Decizia de adecvare pentru cadrul UE – SUA privind protecția datelor
De Mugurel Olariu, RPD protectie date
4. Care sunt limitările și garanțiile privind accesul la date de către agențiile de informații ale Statelor Unite?
Un element esențial al cadrului juridic al SUA pe care se bazează decizia de adecvare se referă la Ordinul Executiv privind „Îmbunătățirea garanțiilor pentru activitățile de informații privind semnalele din Statele Unite”, care a fost semnat de președintele Biden la 7 Octombrie și este însoțit de reglementări adoptate de procurorul general. Aceste instrumente au fost adoptate pentru a aborda problemele ridicate de Curtea de Justiție în hotărârea sa Schrems II.
Pentru europenii ale căror date cu caracter personal sunt transferate în SUA, Ordinul executiv prevede:
• Măsuri de protecție obligatorii care limitează accesul la date de către autoritățile de informații din SUA la ceea ce este necesar și proporțional pentru a proteja securitatea națională;
• Supravegherea sporită a activităților de către serviciile de informații americane pentru a asigura respectarea limitărilor privind activitățile de supraveghere; și
• Înființarea unui mecanism de despăgubire independent și imparțial, care include o nouă instanță de revizuire a protecției datelor care să investigheze și să soluționeze plângerile privind accesul la datele lor de către autoritățile de securitate națională din SUA.
5. Care este noul mecanism de despăgubire în domeniul securității naționale și cum îl pot folosi indivizii?
Guvernul SUA a stabilit un nou mecanism de despăgubire pe două straturi, cu autoritate independentă și obligatorie, pentru a trata și soluționa plângerile oricărei persoane ale cărei date au fost transferate din SEE către companii din SUA cu privire la colectarea și utilizarea datelor lor de către SUA, agențiile de informații.
Pentru ca o plângere să fie admisibilă, persoanele nu trebuie să demonstreze că datele lor au fost de fapt colectate de agențiile de informații americane. Persoanele fizice pot depune o plângere la autoritatea lor națională de protecție a datelor, care se va asigura că plângerea va fi transmisă în mod corespunzător și că orice informații suplimentare referitoare la procedură, inclusiv cu privire la rezultat, sunt furnizate persoanei. Acest lucru asigură că indivizii pot apela la o autoritate aproape de casă, în propria lor limbă. Plângerile vor fi transmise Statelor Unite de către Comitetul European pentru Protecția Datelor.
În primul rând, plângerile vor fi investigate de așa-numitul „Ofițer pentru protecția libertăților civile” al comunității de informații din SUA. Această persoană este responsabilă pentru asigurarea conformității de către agențiile de informații americane cu confidențialitatea și drepturile fundamentale.
În al doilea rând, persoanele fizice au posibilitatea de a contesta decizia responsabilului cu protecția libertăților civile în fața Curții de control pentru protecția datelor (DPRC), nou creată. Curtea este compusă din membri din afara guvernului SUA, care sunt numiți pe baza unor calificări specifice, pot fi demiși numai pentru motiv (cum ar fi o condamnare penală sau fiind considerați inapți psihic sau fizic pentru a-și îndeplini sarcinile) și nu pot primi instrucțiuni de la guvern. DPRC are competențe de a investiga plângerile persoanelor din UE, inclusiv de a obține informații relevante de la agențiile de informații și poate lua decizii de remediere obligatorii. De exemplu, dacă DPRC ar constata că datele au fost colectate cu încălcarea garanțiilor prevăzute în ordinul executiv, poate dispune ștergerea datelor.
În fiecare caz, Curtea va selecta un avocat special cu experiență relevantă pentru a sprijini Curtea, care se va asigura că interesele reclamantului sunt reprezentate și că, Curtea este bine informată cu privire la aspectele de fapt și de drept ale cauzei. Acest lucru va asigura reprezentarea ambelor părți și va introduce garanții importante în ceea ce privește un proces echitabil.
Odată ce responsabilul cu protecția libertăților civile sau DPRC încheie investigația, reclamantul va fi informat că fie nu a fost identificată nicio încălcare a legislației americane, fie că a fost constatată și remediată o încălcare. Într-o etapă ulterioară, reclamantul va fi, de asemenea, informat atunci când orice informație despre procedura în fața DPRC – cum ar fi decizia motivată a Curții – nu mai este supusă cerințelor de confidențialitate și poate fi obținută.
6. Când se va aplica decizia?
Decizia de adecvare a intrat în vigoare odată cu adoptarea sa la 10 Iulie.
Nu există o limită de timp, dar Comisia va monitoriza continuu evoluțiile relevante din Statele Unite și va revizui în mod regulat decizia de adecvare.
Prima revizuire va avea loc în termen de un an de la intrarea în vigoare a deciziei de adecvare, pentru a verifica dacă toate elementele relevante ale cadrului juridic al SUA funcționează efectiv în practică. Ulterior, și în funcție de rezultatul primei revizuiri, Comisia va decide, în consultare cu statele membre ale UE și cu autoritățile de protecție a datelor, cu privire la periodicitatea revizuirilor viitoare, care vor avea loc cel puțin o dată la patru ani.
Deciziile de adecvare pot fi adaptate sau chiar retrase în cazul unor evoluții care afectează nivelul de protecție în țara terță.
7. Care este impactul deciziei asupra posibilității de a utiliza alte instrumente pentru transferurile de date către Statele Unite?
Toate garanțiile care au fost puse în aplicare de guvernul SUA în domeniul securității naționale (inclusiv mecanismul de despăgubire) se aplică tuturor transferurilor de date conform RGPD către companiile din SUA, indiferent de mecanismele de transfer utilizate. Prin urmare, aceste garanții facilitează și utilizarea altor instrumente, cum ar fi clauze contractuale standard și reguli corporative obligatorii.
