
Bruxelles, 28 februarie – CEPD a adoptat avizul său referitor la proiectul de decizie privind caracterul adecvat al nivelului de protecție a datelor în ceea ce privește Cadrul UE-SUA privind confidențialitatea datelor. CEPD salută îmbunătățirile substanțiale, cum ar fi introducerea unor cerințe care încorporează principiile necesității și proporționalității în cazul colectării de date de către serviciile de informații din SUA și noul mecanism de exercitare a unei căi de atac pentru persoanele vizate din UE. În același timp, comitetul își exprimă îngrijorarea și solicită clarificări cu privire la mai multe aspecte. Acestea se referă, în special, la anumite drepturi ale persoanelor vizate, la transferurile ulterioare, la domeniul de aplicare al derogărilor, la colectarea temporară în masă a datelor și la funcționarea practică a mecanismului de exercitare a unei căi de atac. CEPD ar dori ca atât intrarea în vigoare, cât și adoptarea deciziei să fie condiționate de adoptarea unor politici și proceduri actualizate pentru punerea în aplicare a Ordinului executiv 14086 de către toate agențiile de informații din SUA. CEPD recomandă Comisiei să evalueze aceste politici și proceduri actualizate și să îi comunice evaluarea sa.
Președinta CEPD, Andrea Jelinek a declarat: „Un nivel ridicat de protecție a datelor este esențial pentru a proteja drepturile și libertățile persoanelor fizice din UE. Deși recunoaștem că îmbunătățirile aduse cadrului juridic al SUA sunt semnificative, recomandăm să se răspundă preocupărilor exprimate și să se ofere clarificările solicitate pentru a se asigura că decizia privind caracterul adecvat al nivelului de protecție va subzista. Din același motiv, considerăm că, după prima revizuire a deciziei privind caracterul adecvat al nivelului de protecție, revizuirile ulterioare ar trebui să aibă loc cel puțin o dată la trei ani și ne angajăm să contribuim la acestea.”
Proiectul de decizie privind caracterul adecvat al nivelului de protecție, publicat de Comisia Europeană la 13 decembrie 2022, se bazează pe Cadrul UE-SUA privind confidențialitatea datelor (DPF), menit să înlocuiască Scutul de confidențialitate care a fost invalidat de CJUE în hotărârea Schrems II. Principiile Cadrului UE-SUA privind confidențialitatea datelor, care au fost publicate de Departamentul Comerțului din SUA, reprezintă componenta-cheie a DPF. DPF se aplică numai organizațiilor din SUA autocertificate. CEPD a adoptat în prezent avizul său privind proiectul de decizie, care ia în considerare atât aspectele comerciale, cât și accesul autorităților publice din SUA la date și utilizarea datelor de către acestea.
În ceea ce privește aspectele comerciale, CEPD salută efectuarea unei serii de actualizări ale principiilor DPF. Acesta observă, de asemenea, că o serie de principii rămân, în esență, identice celor din cadrul Scutului de confidențialitate. Ca atare, persistă o serie de preocupări, de exemplu, cu privire la unele derogări de la dreptul de acces, absența unor definiții-cheie, lipsa de claritate cu privire la aplicarea principiilor DPF în cazul persoanelor împuternicite de către operator, derogarea extinsă de la dreptul de acces pentru informațiile disponibile publicului și lipsa unor norme specifice privind procesul decizional automatizat și crearea de profiluri. CEPD reiterează, de asemenea, că nivelul de protecție nu trebuie să fie subminat de transferurile ulterioare. Prin urmare, acesta invită Comisia să clarifice faptul că, înaintea efectuării unui transfer ulterior, garanțiile impuse de destinatarul inițial importatorului din țara terță trebuie să fie eficace în raport cu legislația țării terțe.
În plus, CEPD solicită Comisiei să clarifice domeniul de aplicare al derogărilor în ceea ce privește obligația de a adera la principiile DPF și subliniază importanța unei supravegheri și a unei aplicări eficace a DPF. Aceste aspecte vor fi monitorizate îndeaproape de CEPD, împreună cu eficacitatea căilor de atac oferite persoanelor vizate din UE ale căror date sunt prelucrate cu încălcarea DPF.
În ceea ce privește accesul administrației publice la datele transferate către SUA, CEPD recunoaște că au avut loc îmbunătățiri semnificative ale Ordinului executiv 14086. Ordinul executiv introduce conceptele de necesitate și proporționalitate în ceea ce privește colectarea de date de către serviciile de informații din SUA (pe baza semnalelor de informații).
În plus, noul mecanism de exercitare a unei căi de atac prevede o serie de drepturi pentru persoanele fizice din UE și face obiectul revizuirii de către Comitetul de supraveghere a vieții private și a libertăților civile (PCLOB). De asemenea, ordinul executiv consacră mai multe garanții pentru asigurarea independenței instanței de reexaminare în materie de protecție a datelor (DPRC), în comparație cu mecanismul anterior al Ombudsmanului, și introduce competențe mai eficace pentru a remedia încălcările, inclusiv garanții suplimentare pentru persoanele vizate.
CEPD subliniază că este necesară o monitorizare atentă în ceea ce privește aplicarea practică a principiilor recent introduse privind necesitatea și proporționalitatea. De asemenea, este necesară o mai mare claritate în ceea ce privește colectarea temporară în masă și păstrarea și difuzarea în continuare a datelor colectate în masă.
CEPD își exprimă, de asemenea, îngrijorarea cu privire la lipsa unei cerințe de autorizare prealabilă din partea unei autorități independente pentru colectarea de date în masă în temeiul Ordinului executiv 12333, precum și cu privire la lipsa unei revizuiri independente sistematice ex post de către o instanță sau de către un organism independent echivalent. În ceea ce privește autorizarea independentă prealabilă a supravegherii în temeiul secțiunii 702 din FISA, CEPD regretă faptul că Curtea FISA nu examinează conformitatea cu Ordinul executiv 14086 atunci când certifică programele care autorizează vizarea unor persoane care nu sunt cetățeni americani, chiar dacă autoritățile de informații care desfășoară programul sunt obligate să îl respecte. Ar fi deosebit de utilă elaborarea de către PCLOB a unor rapoarte privind modul în care vor fi puse în aplicare garanțiile prevăzute în Ordinul executiv 14086 și modul în care aceste garanții sunt aplicate atunci când se colectează date în temeiul secțiunii 702 din FISA și al Ordinului executiv 12333. În ceea ce privește mecanismul de exercitare a unei căi de atac, CEPD recunoaște garanțiile suplimentare oferite, cum ar fi rolul avocaților speciali și revizuirea de către PCLOB a mecanismului de exercitare a unei căi de atac. În același timp, CEPD este preocupat de utilizarea în mod generalizat de către DPRC a răspunsului standard prin care se notifică reclamantului faptul că fie nu au fost identificate încălcările vizate, fie a fost emisă o hotărâre care necesită o remediere adecvată, în special având în vedere că această decizie nu poate fi atacată. Prin urmare, CEPD invită Comisia să monitorizeze îndeaproape funcționarea practică a acestui mecanism.
The news published here does not constitute official EDPB communication, nor an EDPB endorsement. This news item was originally published by the national supervisory authority and was published here at the request of the SA for information purposes. Any questions regarding this news item should be directed to the supervisory authority concerned.