Trei decizii majore ale Curții Europene de Justiție pe domeniul datelor personale

Ultima săptămână a însemnat trei decizii majore pe care Curtea Europeană de Justiție (CEJ) le-a dat pentru domeniul protecției datelor cu caracter personal. Unii le-ar putea interpreta ca fiind o lovitură dată industriei, SUA sau instituțiilor publice. Noi le-am considera doar o reîntoarcere la normalul considerării dreptului la viață privată ca un drept fundamental și o răsturnare a deciziilor naționare, europene sau internaționale care desconsideră acest aspect.

Deși la noi a fost comentat mai ales cazul Bara vs. CNAS (pentru ca era un român implicat) trebuie să subliniem că toate cazurile au aceiași importanță practică fiind interpretări oficiale ale dreptului european.

1. Cazul Schrems vs Ireland Data Protection Commissioner – C 362/14 este probabil cazul cu cele mai profunde implicații la nivel internațional – pentru că a declarat invalidă Decizia Comisiei Europene prin care se considera că SUA au un regim adecvat de protecție a datelor personale (cunoscută sub numele de Safe Harbour).

Safe Harbour a fost intotdeauna în lumea specialiștilor (dar inlcusiv în rapoartele Comisiei) ca fiind o glumă proastă. Deși în cazul altor țări s-a făcut o analiză atentă a legislației pentru protecția datelor personale și a aspectelor practice pentru a beneficia de acest nivel de “regim adecvat de protecție”, in cazul SUA s-a accepta un fel de auto-certificare, neverificată de nimeni. Adică, zice Facebook că respectă principiile protecției datelor personale? Atunci să-l credem pe cuvânt.

CEJ nu a putut decât să constate că un astfel de sistem, care permitea accesul neîngrădit al autorităților din SUA la datele personale stocate de firme americane și unde drepturile europenilor de acces sau rectificare a datelor erau recunoscute ca fiind de fapt iluzorii, “aduce atingere substanței dreptului fundamental la respectarea vieții private”.

Decizia aruncă în aer și deci lipsește de bază juridică orice transfer de date personale dinspre UE către SUA. La cald, unii juriști consideră că soluția ar putea fi niște modele de clauze contractuale, în vreme ce alții punctează că doar o modificare a legislației din SUA ar putea să rezolve problema, de vreme ce contractul nu poate sa contravină legilor americane care permit accesul autoritătilor competente în mod direct la datele respective.

În fine trebuie remarcată frumusețea dreptului în care un tânăr jurist, Max Schrems, inarmat cu argumentele corecte și cu princiipile solide despre drepturile omului, dar și cu nervi și bani ca să-și permită procesul, poate sa câștige în fața uneia dintre cele mai mari firme din lume, a unei decizii a Comisie Europene și a unei Autorități publice ce ar trebui să fie competentă, dar e ineptă (e vorba de Autoritatea pt protecția datelor din Irlanda).

2. Cazul Bara vs CNAS – C 201/2014 precizează faptul că legislația privind protecția datelor cu caracter personal nu poate fi încălcată printr-un simplu protocol între 2 autorități publice (este vorba de CNAS și ANAF în cazul supus judecății).

Ne chinuim de câțiva ani să explicăm instituțiilor publice românești (ultima dată în cazul SIET) că datele personale nu pot fi transferate de la una la alta doar pentru că tehnic este posibil – ci trebuie analizat dacă acest schimb de date personale este necesar într-o societate democratică și care sunt garanțiile acordate pentru evitarea arbitrariului. Lucrurile trebuie analizate așezat și văzute de la caz la caz.

Și în cazul ăsta au apărut titluri pompieristice care consideră că orice transfer de date între autorități ar fi ilegal și că astfel infractorii ar fi protejați. De fapt situația este mult mai complexă și noi nu știm ce baze de date ar fi accesat ANAF și in ce condiții. Cert este insă că legea 677/2001 are suficiente excepții și interpetări care permit transferul de date între terți, dacă se respectă principiile protecției datelor cu caracter personal.

3. Cazul Weltimmo s.r.o. vs Nemzeti C 230/14 confirmă faptul că legea națională de protecție a datelor poate fi aplicață operatorilor care au o activitate – fie ea și minimală – legată de teritoriul respectiv, chiar dacă este o firmă străină.

Aceasta reconfirmare a principiului din cazul Google Spania vine să confirme situațiile în care mari firme (cum ar fi Facebook, Google sau Apple) refuză să aplice legislația națională pentru protecția datelor (și vă trimit în Irlanda, cum a fost cazul Schrems de mai sus), dar în schimb desfășoară o activitate comercială reală în țara respectivă – de la vândut reclame și până la recuperat creanțe.

Vom reveni în zilele următoare pe blogul Privacy.apti.ro cu mai multe detalii legate de primele 2 cazuri.