Safe data flow between EU and USA
Nearly a decade ago, Austrian citizen Maximillian Schrems objected to Facebook Ireland transferring his personal data to US servers on the grounds that it would not be adequately protected in the US and could be misused by US intelligence services. But international data transfers to the US are a fact nowadays, impossible to ignore, not just for global companies, but for every local EU-based business using digital tools linked in any way to the US, from physical servers to shareholding structure. Schrems’s move sparked a major debate about the differences in levels of safeguards of personal data between the US and the EU, which brought the US government and the EU to the negotiating table in an attempt to find a solution.
According to the General Data Protection Regulation (GDPR), personal data can be transferred from the European Economic Area (EEA) – the 27 EU Member States plus Norway, Iceland and Liechtenstein – to a country outside the EEA if that country offers an adequate level of protection of personal data compared to that applied at EU level. It is also up to the European Commission, under Article 45(3) of the GDPR, to decide, by means of an “adequacy decision”, whether or not a non-EU country ensures an “adequate level of protection” of personal data that is substantially equivalent to the level of protection in the EU. In the case of the US, a first adequacy decision adopted in 2000 by the EU called “Safe Harbor” (International Privacy Principles 2000-2015) was invalidated by the CJEU in 2015, and a second adequacy decision called “Privacy Shield” adopted by the EU in 2016 (EU-US Privacy Shield 2016-2020) was also invalidated by the CJEU in 2020 due to concerns that personal data leaving EU borders is subject to extensive US government surveillance.
On 10 July 2023 – following negotiations between the US and the EU and the agreement in principle signed last year by President Biden – the European Commission adopted the adequacy decision titled “EU-U.S. Data Privacy Framework”, which became effective immediately. Under this adequacy decision, the United States ensures an adequate level of protection for personal data transferred from the EU to U.S. companies under the new framework, without the need for additional data protection safeguards.
The new EU-US framework provides a number of binding safeguards, including that US authorities will solely be entitled to access data transferred under it in criminal law enforcement and national security situations, with access limited on the principles of necessity and proportionality, and also establishes a free, independent and impartial – arbitration-type – redress mechanism for the collection and use of EU citizens’ personal data by US intelligence agencies, including a Data Protection Review Court (DPRC). The DPRC will independently investigate and resolve complaints, including through the adoption of binding remedies. For example, if the DPRC finds that data has been collected in breach of the new safeguards, it may order that such data are deleted. This offers EU citizens more remedies in the event that data is mishandled by US companies.
The EU-US data privacy framework will be subject to regular reviews by the European Commission together with representatives of the European data protection authorities and the competent US authorities, the first of which will take place within one year of the entry into force of the adequacy decision, to verify the implementation of all relevant elements in the US legislation and the effectiveness of their operation in practice. In the US, the framework is administered and monitored by the US Department of Commerce and the Federal Trade Commission will ensure compliance by US companies.
US companies wishing to enroll as data operators under the new framework – on a voluntary basis – must apply to the US Department of Commerce (DOC), which will issue the appropriate certification. It should be noted, however, that these entities are required to put in place certain processes and mechanisms to ensure adequate data protection, appropriate data transfer compliance protocols that are regularly monitored and enforced, and to comply with a detailed set of privacy obligations, such as the requirement to delete personal data when it is no longer needed for the purpose for which it was collected and to ensure ongoing protection when personal data is shared with third parties.
The entire process is based on protecting the fundamental right of EU citizens to have their privacy respected, to be assured that their personal data is transferred securely, and also on deepening economic ties between the EU and the US, reaffirming shared values in a world where physical borders are disappearing.
Fluxuri sigure de date între UE și SUA
Acum aproape un deceniu, cetățeanul austriac Maximillian Schrems se opunea transferului de către Facebook Irlanda a datelor sale personale către servere din SUA, pe considerentul că acestea nu ar beneficia de o protecție adecvată în SUA și ar putea fi utilizate în mod excesiv de serviciile de informații americane. Transferurile internaționale de date către SUA sunt însă o realitate imposibil de ignorat astăzi, nu doar pentru întreprinderile globale, ci și pentru fiecare întreprindere locală cu sediul în UE care utilizează instrumente digitale legate în orice mod de SUA, mergând de la serverele fizice până la structura acționariatului. Demersul lui Schrems a generat o dezbatere majoră privind diferențele între nivelurile de protecție a datelor cu caracter personal dintre SUA și UE, care a adus la masa negocierilor guvernul american și UE în încercarea de a găsi o soluție.
Potrivit Regulamentului general privind protecția datelor (GDPR), datele cu caracter personal pot fi transferate din Spațiul Economic European (SEE) – cele 27 de state membre ale UE, dar și Norvegia, Islanda și Liechtenstein – către o țară din afara SEE, dacă țara respectivă oferă un nivel adecvat de protecție a datelor cu caracter personal comparativ cu cel aplicat la nivelul UE. De asemenea, conform art. 45 al. (3) din GDPR, Comisia Europeană este cea care poate decide, prin intermediul unei „decizii de adecvare”, dacă o țară non-UE asigură „un nivel adecvat de protecție” a datelor cu caracter personal care este în esență echivalent cu nivelul de protecție din UE. În cazul SUA, o primă decizie de adecvare adoptată în 2000 de UE, denumită „Safe Harbor” (Principiile internaționale de confidențialitate 2000-2015) a fost invalidată de CJUE în 2015, iar o a doua decizie de adecvare, denumită „Privacy Shield” adoptată de UE în 2016 (Scutul de confidențialitate UE-SUA 2016-2020), a fost invalidată la rândul său de CJUE în 2020, din cauza preocupărilor legate de faptul că datele cu caracter personal care părăsesc granițele UE fac obiectul unei supravegheri guvernamentale americane extinse.
Pe 10 iulie 2023 – în urma negocierilor dintre SUA și UE și a acordului de principiu semnat anul trecut de președintele Biden – Comisia Europeană a adoptat decizia de adecvare denumită Cadrul UE-SUA privind confidențialitatea datelor (EU-U.S. Data Privacy Framework) care a intrat în vigoare imediat. Conform acestei decizii de adecvare, Statele Unite asigură un nivel adecvat de protecție pentru datele cu caracter personal transferate din UE către societățile americane în temeiul noului cadru, fără a fi nevoie să se instituie garanții suplimentare de protecție a datelor.
Noul cadru UE-SUA prevede o serie de garanții obligatorii, printre care faptul că autoritățile americane vor putea avea acces la datele transferate în temeiul acestuia exclusiv în situații legate de aplicarea legii penale și cele care țin de securitatea națională, accesul fiind limitat pe principii de necesitate și proporționalitate și, totodată, instituie un mecanism de recurs gratuit, independent și imparțial – de tip arbitral – în ceea ce privește colectarea și utilizarea datelor personale ale cetățenilor UE de către agențiile de informații din SUA, care include o Curte de revizuire a protecției datelor (Data Protection Review Court – DPRC). DPRC va investiga în mod independent și va soluționa plângerile, inclusiv prin adoptarea de măsuri de remediere obligatorii. De exemplu, în cazul în care DPRC constată că datele au fost colectate cu încălcarea noilor garanții, aceasta va putea dispune ștergerea acestora. Astfel, cetățenii UE beneficiază de mai multe căi de atac în cazul în care datele lor sunt tratate în mod greșit de către companiile americane.
Cadrul UE-SUA privind confidențialitatea datelor va face obiectul unor revizuiri periodice, efectuate de Comisia Europeană împreună cu reprezentanți ai autorităților europene de protecție a datelor și ai autorităților americane competente, prima dintre acestea urmând să aibă loc în termen de un an de la intrarea în vigoare a deciziei de adecvare, pentru a verifica punerea în aplicare a tuturor elementelor relevante în legislația din SUA și eficiența funcționării acestora în practică. În SUA, cadrul este administrat și monitorizat de către Departamentul de Comerț al SUA iar Comisia Federală pentru Comerț va asigura respectarea de către companiile americane.
Companiile americane care doresc să se autorizeze ca operatori de date conform noului cadru – pe bază de aderare voluntară – trebuie să depună o cerere la Departamentul de Comerț al SUA (DOC), care va emite certificarea corespunzătoare. Trebuie reținut însă că aceste entități sunt obligate să pună în aplicare anumite procese și mecanisme care să asigure o protecție adecvată a datelor, protocoale adecvate de conformitate în ceea ce privește transferul de date, monitorizate și puse în aplicare în mod regulat, precum și să respecte un set detaliat de obligații în materie de confidențialitate, de exemplu cerința de a șterge datele cu caracter personal atunci când acestea nu mai sunt necesare în scopul pentru care au fost colectate și de a asigura continuitatea protecției atunci când datele cu caracter personal sunt partajate cu părți terțe.
Întregul demers are la bază respectarea dreptului fundamental al cetățenilor UE de a le fi respectată viața privată, de a fi siguri că datele lor personale sunt transferate în siguranță, și în egală măsură aprofundarea legăturilor economice dintre UE și SUA, reafirmarea valorilor comune, într-o lume în care frontierele fizice tind să dispară.
Article published in Juridice.ro