Avocatului General al Curții de Justiție a Uniunii Europene (CJUE), Yves Bot a emis la 23 septembrie 2015 concluziile sale în Cauza C-362/14 Maximillian Schrems împotriva Data Protection Commissioner.

Aceasta este o cerere de decizie preliminară formulată în temeiul articolului 267 TFUE de Înalta Curte de Justiție (High Court, Irlanda) şi, astfel cum subliniază avocatul general, invită Curtea să precizeze competențele de care dispun autoritățile naționale de supraveghere atunci când sunt sesizate cu o plângere cu privire la un transfer de date cu caracter personal către o întreprindere stabilită într-o țară terță și se afirmă, în susținerea acestei plângeri, că țara terță în cauză nu garantează un nivel adecvat de protecție a datelor transferate, în condițiile în care Comisia a adoptat, în temeiul articolului 25 alineatul (6) din Directiva 95/46, o decizie de recunoaștere a caracterului adecvat al nivelului de protecție asigurat de respectiva țară terță.

În opinia avocatului general, decizia Comisiei (Safe Harbor) prin care se constată caracterul adecvat al protecției datelor cu caracter personal în Statele Unite nu împiedică autoritățile naționale să suspende transferul datelor utilizatorilor europeni ai Facebook către serverele situate în Statele Unite.

Avocatului general, pledează pentru o invalidare a acordului Safe Harbor care reglementează transferul datelor cu caracter personal ale cetățenilor UE, utilizatori de servicii online cum ar fi Facebook, către Statele Unite ale Americii.

Acordul Safe Harbor datează din 26 iulie 2000, respectiv înainte de a fi constituită compania Facebook (2002) sau alte companii de servicii online şi înainte de atacurile teroriste din 11 septembrie 2001 care au determinat hotărârea SUA supravegherea în masă, astfel că el nu mai este adaptat la realitatea situației.

Acordul a fost pus în aplicare în UE în baza Deciziei 2000/520/CE a Comisiei în temeiul Directivei 95/46/CE a Parlamentului European și a Consiliului privind caracterul adecvat al protecției oferite de principiile "Safe Harbor" privind protecția vieții private și întrebările de bază aferente, publicate de Departamentul Comerțului al S.U.A, Comisia apreciind că, în cadrul sistemului Safe Harbor (care cuprinde o serie de principii referitoare la protecția datelor cu caracter personal la care întreprinderile americane pot subscrie în mod voluntar), Statele Unite asigurau un nivel adecvat de protecție a datelor cu caracter personal transferate.

Cererea împotriva Facebook a domnului Schrems este doar un mijloc, obiectivele ale acestuia fiind guvernul SUA (care foloseşte Facebook și alte companii de servicii online pentru a obţine date cu caracter personal de către serviciile sale de informații) şi Comisia Europeană şi autoritatea irlandeză de protecție a datelor cu caracter personal pentru că acceptă tacit această conduită.

În cazul în care Curtea de Justiție hotărăște să urmeze opinia avocatului general în această cauză, vor fi împiedicate, în viitor, transferul de date cu caracter personal de la Facebook Ireland, o filială a societății-mamă Facebook Inc., situată în Statele Unite către Facebook Inc. din USA. Datele utilizatorilor Facebook Ireland care își au reședința pe teritoriul Uniunii sunt, în tot sau în parte, transferate pe serverele Facebook USA, situate pe teritoriul Statelor Unite ale Americii, unde sunt păstrate. Ulterior transferului datelor acestea sunt puse la dispoziția serviciilor de informații SUA, fapt demonstrat de revelațiile domnului Edward Snowden.

Acesta a lucrat în sectorul tehnic al serviciului de spionaj american al CIA și National Security Agency (NSA), care prin funcția de colaborator tehnic deținută, avea acces la informațiile strict secrete ale serviciului de spionaj american, între care se remarcă cele obținute prin programul NSA "PRISM" de supraveghere și spionare a rețelelor de Internet. În cadrul acestui program, NSA obține acces liber la datele cu caracter personal stocate pe serverele situate în Statele Unite, care sunt deținute sau controlate de o serie de societăți care își desfășoară activitatea în domeniul Internetului și al tehnologiei, precum Facebook USA. Snowden a furnizat date secrete lui Glenn Greenwald, jurnalist la revista britanică The Guardian care le-a publicat în 2013.

Această cauză poate schimba modalitatea în care companiile americane de servicii online funcționează, dar în acelaşi timp poate complica relațiile dintre SUA și Uniunea Europeană în acest domeniu.

Prin acţiunea înregistrată la 25 iunie 2013 la autoritatea irlandeză de supraveghere, domnul Schrems solicită să se pună capăt acestui transfer deoarece, în opinia sa, Statele Unite nu ar asigura un nivel adecvat de protecție a datelor cu caracter personal care sunt transferate în cadrul sistemului sferei de siguranță.

Autoritatea irlandeză a respins plângerea, în special în baza Deciziei 2000/520/CE a Comisiei din 26 iulie 2000, adică a acordului Safe Harbor.

Sesizată cu această cauză, Înalta Curte de Justiție a Irlandei solicită CJUE să se stabilească dacă această decizie a Comisiei are drept efect împiedicarea unei autorităţi naționale de supraveghere să investigheze o plângere în care se pretinde că o țară terță nu asigură un nivel de protecție adecvat și, dacă este cazul, să suspende transferul de date contestat. Avocatul general de la CJUE, prin concluziile sale, a răspuns următoarelor chestiuni fundamentale:

• autoritatea națională de protecție a datelor cu caracter personal are dreptul și obligația să apere cetățenii şi drepturile acestora protejate de Carta drepturilor fundamentale a Uniunii Europene, printre care figurează dreptul la respectarea vieții private și a vieții de familie și dreptul la protecția datelor cu caracter personal, chiar și în prezența unui acord european;
• Comisia Europeană ar trebui să verifice periodic respectarea normelor acordului Safe Harbor pentru a proteja datele cetăţenilor europeni;
• condițiile de conformitate cu principiile proporționalității și scopuri explicite nu sunt respectate de către serviciile de informații americane deoarece dreptul și practica Statelor Unite permit colectarea, la scară largă, a datelor cu caracter personal ale cetățenilor Uniunii care sunt transferate;
• Cetățenii europeni nu au garanțiile necesare pentru exercitarea drepturilor lor împotriva prelucrării datelor lor de către serviciile de informații şi nu beneficiază de o protecție jurisdicțională efectivă;
• prin urmare, acordul Safe Harbor trebuie să fie invalidat și suspendat.

Totodată avocatul general denunță în concluziile sale argumentele autorităţii de supraveghere irlandeză pentru ignorarea drepturilor fundamentale ale cetățenilor, referindu-se în special la Cauza C‑293/12 și C‑594/12 Digital Rights Ireland din 2014 care stabileşte principii clare pentru protecţia cetăţenilor.

Aceste constatări sunt în conformitate cu cerinţele asociațiilor de drepturile cetățenilor europeni.

Totodată parlamentarii europeni, în primăvara anului 2014, au cerut suspendarea acordului Safe Harbor, însă Comisia Europeană a ales să propună o revizuire a acestuia la care încă se lucrează. Între timp, datele cu caracter personal ale cetățenilor europeni continuă fie transferate în SUA şi să fie transmise programelor de supraveghere în masă.

Această cauză reprezintă o oportunitate unică de a redefini cadrul general al transferului de date cu caracter personal, adică de a lua în considerare existența supravegherii în masă și a colectării datelor cu caracter personal prin intermediul companiilor de servicii pe Internet, atât în ​​Statele Unite cât și în Europa.