Ce este EU–US Privacy Shield – Scutul de confidențialitate UE-SUA?

EU–US Privacy Shield – Scutul de confidențialitate UE-SUA este un acord al cărui scop este de a reglementa schimbul de date cu caracter personal ale cetățenilor într-un cadru comercial între companiile americane și cetățenii din țările Uniunii Europene, având în vedere legile stricte ale Uniunii Europene, al căror scop este de a proteja datele cetățenilor Uniunii Europene. Cunoscut ca și GDPR, Regulamentul General privind Protecția Datelor asigură o protecție strictă a datelor cetățenilor Uniunii Europene, ceea ce împiedică schimbul sau vânzarea acestor date între societățile comerciale.

Multe companii americane au afaceri în Uniunea Europeană, ceea ce face ca aceste companii să fie nevoite să se supună legilor Uniunii Europene, inclusiv legilor care reglementează și schimbul de date ale cetățenilor. În conformitate cu GDPR, companiile americane se confruntă cu mari dificultăți în ceea ce privește schimbul de date cu cetățenii Uniunii Europene.

Unele țări din afara Uniunii Europene au legi slabe privind protecția datelor și nu sunt apropiate de cele ale Uniunii Europene. Acest lucru face ca partajarea datelor cetățenilor Uniunii Europene cu companii din străinătate să reprezinte un obstacol pentru țările care au legi stricte de protecție a datelor, echivalente sau apropiate de cele ale Uniunii Europene (cum ar fi Canada și Argentina). Constatăm că Statele Unite nu se numără printre aceste țări, astfel încât există un decalaj între legile din Statele Unite legate de protejarea confidențialității datelor personale și legile din UE (GDPR).

De ce avem nevoie de scutul de confidențialitate?

În octombrie 1988, a fost pusă în aplicare Directiva Comisiei Europene privind protecția datelor, care împiedică transferul de date din Uniunea Europeană către țări din afara Uniunii Europene ale căror legi nu respectă legile de distribuire și protecție a datelor din Uniunea Europeană (și, bineînțeles, din aceste țări, către Statele Unite). Astfel, atât Departamentul de Comerț al SUA, cât și Comisia Europeană instituie Scutul de confidențialitate UE-SUA, care, la rândul său, permite transferul de date cu caracter personal între companiile de pe ambele maluri ale Atlanticului într-un mod care nu intră în conflict cu Regulamentul general privind protecția datelor (GDPR) al UE.

În ceea ce privește transferul de date ale cetățenilor americani către companii din Uniunea Europeană, acesta este inclus în acord, deși nu reprezintă un obstacol și nu a fost un motiv major pentru crearea scutului de confidențialitate UE-SUA. Asta deoarece legile privind schimbul de date și reglementarea în Statele Unite nu sunt la fel de severe ca cele din Uniunea Europeană pentru protejarea confidențialității datelor, ceea ce oferă o oarecare libertate companiilor din Uniunea Europeană de a face schimb de date ale cetățenilor americani fără a fi nevoie de acest acord. Principalul motiv al acordului este incapacitatea companiilor americane de a accesa anumite date ale cetățenilor europeni, iar acest lucru se datorează faptului că acest lucru contravine Regulamentului general privind protecția datelor (GDPR) al UE.

Prin urmare, putem spune că scutul de confidențialitate este un program al cărui scop este de a încerca să acopere decalajul care există între legile de protecție a confidențialității datelor între Uniunea Europeană și Statele Unite, ceea ce oferă posibilitatea companiilor americane de a vedea unele dintre informațiile personale ale cetățenilor Uniunii Europene.

Motive pentru care avem nevoie de o politică de confidențialitate?

Legislația internațională impune protejarea confidențialității datelor cu caracter personal ale persoanelor fizice. De asemenea, este necesară pentru clienții care decid să utilizeze serviciile companiilor din SUA pentru a le garanta dreptul la confidențialitatea datelor lor. Fără scutul de confidențialitate, comerțul între Statele Unite și Uniunea Europeană ar fi oprit.

Punctele principale și principiile scutului de confidențialitate UE-SUA

Departamentul american de comerț a elaborat numeroase principii și legi pentru a îndeplini cerințele și condițiile Uniunii Europene și în încercarea de a evita motivele care au dus la eliminarea principiilor internaționale de confidențialitate Safe Harbor, aceste principii și cadre includ:

Evidențele și principiile persoanelor fizice din UE:

  • Persoanele fizice au dreptul de a depune o plângere direct la participanții scutului de confidențialitate, iar organizația care participă la scutul de confidențialitate trebuie să răspundă la plângere în termen de 45 de zile.
  • Participanții la “scutul de confidențialitate” trebuie să ofere, în mod gratuit, un mecanism de examinare și de soluționare a problemelor prezentate de cetățeni. În cazul în care o persoană depune o plângere direct la autoritatea de protecție a datelor (APD) din UE, Departamentul american al Comerțului este obligat să primească, să examineze și să rezolve plângerea și să răspundă cetățeanului în termen de 90 de zile. Comisia Federală pentru Comerț din SUA (FTC) s-a angajat să acorde asistență și să ofere sprijin autorităților de protecție a datelor (APD), inclusiv prin schimbul de informații și asistență în cadrul investigațiilor.
  • Cetățenii din UE au dreptul de a înainta reclamații în instanțele din SUA și de a le contesta în unele cazuri. Organizația care participă la program trebuie să informeze cetățenii despre participarea sa la scutul de confidențialitate, tipurile de date care vor fi colectate și partajate despre persoane, scopurile pentru care datele sunt colectate și partajate și să furnizeze o sursă pentru depunerea plângerilor, cum ar fi un link sau un număr de telefon.
  • Cetățenii au dreptul de a alege dacă datele lor cu caracter personal vor fi folosite sau nu în alte scopuri decât cele convenite.
  • Atunci când este vorba de informații sensibile și private, cum ar fi condiții speciale de sănătate, origini etnice, opinii politice sau religioase, organizația trebuie să obțină permisiunea scrisă din partea persoanei în cauză pentru a împărtăși datele cu o terță parte sau pentru a le utiliza în alte scopuri decât cele pentru care au fost colectate. Atunci când partajează date personale sensibile, cum ar fi cele menționate mai sus, organizația care participă la programul Scutul de confidențialitate este obligată să încheie un contract cu partea terță cu care vor fi partajate datele. Contractul respectiv stipulează că datele nu vor fi utilizate în alte scopuri decât cele pentru care au fost colectate și prevede furnizarea aceluiași nivel de protecție care a fost promis de către organizația care participă la Scutul de confidențialitate.
  • Persoanele fizice au dreptul de a accesa, modifica sau șterge informațiile lor în cazul în care acestea au fost prelucrate incorect de către organizația participantă. Organizația participantă trebuie să clarifice scopurile în care vor fi partajate și utilizate datele persoanelor fizice.

Vă recomandăm să citiți mai multe despre drepturile persoanelor vizate în articolul nostru care prezintă aceste drepturi conferite de GDPR atât din punctul de vedere al persoanei cât și al obligativității operatorului de a le conferi.

Principiile și punctele esențiale ale cooperării cu APD din UE:

Departamentul american al Comerțului s-a angajat să facă tot posibilul pentru a pune în aplicare principiile și legile care vor contribui la succesul programului de scut de confidențialitate UE-SUA, care va include principii care protejează viața privată a persoanelor și legi care vizează creșterea cooperării cu autoritățile de protecție a datelor din Uniunea Europeană (DPA). Cele mai importante dintre aceste principii și legi sunt:

  • Urmărirea companiilor care au fost afiliate la programul scutului de confidențialitate și care și-au reziliat calitatea de membru sau au decis să iasă din acord, pentru a se asigura că vor continua să respecte legile programului și că nu vor face un abuz de datele persoanelor.
  • Urmărirea acuzațiile false făcute de unele organizații și companii cu privire la aderarea la program și luarea de măsuri legale necesare pentru a face față acestor acuzații.
  • Asigurarea unei legături permanente și directe între autoritatea de protecție a datelor din Uniunea Europeană (DPA) și Departamentul de Comerț american care s-a angajat să facă tot posibilul pentru a primi orice plângere și a rezolva orice problemă.
  • Oferirea de asistență autorităților de protecție a datelor din Uniunea Europeană (DPA) prin furnizarea de orice informații legate de participanți și despre cadrul Scutului de confidențialitate.
  • Programul Scutul de confidențialitate va asigura un angajament ferm al companiilor care gestionează datele personale ale cetățenilor în ceea ce privește menținerea confidențialității persoanelor, iar Departamentul american al Comerțului s-a angajat să asigure supravegherea și monitorizarea acestor companii și organizații și să prezinte rapoarte anuale. Pentru orice cetățean care consideră că datele sale au fost folosite ilegal, programul scutului de confidențialitate îi garantează numeroase mecanisme de recuperare a dreptului său, cu proceduri necomplicate la prețuri ieftine.

Cum pot beneficia companiile de scutul de confidențialitate UE-SUA?

Deși mulți investitori pot considera că scutul de confidențialitate are multe efecte negative asupra companiilor și organizațiilor lor, dacă privim cu atenție, putem observa că pot exista unele beneficii pentru compania care beneficiază de scutul de confidențialitate.

Acele acorduri care garantează confidențialitatea consumatorului contribuie la creșterea nivelului de încredere dintre el și organizație, ceea ce duce și la creșterea numărului de clienți noi care vor decide să cumpere serviciile companiei.

Companiile vor putea să ocolească punerea în aplicare a clauzelor contractuale în momentul transferului, ceea ce va economisi mult timp (care ar putea ajunge până la câteva luni) și va face ca procesul de transfer să fie mult mai rapid. Și asta pentru că transferul pe baza Scutului de confidențialitate nu necesită autorizarea prealabilă din partea a 65% dintre autoritățile de protecție a datelor din UE sau notificarea acestora.

Transferul de date pe baza Scutului de confidențialitate nu are nevoie de actualizări continue și de semnături pe fiecare nou contract, ceea ce va economisi multă birocrație.

Instituțiile și companiile au posibilitatea de a alege să participe sau nu la scutul de confidențialitate, dar nu au posibilitatea de a alege să respecte legile Uniunii Europene pentru a proteja datele cetățenilor. Asta înseamnă că societățile neparticipante nu vor putea obține informații despre clienții lor din Uniunea Europeană.

Ai nevoie de ajutor în implementarea GDPR?
Apelează la serviciile noastre de consultanță GDPR online.

  • Îți evaluăm riscurile în cel mai mic detaliu

  • Te asistăm pas cu pas în implementare

  • Îți instruim angajații care prelucrează date

  • Îți oferim proceduri și documente tipizate

Istoria scutului de confidențialitate de la 2016 la 2.0

Subiectul nu este nou și nici nu a fost creat recent, dar există legi vechi și încercări de a reduce decalajul dintre legile privind confidențialitatea datelor din Statele Unite și Uniunea Europeană. Ne referim aici în special la ceea ce este cunoscut sub numele de Acordul internațional privind principiile de confidențialitate Safe Harbor, un program care a fost creat și dezvoltat între 1998 și 2000. Obiectivele și principiile sale sunt foarte apropiate de scutul de confidențialitate, deoarece urmărește să ofere protecție pentru datele cetățenilor Uniunii Europene care sunt partajate cu companii din Statele Unite în scopuri comerciale.

La 6 octombrie 2015, Curtea Europeană de Justiție (CEJ) a invalidat Principiile internaționale privind protecția vieții private din cadrul programului “The International Safe Harbor”. Acest lucru este cunoscut sub numele de Schrems I. După aceasta, începe o nouă încercare de a găsi o soluție sau un acord prin care datele persoanelor europene să poată fi partajate cu companii americane într-un mod care să nu intre în conflict cu Regulamentul general privind protecția datelor (GDPR). Prin urmare, putem spune că scutul de confidențialitate a fost o extensie sau o alternativă la principiile internaționale de confidențialitate Safe Harbor, cu o încercare de a corecta erorile care au dus la încetarea acordului.

Iată câteva dintre aceste modificări care au fost făcute în încercarea de a evita oprirea din nou a programului:

  • Aplicarea unor legi mai stricte pentru organizațiile participante.
  • Persoanele fizice au dreptul de a lua măsuri, cum ar fi ștergerea completă a datelor de la organizațiile participante.
  • Datele nu pot fi folosite în alte scopuri decât cele pentru care au fost colectate și pentru care cetățeanul trebuie, de asemenea, să fie conștient de la început de aceste scopuri.
  • Organizațiile participante la scutul de confidențialitate oferă mecanisme de discutare și de soluționare a plângerilor în mod gratuit.

Cu toate aceste eforturi și schimbări între principiile internaționale de confidențialitate Safe Harbor și scutul de confidențialitate, instanța (care este aceeasi care a oprit vechiul acord) a oprit scutul de confidențialitate la 16 iulie 2020, în ceea ce este cunoscut sub numele de Schrems II.

Schrems II

De ce este suspendat programul Privacy Shield?

Suspendarea este cauzată de trei motive principale:

  1. Primul motiv este așa-numita “Decizie de adecvare“. Este vorba de o lege (de condiții stabilite de Curtea de Justiție a Uniunii Europene – CJUE) care prevede că trebuie să existe legi de protecție a vieții private a persoanelor în țările care vor trata comercial cu cetățenii Uniunii Europene, legi echivalente sau cel puțin apropiate de cele din Uniunea Europeană (GPDR) și, deși există unele țări care îndeplinesc această condiție, cum ar fi Canada, Argentina și multe alte țări, Statele Unite nu este una dintre aceste țări.
  1. Al doilea motiv este Legea privind supravegherea din SUA. Este o lege din Constituția SUA și prevede în mod clar că autoritățile americane au dreptul de a monitoriza orice date în scopuri de securitate, cum ar fi descoperirea oricărei amenințări la adresa armatei americane sau confruntarea cu terorismul sau cu orice obiectiv de a provoca revolte în țară. În cauza Schrems II, CJUE a abordat validitatea SCC-urilor, precum și constatarea de către Comisia Europeană a caracterului adecvat al Safe Harbour. În ceea ce privește întrebarea dacă SUA oferă un nivel adecvat de protecție, CJUE a constatat că, întrucât secțiunea 702 din Legea americană privind supravegherea serviciilor de informații externe (FISA) nu limitează puterea programelor de supraveghere de a viza persoane din afara SUA, SUA nu garantează un nivel de protecție a vieții private. 
  1. Al treilea motiv este că cetățenii UE nu pot depune o cerere de urmărire penală dacă se constată că autoritățile americane sunt implicate în utilizarea greșită a datelor.

Rezultatele suspendării scutului de confidențialitate UE-SUA:

Astfel de restricții ar reduce comerțul digital și ar avea repercusiuni economice negative pentru întreprinderile de pe ambele maluri ale Atlanticului. Dezactivarea programului scutului de confidențialitate face ca întreprinderile și organizațiile să lucreze cu clauze contractuale standard (SCC), denumite și clauze contractuale model (MCC), o lege utilizată pentru transferul de date între țările UE și cele din afara UE, care impune, de asemenea, restricții stricte privind utilizarea acesteia. Problema cu SCC-urile este că vorbim despre o obligație contractuală care nu obligă alte guverne. Prin urmare, în cazul în care practicile agențiilor naționale de securitate pentru accesarea datelor cu caracter personal sunt incompatibile cu GDPR, SCC-urile nu remediază în mod evident această problemă. De asemenea, utilizarea clauzelor contractuale standard nu face ca un transfer internațional de date să fie automat conform cu GDPR. Compania trebuie să evalueze legile din țara în care intenționează să transfere datele. Pentru a utiliza SCC-uri, trebuie să documentați riscurile implicate în relațiile cu destinatarii de date din afara Uniunii Europene și să evaluați existența unor lacune sau excepții în legile țării în care vor fi transferate datele. Trebuie urmarită asigurarea deplină a integrității infrastructurii pentru examinarea și stocarea datelor cetățenilor precum și actualizările din partea autorităților Uniunii Europene privind CSC.

Ce se întâmplă după suspendarea scutului de confidențialitate?

Companiile participante trebuie să reconsidere termenii în baza cărora au încheiat contracte cu companii terțe în ceea ce privește utilizarea datelor. Companiile care au cunoscut problemele și provocările cu care se confruntă scutul de confidențialitate UE-SUA și care s-au adaptat la CSC sunt mai puțin afectate de această suspendare. Suspendarea ar putea determina statele să se gândească din nou dacă să își remodeleze legislația națională în materie de confidențialitate în conformitate cu legislația GDPR.

Iată care sunt recomandările Comitetului european pentru protecția datelor (EDPB) atunci când se utilizează SCC:

  • Cunoașteți-vă transferurile: identificați instrumentele de transfer pe care vă bazați.
  • Decizii de adecvare.
  • Evaluați factorii de transfer.
  • Evaluați legile.
  • Adoptați măsuri suplimentare.
  • Adoptați măsuri procedurale dacă ați identificat măsuri suplimentare eficiente.
  • Reevaluați la intervale adecvate.

Scutul de confidențialitate 2.0

Dacă ne uităm la numărul de încercări făcute pentru a compenseze absența sau anularea scutului de confidențialitate UE-SUA, putem ști importanța și existența unui astfel de acord, deoarece odată ce acest program este anulat, găsim imediat o altă încercare de a compensa această anulare. Acest lucru ne permite să ne dăm seama de dimensiunea investiției existente între Statele Unite și Uniunea Europeană, care are nevoie urgentă de un acord pentru a depăși decalajul care există între legile privind protecția confidențialității datelor din cele două țări.

Din cauza necesității și importanței continuării acestor investiții între cele două țări, cele două părți au încercat să încheie un nou acord cunoscut sub numele de Scutul de confidențialitate 2.0. Aceste încercări continue de a ajunge la un acord care să satisfacă toate părțile ne arată importanța comerțului existent între cele două țări.

Uniunea Europeană și Statele Unite au ajuns la un acord privind o nouă alternativă la scutul de confidențialitate din cauza unei suspendări în decizia Schrems II în iulie 2020, cunoscut inițial sub numele de scutul de confidențialitate 2.0. De fapt, obiectivul creării unui astfel de acord nu este foarte diferit de scutul de confidențialitate UE-SUA, care a fost abolit, deoarece scopul ambelor părți este de a încerca să facă schimb de date într-un mod care să respecte GDPR.

La 25 martie 2022, Casa Albă a anunțat câteva principii inițiale pentru un nou acord cu Uniunea Europeană în vederea partajării unor date ale cetățenilor.

Ce modificări ar putea fi aduse scutului de confidențialitate 2.0 pentru a evita o nouă denunțare a acordului de către Curtea de Justiție (CJUE)?

În primul rând, să convenim că scutul de confidențialitate UE-SUA 2.0 este doar un anunț până în prezent și nu un text explicit care poate fi discutat sau luat în considerare. Există indicii că Statele Unite nu intenționează să își modifice legile privind supravegherea, care a fost un motiv important pentru anularea vechiului program, iar acest lucru pune mari îndoieli cu privire la faptul că CJUE va permite sau nu acest lucru. Până în prezent, nu se pare că au avut loc schimbări în ceea ce privește legile care reglementează utilizarea datelor în context comercial. Companiilor participante li se vor aplica obligații mai stricte, iar acest lucru va include cerința de a-și autocertifica aderarea la Departamentul de Comerț al SUA.

Etapele la care trebuie să ne așteptăm pentru punerea în aplicare a Scutului de confidențialitate UE-SUA 2.0

În primul rând, Statele Unite trebuie să convertească declarația despre care a vorbit, într-un text oficial scris care să poată fi discutat și vizualizat.

În al doilea rând, este rândul Uniunii Europene să emită o propunere scrisă privind o decizie de adecvare. Apoi, Comitetul European pentru Protecția Datelor (EDPB) va analiza propunerea respectivă pentru a descoperi eventualele probleme cu privire la aceasta.

În al treilea rând, toate țările care reprezintă UE trebuie să fie de acord cu noul scut de confidențialitate 2.0.

În cele din urmă, Comisia Europeană analizează decizia de adecvare pentru a se asigura că aceasta respectă termenii Regulamentului general privind protecția datelor (GDPR).

Toate aceste etape vor dura ceva timp. De exemplu, în 2016, doar anunțarea deciziei de adecvare a durat aproximativ șase luni.

Va fi întrerupt din nou scutul de confidențialitate 2.0?

Această întrebare este coloana vertebrală a întregii probleme, deoarece dacă principiile internaționale de confidențialitate Safe Harbor nu ar fi fost întrerupte în Schrems I în 2015 și scutul de confidențialitate UE-SUA 1.0 în Schrems II nu ar fi fost întrerupt în 2020, acum nu am fi vorbit deloc despre scutul de confidențialitate UE-SUA 2.0. Pentru că acest program este inițial o încercare de a înlocui scutul de confidențialitate UE-SUA 1.0, așa cum am menționat mai sus.

Dacă ne uităm la detaliile inițiale ale programului, nu găsim o schimbare reală și fundamentală care ar putea determina Curtea Europeană de Justiție (CJUE) să nu oprească scutul de confidențialitate UE-SUA 2.0. Acest lucru se datorează faptului că nu găsim nicio schimbare în principalele motive care au dus la anularea vechilor programe, și aici mă refer în mod special la agențiile de informații americane, care, așa cum am explicat mai sus, permit SUA să monitorizeze informațiile și datele pentru a determina orice amenințare la adresa forțelor armate americane, să monitorizeze terorismul și orice revolte care ar putea avea loc în țară, conform acuzației Statelor Unite.

Cerințe și recomandări care sunt necesare pentru a evita suspendarea din nou

La redactarea textului programului Scutul de confidențialitate UE-SUA 2.0, care va fi supus aprobării Uniunii Europene, Statele Unite trebuie să țină cont de câteva puncte importante și de bază care ar putea determina CJUE să anuleze din nou acordul, iar cele mai importante dintre aceste puncte sunt următoarele:

  • Statele Unite ar trebui să se angajeze în scris că datele cetățenilor europeni nu vor fi folosite de către agențiile de informații americane.
  • Statele Unite trebuie să respecte decizia de adecvare.

Fără respectarea acestor puncte, noul program are toate șansele să fie suspendat din nou.

Concluzii

În Statele Unite ale Americii, legile privind schimbul de date și reglementarea pentru protejarea confidențialității datelor nu sunt la fel de severe ca cele din Uniunea Europeană. Totuși, având în vedere importanța comerțului existent între cele două țări și repercursiunile economice negative care ar rezulta din stoparea comerțului între UE și SUA, s-au făcut numeroase încercări de a ajunge la un acord în ceea ce privește protejarea datelor personale ale cetățenilor Uniunii Europene în relațiile cu SUA, acorduri care au fost, într-un final, suspendate.

Scutul de confidențialitate este programul al cărui scop este tocmai acela de a încerca să acopere decalajul care există între legile de protecție a confidențialității datelor între Uniunea Europeană și Statele Unite. Mai avem însă de așteptat până când noul acord, scutul de confidențialitate UE-SUA 2.0. va fi validat de către Curtea de Justiție având în vedere că în acest moment noul acord a fost doar anunțat la 25 martie 2022 de către Casa Albă, fără a exista încă un text oficial. Reținem totuși lupta pe care o duce Uniunea Europeană pentru a proteja datele personale ale cetățenilor ei.

Dacă aveți întrebări referitoare la schimburile de date transfrontaliere, fie ele cu Statele Unite ale Americii sau orice alte țări, și aveți nevoie de asistență în ceea ce privește implementarea standardului GDPR în compania sau instituția pe care o reprezentați, contactați-ne pe contact@gdprcomplet.ro.