Curtea de Justiție a Uniunii Europene (CJUE) urmează concluziile avocatului general Bot, prezentate pe larg anterior, în cauza Schrems și a decis să “invalideze” regimul Safe Harbor, care a permis companiilor să exporte în SUA datele cu caracter personal ale cetățenilor europeni.
În decizia pronunţată astăzi, 6 octombrie 2015, în cauza C-362/14 Maximillian Schrems/Data Protection Commissioner, Curtea declară nevalidă decizia Comisiei (“Safe Harbor”, “sfera de siguranţă”) prin care se constată că Statele Unite asigură un nivel adecvat de protecţie a datelor cu caracter personal transferate
Curtea este singura competentă să constate nevaliditatea unui act al Uniunii, autorităţile naţionale de supraveghere sesizate cu o plângere pot, chiar şi în prezenţa unei decizii a Comisiei prin care se constată că o ţară terţă oferă un nivel adecvat de protecţie a datelor personale, să analizeze dacă transferul datelor unei persoane către această ţară respectă cerinţele legislaţiei Uniunii referitoare la protecţia datelor menţionate şi să sesizeze instanţe naţionale, în acelaşi mod ca persoana vizată, pentru ca acestea să efectueze o trimitere preliminară în vederea examinării validităţii respectivei decizii.
Directiva privind prelucrarea datelor cu caracter personal (Directiva 95/46 / CE a Parlamentului European și a Consiliului din 24 octombrie 1995) prevede că transferul unor asemenea date către o ţară terţă nu poate avea loc, în principiu, decât dacă ţara terţă în discuţie asigură un nivel adecvat de protecţie a acestor date.
Tot potrivit directivei, Comisia poate constata că o ţară terţă asigură, în temeiul legislaţiei interne sau al angajamentelor sale internaţionale, un nivel de protecţie adecvat. În sfârşit, directiva prevede că fiecare stat membru desemnează una sau mai multe autorităţi publice responsabile de supravegherea aplicării pe teritoriul său a dispoziţiilor naţionale adoptate în temeiul directivei („autorităţile naţionale de supraveghere").
Domnul Maximillian Schrems, cetăţean austriac, utilizează Facebook din anul 2008. Ca şi în cazul celorlalţi utilizatori care au reşedinţa în Uniune, datele furnizate Facebook de domnul Schrems sunt transferate, în tot sau în parte, de la filiala irlandeză a Facebook pe servere situate pe teritoriul Statelor Unite, unde fac obiectul unei prelucrări. Domnul Schrems a depus o plângere la autoritatea irlandeză de protecţie a datelor, considerând că, având în vedere dezvăluirile făcute în anul 2013 de domnul Edward Snowden cu privire la activităţile serviciilor de informaţii ale Statelor Unite (în special National Security Agency sau „NSA"), dreptul şi practicile din Statele Unite nu asigură o protecţie suficientă a datelor transferate către această ţară împotriva supravegherii de către autorităţile publice. Autoritatea irlandeză a respins plângerea, în special pentru motivul că, într-o decizie din 26 iulie 20 00 , Comisia a apreciat că, în cadrul sistemului denumit al „sferei de siguranţă" , Statele Unite asigură un nivel adecvat de protecţie a datelor cu caracter personal transferate.
Sesizată cu această cauză, High Court of Ireland (Înalta Curte de Justiţie a Irlandei) solicită să se stabilească dacă decizia menţionată a Comisiei are drept efect să împiedice o autoritate naţională de supraveghere să investigheze o plângere în care se pretinde că o ţară terţă nu asigură un nivel de protecţie adecvat şi, dacă este cazul, să suspende transferul de date contestat.
În hotărârea pronunţată azi, Curtea apreciază că existenţa unei decizii a Comisiei prin care se constată că o ţară terţă asigură un nivel adecvat de protecţie a datelor cu caracter personal transferate nu poate anula şi nici măcar reduce competenţele de care dispun autorităţile naţionale de supraveghere în temeiul Cartei drepturilor fundamentale a Uniunii Europene şi al directivei. Curtea subliniază în această privinţă dreptul la protecţia datelor cu caracter personal garantat de cartă, precum şi misiunea cu care sunt învestite autorităţile naţionale de supraveghere în temeiul acestei carte.
Curtea consideră mai întâi că nicio dispoziţie a directivei nu împiedică autorităţile naţionale să supravegheze transferurile de date personale către ţări terţe care au făcut obiectul unei decizii a Comisiei. Astfel, chiar şi în prezenţa unei decizii a Comisiei, autorităţile naţionale de supraveghere sesizate cu o plângere trebuie să poată examina în condiţii de independenţă deplină dacă transferul datelor unei persoane către o ţară terţă respectă cerinţele impuse de directivă. Cu toate acestea, Curtea aminteşte că este singura competentă să constate nevaliditatea unui act al Uniunii, cum ar fi o decizie a Comisiei. În consecinţă, atunci când o autoritate naţională sau persoana care a sesizat autoritatea naţională apreciază că o decizie a Comisiei este nevalidă, această autoritate sau această persoană trebuie să aibă posibilitatea de a sesiza instanţele naţionale pentru ca, în cazul în care şi acestea ar avea îndoieli cu privire la validitatea deciziei Comisiei, să poată trimite cauza la Curtea de Justiţie. Prin urmare, revine Curţii în ultimă instanţă sarcina de a de decide dacă o decizie a Comisiei este validă sau nu este validă.
Curtea verifică, aşadar, validitatea Deciziei Comisiei din 26 iulie 2000. În această privinţă, Curtea aminteşte că Comisia era ţinută să constate că Statele Unite asigură în mod efectiv, în temeiul legislaţiei interne sau al angajamentelor lor internaţionale, un nivel de protecţie a drepturi fundamentale în esenţă echivalent cu cel garantat în cadrul Uniunii în temeiul directivei interpretate în lumina cartei. Curtea arată că Comisia nu a realizat o asemenea constatare, ci s-a limitat să examineze sistemul sferei de siguranţă.
Or, fără a fi nevoie să verifice dacă sistemul menţionat asigură un nivel de protecţie în esenţă echivalent cu cel garantat în cadrul Uniunii, Curtea arată că el este aplicabil numai întreprinderilor americane care subscriu la respectivul sistem, fără ca autorităţile publice din Statele Unite să fie ele însele supuse acestuia. În plus, cerinţele privind securitatea naţională, interesul public şi respectarea legilor Statelor Unite prevalează asupra sistemului sferei de siguranţă, astfel încât întreprinderile americane sunt obligate să înlăture, fără nicio restricţie, principiile de protecţie prevăzute de acest sistem atunci când intră în conflict cu asemenea cerinţe. Sistemul american al sferei de siguranţă face astfel posibile ingerinţe ale autorităţilor publice americane în drepturile fundamentale ale persoanelor, decizia Comisiei necuprinzând nicio constatare nici în privinţa existenţei, în Statele Unite, a unor norme destinate să limiteze aceste eventuale ingerinţe, nici în privinţa existenţei unei protecţii juridice eficiente împotriva acestor ingerinţe.
Curtea consideră că această analiză a sistemului este confirmată de două comunicări ale Comisiei din care reiese printre altele că autorităţile Statelor Unite puteau avea acces la date cu caracter personal transferate din statele membre către această ţară şi să le prelucreze într-un mod incompatibil, în special, cu scopurile transferului lor şi care depăşeşte ceea ce era strict necesar şi proporţional cu protecţia securităţii naţionale. De asemenea, Comisia a constatat că nu existau, pentru persoanele respective, căi de drept administrative sau judiciare care să permită, în special, accesul la datele care le privesc şi, dacă este cazul, obţinerea rectificării sau ştergerii lor.
În ceea ce priveşte nivelul de protecţie în esenţă echivalent cu libertăţile şi drepturile fundamentale garantate în cadrul Uniunii, Curtea constată că, în dreptul Uniunii, o reglementare nu este limitată la strictul necesar în cazul în care autorizează în mod generalizat stocarea integralităţii datelor cu caracter personal ale tuturor persoanelor ale căror date sunt transferate din Uniune către Statele Unite, fără a se face vreo diferenţiere, limitare sau excepţie în funcţie de obiectivul urmărit şi fără a se prevedea criterii obiective în vederea delimitării accesului autorităţilor publice la date şi a utilizării lor ulterioare. Curtea adaugă că trebuie să se considere că o reglementare care le permite autorităţilor publice accesul în mod generalizat la conţinutul comunicărilor electronice aduce atingere substanţei dreptului fundamental la respectarea vieţii private.
De asemenea, Curtea arată că o reglementare care nu prevede nicio posibilitate pentru justiţiabil de a exercita căi legale pentru a avea acces la date cu caracter personal care îl privesc sau de a obţine rectificarea sau ştergerea unor astfel de date aduce atingere substanţei dreptului fundamental la o protecţie jurisdicţională efectivă, o asemenea posibilitate fiind inerentă existenţei unui stat de drept.
În sfârşit, Curtea constată că Decizia Comisiei din 26 iulie 2000 privează autorităţile naţionale de supraveghere de competenţele lor, în cazul în care o persoană pune în discuţie compatibilitatea deciziei cu protecţia vieţii private şi a drepturilor şi libertăţilor fundamentale ale persoanelor. Curtea consideră că Comisia nu avea competenţa de a restrânge astfel competenţele autorităţilor naţionale de supraveghere.
Pentru toate aceste motive, Curtea declară Decizia Comisiei din 26 iulie 2000 nevalidă. Această hotărâre are drept consecinţă faptul că autoritatea irlandeză de supraveghere este ţinută să examineze cererea domnului Schrems cu toată diligenţa necesară şi că îi revine acesteia sarcina de a decide, la finalizarea investigaţiei sale, dacă, în temeiul directivei, trebuie să suspende transferul datelor utilizatorilor europeni al Facebook către Statele Unite pentru motivul că această ţară nu oferă un nivel adecvat de protecţie a datelor personale.
Anularea acordului "Safe Harbor" ar trebui să oblige Google, Facebook şi alte companii de servicii online să păstreze în Europa datele cu caracter personal ale clienţilor.
Cu toate acestea, se vor putea efectua transferul datelor cu caracter personal în ţări care nu garantează un nivel adecvat de protecţie a datelor, însă companiile vor trebui să urmeze formalităţi mult îngreunate. Acestea vor avea un efect negativ în primul rând asupra companiilor de mici dimensiuni care nu vor avea resursele necesare pentru aceste proceduri.
În prezent sunt aproximativ 4500 de companii care au aderat la acordul "Safe Harbor" si care vor fi afectate de hotărârea CJUE de astăzi.
