Curtea de Justiţie a UE a declarat, marţi, nevalidă decizia Comisiei Europene prin care aceasta a stabilit că SUA asigură un nivel adecvat de protecţie a datelor cu caracter personal transferate.

Decizia Curţii de Justiţie a Uniunii Europene (CJUE) vine după ce Înalta Curte de Justiție a Irlandei i-a solicitat să stabilească dacă decizia Comisiei Europene, care a decis că SUA asigură protecţia datelor cu caracter personal, poate împiedica o autoritate națională de supraveghere să investigheze o plângere în care se pretinde că o țară terță nu asigură un nivel de protecție adecvat și, dacă este cazul, să suspende transferul de date contestat.

 Totul a pornit de la utilizarea Facebook şi Edward Snowden

Cazul a pornit de la Maximillian Schrems, un cetățean austriac care a depus o plângere la autoritatea irlandeză de proiecţie a datelor, considerând că, având în vedere dezvălurile făcute în 2013 de Edward Snowden cu privire la activităţile serviciilor americane de informaţii, dreptul și practicile din SUA nu asigură o protecție suficientă a datelor transferate către această țară împotriva supravegherii de către autoritățile publice.

Autoritatea irlandeză a respins plângerea, în special pentru motivul că, într-o decizie din 26 iulie 2000, Comisia Europeană a apreciat că, în cadrul sistemului denumit al "sferei de siguranță”, Statele Unite asigură un nivel adecvat de protecție a datelor cu caracter personal transferate.

Sesizată cu această cauză, Înalta Curte de Justiție a Irlandei a solicitat CJUE să stabilească în ce măsură decizia Comisiei are drept efect să împiedice o autoritate națională de supraveghere să investigheze o plângere în care se pretinde că o țară terță nu asigură un nivel de protecție adecvat și, dacă este cazul, să suspende transferul de date contestat.

Carta drepturilor fundamentale, mai importantă decât decizia Comisiei

În hotărârea pronunţată marţi, Curtea apreciază că existenţa unei decizii a Comisieiprin care se constată că o ţară terţă asigură un nivel adecvat de protecţie a datelor cu caracter personal transferate nu poate anula şi nici măcar reduce competenţele de care dispun autorităţile naţionale de supraveghere în temeiul Cartei drepturilor fundamentale a Uniunii Europene şi al directivei privind protecţia datelor cu caracter personal.

Curtea subliniază în această privinţă dreptul la protecţia datelor cu caracter personalgarantat de Cartă, precum şi misiunea cu care sunt învestite autorităţile naţionale de supraveghere în temeiul acestei carte.

Directiva nu împiedică supravegherea transferurilor de către autorităţi naţionale

Curtea consideră că nicio dispoziţie a directivei privind protecţia datelor cu caracter personal nu împiedică autorităţile naţionale să supravegheze transferurile de date personale către ţări terţe care au făcut obiectul unei decizii a Comisiei.

Astfel, chiar şi în prezenţa unei decizii a CE, autorităţile naţionale de supraveghere sesizate cu o plângere trebuie să poată examina în condiţii de independenţă deplină dacă transferul datelor unei persoane către o ţară terţă respectă cerinţele impuse de directivă.

Pe de altă parte, CJUE aminteşte că este singura competentă să constate nevaliditatea unui act al Uniunii, cum ar fi o decizie a Comisiei.

Prin urmare, atunci când o autoritate naţională sau persoana care a sesizat autoritatea naţională apreciază că o decizie a CE este nevalidă, această autoritate sau această persoană trebuie să aibă posibilitatea de a sesiza instanţele naţionale pentru ca, în cazul în care și acestea ar avea îndoieli cu privire la validitatea deciziei Comisiei, să poată trimite cauza la Curtea de Justiţie.

Această hotărâre are drept consecinţă faptul că autoritatea irlandeză de supraveghere poate examina cererea lui Maximilliam Schrems "cu toată diligenţa necesară”, acesteia revenindu-i sarcina de a decide, la finalizarea investigaţiei sale, dacă, în temeiul directivei, trebuie să suspende transferul datelor utilizatorilor europeni ai Facebook către Statele Unite pentru motivul că această ţară nu oferă un nivel adecvat de protecţie a datelor personale.