179
Material de opinie de Iulia Antonie, Deloitte Central Europe Privacy Leader, și Silvia Axinescu, Senior Managing Associate la Reff & Asociații|Deloitte Legal
Hotărârea Curții de Justiție a Uniunii Europene (CJUE), prin care a declarat nul acordul care permitea transferul de date cu caracter personalîntre Uniunea Europeană (UE) și Statele Unite ale Americii (SUA), denumit EU-US Privacy Shield, a creat îngrijorare atât în rândul specialiștilor pe teme de protecția datelor cu caracter personal, dar mai ales printre companiile multinaționale.
Este vorba în principal de companiile care transferă datele către societățile mamă, sau de cele care utilizează serviciile unor companii americane, precum furnizorii de servicii de tip cloud.
Însă, înainte de a evalua impactul pe care acest eveniment îl are asupra activității companiilor vizate, trebuie punctate câteva aspecte.
În ce a constat mecanismul EU-US Privacy Shield?
Programul permitea companiilor americane să se înscrie pe site-ul Departamentului de Comerț al Statelor Unite și să auto-certifice aderarea la cadrul Privacy Shield și îndeplinirea cerințelor adecvate legate de protecția datelor cu caracter personal. Aderarea la acest program facilita transferul datelor cetățenilor UE către companiile americane și oferea încredere partenerilor și autorităților din UE,responsabile cu protecția datelor cu caracter personal, că datele europenilor sunt prelucrate în conformitate cu cerințele GDPR.
Alternative la programul EU-US Privacy Shield
Este important de menționat că nu toate transferurile de date cu caracter personal către SUA se realizau în baza programului EU-US Privacy Shield. Există companii care fie nu au aderat la acest cadru, fie au considerat mai potrivite celelalte opțiuni pe care le pune la dispoziție GDPR.
Pe lângă cele douăalternative descrise mai sus, GDPR prevede și alte modalități adecvate pentru realizarea transferurilor de date, mai greu de implementat în prezent, dar a căror exploatare este de așteptat să crească în viitorul apropiat.
Printre acestea se numără:
Impactul deciziei CJUE asupra companiilor
Singurele companii afectate de decizia Curții Europeane de Justiție sunt cele care transferau date cu caracter personal în baza EU-US Privacy Shield. În aceste cazuri, ca urmare a deciziei curții, se impune evaluarea transferurilor realizate și implementarea de urgență a uneia dintre alternativelemenționate.
Decizia CJUE a produs, probabil, îngrijorare mai cu seamă în rândul utilizatorilor de servicii de tip cloud. În ceeace privește furnizorii din această categorie, încă din 2018 (anul intrării în vigoare a GDPR),aceștia au luat măsuri pentru a soluționa problema transferurilor de date cu caracter personal. Printre altele, în contractele încheiate cu furnizorii de servicii de tip cloud, s-a inclus o garanție referitoare la stocarea datelor cetățenilor pe teritoriul UE.
În concluzie, deși decizia CJUE are un impact în zona de transfer a datelor cu caracter personal, companiile afectate au la dispoziție alternative viabile pentru a-și continua activitatea încondiții de siguranță a datelor și cu respectarea reglementărilor aplicabile.