În atenţia clienţilor instituţiilor financiare
În data de 23 iunie 2005 presa din Statele Unite ale Americii a publicat informaţii cu privire la existenţa unui program de supraveghere a tranzacţiilor financiare internaţionale, înfiinţat de către CIA în urma atentatelor teroriste din 11 septembrie 2001. Aceste dezvăluiri făceau referire, în principal, la faptul că CIA şi Departamentul Trezoreriei SUA (US Treasury Dept./UST) au supravegheat, pe parcursul mai multor ani, datele transmise prin intermediul reţelei SWIFT.
SWIFT (Society for Worldwide Interbank Financial Telecommunication) este o companie de drept privat belgiană, înfiinţată în 1973. SWIFT nu este o instituţie bancară. Aceasta poate fi considerată a fi o companie de telecomunicaţii, care oferă clienţilor săi din domeniul financiar-bancar un sistem securizat şi standardizat de mesagerie, utilizat pentru a facilita o serie de servicii financiare. Prin urmare, majoritatea transferurilor bancare internaţionale este efectuată prin intermediul acestei companii, ale cărei servicii au devenit indispensabile pentru părţile implicate în astfel de tranzacţii.
Utilizarea serviciilor acordate prin programul SWIFT presupune un transfer de date personale de pe teritoriul unui stat membru al Uniunii Europene (România) către centrele operaţionale ale SWIFT din S.U.A. sau din Belgia.
Centrul operaţional SWIFT din S.U.A. (centrul principal – deţinătorul unei baze de date centralizate) se supune legislaţiei americane iar autorităţile din S.U.A. au dreptul de a solicita acces la datele personale stocate în centrul operaţional SWIFT, în scop specific şi limitat, respectiv numai pentru prevenirea spălării banilor şi luptei împotriva finanţării acţiunilor teroriste.
Recent, în baza unui protocol încheiat între Departamentul de comerţ al SUA şi Comisia Europeană, compania SWIFT a aderat la principiile Safe Harbor, prin urmare transferurile de date cu caracter personal către Statele Unite sunt efectuate în baza acestor principii, ceea ce garantează un nivel adecvat de protecţie al datelor cu caracter personal transferate în centrul său operaţional din SUA.
Instituţiile europene s-au sesizat imediat cu privire la aceste aspecte, în scopul de a se pronunţa în privinţa unei supravegheri ilegale a reţelei SWIFT prin prisma regulilor europene referitoare la protecţia datelor cu caracter personal şi, în special, cu privire la cele care privesc transferul acestor date către Statele Unite ale Americii.
Autorităţile europene de supraveghere s-au pronunţat, prin intermediul unei Opinii a grupului de Lucru Art. 29, organism consultativ format din reprezentanţi ai autorităţilor de supraveghere din statele membre ale UE, înfiinţat pe lângă Comisia Europeană. În Opinia nr. 10/2006 (WP 128 din 22 noiembrie 2006), Grupul de Lucru a ţinut să sublinieze următoarele aspecte:
- având în vedere faptul că „sunt responsabile de prelucrarea datelor cu caracter personal”, SWIFT şi instituţiile financiare care utilizează serviciile acesteia împart o responsabilitate comună, fie şi în proporţii diferite;
- prelucrarea ulterioară a datelor cu caracter personal (transferul acestora către UST) presupune un scop care, conform art. 6 alin. 1 lit. b al Directivei 95/46/EC, este incompatibil cu scopul comercial pentru care au fost colectate iniţial datele;
- nici SWIFT, nici instituţiile financiare din UE nu au informat persoanele vizate cu privire la prelucrarea datelor cu caracter personal, în special cu privire la transferul acestora către SUA, conform prevederilor Directivei;
- măsurile de securitate limitate adoptate de către SWIFT nu pot înlocui supravegherea independentă care ar fi putut fi asigurată de către autorităţile de supraveghere;
- transferul internaţional al datelor nu a fost efectuat în conformitate cu reglementările europene.
Urmare a tuturor acestor aspecte, autorităţile de supraveghere din statele membre ale UE au efectuat demersuri, începând cu sfârşitul anului 2006, pe lângă asociaţiile/federaţiile naţionale ale instituţiilor financiar-bancare, în vederea remedierii situaţiei create.
În acest sens, Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal a iniţiat, în virtutea atribuţiilor care îi sunt conferit prin lege, o serie de reuniuni cu reprezentanţi ai Asociaţiei Române a Băncilor, precum şi cu cei ai instituţiilor financiar-bancare membre ale ARB, în vederea încetării oricăror acţiuni care încalcă prevederile legale privind protecţia datelor cu caracter personal.
Întrucât, prelucrarea datelor cu caracter personal în cadrul tranzacţiilor efectuate prin intermediul SWIFT presupune şi obligaţia operatorului (instituţia financiară) de a realiza informarea persoanelor vizate (persoanele ale căror date sunt prelucrate şi transferate în S.U.A.) cu privire la transferul de date în străinătate, precum şi la drepturile ce le revin persoanelor vizate şi modalităţile de exercitare a acestor drepturi, reuniunile ANSPDCP cu reprezentanţii ARB au în vedere elaborarea de către instituţiile financiare a unor note de informare cu privire la aceste aspecte.
Trebuie menţionat faptul că, spre deosebire de alte state europene, în cazul transferurilor efectuate prin intermediul instituţiilor financiar-bancare din România, acestea pot fi efectuate numai prin utilizarea reţelei SWIFT, neexistând o altă posibilitate pentru a efectua o astfel de operaţiune.
Notele de informare elaborate de către fiecare instituţie financiar-bancară în parte urmează să fie transmise ANSPDCP spre aprobare, urmând să fie aduse apoi, în mod adecvat, la cunoştinţa persoanelor vizate (clienţii instituţiilor financiar-bancare), în vederea respectării prevederilor legale relevante existente.