție a vieții private și a drepturilor fundamentale – un aranjament de braconaj devenit păzitor de vânătoare.  

Deciziile acestor ofițeri pot fi atacate la o instanță de control pentru protecția datelor (DPRC) nou creată. Această „Instanță” va fi „formată din membri aleși din afara Guvernului SUA”.

Utilizarea cuvântului „instanță” pentru a descrie acest organism este discutabilă. Centrul European pentru Drepturi Digitale respinge ideea că organismul se încadrează în sensul normal al articolului 47 din Carta drepturilor fundamentale a UE.

„Judecătorii”, care trebuie să aibă „autorizația de securitate necesară (SUA)” vor fi numiți de către Procurorul General al SUA, în consultare cu Secretarul de Comerț al SUA.

Departe de a fi „în afara guvernului SUA”, odată numiți membrii Curții devin parte a mecanismului guvernamental american.

În cazul în care un recurs este depus la Curte fie de către un reclamant, fie de „un element al comunității de informații”, un complet de trei judecători se va întruni pentru a examina cererea. Acest grup selectează din nou un avocat special cu „autorizație de securitate necesară” din SUA pentru a reprezenta „interesele reclamantului în cauză”.

În ceea ce privește accesul, reclamanții din UE trebuie să își prezinte cazul la o agenție relevantă din UE. Agenția respectivă transferă plângerea în SUA. După examinarea cazului, reclamantul este informat „prin organismul corespunzător din statul de calificare” cu privire la rezultat „fără a confirma sau infirma faptul că reclamantul a fost supus activităților de semnalizare din Statele Unite”. Reclamanților li se va spune doar că „evaluarea fie nu a identificat încălcări acoperite”, fie că „a fost emisă o decizie care necesită remediere adecvată”. Este greu de văzut cum aceste aranjamente satisfac testul de independență pe care propunerile Ombudsmanului în Privacy Shield l-au eșuat. 

În general, aranjamentele Curții de Revizuire a Protecției Datelor au mai mult decât o aromă a Curții FISA din SUA, care este văzută în general ca puțin mai mult decât o ștampilă de cauciuc pentru serviciile de informații din SUA.

Ce urmează?

Odată cu adoptarea Ordinului executiv al SUA, acțiunea revine Comisiei UE care va propune un proiect de decizie de adecvare și va lansa proceduri de adoptare.

Procedura de adoptare impune Comisiei să obțină un aviz, care nu este obligatoriu, de la European Data Protection. De asemenea, Comisia trebuie să primească aprobarea unui comitet compus din reprezentanți ai statelor membre ale UE.

Parlamentul European și Consiliul au dreptul de a solicita Comisiei Europene modificarea sau retragerea deciziei de adecvare pe motiv că conținutul acesteia depășește competențele de implementare prevăzute în regulamentul GDPR din 2016.

În calitate de organism care reprezintă în mod direct poporul Europei și organism care a aprobat în mod atât de covârșitor principiile stabilite în GDPR, Parlamentul European are responsabilitatea de a analiza ceea ce este pe masă și de a avea o viziune clară asupra măsura în care propunerile sunt compatibile cu principiile stabilite în GDPR cu așteptările europenilor ca drepturile lor de confidențialitate să fie respectate.

Este foarte puțin probabil ca diferențele fundamentale dintre UE și SUA în ceea ce privește protecția drepturilor la confidențialitate ale cetățenilor să fie oprite prin ordinul executiv al președintelui Biden: controversa mai are încă un drum de rulat.

Trimiteți acest articol: