Recent, Curtea de Justiţie a Uniunii Europene a invalidat o decizie a Comisiei Europene care făcea posibil transferul de date cu caracter personal din state ale Uniunii Europene către entităţi din SUA cu mai multă uşurinţă, prin simpla adeziune a acestor entităţi la principiile “sferei de siguranţă” privind protecţia vieţii private, principii publicate de Departamentului Comerţului al Statelor Unite ale Americii, entităţile fiind ulterior certificate în acest sens.
Conform experţilor în domeniul legal, recenta hotărâre a Curţii de Justiţie are un impact încă destul de greu de evaluat, deoarece o astfel de invalidare va putea avea efecte atât în ceea ce priveşte prelucrările de date viitoare cât şi în ceea ce priveşte prelucrările de date în curs, care se bazează actualmente pe certificările Safe Harbor pentru transmiterea datelor personale către entităţi din SUA. În aceste condiţii, deşi nu există deocamdată o opinie oficială în acest sens a Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal (“ANSPDCP”), ar putea exista mai multe variante de lucru în viitor.
De exemplu, ANSPDCP ar putea refuza pe viitor autorizarea transferurilor de date personale către entităţi din SUA, bazate pe certificări Safe Harbor, punând astfel în dificultate entităţile care îşi construiseră strategia de transfer de date pe o astfel de garanţie. În ceea ce priveşte prelucrările aflate în desfăşurare şi autorizate de către ANSPDCP în baza certificărilor Safe Harbor, autoritatea ar putea aplica prin analogie principiile aşa-zisei teorii a dreptului câştigat, menţinând valabilitatea autorizaţiilor deja emise şi întemeiate pe certificările Safe Harbor, atâta timp cât modul în care sunt prelucrate datele cu caracter personal rămâne identic cu cel din momentul emiterii autorizaţiei.
O altă posibilă abordare a acestei situaţii de către ANSPDCP ar putea consta în obligarea tuturor operatorilor de date cu caracter personal stabiliţi în România şi care la momentul actual transferă date cu caracter personal în străinătate în baza unei autorizaţii a ANSPDCP întemeiată pe un certificat Safe Harbor de a-şi modifica strategia şi implicit notificările, în sensul oferirii altor garanţii pentru protecţia drepturilor persoanelor vizate ale căror date personale sunt transferate către state terţe.
Această abordare ar putea prezenta un important dezavantaj în activitatea operatorilor de date, întrucât aceştia vor fi obligaţi să adopte noi strategii şi să revizuiască politici la nivel de grup. Totodată, o astfel de decizie ar putea crea un val de solicitări adresate ANSPDCP pentru modificarea notificărilor în sensul de mai sus, ceea ce ar conduce la congestionarea sistemului şi implicit la întârzierea semnificativă a procesului de soluţionare a modificărilor notificărilor.
Din punct de vedere al afacerilor operatorilor, hotărârea are în mod cert un efect dual: benefic pentru operatorii europeni care procesează date în spaţiul european, şi negativă pentru marii operatori internaţionali care, de preferinţă, procesează date în marile centre de date, în special din Statele Unite. Pentru România, în particular, hotârârea ar putea avea un efect neaşteptat de impulsionare a afacerilor operatorilor locali care vor descoperi că este mult mai rentabil să folosească furnizorii de servicii locali. Iar asta înseamnă o mult aşteptată gură de oxigen pentru tot ceea ce înseamnă servicii, inclusiv cele de tip cloud computing. Rămâne de văzut până unde se vor răsfrânge beneficiile în final.
de Bogdan Marchidanu