Invalidarea Deciziei Comisiei Europene (UE) 2016/1250 privind Scutul de confidențialitate UE-SUA
Prin hotărărea din data de 16 iulie 2020 pronunțată în cauza C-113/18, Curtea de Justiție a Uniunii Europene invalidează Decizia de punere în aplicare (UE) 2016/1250 a Comisiei din 12 iulie 2016 în temeiul Directivei 95/46/CE a Parlamentului European și a Consiliului privind caracterul adecvat al protecției oferite de Scutul de confidențialitate UE-SUA.
Astfel, CJUE a examinat validitatea Deciziei Comisiei Europene (UE) 2016/1250 prin prisma cerințelor derivate din Regulamentul (UE) 2016/679, ținând cont de dispoziții Cartei care garantează respectarea vieții private și de familie, protecția datelor cu caracter personal și dreptul la o protecție judiciară eficientă.
În opinia CJUE, limitele privind protecția datelor cu caracter personal care decurg din dreptul intern al Statelor Unite privind accesul și utilizarea de către autoritățile publice americane a acestor date transferate din Uniunea Europeană în țara terță nu sunt circumscrise într-un mod care să satisfacă cerințe care sunt în mod esențial echivalente cu cele impuse de legislația Uniunii Europene, prin principiul proporționalității, în măsura în care programele de supraveghere bazate pe aceste dispoziții nu se limitează la ceea ce este strict necesar.
În același timp, CJUE a subliniat faptul că că, deși aceste dispoziții stabilesc cerințele pe care autoritățile americane trebuie să le respecte în momentul punerii în aplicare a programelor de supraveghere în cauză, dispozițiile nu acordă persoanelor vizate drepturi acționabile în fața instanțelor împotriva autorităților americane.
În ceea ce privește cerința protecției judiciare, în opinia CJUE, mecanismul Ombudsmanului pentru Scutul de confidențialitate nu oferă garanții echivalente cu cele impuse de legislația UE, astfel încât să se asigure atât independența Ombudsmanului prevăzut de acest mecanism, cât și norme care îi permit acestuia să adopte decizii care sunt obligatorii pentru Serviciile de informații din Statele Unite (US intelligence services). În acest sens, CJUE reține că deși Considerentul (120) al Deciziei Comisiei Europene (UE) 2016/1250 menționează un angajament al guvernului american ca respectiva componentă a serviciilor de informații să fie obligată să remedieze orice încălcare a normelor aplicabile detectată de Ombudsmanul pentru Scutul de confidențialitate, decizia menționată nu conține nicio indicație potrivit căreia acest Ombudsman ar fi abilitat să adopte decizii obligatorii în privința respectivelor servicii și nici nu menționează garanțiile legale care ar însoți acest angajament și de care s‑ar putea prevala persoanele vizate astfel că, în consecință, mecanismul de tip Ombudsman prevăzut de Decizia Comisiei Europene (UE) 2016/1250 nu furnizează o cale de atac în fața unui organ care oferă persoanelor ale căror date sunt transferate către Statele Unite garanții în esență echivalente cu cele prevăzute la articolul 47 din Carta drepturilor fundamentale a Uniunii Europene.
Pentru toate aceste motive, Curtea de Justiție a Uniunii Europene a declarat nulă Decizia de punere în aplicare (UE) 2016/1250 a Comisiei din 12 iulie 2016 în temeiul Directivei 95/46/CE a Parlamentului European și a Consiliului privind caracterul adecvat al protecției oferite de Scutul de confidențialitate UE-SUA. Decizia CJUE este disponibila la urmatorul link: http://curia.europa.eu/juris/document/document.jsf?text=&docid=228677&pageIndex=0&doclang=RO&mode=lst&dir=&occ=first&part=1&cid=10304093
Totodată, în cadrul Plenarei Comitetului European pentru Protecția Datelor, desfășurată on-line în data de 17 iulie 2020, a fost adoptată Declarația privind invalidarea de către Curtea de Justiție a Uniunii Europene a Decizia de punere în aplicare (UE) 2016/1250 a Comisiei din 12 iulie 2016 în temeiul Directivei 95/46/CE a Parlamentului European și a Consiliului privind caracterul adecvat al protecției oferite de Scutul de confidențialitate UE-SUA.
În atare situație, în absența unei decizii privind caracterul adecvat în temeiul art. 45 alin. (3) din Regulamentul (UE) 2016/679, transferul de date cu caracter personal către Statele Unite poate fi efectuat în conformitate cu unul din următoarele instrumente prevăzute de art. 46 din Regulamentul (UE) 2016/679:
- clauze standard de protecție a datelor,
- reguli corporatiste obligatorii,
- coduri de conduită și mecanisme de certificare,
De asemenea, transferul de date cu caracter personal către Statele Unite se poate realiza în temeiul derogărilor prevăzute la art. 49 din Regulamentul (UE) 2016/679.
Versiunea în limba engleză a Declaraței CEPD este accesibilă la următorul link: https://edpb.europa.eu/news/news/2020/statement-court-justice-european-union-judgment-case-c-31118-data-protection_en.