Decizia Curții de Justiție a Uniunii Europene (CJUE) vine după ce Înalta Curte de Justiție a Irlandei i-a solicitat să stabilească dacă decizia Comisiei Europene, care a decis că SUA asigură protecția datelor cu caracter personal, poate împiedica o autoritate națională de supraveghere să investigheze o plângere în care se pretinde că o țară terță nu asigură un nivel de protecție adecvat și, dacă este cazul, să suspende transferul de date contestat.

 Totul a pornit de la utilizarea Facebook și Edward Snowden

Cazul a pornit de la Maximillian Schrems, un cetățean austriac care a depus o plângere la autoritatea irlandeză de proiecție a datelor, considerând că, având în vedere dezvălurile făcute în 2013 de Edward Snowden cu privire la activitățile serviciilor americane de informații, dreptul și practicile din SUA nu asigură o protecție suficientă a datelor transferate către această țară împotriva supravegherii de către autoritățile publice.

Autoritatea irlandeză a respins plângerea, în special pentru motivul că, într-o decizie din 26 iulie 2000, Comisia Europeană a apreciat că, în cadrul sistemului denumit al "sferei de siguranță”, Statele Unite asigură un nivel adecvat de protecție a datelor cu caracter personal transferate.

Sesizată cu această cauză, Înalta Curte de Justiție a Irlandei a solicitat CJUE să stabilească în ce măsură decizia Comisiei are drept efect să împiedice o autoritate națională de supraveghere să investigheze o plângere în care se pretinde că o țară terță nu asigură un nivel de protecție adecvat și, dacă este cazul, să suspende transferul de date contestat.

Carta drepturilor fundamentale, mai importantă decât decizia Comisiei

În hotărârea pronunțată marți, Curtea apreciază că existența unei decizii a Comisieiprin care se constată că o țară terță asigură un nivel adecvat de protecție a datelor cu caracter personal transferate nu poate anula și nici măcar reduce competențele de care dispun autoritățile naționale de supraveghere în temeiul Cartei drepturilor fundamentale a Uniunii Europene și al directivei privind protecția datelor cu caracter personal.

Curtea subliniază în această privință dreptul la protecția datelor cu caracter personalgarantat de Cartă, precum și misiunea cu care sunt învestite autoritățile naționale de supraveghere în temeiul acestei carte.

Directiva nu împiedică supravegherea transferurilor de către autorități naționale

Curtea consideră că nicio dispoziție a directivei privind protecția datelor cu caracter personal nu împiedică autoritățile naționale să supravegheze transferurile de date personale către țări terțe care au făcut obiectul unei decizii a Comisiei.

Astfel, chiar și în prezența unei decizii a CE, autoritățile naționale de supraveghere sesizate cu o plângere trebuie să poată examina în condiții de independență deplină dacă transferul datelor unei persoane către o țară terță respectă cerințele impuse de directivă.

Pe de altă parte, CJUE amintește că este singura competentă să constate nevaliditatea unui act al Uniunii, cum ar fi o decizie a Comisiei.

Prin urmare, atunci când o autoritate națională sau persoana care a sesizat autoritatea națională apreciază că o decizie a CE este nevalidă, această autoritate sau această persoană trebuie să aibă posibilitatea de a sesiza instanțele naționale pentru ca, în cazul în care și acestea ar avea îndoieli cu privire la validitatea deciziei Comisiei, să poată trimite cauza la Curtea de Justiție.

Această hotărâre are drept consecință faptul că autoritatea irlandeză de supraveghere poate examina cererea lui Maximilliam Schrems "cu toată diligența necesară”, acesteia revenindu-i sarcina de a decide, la finalizarea investigației sale, dacă, în temeiul directivei, trebuie să suspende transferul datelor utilizatorilor europeni ai Facebook către Statele Unite pentru motivul că această țară nu oferă un nivel adecvat de protecție a datelor personale.