O sfera care nu mai este sigura si o noua piedica in calea TTIP: Invalidarea deciziei Comisiei 2000/250/EC care priveste principiile sferei de siguranta (Safe Harbour) in domeniul protectiei datelor personale

Dincolo de ratiunile geopolitice, acordul privind comertul si investitiile transatlantice (The Transatlantic Trade and Investment Partnership – TTIP) aflat in negociere inca din 2013 intre Uniunea Europeana si Statele Unite este asteptat sa genereze oportunitati comerciale si de investitii si, implicit, oportunitati in sfera relatiilor de munca. Armonizarea reglementarilor si eliminarea barierelor tarifare si netarifare in vederea integrarii pietelor dincolo de ceea ce permit tratatele comerciale si de investitii in prezent in vigoare sunt obiective principale ale TTIP.

Autor: Monica Iancu (foto articol), Partener PeliFilip

In mod natural, ambele tarmuri ale Atlanticului ar avea de castigat; dincolo de aceasta insa, TTIP ar putea ranforsa sinergiile dintre cele doua economii atat incat sa remodeleze economia mondiala si fluxurile comerciale curente substantial influentate de puteri economice emergente precum China.

Negocierile pentru TTIP sunt deja la a unsprezecea runda care se desfasoara in octombrie 2015. Obstacolele nu sunt putine. Sunt atat de fond – cu cateva capitole cu privire la care discutiile se arata dificile sau chiar ameninta continuarea negocierilor, precum agricultura, siguranta alimentara, reglementarile financiare, drepturile maritime si aeriene, mecanismele de solutionare a disputelor dintre investitori si stat si, nu in ultimul rand, Big Data si protectia datelor cu caracter personal – dar si de atmosfera: inamicii traditionali ai globalizarii sau persoane preocupate de efecte specifice precum teama de o posibila relaxare a standardelor in domeniul sigurantei alimentare sau o deteriorare a standardelor in domeniul muncii sau in domeniul protectiei mediului opun rezistenta si militeaza impotriva continuarii negocierilor.

In acelasi timp, nu vor putea f i evitate subiecte recurente in istoria dezvoltarii Uniunii legate de capacitatea juridica a acesteia de a asuma un tratat international, de forta acestuia in ierarhia legislativa europeana si de mecanismele prin care prevederile tratatului vor fi integrate in sistemul european si cele nationale. Pare o perspectiva care, din punct de vedere al chestiunilor juridice pe care le va genera, ar putea rescrie traiectoria Uniunii insesi, aflata in cautarea caii optime pentru functionarea unui tandem economic, Uniunea Europeana – Statele Unite.

Dincolo de dificultati, este de asteptat ca progresul negocierilor sa fie temporizat pe fondul efervescentei electorale din 2016 din Statele Unite.

Va fi aceasta pauza necesara pentru a reflecta la a se gasi solutii pentru sincopa in relatiile transatlantice la care poate conduce recenta hotarare a Curtii de Justitie a Uniunii Europene in materia transferului de date personale? Timpul ne va spune.

La data de 6 octombrie 2015, Curtea de Justitie a Uniunii Europene („Curtea”) a pronuntat Hotararea in Cauza C-362/14 Maximilian Schrems vs. Data Protection Commissioner („Hotararea”). Hotararea invalideaza Decizia Comisiei Europene 2000/520/EC („Decizia 520”) emisa in baza Directivei 95/46/CE a Parlamentului European si a Consiliului din 24 octombrie 1995 privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si libera circulatie a acestor date („Directiva 95/46”). In esenta, prin Decizia 520 invalidata, Comisia constatase ca Statele Unite asigura un nivel adecvat de protectie in materia transferului de date personale in baza principiilor „sferei de siguranta” (safe harbour) privind protectia vietii private si a lamuririlor furnizate cu privire la aceste principii.

Hotararea a fost pronuntata in urma unei intrebari preliminare adresate in cadrul unui litigiu intre domnul Schrems, pe de o parte, si Comisarul pentru protectia datelor din Irlanda, pe de alta parte, ca urmare a refuzului Comisarului de a investiga plangerea formulata de domnul Schrems impotriva faptului ca Facebook Ireland Ltd. transfera catre Statele Unite datele cu caracter personal ale utilizatorilor sai si le stocheaza pe servere situate in aceasta tara.

Directiva 95/46 prevede ca transferul datelor cu caracter personal catre o tara terta nu poate avea loc, ca regula, decat daca tara terta in cauza asigura un nivel adecvat de protectie a datelor cu caracter personal. In acelasi timp, in baza puterilor de implementare conferite Comisiei, aceasta poate decide ca o tara terta asigura un nivel adecvat de protectie prin dreptul national sau tratatele internationale la care este parte cu privire la viata privata si drepturile si libertatile fundamentale ale persoanei.

Comisia s-a prevalat de puterile amintite si, prin Decizia 520, a constatat ca pentru toate activitatile care intra in domeniul de aplicare al Directivei 95/46 (asadar, inclusiv transferul de date personale), principiile sferei de siguranta („safe harbour”) puse in aplicare in conformitate cu orientarile oferite ca urmare a intrebarilor de baza („frequently asked questions”) publicate de Departamentul de Comert al Statelor Unite la 21 iulie 2000 „asigura un nivel adecvat de protectie a datelor personale transferate din Comunitate catre organizatii stabilite in Statele Unite ale Americii”.

In acelasi timp, Comisia arata ca securitatea este asigurata daca organizatia destinatara din Statele Unite (1) si-a declarat in mod voluntar, public si neechivoc angajamentul fata de principiile sferei de siguranta si (2) intra sub jurisdictia unui organism administrativ din Statele Unite care este investit cu autoritatea de a investiga plangeri si de a pune in aplicare masuri reparatorii in caz de incalcare a principiilor (lista acestor organisme fiind anexata Deciziei 520).

Asadar, Comisia a considerat nivelul de protectie ca fiind adecvat prin faptul auto-certificarii voluntare de catre organizatia destinatara din Statele Unite sub aspectul adeziunii la principii si al situarii sale sub competenta unui organ administrativ dintre cele enumerate. In opinia Comisiei, reafirmata in Comunicarea din 27 noiembrie 2013 intitulata „Reconstruirea increderii in fluxul de date intre UE si SUA”, Decizia 520 ofera „temeiul juridic pentru transferurile de date cu caracter personal din UE catre intreprinderi cu sediul in SUA, care au aderat la principiile sferei de siguranta”.

Prin Hotarare, Curtea invalideaza Decizia 520 si, prin urmare, temeiul juridic oferit prin Decizie pentru transferurile de date personale intre cele doua tarmuri ale Atlanticului. Curtea arata ca actiunea Comisiei a fost de a analiza principiile sferei de siguranta si a constata ca nivelul de protectie adecvat este atins. Aceasta nu echivaleaza cu a constata ca nivelul de protectie in Statele Unite este similar cu cel din Uniunea Europeana, care ar fi trebuit sa fie in fapt misiunea Comisiei.

Este adevarat ca Directiva 95/46 nu arata in termeni expresi ca nivelul de protectie asigurat de tara spre care datele sunt transferate (Statele Unite, in speta), care trebuie sa fie adecvat, trebuie sa fie si identic cu cel din tara din care datele sunt transferate (un stat membru al Uniunii, in speta). Dar, asa cum s-a aratat in dezbaterile care au prefatat Hotararea luata de Curte, conceptul de nivel adecvat de protectie trebuie interpretat in sensul in care implica un nivel de protectie „in esenta echivalent cu cel garantat in cadrul Uniunii in temeiul Directivei 95/46” chiar daca mijloacele prin care este asigurata protectia sunt diferite in cele doua jurisdictii. Ca atare, misiunea Comisiei cand examineaza nivelul de protectie este una comparativa si periodica asa incat sa se asigure ca nivelul de protectie adecvat este, in esenta, similar cu cel asigurat de Uniunea Europeana si ca aceasta concluzie se mentine valabila in cazul in care apar schimbari care afecteaza nivelul de protectie in tara destinatara.

In acelasi timp, Curtea dezavueaza sistemul adeziunii voluntare la principiile sferei de siguranta intrucat, in fapt, nu asigura mecanismele de detectie si supraveghere care permit ca incalcarile drepturilor fundamentale sa fie identificate si sanctionate. De asemenea, arata ca subordonarea principiilor de siguranta oricarei masuri necesare pentru a asigura siguranta nationala, interesul public sau punerea in aplicare a legii, asa cum s e intampla in Statele Unite, este de natura sa aduca atingere nivelului de protectie adecvat, intrucat, intr-un potential conflict intre prevederi precum cele mentionate mai sus si principiile sferei de siguranta, cele dintai vor prevala in detrimentul protectiei datelor personale.

Invalidand Decizia 520, Curtea a deschis calea multor intrebari care isi cauta raspunsul si care privesc atat eventuale efecte retroactive cat si solutiile necesare pentru transferuri in curs sau viitoare. Impactul nu este de neglijat avand in vedere, de exemplu, tranzactiile cu amploare transatlantica ce implica printre altele, transferul unor baze de date esentiale pentru activitatile partilor; cu alte cuvinte, tocmai acele tranzactii pe care TTIP isi propune sa le incurajeze si sa le faciliteze. Prin urmare, progresul negocierilor pentru TTIP va fi influentat si de solutionarea pe fond a divergentelor cu privire la nivelul de protectie al datelor cu caracter personal asigurat in Uniunea Europeana si, respectiv, Statele Unite.