Decizia de adecvare pentru cadrul UE – SUA privind protecția datelor
De Mugurel Olariu, RPD protectie date
La 10 iulie, Comisia Europeană a adoptat decizia sa de adecvare pentru Cadrul UE -SUA privind confidențialitatea datelor*1. Decizia de adecvare concluzionează că Statele Unite asigură un nivel adecvat de protecție – în comparație cu cel al UE – pentru datele cu caracter personal transferate din UE către companiile din SUA care participă la Cadrul UE – SUA privind confidențialitatea datelor.
În continuare se prezintă*2 și faptul că: Decizia de adecvare urmează semnării de către SUA a unui Ordin Executiv privind „Îmbunătățirea garanțiilor pentru activitățile de informații privind semnalările din Statele Unite”, care a introdus noi garanții obligatorii pentru a aborda punctele ridicate de Curtea de Justiție a Uniunii Europene în decizia sa Schrems II din iulie 2020. În special, noile obligații au fost menite să asigure accesarea datelor de către agențiile de informații americane numai în măsura în care este necesar și proporțional și să instituie un mecanism de despăgubiri independent și imparțial pentru a trata și soluționa plângerile din partea europenilor cu privire la colectarea de informații și datele lor în scopuri de securitate națională. Sub formă de întrebări și răspunsuri, se prezintă următoarele:
1. Ce este o decizie de adecvare?
O decizie de adecvare este unul dintre instrumentele prevăzute de Regulamentul General privind Protecția Datelor (RGPD) pentru a transfera date cu caracter personal din UE către țări terțe care, în evaluarea Comisiei, oferă un nivel comparabil de protecție a datelor cu caracter personal cu cel al Uniunea Europeană.
Ca urmare a deciziilor de adecvare, datele cu caracter personal pot circula în mod liber și în siguranță din Spațiul Economic European (SEE), care include cele 27 de state membre ale UE, precum și Norvegia, Islanda și Liechtenstein, către o țară terță, fără a fi supuse niciunei alte obligații, condiții sau autorizații. Cu alte cuvinte, transferurile către țara terță pot fi gestionate în același mod ca și transmisiile de date intra-UE.
Decizia de adecvare privind Cadrul UE – SUA privind confidențialitatea datelor acoperă transferurile de date de la orice entitate publică sau privată din SEE către companiile din SUA care participă la Cadrul UE – SUA pentru confidențialitatea datelor.
2. Care sunt criteriile de evaluare a adecvării?
Adecvarea nu necesită ca sistemul de protecție a datelor din țara terță să fie identic cu cel al UE, ci se bazează pe standardul „echivalenței esențiale”. Aceasta implică o evaluare cuprinzătoare a cadrului de protecție a datelor dintr-o țară, atât a protecției aplicabile datelor cu caracter personal, cât și a mecanismelor de supraveghere și căi de atac disponibile.
Autoritățile europene de protecție a datelor au elaborat o Listă de elemente care trebuie luate în considerare pentru această evaluare, cum ar fi existența principiilor de bază pentru protecția datelor, drepturile individuale, supravegherea independentă și căi de atac eficiente.
3. Ce este Cadrul UE-SUA privind confidențialitatea datelor?
În decizia sa de adecvare, Comisia a evaluat cu atenție cerințele care decurg din Cadrul UE – SUA privind confidențialitatea datelor, precum și limitările și garanțiile care se aplică atunci când datele cu caracter personal transferate în SUA ar fi accesate de autoritățile publice din SUA, în special pentru aplicarea legii penale și în scopuri de securitate națională.
Pe această bază, decizia de adecvare concluzionează că Statele Unite asigură un nivel adecvat de protecție a datelor cu caracter personal transferate din UE către companiile care participă la Cadrul UE – SUA privind confidențialitatea datelor. Odată cu adoptarea deciziei de adecvare, entitățile europene sunt în măsură să transfere date cu caracter personal către companiile participante din Statele Unite, fără a fi nevoie să pună în aplicare garanții suplimentare de protecție a datelor.
Cadrul oferă persoanelor din UE ale căror date ar fi transferate companiilor participante din SUA mai multe drepturi noi (de exemplu, de a obține acces la datele lor sau de a obține corectarea sau ștergerea datelor incorecte sau manipulate ilegal). În plus, oferă diferite căi de despăgubire în cazul în care datele lor sunt gestionate greșit, inclusiv înaintea mecanismelor independente de soluționare a litigiilor și a unui grup de arbitraj.
Companiile din SUA își pot certifica participarea la Cadrul UE – SUA privind confidențialitatea datelor prin angajamentul de a respecta un set detaliat de obligații de confidențialitate. Aceasta ar putea include, de exemplu, principii de confidențialitate, cum ar fi limitarea scopului, reducerea la minimum a datelor și păstrarea datelor, precum și obligații specifice privind securitatea datelor și partajarea datelor cu terți.
Cadrul va fi administrat de Departamentul de Comerț al SUA, care va procesa cererile de certificare și va monitoriza dacă companiile participante continuă să îndeplinească cerințele de certificare. Respectarea de către companiile americane a obligațiilor care le revin în temeiul Cadrului UE – SUA de confidențialitate a datelor va fi impusă de Comisia Federală pentru Comerț din SUA.
(continuarea în ediția următoare)
––––––––––––––––––––––––
1. https://commission.europa.eu/system/files/2023-07/Adequacy%20decision%20EU-US%20Data%20Privacy%20Framework_en.pdf
2. https://ec.europa.eu/commission/presscorner/detail/en/qanda_23_3752
