Suspendarea transferului datelor utilizatorilor europeni ai Facebook către servere situate în Statele Unite (Concluziile avocatului general în cauza C-362/14)

În opinia avocatului general Yves Bot, decizia Comisiei prin care se constată caracterul adecvat al protecției datelor cu caracter personal în Statele Unite nu împiedică autoritățile naționale să suspende transferul datelor utilizatorilor europeni ai Facebook către servere situate în Statele Unite. Avocatul general apreciază în plus că această decizie este nevalidă.

Directiva privind prelucrarea datelor cu caracter personal^[1] prevede că transferul unor asemenea date către o țară terță poate avea loc dacă țara terță în discuție asigură un nivel de protecție adecvat acestor date. Tot potrivit directivei, Comisia Europeană poate constata că o țară terță asigură un nivel de protecție adecvat. În cazul în care Comisia adoptă o decizie în acest sens, transferul de date cu caracter personal către țara terță în cauză poate avea loc.

Domnul Maximilian Schrems, cetățean austriac, utilizează Facebook din anul 2008. Ca și în cazul celorlalți utilizatori care au reședința în Uniune, datele furnizate către Facebook de domnul Schrems sunt transferate, în tot sau în parte, de la filiala irlandeză a Facebook pe servere situate pe teritoriul Statelor Unite, unde sunt păstrate. Domnul Schrems a depus o plângere la autoritatea irlandeză de protecție a datelor, considerând că având în vedere dezvăluirile făcute în anul 2013 de domnul Edward Snowden cu privire la activitățile serviciilor de informații ale Statelor Unite (în special National Security Agency sau „NSA”), dreptul și practicile din Statele Unite nu asigură nicio protecție reală a datelor transferate către această țară împotriva supravegherii statului american. Autoritatea irlandeză a respins plângerea, în special pentru motivul că, într-o decizie din 26 iulie 2000^[2], Comisia a apreciat că, în cadrul sistemului denumit al „sferei de siguranță”^[3], Statele Unite asigura un nivel adecvat de protecție a datelor cu caracter personal transferate.

Sesizată cu această cauză, High Court of Ireland (Înalta Curte de Justiție a Irlandei) solicită să se stabilească dacă această decizie a Comisiei are drept efect să împiedice o autoritate națională de supraveghere să investigheze o plângere în care se pretinde că o țară terță nu asigură un nivel de protecție adecvat și, dacă este cazul, să suspende transferul de date contestat.

În concluziile prezentate azi, avocatul general Yves Bot apreciază că existența unei decizii a Comisiei prin care se constată că o țară terță asigură un nivel de protecție adecvat datelor cu caracter personal transferate nu poate anula și nici măcar reduce competențele de care dispun autoritățile naționale de supraveghere în temeiul Directivei privind prelucrarea datelor cu caracter personal. Acesta consideră în plus că decizia Comisiei este nevalidă.

Avocatul general apreciază mai întâi că, având în vedere importanța rolului lor în domeniul protecției datelor, competențele de intervenție ale autorităților naționale de supraveghere trebuie să rămână depline. În cazul în care autoritățile naționale de supraveghere ar fi ținute în mod absolut de deciziile adoptate de Comisie, acest fapt ar limita în mod inevitabil independența totală de care beneficiază în temeiul directivei. Avocatul general concluzionează că, dacă o autoritate națională de supraveghere apreciază că un transfer de date aduce atingere protecției cetățenilor Uniunii în ceea ce privește prelucrarea datelor lor, aceasta are competența de a suspenda acest transfer, indiferent de evaluarea generală realizată de Comisie în decizia sa. Astfel, competența acordată de directivă Comisiei nu afectează competențele conferite de aceasta autorităților naționale de supraveghere. Cu alte cuvinte, Comisia nu dispune de competența de a restrânge atribuțiile autorităților naționale de supraveghere.

Deși admite că autoritățile naționale de supraveghere sunt ținute din punct de vedere juridic de decizia Comisiei, avocatul general consideră totuși că un asemenea efect obligatoriu nu este de natură să impună ca plângerile să fie respinse în mod sumar, și anume de îndată și fără nicio examinare a temeiniciei lor, cu atât mai mult cu cât constatarea nivelului de protecție adecvat este o competență partajată între statele membre și Comisie. O decizie a Comisiei are, desigur, un rol important pentru uniformizarea condițiilor de transfer în cadrul statelor membre, dar această uniformizare poate continua numai atât timp cât această constatare nu este repusă în discuție, în special în cadrul unei plângeri pe care autoritățile naționale de supraveghere trebuie să o soluționeze în temeiul competențelor de investigare și de interdicție care le sunt recunoscute de directivă.

Pe de altă parte, avocatul general apreciază că, în cazul unor deficiențe sistemice constatate în țara terță către care sunt transferate date cu caracter personal, statele membre trebuie să poată lua măsurile necesare pentru apărarea drepturilor fundamentale protejate de Carta drepturilor fundamentale a Uniunii Europene, printre care figurează dreptul la respectarea vieții private și a vieții de familie și dreptul la protecția datelor cu caracter personal.

Având în vedere îndoielile exprimate în cursul procedurii privind validitatea Deciziei 2000/520, avocatul general apreciază că Curtea ar trebui să verifice acest aspect și ajunge la concluzia că decizia este nevalidă. Astfel, din constatările efectuate atât de High Court of Ireland, cât și de Comisia însăși rezultă că dreptul și practica Statelor Unite permit colectarea, la scară largă, a datelor cu caracter personal ale cetățenilor Uniunii care sunt transferate, fără ca aceștia din urmă să beneficieze de o protecție jurisdicțională efectivă. Aceste constatări de fapt demonstrează că decizia Comisiei nu conține suficiente garanții. Ca urmare a acestei insuficiențe a garanțiilor, decizia menționată a fost pusă în aplicare într-un mod care nu respectă cerințele impuse de directivă și de cartă.

Avocatul general consideră în plus că accesul de care dispun serviciile de informații americane la datele transferate constituie o ingerință în dreptul la respectarea vieții private și în dreptul la protecția datelor cu caracter personal. De asemenea, imposibilitatea cetățenilor Uniunii de a fi ascultați cu privire la problema interceptării și a supravegherii datelor lor în Statele Unite constituie, potrivit avocatului general, o ingerință în dreptul cetățenilor Uniunii la o cale de atac efectivă, protejat de cartă.

În opinia avocatului general, această ingerință în drepturile fundamentale este contrară principiului proporționalității, în special deoarece supravegherea exercitată de serviciile de informații americane este masivă și nedirecționată către o țintă precisă. Astfel, accesul la datele cu caracter personal de care dispun serviciile de informații americane acoperă în mod generalizat toate persoanele și toate mijloacele de comunicare electronică, precum și ansamblul datelor transferate (inclusiv conținutul comunicărilor), fără a face nicio diferențiere, limitare sau excepție în funcție de obiectivul de interes general urmărit. În aceste condiții, avocatul general apreciază că nu se poate considera în niciun caz o țară terță asigură un nivel de protecție adecvat, cu atât mai puțin cu cât sistemul sferei de siguranță, astfel cum este definit în decizia Comisiei, nu conține garanții de natură să evite un acces masiv și generalizat la datele transferate. Nicio autoritate independentă nu este astfel în măsură să supravegheze, în Statele Unite, încălcarea principiilor protecției datelor cu caracter personal săvârșită de actori publici, precum agențiile de securitate americane, în privința cetățenilor Uniunii.

În fața unei asemenea constatări a încălcării drepturilor fundamentale ale cetățenilor Uniunii, Comisia ar fi trebuit, în opinia avocatului general, să suspende aplicarea deciziei, chiar dacă aceasta desfășoară în prezent negocieri cu Statele Unite pentru a pune capăt încălcărilor constatate. Avocatul general arată de altfel că, dacă Comisia a decis să inițieze negocieri cu Statele Unite, aceasta este tocmai urmarea faptului că a considerat, în prealabil, că nivelul de protecție asigurat de această țară terță, în cadrul sistemului sferei de siguranță, nu mai era adecvat și că Decizia din anul 2000 nu mai era adaptată la realitatea situației.

Mențiuni: Concluziile avocatului general nu sunt obligatorii pentru Curtea de Justiție. Misiunea avocaților generali este de a propune Curții, în deplină independență, o soluție juridică în cauza care le este atribuită. Judecătorii Curții urmează să delibereze în această cauză. Hotărârea va fi pronunțată la o dată ulterioară.

Trimiterea preliminară permite instanțelor din statele membre ca, în cadrul unui litigiu cu care sunt sesizate, să adreseze Curții întrebări cu privire la interpretarea dreptului Uniunii sau la validitatea unui act al Uniunii. Curtea nu soluționează litigiul național. Este de competența instanței naționale să soluționeze cauza conform deciziei Curții. Această decizie este obligatorie, în egală măsură, pentru celelalte instanțe naționale care sunt sesizate cu o problemă similară.

Sursa informației este comunicatul de presă publicat de Curtea de Justiție a Uniunii Europene (www.curia.europa.eu).

^[1] Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date (JO L 281, p. 31, Ediție specială, 3/vol. 17, p. 10).

^[2] Decizia 2000/520/CE a Comisiei din 26 iulie 2000 în temeiul Directivei 95/46/CE a Parlamentului European și a Consiliului privind caracterul adecvat al protecției oferite de principiile „sferei de siguranță” privind protecția vieții private și întrebările de bază aferente, publicate de Departamentul Comerțului al S.U.A. (JO 2000, L 215, p. 7, Ediție specială,
16/vol. 1, p. 64).

^[3] Regimul sferei siguranță cuprinde o serie de principii referitoare la protecția datelor cu caracter personal la care întreprinderile americane pot subscrie în mod voluntar.