Scutul de confidențialitate II: Mai este posibil într-o lume GDPR?

Având în vedere că recentele decizii GDPR au pus capăt, în mod fundamental, modului în care companiile prelucrează datele așa cum le cunoaștem, există acum o presiune uriașă pentru o mai bună aliniere între UE și SUA în ceea ce privește confidențialitatea datelor. Pentru o lungă perioadă de timp, companiile și alte instituții s-au simțit în siguranță în cadrul Safe Harbor și Privacy Shield. Dar, pe măsură ce datele au devenit mai mult o marfă, iar practica colectării și vânzării lor a devenit mai profitabilă și mai invizibilă, oamenii au început să ia aminte. Acum, am ajuns în punctul în care avem nevoie de noi acorduri privind confidențialitatea datelor.

Toată lumea dorește acest lucru, dar cum am ajuns aici și suntem mai aproape?

Ce a fost Scutul de confidențialitate?

În octombrie 2015, Curtea Europeană de Justiție a invalidat principiile internaționale de confidențialitate Safe Harbor.

Safe Harbor, elaborat între 1998 și 2000, a fost menit să împiedice organizațiile private să divulge sau să piardă datele cu caracter personal ale cetățenilor UE și SUA. După numeroase plângeri, inclusiv cu privire la datele Facebook, UE a decis că SUA și Safe Harbor nu respectă Directiva UE privind protecția datelor.

Această decizie privind Safe Harbor este cunoscută și sub numele de Schrems I. Într-un efort de a limita impactul negativ al invalidării Safe Harbor, UE și SUA au creat un nou cadru de date, Privacy Shield, în 2016.

Acest nou acord ar fi trebuit să remedieze unele dintre deficiențele Safe Harbor, dar, potrivit Autorității Europene pentru Protecția Datelor (AEPD), au existat încă unele probleme legate de ștergerea datelor, de colectarea unor cantități masive de date și de noul mecanism al ombudsmanului. Indiferent de aceste puncte, Comisia Europeană a adoptat Scutul de confidențialitate în iulie 2016.

Scutul de confidențialitate și Schrems II

Problemele potențiale depistate în 2016, un peisaj tehnologic în schimbare drastică și schimbările politice de pe ambele continente au dus la căderea Scutului de confidențialitate în 2020.

Activistul austriac pentru protecția vieții private, Max Schrems, a susținut că acordul privind datele nu a făcut suficient pentru a proteja confidențialitatea datelor cu caracter personal ale cetățenilor UE atunci când acestea au fost transferate în SUA.

Principala problemă care a dus la prăbușirea cadrului a fost supravegherea în masă a SUA.

"Scutul deconfidențialitate nu a fost principala problemă; problema este că Scutul de confidențialitate a trebuit să cedeze în fața legilor americane privind supravegherea", a declarat Schrems.

Johnny Ryan, membru senior al Consiliului irlandez pentru libertăți civile, a adăugat că problemele legate de Privacy Shield și Safe Harbor nu au fost niciodată legate de examinarea datelor din motive de securitate, ci mai degrabă de procese transparente și de protecție juridică pentru cetățenii UE. "Principalul aspect esențial este că un judecător poate oferi unei persoane care se află în afara SUA o protecție juridică, că își poate apăra drepturile în cazul în care acestea sunt încălcate", a spus Ryan. Fără aceste protecții în vigoare și fără o modalitate reală de a aborda rapid aceste preocupări, Scutul de confidențialitate a fost invalidat în iulie 2020, într-o decizie care este acum cunoscută sub numele de Schrems II.

Viitorul Scutului de confidențialitate

Fără un cadru legal pentru prelucrarea datelor în timp ce acestea circulă între Europa și SUA, țările din Europa au declarat ilegale multe tipuri de transferuri de date: Austria și Google Analytics, Belgia și IAB, Franța și Google Analytics, etc. Până în acest moment, cel mai probabil mai sunt și altele care se adaugă la această listă.

Astfel de cazuri fac ca necesitatea înlocuirii Scutului de confidențialitate să fie și mai importantă - pentru liderii de pe ambele maluri ale Atlanticului.

Ca să nu mai vorbim de faptul că multe țări și agenții din UE se concentrează asupra practicilor privind datele ale marilor companii de tehnologie, precum Facebook, Microsoft, Amazon și Google.

De când președintele Joe Biden și-a intrat în funcție, el a lucrat la un înlocuitor, împreună cu președintele Comisiei Europene, Ursula von der Leyen, dar până acum nu a fost nimic de arătat în urma acestor întâlniri, cu excepția unor cuvinte de optimism.

În cadrul reuniunii Consiliului pentru comerț și tehnologie (TTC) din septembrie 2021, SUA au oferit un mecanism de supraveghere cvasi-judiciară asupra agențiilor de securitate națională pentru a obține semnarea unui nou acord înainte de sfârșitul anului, dar înțelegerea nu a fost acceptată. Există speranța că negocierile recente vor duce la un rezultat mai bun la următoarea reuniune a TTC din mai 2022.

Mulți speră că ambele părți vor reuși să ajungă la un acord care să permită agențiilor americane de informații să continue să acceseze datele oamenilor, protejând în același timp drepturile cetățenilor UE.

O soluție ar putea fi crearea unui organism judiciar independent care să supravegheze plângerile cetățenilor UE care consideră că agențiile americane au tratat în mod ilegal datele lor.

Detaliile acestui plan, cum ar fi cum ar ști cineva să depună o plângere și dacă aceasta ar putea fi susținută în instanță, sunt încă de văzut.

Dar un lucru este clar: orice decizie ar fi luată, aceasta nu va fi luată în Congres - un fapt care ar putea distruge orice acord înainte de a începe.

Deoarece acordul politic și progresul sunt greu de obținut în aceste zile, orice schimbare care se va face va trebui să fie conformă cu normele și reglementările existente în SUA.

Majoritatea experților sunt de acord că orice progres semnificativ ar trebui să fie realizat prin modificări legislative în SUA care să limiteze modul în care agențiile de securitate națională pot accesa datele din UE și să ofere cetățenilor UE o modalitate clară și transparentă de a contesta legal acest acces în instanță.

Fără aceste lucruri, cât timp va dura până vom avea un Schrems III?